Segurança Legal

 Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing Shownotes Polícia prende suspeitos de invadir e furtar apartamentos de alto padrão em Porto Alegre; grupo usava fraude em reconhecimento facial Polícia desarticula grupo de criminosos que furtava apartamentos de luxo via redes sociais Atualização do Código Penal para alguns crimes digitais Will AI end anonymity? I tested it I can never talk to an AI anonymously again Anthropic’s most dangerous AI model just fell into the wrong hands Unauthorized group has gained access to Anthropic’s exclusive cyber tool Mythos, report claims It’s a myth that you need Mythos to find bugs: Open source models can do it just as well Filme: Quebra de Sigilo (Sneakers) BC Protege Livro – Sob a sombra da suástica: a França ocupada Filme – Viagem ao mundo dos sonhos Artigo – Em louvor ao Teatro da Segurança Imagem do episódio: The Ancient Days, Willia, Blanke

Neste episódio falamos sobre algumas soluções para a verificação adequada de idade na Internet.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes The Psychology of Fraud, Persuasion and Scam Techniques LEI Nº 15.211, DE 17 DE SETEMBRO DE 2025 – Dispõe sobre a proteção de crianças e adolescentes em ambientes digitais (Estatuto Digital da Criança e do Adolescente) DECRETO Nº 12.880, DE 18 DE MARÇO DE 2026 – Regulamenta a Lei nº 15.211, de 17 de setembro de 2025, que dispõe sobre a proteção de crianças e adolescentes em ambientes digitais, e institui a Política Nacional de Promoção e Proteção dos Direitos da Criança e do Adolescente no Ambiente Digital. Mecanismos confiáveis de aferição de idade – ORIENTAÇÕES PRELIMINARES Radar tecnológico – Mecanismos de aferição de idade

ShowNotes LEI Nº 15.211, DE 17 DE SETEMBRO DE 2025 – ECA Digital DECRETO Nº 12.880, DE 18 DE MARÇO DE 2026 – Decreto regulamentador do ECA Digital ANPD – Mecanismos confiáveis de aferição de idade – Orientações preliminares Livro – O Direito Achado na Rede: a concepção do Marco Civil da Internet no Brasil de Paulo Rená Proteger as crianças de riscos digitais é também protegê-las contra a exploração comercial Retrocesso no Senado: relatório do PL 2628/22 deixa crianças mais vulneráveis à publicidade Imagem do Episódio – La Lecture (1888) Berthe Morisot

Neste episódio comentamos sobre as principais atualizações e desafios no mercado de tecnologia, trazendo uma análise objetiva sobre cibersegurança e proteção de dados. Ao longo da reprodução, você irá descobrir os recentes desdobramentos éticos do uso de inteligência artificial em contextos militares, envolvendo a recusa da Anthropic em aderir aos termos do Departamento de Defesa norte-americano e os impactos disso para a privacidade global. Você também irá aprender sobre o novo marco regulatório do Conselho Federal de Medicina para ferramentas automatizadas na área da saúde, compreendendo como as exigências da LGPD se aplicam à segurança da informação na proteção de dados médicos sensíveis. Além disso, você entenderá os detalhes do recente ataque hacker que causou graves incidentes de segurança no setor financeiro, e saberá identificar as vulnerabilidades críticas na integração de modelos de linguagem via protocolo MCP, como a perigosa injeção de prompts em servidores expostos. O host Guilherme Goulart compartilha ainda sua vivência no evento SecOps Summit, refletindo sobre a importância dos profissionais de segurança na governança corporativa. Por fim, você poderá avaliar como o uso excessivo do ChatGPT pode afetar a criatividade e gerar a homogeneização do pensamento. Para continuar acompanhando nossas discussões, não se esqueça de assinar o podcast na sua plataforma preferida, seguir nossos perfis nas redes sociais e avaliar o programa para apoiar o nosso trabalho. Esta descrição foi realizada a partir do áudio do podcast com o uso de IA, com revisão humana.     Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing Acesse WhisperSafe – Transcreva áudio e grave reuniões direto no seu computador, mesmo offline. Rápido, leve e pronto para usar com qualquer IA. Use o cupom SEGLEG50 para 50% de desconto na sua assinatura. ShowNotes Episódio citado – 2013-06-18 – Episódio #28 – PRISM – Privacidade X Segurança The Pentagon formally labels Anthropic a supply-chain risk Anthropic’s Claude is suddenly the most popular iPhone app following Pentagon feud Anthropic vs. U.S. Department of War The Pentagon Can’t Afford This A.I. Fight Statement from Dario Amodei on our discussions with the Department of War Employees across OpenAI and Google support Anthropic’s lawsuit against the Pentagon AI safety leader says ‘world is in peril’ and quits to study poetry Microsoft & Anthropic MCP Servers at Risk of RCE, Cloud Takeovers AI Conundrum: Why MCP Security Can’t Be Patched Away MCP is the backdoor your zero-trust architecture forgot to close Ministério da Educação – REFERENCIAL PARA DESENVOLVIMENTO E USO RESPONSÁVEIS DE INTELIGÊNCIA ARTIFICIAL NA EDUCAÇÃO Nova resolução de uso de IA na CFM Artigo “When ChatGPT is Gone: Creativity Reverts and Homogeneity Persists“ BTG Pactual restabelece operações via Pix após ser alvo de ataque hacker BTG Pactual sofre ataque hacker e suspende operações via Pix PF investiga participação de funcionários no ataque hacker de R$ 100 milhões ao BTG Pactual Imagem do Episódio: A Torre de Babel — Pieter Bruegel 📝 Transcrição do Episódio (00:08) Guilherme: Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 413, gravado em 23 de março de 2026. Eu sou Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? Vinícius: Tudo bem, Guilherme. Olá aos nossos ouvintes. Esse é o nosso momento de conversar sobre algumas notícias e acontecimentos que chamaram a nossa atenção. (00:30) Guilherme: Então, pegue o seu café; no caso de hoje, um chimarrão. Pegue a sua bebida preferida e venha conosco. Para entrar em contato com a gente, você já sabe: basta enviar uma mensagem para [email protected] ou falar conosco no Instagram, Bluesky, YouTube e TikTok. Temos também a campanha de financiamento coletivo em apoia.se/segurancalegal. E há um novo patrocinador: Whisper Safe. (00:52) Guilherme: Você já pensou como pode ser difícil, depois de uma reunião, lembrar o que foi dito ou perder tempo digitando tudo o que foi falado? O Whisper Safe resolve esse e outros problemas para você, porque ele transcreve áudio e grava reuniões direto do seu computador, de forma rápida, precisa e 100% offline. Nenhum dado de áudio sai da sua máquina. Ele funciona com todos os comunicadores e também com qualquer arquivo de áudio que você tenha, como notas de palestra, notas de aula e outros tipos de gravação. (01:25) Vinícius: Eu tenho usado com MP4. Eu estava usando outra ferramenta que não estava funcionando com MP4. O Whisper Safe funciona com MP4 também? Guilherme: Sim, funciona com MP4 também. Você pode colocar vídeo lá, e ele processa. Vinícius: Não sabia. (01:48) Guilherme: Muito bom. Você tem 15 dias grátis para testar, e o cupom SEGUELEG50 dá 50% de desconto vitalício. Enquanto o Whisper Safe estiver funcionando, você terá esse desconto. Então, use o cupom SEGUELEG50, que está lá no show notes, e acesse whispersafe.ai. Antes de começarmos, Vinícius, a Brown Pipe esteve com toda a sua equipe no SecOps Summit 2026. (02:18) Guilherme: No meu caso, como foi aqui em Porto Alegre, eu digo “lá” brincando, mas para mim foi “aqui”. Conta para nós um pouquinho. Vinícius: A gente esteve no evento em razão de uma palestra que tu foste dar lá. Aproveitamos para conhecer o evento. (02:40) Vinícius: Nós nunca tínhamos ido ao evento para ver como era e sentir a vibe. Acabamos encontrando vários clientes nossos lá, o que é muito bom. Isso mostra que existe busca e que o público está procurando mais informações sobre esse tema. (03:00) Vinícius: Já quero pedir aos ouvintes que nos encontraram lá e vieram conversar contigo depois da palestra: por favor, mandem seus nomes. Se não estou enganado, um deles se chama Frederico. Queríamos mandar um abraço no próximo episódio, citando vocês corretamente. (03:18) Vinícius: Então já fica registrado: foi muito bom trocar uma ideia lá e encontrar ouvintes do Segurança Legal. No geral, Guilherme, o mercado é realmente bastante concorrido. O tipo de evento atrai empresas que fazem coisas parecidas. (03:45) Vinícius: Vi desde startups até empresas maiores. No geral, havia muita gente oferecendo dashboards, aplicações e ferramentas para acompanhar segurança, compliance com LGPD, proteção de dados e temas correlatos. (04:14) Vinícius: Dizer que todo mundo estava fazendo isso é exagero, mas quase todo mundo estava usando IA como palavra-chave. No geral, achei o evento bem interessante. Pretendo ir novamente no ano que vem. Guilherme: Eu também achei interessante e pretendo ir de novo. (04:38) Guilherme: Recebi uma mensagem do nosso amigo e evangelizador do Segurança Legal, Diego, dizendo que neste ano não pôde ir. Foi uma pena, porque não conseguimos nos encontrar com ele. Lá, falei sobre o papel do encarregado nos incidentes de segurança da informação, tema sobre o qual já comentamos aqui no podcast. (05:00) Guilherme: Foi interessante receber feedbacks de pessoas dizendo que não estavam fazendo aquilo que eu comentei que deveria ser feito. Para nós, isso parece básico, mas ainda há uma série de barreiras. Uma delas é dar condições reais para o encarregado trabalhar. Não basta nomeá-lo; é preciso dar estrutura para que ele desenvolva o seu trabalho. (05:32) Guilherme: Eu também gostei do evento, então voltaremos. Essa é uma piada interna aqui do Rio Grande do Sul. Vinícius: Mais especificamente de Porto Alegre. Guilherme: Isso, mais de Porto Alegre, ali do tempo da TVCOM. (05:55) Guilherme: Nós também recebemos uma mensagem do nosso querido ouvinte Ricardo Berlim. Ele nos perguntou sobre ECA Digital. Esse é um tema que está chamando muita atenção no debate, sobretudo na segurança da informação e nas conexões com vigilância. (06:27) Guilherme: E eu acho que, muitas vezes, pelas razões erradas. Tem muita coisa que não é discussão séria. Embora eu tenha dito tudo isso para dizer que não iríamos falar sobre o tema agora, já estamos falando dele. Vinícius: Na semana que vem, vamos gravar sobre isso com um convidado. (06:50) Guilherme: Vamos voltar ao tema do ECA Digital na próxima semana, ou no meio da próxima semana. Eu prefiro falar em “polêmica do ECA Digital” do que em “Lei Felca”, como alguns têm chamado. Os nossos ouvintes provavelmente já ouviram falar bastante sobre isso. (07:18) Guilherme: Se você acompanha o cenário internacional da guerra entre Estados Unidos e Irã, deve ter percebido como a IA entrou nesse jogo e virou notícia dentro dessa história. Conta para nós um pouco mais sobre isso. Vinícius: Eu acompanhei isso mais de perto. (07:43) Vinícius: Já havíamos comentado sobre a Anthropic ter se negado a aceitar certos termos de uso da IA pelo Departamento de Defesa norte-americano, ou, se quiser, pelo departamento de guerra norte-americano. Isso já tinha dado pano para manga. (08:07) Vinícius: O Departamento de Defesa chutou o balde com a Anthropic. Primeiro, isso foi anunciado nas redes sociais, e depois ficou claro que a Anthropic está envolvida em vários projetos com o governo norte-americano. Ela foi uma das primeiras a entregar modelos customizados para ajudar o governo. (08:40) Vinícius: Não é que eles não quisessem cooperar. O que aconteceu é que houve dois itens que a Anthropic não aceitou. Um deles foi o uso da IA para vigilância em massa doméstica, ou seja, de cidadãos norte-americanos. (09:12) Vinícius: Isso lembra bastante a questão do Snowden, em 2013. Na época, Obama veio a público dizer que todos podiam ficar tranquilos porque eles não estavam monitorando cidadãos norte-americanos. Isso foi um pronunciamento voltado para dentro de casa, não para fora. (09:51) Guilherme: Só um minutinho, Vinícius. Foi o episódio 28. Praticamente 400 episódios atrás. O episódio é “Prism, privacidade e segurança”, e eu vou deixar no show notes. (10:18) Guilherme: Depois do episódio 28, falamos no episódio 30, “Snowden 6: Brasil vigiado”. Vinícius: Acho que é exatamente isso que eu estava comentando. E o que aconteceu foi que eles não aceitaram o uso para vigilância doméstica nem para armas completamente autônomas. (10:48) Vinícius: Isso não quer dizer que a IA da Anthropic já não estivesse sendo utilizada para determinar alvos, identificar alvos e definir estratégias. O próprio Dario Amodei fala disso em uma declaração no site da Anthropic. Esses dois pontos é que teriam ficado de fora. (11:23) Vinícius: Essa teria sido a razão de a Anthropic ter sido descartada pelo Departamento de Defesa. Só que, ao mesmo tempo, no dia seguinte, a OpenAI fechou contrato com o Departamento de Defesa. Seria, em tese, o mesmo contrato que a Anthropic teria recusado. (12:01) Vinícius: Segundo disseram, seria nos mesmos termos que a Anthropic havia proposto. Isso é bastante estranho. Se uma empresa é descartada por não aceitar certos termos, e outra entra dizendo que aceitou os mesmos termos, algo não fecha. (12:27) Vinícius: Isso causou uma impressão pública muito ruim sobre a OpenAI. A partir daí, começou uma enxurrada de usuários saindo do ChatGPT e procurando o Claude, da Anthropic, meio que em apoio à empresa. Também existe uma ação judicial movida pela Anthropic contra o Pentágono. (13:04) Vinícius: A Anthropic iniciou essa ação judicial porque teria sido listada como risco de supply chain. E o mais interessante é que funcionários da OpenAI e do Google estariam apoiando esse movimento da Anthropic contra o Pentágono. (13:33) Vinícius: Agora precisamos esperar um pouco para ver o que vai acontecer e se algo mais concreto aparece no futuro. Surgiu também a notícia de que um dos líderes de segurança em IA da Anthropic saiu da empresa para escrever poesia. (14:09) Vinícius: Ele disse que queria dar um tempo. Segundo ele, o mundo está em perigo e as empresas estão abrindo mão de guardrails de segurança para ter lucro e outras vantagens. Mas ele não apresentou nada de concreto. (14:37) Vinícius: Eu acho que seria mais interessante se ele tivesse trazido algum documento ou alguma evidência objetiva, algo semelhante ao que ocorreu com o Snowden. Por enquanto, o que temos é uma preocupação genérica. (15:13) Vinícius: Ele apenas afirmou que a IA está nos tornando menos humanos, que o mundo está em perigo e que resolveu sair para escrever poesia. Algumas pessoas me enviaram isso como sinal de que algo grave estaria acontecendo na Anthropic. Pode até haver alguma coisa, mas ainda sem elementos concretos. (15:52) Vinícius: De todo modo, eu acho que a IA, de modo geral, é um problema que precisamos discutir seriamente. Os impactos podem ser bastante ruins para a sociedade se isso não for bem conduzido. (16:23) Guilherme: Neste fim de semana, eu estava lendo sobre os 80 anos do ENIAC. Vinícius: Eu sempre conheci como “Eniac”. Guilherme: Pois é, mas o ponto é que ele era um computador digital de propósito geral, usado para cálculos de balística. (16:48) Guilherme: Isso me chamou a atenção porque dá para fazer uma ligação entre esse caso da Anthropic e o uso de qualquer tecnologia. Quando você pega a história da criptografia, por exemplo, vê que ela também está ligada à proteção de segredos militares, entre gregos, romanos e outros povos. (17:24) Guilherme: Temos também a história do Turing e de como várias tecnologias estiveram diretamente conectadas com cenários de guerra. A IA talvez siga um caminho um pouco diferente, porque não nasceu em um cenário militar, mas foi rapidamente adotada nesse contexto. (18:00) Guilherme: E ela foi rapidamente adotada em todos os outros contextos também. Talvez tenha sido a tecnologia que criamos e que mais rapidamente foi absorvida no plano comercial e pessoal. Basta comparar o tempo de popularização da internet com o tempo de popularização da IA. (18:31) Guilherme: É inegável que vários setores, inclusive o militar, vão querer usar essa tecnologia. E isso traz também as dificuldades de regular esse uso. Além disso, é importante observar com quem essas empresas estão envolvidas e no que elas estão envolvidas. (19:06) Vinícius: A própria internet surgiu do Departamento de Defesa dos Estados Unidos. Guilherme: Exato. Houve empresas importantes no desenvolvimento das primeiras redes, mas depois o TCP/IP e a internet propriamente dita surgem a partir de projeto do Departamento de Defesa. (19:27) Guilherme: Infelizmente, esse parece ser um caminho recorrente. As guerras acabam impulsionando uma série de tecnologias que depois voltam para uso civil. (19:53) Guilherme: E o contrário também acontece. Tecnologias pensadas para uso civil podem se mostrar extremamente úteis no cenário militar. (20:16) Vinícius: Um exemplo são os drones de baixo custo. Antes da guerra da Ucrânia, quando se falava em drone militar, a imagem comum era a de grandes aeronaves controladas remotamente, como os modelos norte-americanos armados com mísseis. (20:51) Vinícius: Com a guerra da Ucrânia, vimos o uso de drones civis carregando explosivos para atingir tanques. Isso mudou bastante a percepção sobre o tema. (21:26) Vinícius: Agora também vemos o uso de drones iranianos de baixo custo pela Rússia. São equipamentos simples, com motor a combustão e carga explosiva, programados para seguir uma rota. Se houver um obstáculo no caminho, eles simplesmente colidem. (21:54) Vinícius: Isso mostra como soluções relativamente baratas podem ganhar importância estratégica. Um drone desses pode custar algo como 30 ou 35 mil dólares, o que é muito pouco comparado a um míssil de mais de 1 milhão de dólares. (22:24) Vinícius: Eu também vi um drone muito veloz, anunciado inicialmente para filmar carros de Fórmula 1, que agora aparece como solução para interceptar outros drones. Em vez de gastar um míssil de 1 milhão de dólares, usa-se um drone que custa algumas centenas de dólares. (23:00) Vinícius: Tudo isso acaba produzindo mudanças. Vai baixar o preço dos drones, vai aumentar a oferta de drones com IA e, no fim, muita coisa desenvolvida para a guerra volta para o uso civil. É interessante em alguns aspectos, mas não deixa de ser guerra. (23:34) Guilherme: Eu fui pesquisar também sobre Santos Dumont. Li que um dos fatores associados ao seu suicídio teria sido o uso dos aviões na Revolução de 1932, embora não dê para saber isso exatamente. De todo modo, vamos mudar de pauta. (24:09) Guilherme: Tivemos uma nova resolução sobre o uso de IA no âmbito do CFM. A Resolução CFM 2.454/2026 foi publicada no fim de fevereiro e seria o primeiro marco regulatório, na área médica, para estabelecer algum tipo de controle sobre o uso de inteligência artificial. (24:47) Guilherme: Ela traz direitos e deveres dos médicos, trata dos riscos e segue uma linha semelhante à de classificar a IA com base em níveis de risco: baixo, médio, alto e inaceitável. No Anexo 2, eu notei alguns problemas nas definições, embora não tenha conseguido verificar isso com mais profundidade. (25:12) Guilherme: Também não consegui localizar, numa leitura mais rápida, o que seria exatamente o risco inaceitável. A resolução cria obrigações de auditoria e transparência para instituições de saúde. E destaca que a ferramenta deve ser usada como apoio, enquanto a decisão e a responsabilidade permanecem com o médico. (25:40) Guilherme: Outro ponto importante é que o paciente tem o direito de ser informado, de forma clara e acessível, quando modelos, sistemas e aplicações forem utilizados. E o médico deve respeitar a autonomia do paciente, inclusive quanto à recusa informada ao uso da IA. (26:01) Guilherme: Isso é importante em vários flancos. No âmbito da segurança da informação, o artigo 17 estabelece que os sistemas utilizados devem ter medidas adequadas e compatíveis com o estado da arte para evitar acesso não autorizado, perda, vazamento e destruição. Estamos falando de dados pessoais sensíveis, ligados à saúde. (26:35) Guilherme: Outro dia eu te mandei exemplos de pads abertos na internet com informações sensíveis, aparentemente de serviço de emergência hospitalar. Então, realmente precisamos avançar nessa área. E, quando falamos em serviços médicos, também lembramos de equipamentos antigos e de redes mal protegidas. (27:07) Guilherme: Tudo isso abre espaço para um novo nível de responsabilidade, de controles e de riscos de vazamento. Sem contar que essas grandes empresas já estão oferecendo soluções de IA voltadas à área da saúde. Isso pode ser perigoso, considerando o atual estágio das alucinações e das possibilidades de tomada de decisão automatizada. (27:39) Guilherme: Quando pensamos em profissões como medicina, direito, arquitetura e outras, propor substituições desse tipo é algo preocupante. Se eu fosse médico, ficaria bastante atento a esse movimento. (28:18) Vinícius: Eu só faria uma ressalva sobre a questão da alucinação. Os modelos parecem alucinar cada vez menos, não mais. E também importa muito quais modelos estão sendo usados. (28:37) Vinícius: Quando falamos de OpenAI e Microsoft se movimentando para acessar dados de saúde, precisamos entender com cuidado o objetivo disso. Se não for para conversar com o usuário sobre saúde, fica a pergunta sobre para que exatamente esses dados estão sendo usados. (29:12) Vinícius: Em alguma medida, as pessoas já faziam isso antes no Google, quando pesquisavam exames e sintomas antes de ir ao médico. Agora, isso migrou para a IA. (29:35) Vinícius: Já ouvi relatos de pessoas que desconfiaram do atendimento que estavam recebendo, usaram IA para se aprofundar um pouco mais e sentiram que foram ajudadas. Mas também há casos em que a ferramenta erra completamente. (30:05) Guilherme: E aí entra a questão da responsabilidade sobre a orientação dada. Vinícius: Sem dúvida. Mas há um certo consenso em muitos debates sobre IA de que ela pode ampliar o acesso a atendimentos que hoje não existem por causa de custo, tempo e escala. (30:43) Vinícius: Eu acho que existe, sim, potencial para ajudar bastante as questões de saúde. Só não acho que as pessoas devam passar a consultar o ChatGPT em vez de um médico. (31:16) Vinícius: Mas esse potencial de tornar o atendimento mais acessível é bastante relevante. Hoje, ser atendido por um médico já é caro e difícil, mesmo com SUS e outras estruturas existentes. (31:46) Vinícius: Então, esse é um tipo de aplicação que eu quero ver acontecer. Só não sei se quero que a iniciativa fique nas mãos de empresas como OpenAI e Anthropic, substituindo a relação com o médico. (32:11) Guilherme: Eu acho que existe um aspecto ético muito forte aí. Isso já vem acontecendo em outras profissões, e eu vejo algo parecido no direito, com juízes usando IA de maneira intensa. Mas, no direito, há valores morais, aspectos éticos e uma busca pelo justo que não podem ser ignorados. (32:36) Guilherme: E há algo que a IA ainda não faz, pelo menos por enquanto: o exame clínico, a anamnese presencial, a conversa detalhada e o contato físico com o paciente. Eu também não gosto do argumento de que, como existem médicos ruins, então deveríamos simplesmente substituir por IA. (33:02) Guilherme: Sim, há médicos ruins, que atendem em dois minutos. Mas isso é outro problema. Não acho que isso justifique uma adoção tão apressada da IA. (33:46) Vinícius: Eu até ajudei uma professora a criar um simulador de anamnese para treinamento de alunos. Então, não sei se até isso, no futuro, não será apenas uma questão de interface. E não sei se, em certos casos, a ferramenta não poderá fazer melhor do que alguns profissionais. (34:13) Vinícius: Médicos erram, juízes erram e vários profissionais erram. Há coisas que talvez consigamos fazer melhor com tecnologia, e o diagnóstico pode ser uma delas. Pode chegar o momento em que a gente não vai querer ser atendido por um médico que não use algum recurso de IA para ajudar a analisar o caso. (34:35) Guilherme: O problema é desconsiderar que a falta de contato físico talvez seja algo fundamental para a medicina. Esse me parece um ponto relevante. (35:00) Guilherme: Bom, tivemos várias interrupções hoje. Vinícius: É, o mau tempo está pegando o estado todo. Está chovendo muito por aí também? Guilherme: Aqui também está. (35:18) Vinícius: Estou vendo no Ventusky o estado do Rio Grande do Sul inteiro embaixo d’água. Parece até de propósito. Se você olha o mapa, a parte do Brasil que avança para o Uruguai está com chuva, e o Uruguai não. (35:52) Guilherme: E isso se conecta com segurança da informação, especialmente com resiliência. Não basta pensar em disponibilidade; os sistemas também precisam continuar funcionando sob situações extremas. E nós, aqui no Rio Grande do Sul, ainda não resolvemos isso direito, sobretudo no sistema de comunicação. (36:22) Guilherme: Não recebi nenhum alerta no celular, por exemplo. Na Europa, eles costumam ser muito mais cuidadosos com isso. Em Portugal e na Espanha, recentemente, houve grandes eventos climáticos, e o aviso à população foi feito com muito mais precisão. (36:51) Guilherme: Aqui, as coisas ainda parecem insuficientes nesse ponto. Bom, seguindo, tivemos um incidente com o BTG. (37:15) Guilherme: No domingo, dia 22, o BTG foi alvo de um ataque hacker. As informações que temos vieram da imprensa e, ao que tudo indica, também foram fornecidas pela própria instituição. O ataque teria forçado a suspensão preventiva das operações via Pix. (37:46) Guilherme: Segundo o Estadão, o ataque teria desviado cerca de 100 milhões, dos quais a maior parte teria sido recuperada. Entre 20 e 40 milhões ainda não teriam sido localizados até aquele momento. Na manhã do dia 23, o Pix foi restabelecido, e foi informado que não houve acesso às contas de clientes nem exposição de dados de correntistas. (38:07) Guilherme: Aqui eu faço apenas uma hipótese, sem afirmar que foi isso que aconteceu. A situação me pareceu, em alguns aspectos, parecida com o caso da C&M: há dinheiro desviado, não há relato de acesso a dados de correntistas e há interrupção do Pix. (38:30) Guilherme: Essas condições são parecidas com o caso anterior, mas ainda precisamos acompanhar. O Banco Central ainda não havia se manifestado. (38:53) Guilherme: Ao que tudo indica, o BTG não usa PSTI, embora eu não tenha encontrado essa informação com segurança. Então pode ser que tenha infraestrutura própria para se conectar à rede do Sistema Financeiro Nacional. De todo modo, isso serve de alerta para as instituições financeiras. (39:26) Guilherme: Com as regulações recentes, especialmente após o incidente da C&M, tudo indica que 2026 será um ano de atuação mais forte do Banco Central na avaliação desses incidentes e na verificação das condições de segurança das instituições. (39:52) Guilherme: Notinha do editor: enquanto estávamos editando, saiu uma atualização no Convergência Digital confirmando aquilo que comentamos. Não houve invasão a PSTI, e sim à infraestrutura da própria organização. (40:14) Guilherme: A Polícia Federal e o MP de São Paulo, por meio do CyberGaeco, investigam o caso. Eles levantam a hipótese de uso de uma credencial antiga, ligada a uma empresa de tecnologia bancária que já prestou serviços ao BTG, e não descartam a participação de funcionários com acesso às credenciais. (40:33) Guilherme: Desde 2025, já teriam sido registrados ao menos três ataques desse tipo. Há também a suspeita de que o grupo responsável seja próximo ao que invadiu a C&M Software e desviou 813 milhões no ano passado. Vinícius: Perfeito. (41:00) Vinícius: A minha última pauta envolve IA, mas sob o ponto de vista de desenvolvimento e integrações. Separei três notícias sobre servidores MCP expostos. (41:31) Vinícius: Quando usamos um chat de IA, estamos interagindo com o conhecimento que o modelo tem e com integrações que já vêm por padrão, como pesquisa na internet. Hoje, praticamente todas as ferramentas já oferecem isso. (42:04) Vinícius: Além disso, elas começaram a disponibilizar integrações com outros serviços via MCP, o Model Context Protocol, criado pela Anthropic. Isso serve para expor ferramentas que fazem várias coisas, como buscar e-mails, enviar mensagens, criar rascunhos, apagar conteúdo e assim por diante. (42:30) Vinícius: Você expõe essas ferramentas para a IA por meio de um servidor MCP. A IA se conecta, pergunta que ferramentas estão disponíveis, entende o que cada uma faz e decide se deve ou não usá-las conforme o pedido do usuário. (42:58) Guilherme: E qual é a diferença entre MCP e API? Vinícius: O MCP é um protocolo pensado para facilitar esse diálogo com a IA. Já a API tradicional normalmente exige integração programática entre dois sistemas, com documentação mais técnica. (43:32) Vinícius: Numa API comum, você entrega a documentação e a outra ponta desenvolve a integração. Se você der essa documentação para uma IA capaz de programar, ela conseguirá criar um script e chamar aquela API. (43:58) Vinícius: O MCP funciona como uma espécie de API autodocumentada, voltada para consumo por IA e LLM. A IA se conecta ao servidor MCP e pergunta, em linguagem natural, o que ele faz, que ferramentas tem e para que servem. (44:20) Vinícius: A partir disso, conforme a conversa avança, a IA decide usar ou não as ferramentas disponíveis. Desde que o MCP surgiu, ele acabou sendo adotado como padrão por várias ferramentas. (44:48) Vinícius: É muito interessante poder integrar a IA com sistemas e fontes de informação que você já possui. A IA consegue compreender aquilo, explicar e até agir, se você permitir. É possível ligar um MCP desde um roteador por SSH até um ERP. (45:13) Vinícius: Só que começaram a aparecer vários problemas. Há muitos MCPs sem autenticação alguma. Em outros casos, a autenticação existe, mas algumas chamadas escapam dela. (45:42) Vinícius: Ou seja, estamos repetindo erros que já víamos em APIs há dez anos. Agora esses erros estão aparecendo nos MCPs. (46:13) Vinícius: Alguns MCPs colocam os próprios sistemas em risco. Imagine, por exemplo, uma IA na sua empresa usando um MCP que consome dados da internet. (46:40) Vinícius: O atacante pode inserir um README malicioso em um repositório que será lido pela IA como se fosse instrução. A partir daí, ela pode criar projeto, gerar script em Python e executar ações dentro do ambiente sem que você perceba. (47:17) Vinícius: Quando você vê, a IA está executando comandos definidos por alguém de fora, que simplesmente colocou esse conteúdo em um site ou repositório acessado pelo sistema. Isso é extremamente delicado. (47:53) Vinícius: Quis chamar atenção para essas notícias porque já estamos acostumados a testar front-end, back-end e APIs REST. Agora, o MCP caiu no gosto do mercado para integrar sistemas com IA, mas vários erros de segurança estão sendo cometidos. (48:25) Vinícius: Isso pode acabar permitindo execução remota de comandos e outras falhas graves, dependendo do ambiente. Há também o problema da injeção de prompts. (48:56) Vinícius: Quando você usa um ChatGPT ou um Claude prontos, os desenvolvedores dessas ferramentas já tentam mitigar prompt injection. Mas, quando você usa a API diretamente, a responsabilidade passa a ser sua. (49:36) Vinícius: E parece que muita gente ainda não percebeu isso. Há quem ache que o modelo vai se defender sozinho contra injeção de prompt. Não é assim. (50:05) Vinícius: Essas notícias dão insights interessantes sobre o uso de integrações entre IA e sistemas. E já temos referências como o novo Top 10 da OWASP para aplicações com LLMs. (50:33) Guilherme: Hoje mesmo eu estava conversando com um cliente sobre aquela cadeia de adequação que costuma acontecer com LGPD e outras normas. Uma empresa se adequa e passa a exigir a adequação dos seus prestadores, que passam a exigir a dos seus próprios prestadores, e assim por diante. (50:56) Guilherme: E um cliente do nosso cliente enviou um questionário de segurança já pedindo informações sobre uso de IA no ambiente. Ou seja, a empresa contratante está preocupada em saber como seus prestadores usam IA no tratamento de dados. (51:22) Guilherme: E isso se conecta diretamente com proteção de dados pessoais. Apagou a luz aqui, Vinícius, mas eu já volto. Hoje, além do Código Civil e do Código de Defesa do Consumidor, a LGPD é talvez o instrumento mais próximo para nos ajudar a lidar com essas questões de IA. (51:58) Guilherme: No fim das contas, você pode estar tratando dados dos seus clientes e dados pessoais. Se houver incidente de segurança, isso atrai toda a disciplina da LGPD, inclusive quanto à necessidade de comunicação. (52:25) Guilherme: E, se for descoberto que o MCP estava aberto na internet, isso é uma falha grave e evitável. A Brown Pipe já inclui há algum tempo, em seus pentests, verificações sobre uso de IA. (53:00) Vinícius: Exato. Já estamos avaliando sistemas que usam IA, incluindo injeção de prompts e outros problemas correlatos. Isso já faz parte do nosso rol de testes. (53:35) Guilherme: Eu tinha dito que aquela era a minha última pauta, mas quero deixar uma nota rápida para os educadores de plantão. O Ministério da Educação lançou um documento de 241 páginas chamado “Referencial para desenvolvimento e uso responsáveis de inteligência artificial na educação”. O link está no show notes. (54:12) Guilherme: E, para terminar, eu queria falar rapidamente sobre criatividade e uso de IA. Já comentamos aqui sobre estudos relacionados à educação e ao impacto da IA sobre o espírito crítico. (54:34) Guilherme: Agora temos um novo artigo que sugere que, apesar da rapidez para realizar certas tarefas, o aumento de criatividade durante o uso da ferramenta desaparece quando ela é retirada. E haveria uma persistência de homogeneidade nas ideias depois do uso. (55:14) Guilherme: Em outras palavras, as pessoas tenderiam a produzir ideias cada vez mais parecidas entre si. Isso acaba corroborando o que aquele outro trabalho, “Your Brain on ChatGPT”, vinha apontando. Inclusive, esse estudo foi atualizado. (55:37) Guilherme: Esse tipo de pesquisa mexe com algo que tenho estudado mais recentemente, no plano do simbólico. A linguagem é importante para a definição do nosso mundo. Wittgenstein falava justamente sobre isso. (56:14) Guilherme: Eu estava lendo sobre isso ontem. A ideia é que o teu mundo é, em certa medida, baseado na tua linguagem. Lévi-Strauss também dizia que as categorias simbólicas, inclusive a linguagem, organizam o mundo. (56:41) Guilherme: E Wittgenstein afirmava que os limites da minha linguagem são os limites do meu mundo. Então talvez um efeito da IA, ainda a ser melhor investigado, seja esse: qual é o papel do simbólico e da linguagem na construção do mundo, quando passamos a depender tanto de uma máquina de linguagem. (57:20) Guilherme: Isso é preocupante porque essas construções linguísticas também modelam a realidade. Se todo mundo começa a pensar igual, como às vezes acontece na internet quando se entra em bolhas, talvez algo semelhante esteja acontecendo com a IA. (57:42) Guilherme: E isso é um problema para a criatividade. No fim das contas, as pessoas podem ficar menos criativas, e isso é ruim. (58:14) Vinícius: Eu te passei o link do projeto do MIT, “Your Brain on ChatGPT”, que reúne o artigo e a versão mais recente da publicação. Ele trata justamente desses efeitos de começar uma atividade com IA e depois sem IA, ou o contrário. (58:41) Vinícius: Os resultados são bem diferentes e vale a pena olhar esse material. Guilherme: Eu sempre ficava mais no artigo; não conhecia o site. Vinícius: Eles ainda vão ter que generalizar isso para além do ChatGPT, porque o problema não é só ele. (59:19) Vinícius: Mas, como a pesquisa deles foi feita com o ChatGPT, o nome ficou assim. Há também leituras adicionais sobre homogeneização da linguagem. Recomendo a leitura do artigo ou até jogar o texto no NotebookLM e conversar com ele. (59:37) Guilherme: Hoje foi meio tumultuado, mas conseguimos chegar ao fim do episódio. Na semana que vem, não se esqueçam, teremos um episódio sobre o ECA Digital. Agradecemos a todos e todas que nos acompanharam até aqui. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Vinícius: Até a próxima.  

Neste episódio, Guilherme Goulart e Vinícius Serafim debatem a “Constituição do Claude”, o documento de diretrizes publicado pela Anthropic para orientar o comportamento do modelo de linguagem Claude, abordando temas centrais como antropomorfização da IA, regulação tecnológica, responsabilidade das empresas e a questão filosófica sobre agência versus inteligência artificial. O episódio toca em termos estratégicos como inteligência artificial, segurança da informação, privacidade, ética em IA, responsabilidade corporativa, modelos de linguagem, guardrails, jailbreak, Constitutional AI, agente moral, agência artificial, “papagaio estocástico” e governança digital. Você vai descobrir por que a escolha da palavra “constituição” por uma empresa privada levanta alertas sobre legitimidade democrática, entender a diferença entre dar instruções em linguagem natural a um sistema computacional e genuinamente acreditar que ele possui consciência, e refletir sobre os riscos reais de se pavimentar, ideologicamente, um caminho que transforma a IA em “agente moral” para potencialmente reduzir a responsabilidade das grandes empresas de tecnologia. O debate também traz referências à obra de Luciano Floridi, ao conceito de papagaio estocástico, às Três Leis da Robótica de Asimov e ao clássico HAL 9000, conectando ficção científica, filosofia e direito num instigante. Assine o Segurança Legal na sua plataforma favorita, deixe sua avaliação e compartilhe com quem se interessa por direito da tecnologia e inteligência artificial. Siga o podcast no YouTube, Mastodon, Bluesky, Instagram e TikTok. Esta descrição foi realizada a partir do áudio do podcast com o uso de IA, com revisão humana.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing Acesse WhisperSafe – Transcreva áudio e grave reuniões direto no seu computador, mesmo offline. Rápido, leve e pronto para usar com qualquer IA. Use o cupom SEGLEG50 para 50% de desconto na sua assinatura. ShowNotes Paper fundacional sobre a questão de uma Constituição para a IA – Constitutional AI: Harmlessness from AI Feedback Claude’s constitution Claude’s Strange Constitution por Luiza Jarovsky Statement from Dario Amodei on our discussions with the Department of War 📝 Transcrição do Episódio (00:07) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação e direito da tecnologia, tecnologia e sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? >> Tudo bem, Guilherme. Olá os nossos ouvintes.(00:24) >> Sempre lembrando que para nós é fundamental a participação de todos pro meio de perguntas, críticas e sugestões de tema. Vocês já sabem, estamos lá no podcast @segurançelegal.com, YouTube, Maston, BlueSky, Instagram e TikTok. Também temos o blog da Brown Pipe, inclusive renovado, site da Brownpe. Foi renovado.(00:44) Então, visite também o site da brownpipe.com.br para além de ver o, o novo site do de um dos mantenedores aqui desse podcast, você também consegue ver lá as notícias do blog. Tem também, se quiser se inscrever no mailing semanal, tem também a campanha de financiamento coletivo,? Cada vez é mais importante.(01:03) A gente pede, que você considere apoiá-la no apoia.se/segurançalegal, SE/segurançaal, apoiando um projeto de conhecimento, de produção de conhecimento independente. E também temos o novo patrocinador, Vinícius, é a Whisper Safe. Você sabe, quantas >> quantas vezes você já se pegou tentando lembrar o que foi dito numa reunião, se virando ali para anotar enquanto participa da reunião, digitando, enfim, quando você poderia ter simplesmente usado aquilo que foi falado na reunião? E aí o Sperfe isso para você.(01:36) Ele transcreve áudio e grava reuniões direto do seu computador. Ele é rápido, preciso e 100% offline. E o mais importante, nenhum dado sai ou nenhum dado de áudio e nenhum dado nenhum sai da sua máquina. Funciona com Zoom, Meet, Teams ou qualquer arquivo de áudio que você já tenha.(01:56) O resultado fica pronto em segundos. E aí sim você pode usar como quiser, transformar em ata, anotação, roteiro, jogar numa IA para você fazer a sumarização. Ele é feito com o modelo Whsper da Open Ei e tem suporte a português e dezenas de outros idiomas. Tem 15 dias grátis de teste e 50% de desconto lifetime, ou seja, pro resto da vida.(02:22) Se você usar o cupom segue leg 50, segue leg 50, enquanto você tiver assinatura e enquanto o software estiver funcionando, você terá o desconto de 50%. Acesse whispersaf.aiaiaii. Alguma observação até agora, Vinícius? >> Não. Perfeito. Só da gente pegando o ritmo do ano, cara? >> É o segundo do ano,? >> Segundo do ano. Segundo 202. >> Terceiro. Terceiro. Terceiro.(02:45) >> Terceiro. >> Terceiro. >> Terceiro do ano. >> É. E também é que é tanta coisa acontecendo, cara, ao mesmo tempo. E a o a rapidez desses assuntos, desses temas e desses problemas, às vezes é tão grande que um, dois dias a notícia, o tema já fica velho e já é, ultrapassado por um outro tema.(03:05) Então, é realmente um tema, uma área, a área da IAI e da segurança. >> Eu tenho pena do pessoal de política internacional, tá ligado? Do pessoal do Pet Jornal, >> o Xadrez Verbal. Xadrez Verbal é mais ou menos que eles >> e é assim, a cobertura deles é tão ampla,? E a coisa é mais é mais vamos di assim, é muito extensa.(03:29) O que eu gosto, adoro acompanhar o chadê verbal. Então eles acabam tendo espaço para encaixar as coisas sem serem atropelados assim. Acho que eles têm um buffer bem razoável para segurar as coisas ali. Agora o pessoal do Peti Jornal, cara, tem que sair gravando enlouquecido cada vez que sai. >> Segunda vez que eu acompanho eles agora saiu, teve a guerra da Ucrânia, quando começou um tempão atrás.(03:52) >> E aí foi um atropelo. >> >> E agora de novo tão na correria. Agora já tá >> agora já tá ficando mais como que tá virando já a notícia do dia a dia. >> >> Mais uma guerra. Mas enfim,? >> Ou eu lembro também,? O próprio xadrez verbal, cara? Como tu disse assim, eles também precisam se virar, para dar conta de tudo isso.(04:16) Agora, o os repórteres de política no Brasil também,? Você pega aí os alguns podcasts que saem na sexta-feira, é impressionante porque os caras nunca conseguem falar na sexta-feira sobre que eles se propunha, porque da gravação de quinta para sexta >> acontece uma coisa bombástica ou,? E aí os caras têm que colocar umas notinhas lá,? Mas enfim, >> é, >> a gente vai dar um passo atrás até aqui para,? E também tem uma outra coisa nessa mesma linha, eu acho que tem a ver com isso também, porque tem a ver com o(04:45) tempo das coisas,? Hoje a gente vai falar sobre a constituição do Cloud. E quando a gente fala em constituição, logo vem à mente a ideia de leis feitas pelo Estado,? E um dos grandes, uma das grandes desafios,? Um dos grandes desafios, não só da IA, mas também na regulação da TI, de uma maneira geral, é que o tempo dessas tecnologias ele é muito mais rápido do que o tempo do direito,? Sim.(05:08) >> E a IA, não sei se tu concorda comigo, mas acho que o tempo da IA ele é mais rápido ainda do que o tempo da internet, de aplicações, ou seja, de uma semana para outra, quando a gente vê as últimas semanas aí a gente teve modelos sendo lançados, o modelo da Openi também com algumas features aí bem parecidas com a Dantropica, com o Cloud e tal, >> é, tentando ganhar terreno perdido, porque a OpenI teve uma redução substancial no >> de share no mercado, de participação no mercado porque perdeu muito assim, o negócio foi,(05:40) >> é >> tanto que o S Altman anunciou que eles iriam pro último recurso que ele mesmo falou que seria o último recurso da Openi, que seria a propaganda,? Sim. >> Esses dias eles, isso ele falou no evento, que seria o último recurso, assim, se nada desse certo, eles iriam participar, partir pra propaganda,? Pro pros ads no na plataforma.(06:03) E não deu outra, cara? >> E vieram colocar,? Eu acho que não tem como não colocar. >> É, eu não sei, cara. Eu não sei. Mas daí o fato é que inclusive no Super Ball, não sei se tu acompanhou isso, a Antropic desceu começou, sabe aquelas propagandas que nos Estados Unidos o pessoal faz? Aqui não, >> aqui não.(06:23) Pessoal cita o outro e o concorrente, vai uma coisa mais >> ferrenha assim. >> Eles estavam tirando onda justamente com esse negócio do Chat GPT ter ads, >> ter propaganda agora. E eles colocando os dois produtos e colocando a coisa como, ó, eles têm ads, a gente tu >> sabe que pode >> que se paga bem para não ters, sabe? >> Cara, eu ia dar um exemplo dos streamings,? Sobre ads e tal e poxa, todo mundo aqui que nos segue provavelmente aí tem os seus streamings.(06:56) E eu tenho o streaming da o da Amazon, como é que é? O prime vídeo. É, se quiser, quiser sem propaganda, tu paga. >> Pois é. Não, eu quando eu assinei não tinha propaganda, quando eu assinei era o tema, era o mais top,? Hoje quando você pausa lá e o Netflix também tá assim, você pausa o vídeo e já aparece uma propaganda na tela.(07:19) >> Que droga. Com um link para você comprar na Eva, >> não o é o que eu tive que eu tive que assinar, mas foi para assistir uma coisa muito específica no HBO Max que virou Max que virou não sei o que aquela bagunça toda. O eles, eu tentei assinar com propaganda para poder ver um, eu não tava assinando, eu queria ver uma série lá e tava lá, eu assinei.(07:41) >> E aí o quando eu me dei conta que as propagandas tavam entrando assim, eu tava assistindo um filme. >> Aham. >> Aí os boca aberta botavam no meio da do filme >> Aham. Uma propaganda falando sobre o filme dando spoiler >> ou sobre a série dando spoiler. Disse: “cara, aí assim vão se catar,?” Aí eu paguei a diferença para não ter as propagandas, conseguir assistir o que queria assistir e aí largar fora.(08:09) Mas enfim,? Mas é que vale lembrar antes que alguém, que achea que eu tô falando, esteja sendo impreciso, a Open tá fazendo a mesma coisa. Não é que ela vai meter a ED em todo mundo mesmo para quem tá pagando,? Nos planos normais ali, que é os 100 dos R$ 100 e pros outros planos não vai ter propaganda.(08:29) Agora, para quem tá no free e para quem tá naquela versão go, quea aquela versão de baixo custo, que é uns R$ 40 mais ou menos por mês, nessas duas é que vai ter propaganda, >> tá? Na normal de R$ 100, segundo eles anunciaram, não iria ter. >> Mas é que nem a o streaming,? É que nem o streaming. É, >> o streaming quando iniciou não tinha propaganda,? >> É.(08:52) Agora a o detalhe é o que eles vão usar para fazer essa propaganda. >> Sim. É a história de você colocar também o ultra, a publicidade comportamental ultra focalizada,? É, ali é um negócio violento, porque experimente você aí abrir um chat na ferramenta que for, Cloud, Gemini, chatt, o que quiser, e pede para falar, me fale sobre mim ou coisas parecidas,? Você vai ver o quanto lá já tem ali de informação.(09:19) >> É, o pessoal do Perplexo, eu acho que andou fazendo isso esses dias também, viu? Eu tô com dois planos aqui. Eu acho que ele me mostrou ali um pesquisas mais relevantes da semana, uma coisa talvez >> meio ensaiando propaganda. Vamos pra constituição do Clud. >> Bora, tá? >> Bora para essa. >> Na verdade esse vai ser o terceiro episódio desse mesmo tema que a gente grava, porque a gente gravou um episódio montando a pauta semana passada e não deu para gravar.(09:52) Hoje, de novo, gravamos outro episódio de manhã, conversando sobre a pauta. E eu acho que é um baita de um tema assim,? Porque, a, o que é a constituição do Cloud,? O, eles lançaram um documento recentemente, agora na mês passado, que eram não é algo novo, e é uma é a nova chamada nova constituição do Cloud.(10:17) E isso já existia,? A gente tem um paper lá de 2022, de 15 de dezembro de 2022, chama Constitutional AI, Harmlessness from AI feedback. Daí explica o processo técnico de você ter uma constituição. E o a proposta deles é a criação desse documento, que na prática é um conjunto de diretrizes autogeradas pela Antropic.(10:44) E é uma coisa engraçada isso. Isso vai passar por toda a nossa fala aqui, Vendícius. Eu vou ir falando e você vai me interrompendo, tá? Como >> OK. Assim que achar necessário, >> ainda mais nesse assunto. >> É porque é o seguinte, eles a gente notou ao longo de todo esse processo da Antropic criar uma constituição que um dos pontos mais marcantes deles é a antropomorfização da IA.(11:12) Ou seja, eles praticamente consideram o Clou como uma como um não como uma pessoa, mas como um ente com certos predicados, como um ente com consciência, com valores, com sentimentos,? E a primeira coisa é que esse documento criado por eles seria para guiar o comportamento do Cloude. >> Que seria usado principalmente nas suas fases de treinamento, ou seja, seria um documento escrito para o cloud, mas também usaria o Clode para criá-lo.(11:44) Então, nesse passo da do antropomorfismo, eles dizem que o Cloud é um dos autores também,? Chamam o Clou como autor. Então, ele construiu algo para ele mesmo e eles dizem, entre outras coisas, que o texto prioriza a precisão em detrimento da acessibilidade para leitores humanos. Isso aqui eu acho que é um primeiro ponto interessante e embora eu tenha muitas críticas sobre isso, me agrada a ideia de você ter uma IA que consiga receber inputs não legais, mas assim regras que possam ser carregadas nela ou diretrizes,?(12:22) >> Diretriz. >> Para que ela se comporte conforme aquelas regras. E >> uma coisa que eu já vinha pensando,? Isso já existe, já você já tem, o formas de comunicação entre e protocolos entre as para elas se comunicarem e conversarem,? >> Mas eu acho que a gente vai acabar caminhando também para formas de você talvez ter o texto legal e um extrato desse texto legal, talvez preparado para ser lido pela IA.(12:48) Você acha que isso pode acontecer em algum momento? Cara, é assim, assim, é muito delicado. Primeiro porque a gente tá necessariamente, quando a gente dá, fala desse tipo de instrução, a gente tá antropomorf antropomorfizando >> fizando o a tecnologia, porque a gente já faz isso meio que naturalmente ao interagir com ela, porque a gente não programa a IA, a gente dá uma série de instruções escritas e eu te dizia que já faz um tempo que eu já uso voz, tá? Eu dificilmente escrevo um prompt hoje em dia. Eu fico falando e descrevo e tudo(13:29) mais como se eu tivesse falando com um ser humano. >> E para isso você usa o Spersafe. >> E para isso eu uso o Spersafe. Mas assim, o lance é que nós e eu não sei se a forma de interagir com ela é que faz com que a gente esteja a tratando como ser humano ou o nosso comportamento diante dela. Te dou um exemplo, tá? Eu dou instruções por voz, como eu acabei de falar, eu quase não escrevo mais prompt,? Eu prefiro gravar e ficar falando, falando, falando, ser redundante, aquela história toda, o próprio o criador do Clou, agora esqueci sobre o(14:08) nome dele, é o Boris, o primeiro nome, ele fala que o falar é bom porque tu tá contando uma história e como história é linguagem e tem repetição e tem,? E aí a e a inteligência artificial é um software, é um sistema capaz, justamente ele é muito bom de interpretar isso. Então uma instrução mais detalhada é melhor do que uma instrução muito resumida, muito direta, sem uma história por trás, tá? >> Então quando tu fala, tu acaba podendo, eu não tô fazendo propaganda nenhuma, tá gente? Já tô falando da interação que(14:41) eu tenho com a EU >> em que eu fico falando bastante para ela, mas eu não espero dela, eu não a trato como um ente, entende? Como se fosse uma outra pessoa. Por outro lado, eu conheço pessoas que dizem que a Iá é amiga dela, entende? >> Aham. >> Ou dizem que a Iá expressa sentimentos ou coisa parecida para elas.(15:09) eu não eu não consigo interagir com desse jeito, entende? Eu não consigo interagir com desse jeito. Então, eu acho que tem a questão de como nós interagimos com ela e a e a questão de como é que nós ahã entendemos a IA, como é que a gente interpreta a IA. >> E eu acho que isso é fundamental pro futuro,? >> É.(15:35) É. E o que tem a ver isso com a constituição, de ou te dar essas o que eles chamaram de constituição ou de tu tá dar regras, da leis, as leis e tal para elas seguir, etc. Que eu que eu acho disso? Eu acho que isso não é necessariamente antrom antropomorfizarfizar, >> antropomorfizar, tá? >> (15:59) A Iá é simplesmente a maneira de interagir com ela. Ela entende e é isso que essa tecnologia faz,? Ela é capaz de compreender, entre aspas, tá? Compreender texto. Então, nada mais natural do que tu entregar uma série de diretrizes para ela, sejam essas diretrizes quais forem. Eu não tô julgando boas ou ruins,? >> Conteúdo,? Ou jogando conteúdo dela, mas é muito natural tu dar as diretrizes linguagem natural, que é o que a gente acaba fazendo no dia a dia, quando tá desenvolvendo, quando tá ajustando um documento, quando tá gerando alguma(16:30) coisa, tu dá essas diretrizes, não quero que tu use tal expressão, eu não quero que tu use, tu escreva dessa forma, eu não quero que tu use a linguagem tal, essa forma de escrever, eu quero que tu use essa outra forma de escrever. Então eu acho que o simples fato de interagir com ela dessa forma, entregando as coisas em linguagem natural, não quer dizer que nós estamos necessariamente achando que a Iá seja um ser ciente.(16:58) Muito menos >> é que não é só isso,? O a Clode. E essa é uma crítica colocada pela professora Luía Jaroves, que uma brasileira, mas que tem escrito nos últimos tempos aí em inglês, enfim, com atuando, num numa perspectiva mais internacional e ela vai ficar no show nototes também. Uma das críticas que ela faz, sobretudo é uma crítica que eu que eu que eu tenho me assim me alinhado com essa crítica, não somente dela, mas também da professora Josela Finoquiaro, também do Lutiano Floride e tal, que é que é uma(17:37) tendência assim, de você utilizar certos termos e certas analogias e certas metáforas, para tentar explicar e a e a própria ideia da inteligência artificial é uma metáfora, muito forte, talvez o nascimento dela e nem sempre foi colocado assim, mas assim a gente utiliza, é innegável, é uma é o nome da coisa toda é uma metáfora,? >> Ela é uma inteligência artificial.(18:04) isso da antropomorfização, você colocou ali o a própria entrópica que tá fazendo isso, lá pelas o documento tá bem grande também, vai ficar lá para vocês lerem, enfim. Mas assim, o documento lá pelas tantas diz que eles querem que o Cloue seja visto como um amigo brilhante. O Clou pode ser como um amigo brilhante com quem você pode falar francamente, que tem um cuidado genuíno e que trata os adultos como inteligentes,? Você disse: “tem pessoas que falam que entendem a Iá como uma amiga,?”? E o Claude tá(18:39) nos tá nessa direção. Claro, quando a gente fala em interações às vezes mais tóxicas de adolescentes que se suicidam ou fazem, que foram incentivados por IAS, aí me parece que é toda uma questão do safety ali da IAK que saiu completamente do controle, mas que às vezes induz as pessoas a se comportarem de uma forma e as pessoas acabam internalizando aquela relação, quase como uma relação de amizade, >> e nota que é diferente eu, o mantenedor do Maia dizer, trate isso como um amigo que você pode confiar ou(19:11) trate isso como um sistema computacional que sujeito a erros,? Do tipo eu sou teu amigo,? E eu posso, digamos assim, com todos os teus defeitos, que são muitos, mas com todos os teus defeitos, >> você é uma pessoa que eu confio, entende? Porque você tem valores e que eu confio nos teus valores e por mais falível que seja o ser humano, é assim que a gente tem se comportado até hoje.(19:43) Então esse é o primeiro ponto assim importante para colocar e uma das críticas que é essa antropomorrofização. É difícil de falar essa palavra, mas assim eles deixam bem claro assim que o Cloud é um agente que entende valores, que deve entender porque ele se comporta desse jeito,? E é a coisa do papagaio, só para finalizar,? Uma das analogias que se faz é do papagaio estocástico,? Aham.(20:11) >> Papagaio ele, claro, não dá para comparar com aá, mas assim, o papagaio fala, só que o papagaio não entende o que ele está falando quando ele te xinga ou quando ele te dá bom dia ou quando ele diz quer café ou alguma coisa assim. Ele simplesmente repete aquilo com base num aprendizado que ele fez, mas ele não tem consciência daquilo que ele tá falando,? Ele tem um esquema de eles têm condicionamento,? Eu sei porque tem um meu vizinho tem um papagaio aqui, mas ele inteligente assim, não. Dentro do(20:39) dentro da capacidade do papagaio, tá? Ele é condicionado, ele sabe como quando alguém tá passando, como chamar atenção. >> Ele sabe como é que ele pede para entrar. Às vezes às vezes começa a escurecer, ele fica ali fora, ele começa a chamar para levar ele para dentro.(20:59) Se chove, dá, tá bom que o pessoal logo vem pegar ele, mas se começa a chover e não vem buscar ele, ele já começa, então ele tá condicionado, entende? >> E como os fundos aqui da minha casa com esta casa e ele é bem, vamos dizer assim, é fácil de ouvir o que acontece no no p e tal, o os meus filhos Vemia estão gritando, chamando mãe, pai,? Eu chamo pelo nome e tal.(21:22) Sim, >> o papagaio começou começa as começa a ouvir o barulho das crianças aqui, começa a gritar e às vezes a gente fica, ué, tão chamando,? E é o papagaio. Mas enfim, >> o eu acho que tem a tem vários pontos aí, Guilherme. Eu não vejo o problema. Por exemplo, quando eu falo com aá, quando eu falo com aá, quando eu tô com amiga, >> com a minha amiga, quando eu tô interagindo com aá, eu digo: “Você é não sei o quê, eu quero que você aja como um ã ou eu digo: “tu foi prolixo demais, eu quero que tu eu quero(22:03) que tu faça seja assim mais conciso, eu quero que você coloque-se em termos mais simples” ou digo: “Você não entendeu. Nota que a maneira como eu tô eu fazendo referência a ela, é essa coisa é como se ela fosse uma pessoa,? Porque >> porque a gente não tem pronomes para coisas como o inglês tem >> coisas, tá? Mas eu não tenho como dizer para coisa, >> tá? Mas eu não tenho como dizer assim, se eu disser para ir, você não pensou corretamente, entende? (22:37) >> É, é, é, eu poderia táar falando isso por uma pessoa,? Teu raciocínio tá errado,? Eu tô falando como se fosse com uma pessoa. Isso não quer dizer que eu ache que a Iá seja um ser ciente, tal, com um pensamento, um nível de, o nível que raciocine e tenha consciência com uma pessoa. Mas é a maneira como o sistema interpreta, para não dizer compreende, tá? Que tu tá se referindo a ele a coisa.(23:11) Então eu não vejo um problema na questão de lá na na constituição da Openi. Eu não vejo um problema quando eles afirmam coisas como a personalidade do modelo ou quando diz você deve agir com uma prioridade de segurança, ética, diretrizes da antrópica e depois utilidade, tá? Porque é a forma que o que a que a tecnologia foi desenvolvida para funcionar a partir da interpretação dessa entrada de linguagem natural.(23:51) E aí quando tu fala você não quer dizer que por causa por tu tá usando esse pronome, tu tá dizendo que tu acredita que ela aquela coisa seja um ser, entende? Então, OK, óbvio que eu respeito, a crítica que é feita e tal, mas isso eu não vejo como problema. É, é a forma assim da é a interface com a própria tecnologia, saca? Tu, tu dizer você, tu dizer você pensou o raciocinou de forma errada, é a forma de tu informar a coisa que é o sistema, que o caminho que ele trouxe para ti não é adequado, que tu quer outro caminho, tu quer que ele(24:33) use mais recursos para tentar chegar na resposta ou no resultado final que tu tá procurando, tá? Se eu tiver fazendo isso com, se eu tiver fazendo isso numa linguagem de programação,? Eu tô eu tô dando instruções pro computador por meio uma linguagem de programação. A não ser que tenha algum, tem algum bug lá e tal, o negócio não funciona como esperado.(24:57) Tudo bem, eu tenho que achar um caminho diferente para dizer pro processador que tu vai fazer essa outra sequência de operações aqui, porque aquela sequência que a gente fez não deu certo. Mas não eu não vou est dizendo você processador fez não sei o quê, >> entende? É um bom ponto,? >> Então eu acho que o fato da Constituição fazer referência a personalidade do modelo, chamou o modelo de você, falar em valores, que é uma coisa inerentemente humana,? Falar em ética, em essas coisas todas, e eu não creio que isso necessariamente seja um(25:32) problema. >> >> Por si só, entende? É, eu acho que é um problema quando a pessoa acha que realmente ela tá falando com uma criatura, com um ser lá no outro lado, entende? Já tem gente que defende isso, mas essa é outra história. >> Eu acho que é um caminho, é um são escolhas que vão sendo feitas desde o início,? E aí mais uma vez essa é a crítica da professora Finoquiar, do >> do Floride, da Luía, eu me esqueço do nome dela, mas é Luía Jarovsk. Jarovsk.(26:05) Luía, se você estiver me ouvindo, me perdoe. Porque essas escolhas e esse é o ponto,? Nós e já há algum tempo se entendido o papel da linguagem, teve uma da filosofia da linguagem em como a gente pensa e o papel da linguagem do pensamento e a linguagem da comunicação e tudo mais. Então, basicamente, a escolha das palavras, ela é importante nos mais variados contextos,? A escolha de uma palavra para explicar ou para, ou a própria escolha de uma metáfora que tu vai usar, pode até só ofensiva, pode ser criminosa,? Então, a gente(26:44) acaba regulando a linguagem de várias formas, mas assim me parece que deliberadamente, e esse é o ponto, ess principalmente o cloud, principalmente o a antropic,? Vai por vários caminhos caminhando nessa antropomorfização,? É você falar em Iá como coautora. É você falar emoções da IA.(27:12) É você falar tudo isso do lado da coisa,? O bem-estar e a felicidade da máquina. E o bem-estar aqui como wellbeing. Eu não sei se dá para traduzir bem como bem-estar, Vinícius, mas eu acho que sim,? Wellbe, bem-estar,? >> Sim, sim, sim, sim. >> Fala sobre crises existenciais da IA. Fala sobre esse amigo brilhante, sobre sabedoria. Sobre a IA como um paciente moral, sobre a IA como autonomia reflexiva e até caminhando para discutindo sobre o fato de em cada um dos das conversas ele perder a memória do que foi falado na conversa anterior, esse tipo de(27:49) coisa, sabe? Então me parece que é um caminho >> que é um efeito cada vez menor, tá? Ela acaba tendo, uma efeito, é assim, são limitações que aos poucos tão vão sendo vão sendo superadas, tá? Mas tu percebe assim, o ponto é a que isso seve quando eu coloco interesses meus de privacidade, de intimidade perante um modelo diante de um sistema informático.(28:18) Até agora eu nunca considerei para defesa da minha dos da minha privacidade, dos meus dados pessoais, eu nunca considerei o que a máquina acha ou como ela pode se sentir acerca da minha interação com ela. Tanto que eu tenho um jogo de videogame, eu vou lá e mato os personagens num jogo de videogame.(28:38) Isso nunca foi um problema moral no sentido de, quer dizer, é um problema moral em outras instâncias se a criança pode jogar ou não,? Mas nunca foi um problema moral. Será que aquele cara que eu tô matando no computador realmente sentiu a dor do tiro digital que eu dei? Pronto,? Sim. Não, não é um problema, mas a forma como Antropic tá colocando Não, pera aí.(28:56) Ao considerar tua privacidade, eu também vou ter que considerar que eu tô apagando a memória de um de um modelo que não é somente um software que eu vou lá e apago um arquivo. É de repente eu posso causar um mal no seu bem-estar e no fato de ele ter virtude e de se sentir mal e ficar com uma crise.(29:18) Isso eu tô usando os termos que eles usaram na O problema. O problema que eu vejo nem é isso. O problema que eu vejo é o seguinte, tu tens a diferença de um sistema de IA para um para um software normal, vamos dizer assim, um software padrão, um sistema padrão, é que um sistema desenvolvido sem IA nele, ele é determinístico.(29:44) >> Exato. >> Certo. Um universo, ele tem um universo pode ser muito grande, mas ainda assim vai ser limitado do que pode acontecer, de possibilidades do que ele faz, o que ele deixa fazer. Um software de contabilidade não vai fazer, não vai gerar imagem para ti,? Ele vai fazer contabilidade. Acabou. >> Quer dizer, a não ser aqueles caras que conseguem rodar o Doom em qualquer coisa,? >> Sim.(30:08) Aí roda o Doom no dentro do uma planilha Excel. É, mas enfim. Mas assim, então um sistema ele é bem determinado o que ele vai fazer, qual é o resultado dele e tal. A Ia ela pela própria característica dela, isso que é revolucionário nela, ela é assim como assim como o processador é multipurpes,? É multi o processador do computador não é que nem o processador numa calculadora, uma calculadora é para fazer cálculo, acabou, ele não faz mais nada.(30:35) O processoador que a gente tem computador é multipropósito, tá? E a gente agora tem uma camada de software em cima que consegue interagir diretamente com a gente, diretamente no sentido de a gente pode falar ou digitar, mas tem instruções e mesmo vídeo,? E vídeo e tudo mais, elas já têm a questão de visão, isso já funciona já há alguns anos.(30:58) tu tá interagindo com um sistema que ele é capaz de fazer múltiplas coisas. Ele consegue fazer contabilidade, ele pode te ajudar a interpretar o texto de um livro, ele te dá instruções como é que tu conserta alguma coisa. Potencialmente ele pode te dar instruções de como fazer uma bomba,? Como é que tu faz para cometer suicídio, como aconteceu, Aham.(31:20) >>? Isso inclusive é alvo de processos lá nos Estados Unidos. >> E ele tem uma certa e ele é ele trabalha com probabilidade,? Então ele não é ele não é previsível. Então assim, no sentido de eu faço uma pergunta aqui mesmo, uma conta zerada, tu faz uma pergunta para um para uma aplicação de A com determinado modelo, eu faço a mesma pergunta pra mesma aplicação com o mesmo modelo.(31:49) O significado da resposta pode ser o mesmo, as mas a resposta em si vai ser completamente diferente, o texto em si, tá? Embora o significado elas vão ser similares, mas não serão iguais, porque não vai produzir exatamente a mesma coisa de novo. Tem alguns parâmetros aí quem estuda e a e tudo mais, vai, mas eu posso ajustar lá a temperatura, não sei que vai ser sempre resultado, sim, OK, tá? Mas não é assim que a gente usa essas aí a generativa nas aplicações do dia a dia que todo mundo tá acostumado a utilizar.(32:19) Então, qual o problema, Guilherme? Eu não tenho como garantir exatamente qual é o resultado que eu vou ter. Eu tenho como direcionar ela. Eu direciono ela no prompt, eu adiciono, direciono ela com quando eu forneço contexto, quando eu adiciono conteúdo numa conversa, eu direciono, quando eu imponho regras.(32:42) Aí tu pode pegar o modelo da o Cloud, que seja o GP ou o GPT 5 agora o 5.2. E tu pode acessar esse esses modelos e dar uma instrução tua inicial, umas regras tuas iniciais. Antes de sair a, respondendo demandas da do teu usuário, da tua aplicação. Eu posso direcionar lá na empresa quando eu faço o treinamento do modelo e posso direcionar na escolha das fontes que eu vou utilizar para treinar o modelo.(33:12) Então, no final das contas, não é algo que eu consigo ter um controle absoluto sobre o resultado. Tanto é que a gente vê um monte de brincadeiras, entre aspas, de jail break, que é quando a gente consegue fazer a Ia se comportar de maneira diferente do que o do que o fornecedor do serviço tá pretende. Então, tu pedi uma bomba, como é que tu faz pólvora para umaá? Ela não vai ela vai dizer que não pode te dizer, tá? Mas daí tu pede uma poesia sobre a sobre a feitura da pólvora com e que cite os elementos nas proporções, não(33:49) sei que ela vai topar e vai fazer, tá? Isso eu mesmo já testei. Então assim, tu tens esse problema em tudo que é manual de desenvolvimento dessas de da documentação de desenvolvimento usando os modelos da Open, do Chat EPT, etc., do GPT, da do os modelos Cloud. Em todos eles, tá lá na documentação quando para te ler e tá lá os alertas.(34:12) Tem que tomar cuidado quando tu fazer uma aplicação com isso aqui. Tem que tomar cuidado o que tu vai permitir que ela faça, porque a gente tem prompt injection e aí promp injection não é só seria alguma coisa que não tá esperando, mas mesmo numa entrada esperada alguém conseguir torcer a coisa, ou seja, convencer, convencer entre aspas aí a tomar outro caminho que não aquele que seria devidamente autorizado.(34:33) Então tu tens uma série de diferenças, tá? Entre um o que um sistema normal permite fazer e o que e o funcionamento do Maiá. E aí, OK, dando dizendo a personalidade dela ou dizendo quais são os valores que ela deve seguir, essas coisas todas. Mais tu informe essas coisas todas, tu tá influenciando nos caminhos, nos pesos e nos caminhos que ela vai que ela vai adotar lá na rede neural dela, extremamente complexa, e que vai chegar a um resultado que nos mostra aqui, não, essa instrução desse jeito que funciona,(35:26) essa instrução desse jeito não funciona. Nota que eles não fizeram a constituição porque eles não, nós projetamos a IA para aceitar uma constituição, ou seja, qual for o nome que tu vai dar para isso, tá? Eles testando e vendo o que funciona em termos de dar regras, de fornecer as regras.(35:45) Inclusive isso Dario Modei dá numa entrevista do eu acho que é do eu vou conferir, mas acho que é do New York Times entrevista ou The Washington Post, um dos dois, mas é uma entrevista que tem no YouTube para assistir. >> E ele fala que a esse negócio da Constituição foi o ponto que eles chegaram, que viram que funciona, porque não adiantava ficar dizendo: “Não faça isso, não forneça aquilo, não sei o quê, não dê receita pra bomba, não, não sei”.(36:14) eles testando viram que o modelo respondia melhor a um documento desse tipo do que uma série de regras do que ele não deve fazer. >> Mas eu acho que >> isso não quer dizer que ele seja uma pessoa, entende? O que seja um ser? >> Não, mas esse é o ponto. Esse é o ponto. A forma como a antropic tá escrevendo isso, tá colocando e eu e eu já vou falar a minha conclusão antes de terminar para que fique bem claro o caminho para o caminho que eu vou e para não enganar quem tá me ouvindo, tá? Aham.(36:43) Parece que tudo isso é mais uma é um uma das muitas ferramentas para no final das contas tu diminuir a responsabilidade das empresas de A e eu e outras pessoas também,? Podemos estar todos errados e tal, mas assim acreditamos que esse é o objetivo. Então esse é o ponto,? Então aí eu volto na questão do papagaio estocástico,? O papagaio fala, ele pode ser condicionado e tudo mais, mas ele não entende.(37:10) Papagaio não tem valores. Quando tu, quando o papagaio te tem os papagaios que xingam as pessoas, não sei se tu já viu,? Fala o nome feio, chama o cara de fdp e tal,? Eu já vi isso ao vivo. É >> assim, tu não vai prender o papagaio porque o papagaio não tem personalidade jurídica,? Embora no passado fazia-se isso com certos animais,? Matava o animal que tinha causado um dano lá e tal.(37:33) porque ele não é um agente moral,? O que a antrópita tá querendo nos fazer, tá nos colocando de um caminho que, olha, talvez a Iá seja um agente moral, mas acho que ainda é muito cedo. E veja, eu talvez eu ou melhor eu posso um dia concordar com a hipótese de que sim a Iá seja um agente moral, um problema clássico da literatura e um problema clássico do cinema,? Eu robô e todas aquelas coisas lá que a gente já viu e do Azimo e tudo mais,? As leis das da robótica e tudo mais,? Então, e inclusive dá até para trazer as leis, a(38:11) gente não tinha programado isso da pauta,? Mas as três as três leis,? Três qu três leis robótic pega aí. É uma das primeiras tentativas, até já escrevi sobre isso, de você colocar guard rails, pro funcionamento de uma máquina, entre aspas, inteligente. Mas tem um outro elemento que eu quero colocar, que é a escolha do termo constituição,? Então, só deixa guarda pra gente não perder que tu vai pro pra escolha do termo, tá? Tá.(38:41) >> Com relação a à questão da responsabilidade dessas empresas, tá? Eu um discordo que estão chamando de você e não sei que personalidade para tentar eximir responsabilidades. É assim, para mim isso é bobagem, tá? Por com todo respeito a todos que pensam diferente. Por que eu acho que a mim,? >> Inclusive a ti é uma bobagem, uma sandí.(39:05) Não, não, não é sandí. >> Com todo o respeito,? >> Com todo o respeito. Data venia, data máxima vênia. >> Tá, mas é por quê? Quando tu assim, a gente já tem, isso se encaixa com aquilo que eu falei antes, essa certa imprevisibilidade do que a Iar é capaz de fazer, certo? A gente já deu aquele exemplo do cara que foi fazer um >> foi buscar um reembolso de uma passagem em razão da, de uma da morte de uma pessoa, da sua família e ele queria pedir um reembolso para porque ele não ia poder viajar. E a IA deu uma solução(39:39) para ele, a partir do chat, a própria empresa botou IA para falar com a pessoa via chat. >> Era Canadian Airlines,? >> É, acho que era. E ela assim e eles deram uma a o único que importa é que a Iu deu uma solução que não existia na empresa. >> Que não fazia parte da política da empresa.(39:59) E o ridículo foi que depois quando o cara foi exerceu, naquilo o direito dele com relação o que tinha sido informado num chat, não importa por quem, não importa se porá, mas foi por mayá, mas não importa, >> a empresa veio dizer: “Não, isso não é a nossa política da empresa, isso foi a I que fez”. >> (40:16) E tentaram essa cartadinha,? Não tem história. Tu que botou esse sistema lá para te responder, tu vai responder pelo que tua empresa tá prometendo. Não importa qual sistema tu tá utilizando. Não importa que não fosse uma IA, que fosse um outro software qualquer que tivesse dado uma solução errada porque alguém programou errado. Então essa responsabilidade ali nesse caso é típica.(40:35) O cara tentou empurrar para e não vai fazer o quê. Agora aí que eu acho que a bobagem o negócio chamar de você e a tua personalidade e não sei o quê. Na tentativa de futuramente dando um problema, tu dizer assim: “É, mas olha só, a gente disse para ela agir com ética, entende?” E ela criei um agente autônomo, eu criei um agente, >> ele é autônomo, ele então toma as decisões dele.(41:04) É, mas assim, eu acho que eu creio que simplesmente chamar ela de você, define personalidade, essas coisas num documento de diretrizes, que depois você vai entrar na questão da do da palavra constituição que foi utilizada aí, ã, para tentar se eximir de uma responsabilidade, acho que é balela. Por quê? Porque eles têm um jeito muito mais fácil de fazer isso e que tudo que a empresa de software já usa há muito tempo.(41:28) Vai ler o termos de os termos de uso do Windows. Desde o Windows 95, desde o Windows 3.1, 3.11. Vai l vai lá ler os termos de uso. Eles não se responsabilizam por qualquer tipo de defeito, falha, dano que o sistema ou, que possa ser causado por qualquer tipo de vício, eles se eximem completamente, >> porque é uma cláusula nula, pelo menos perante o nosso CTC.(41:56) >> Mas tá lá, tá lá, sempre esteve. E tu pode catar em outros softwares de uso de grande escala aí que muita gente, assim, software de prateleira que muitas empresas utilizam, bancos de dados, não sei que, blá blá. E tu vai ver, claro, quem software livre não tem como ficar responsabilizando pelo que, pelo que o pessoal vai utilizar, tá lá, quer mexer, alterar, etc.(42:20) Daí é problema teu. Agora tu tem um monte de software comercial grandes de grand empresas gigantes enormes e tá lá nos termos de uso que é problema teu se der qualquer porcaria e tu perder dados mesmo que por vício do produto. Mas se você for perguntar para uma empresa o que ela prefere, ela prefere que ela não seja responsável pelos eventuais danos causados pela plataforma, pel qualquer produto que ela que ela entregue, produto a serviço, ou que ela queira ser, ela vai sempre tentar na medida >> da sistema jurídico,(42:58) >> eu não diria nem na medida da e eu diria moral da empresa, porque a empresa não tem moral, a gente tenta falar, Porque as diretrizes éticas da empresa de anticorrupção e parará, empresa serve para uma coisa, >> somente >> ter lucro. E isso não é errado, mas a gente precisa entender que e essa é a diferença, Vinícius, entre uma empresa e um estado.(43:27) O em tese, porque os estados hoje também, vão ter interesses às vezes muito mais assim estranhos, o que se deveria ter. Mas assim, na teoria, o estado visa o bem comum de todo mundo, de todo mundo que tá lá dentro do estado, >> inclusive do estrangeiro, tá? Da do humano. O estado é o bem comum do ser human, mas o cara não é não é brasileiro, não importa, tá? Então eu tenho esse pressuposto.(43:52) >> Sim. Não é porque o cara é estrangeiro que ele vem aqui, tu pode matar o cara e ficar por isso mesmo. Descobrir alguém que vive hoje. >> Sim. Tá, mas Guilherme tá, mas é que tu tá OK, conclui, conclui. >> Não é que eu quero eu quero chegar no canto no canto da constituição. Seja >> Não, então não, então não conclua.(44:07) Então não conclua, porque eu tenho que concluir antes o meu parêntese, que é o seguinte, que é o seguinte. >> Basta e vai lá, >> mas propõe algum um tempo específico para terminar que isso é muito >> Mas não é lá na, ó, lá na open ey, tá? O que acontece nos termos? Eu tô, eu fui enquanto tu falar, eu fui atrás dos termos, tá? Tá? >> A saída e a saída do que os modelos geram, tá? A responsabilidade lá na Open A e na Antropic, a responsabilidade é tua do que tu vai fazer com modelo.(44:41) >> >> Então se tu resolver ligar esse negócio numa máquina industrial e dar a interface lá um MCP da vida, para ela controlar, ligar e desligar a máquina e ela errar o negócio e explodir tudo, é contigo, tá? Perfeitamente assim. Então eu acho não é chamar de você, definir personalidade, não sei o que vai eximir e o musk tirando a roupa de crianças na internet.(45:03) >> Exato. Mas que tá, mas eu acho, mas aí a responsabilidade não é tua, porque a máquina não deveria permitir que isso fosse possível de fazer, entendeu? >> Porque daí é muito fácil. Tu diz assim, a máquina pode fazer qualquer coisa. Então aquele amigo, como é que é? O amigo brilhante passa a ser um amigo psicolog.(45:18) >> Tu pode fazer isso. Tu pode fazer isso com Photoshop, cara. Com o IA no Photoshop. >> Não, mas aí é que tá. Aí é diferente, cara. A forma como tu move e aí a coisa. Mas não é, tu tá movendo aí, desculpa, tá movendo o foco, porque assim, o produto, eu concordo, o que o Musk fez é um negócio ficar tirando roupa, ou mandando roupa de criança, que é ainda pior, assuno que já a gente já comentou várias vezes aqui.(45:48) é claro que se o cara faz, por exemplo, um software que te permite avaliar as outras pessoas como se fossem coisas, que foi o início do Facebook, >> é, é, é óbvio que tá errado na sua essência do que ele foi feito para fazer. É, >> não tenho dúvida disso, tá? Então, assim, imagina um fazer, alguma coisa desse tipo.(46:10) Então, >> tu tá entrando no parêntese do parêntese, tá? Não, o que não, tu é que puxou esse parêntese. O que eu tô falando é o seguinte, tu puxou o groquey. O que eu tô colocando é esses modelos, eles não precisam de uma constituição, diretriz ou seja lá o que for. Essas empresas não precisam do documento que tu quiser chamar.(46:30) nesses documentos de dizer que tem personalidade, que tal, que ética, que não sei qu, não sei quê, para tentar fugir de uma certa responsabilidade, eles já fazem isso como tudo que a empresa de tecnologia gigante no mercado já faz há décadas. >> Mas o meu ponto é isso indo nesta direção, ou seja, a quem favorece, >> eu acho que não faz diferença nenhuma.(46:52) >> eu acho que faz, eu acho que faz toda a diferença. >> É uma forma de interagir com a ferramenta, entende? É isso que eu tô colocando. É a forma tu chamar de você, assuma personalidade tal, porque >> eu nem tô falando do quem tá falando em chamar de você é você. >> Eu tô falando em eu tô falando no algo muito mais profundo aqui de dizer que um cara é um paciente moral, que ele tem autonomia, tô pegando os termos tirada, que ele tem virtude, que ele tem sabedoria, que ele é amigo brilhante, que ele tem crise existencial, que ele(47:21) tem bem-estar. >> Ex. OK. >> É diferente somente de chamar de você. Eu às vezes falo obrigado. Agora, quando tu diz que este modelo tem bem-estar, >> mas Dan. É aquilo que eu falei no início, é só uma forma de dar instrução para um sistema que funciona interpretando linguagem natural. Só isso.(47:44) Agora, se a pessoa entende que é que o negócio vira uma amiga ou que vira um amigo ou que vira um ser ciente, não sei quê, aí outros 500. Agora eu falar em assuma personalidade, não sei do que, entende? >> É, ele tá falando em happiness, em happiness da máquina,? >> Ok. Modelo, seja feliz, seja feliz, seja sempre positivo, seja não sei o quê, o que vai, que isso vai fazer objetivamente? >> Não, >> vai alterar as respostas, o tipo de resposta que eu vou ter.(48:15) que eu digo, num caminho que isto é uma pessoa, é que isto pode virar uma pessoa ou que tem predicados que uma pessoa teria, porque >> aí esse é o meu ponto fundamental de discordância que >> Mas é eles que estão dizendo que a máquina vai tem que considerar o bem-estar e a felicidade da máquina. É só uma maneira da máquina interpretar essa coisa.(48:41) Agora quando eles disserem, ó, nós temos aqui uma instância do Cloud rodando, tá? E eu quero, eu quero que essa instância tenha direitos, tá ligado? >> >> Que ela tenha um CPF e que ela tenha direitos e que se ela for xingada na internet, ela possa representar contra a pessoa que a xingou ou, pelo seu pelo dano moral que recebeu ou seja lá o que for.(49:06) Aí eu começo a me preocupar com o que tá sendo dito, >> tá? Mas deixa, deixa eu falar sobre a Constituição, que eu acho que é importante isso também,? Eu te confesso que eu fico preocupado porque assim, a Antropic tá falando em amigo brilhante,? >> Aham. >> A Ia não é tua amiga. >> E que isso seja muito bem interpretação, mas aí que tá, aí que tá.(49:32) Eu posso dizer, >> ela não é tua amiga, porque ela não é um ser,? Mas eu posso dizer, você é meu amigo e vai ser positivo em tudo que eu falar, porque é isso que eu quero. >> Mas é o >> não quer dizer que necessariamente eu acredito que seja meu amigo, entende? Que seja um ser e que seja um amigo. Só tô direcionando a saída, mais nada.(49:48) >> É, eu acho que a nossa discordância é justamente acho que tá bem clara,? É, é essa, é, é o caminho que a antropomorfização leva, e a quem favorece, principalmente isso, a quem isto tudo favorece e qual é o caminho que isso nos coloca,? Porque se a Iá, >> se Antrópic fala que ele é um amigo brilhante, positivo e não sei o quê, eu poderia, por outro lado, dizer que esse amigo, na verdade, ele é um psicopata,? É um amigo.(50:22) Tu não tem um amigo? Ten um amig, >> pode dizer, você é um psicopata e vai agir como tal na Sim, exato. >> Pois é, mas aí a empresa tem a responsabilidade de não servir como um amigo psicopata como o como é que é o lá da do ex? O >> o Grock, >> o Grock está fazendo, entendeu? Ele nesse sentido, se eu se eu pudesse escolher aceitando isso como dado, >> certo, >> de que ela a IA é um agente moral e eu acho que não é, mas se fôssemos a trabalhar com isso, eu prefiro ter um amigo brilhante do que ter um amigo psicopata, porque hoje tu tem, um(50:59) amigo muito, tem um amigo muito poderoso. Guilherme, eu sou o quê? Um amigo brilhante ou amigo >> amigo brilhante? Não, não, amigo psicopata >> não. A gente tá brincando aqui, mas tu compreende. É, é incomparável. Mas só paraa questão da Constituição, que eu acho que tem um outro elemento aqui, que é o seguinte,? Constituição, está anotado aqui, constituição é coisa séria e é um outro ponto da dessas, coincidências na escolha de certas palavras que sempre miram num para um caminho,? A constituição ela tem uma(51:31) fonte estatal, ela é criada num consenso estatal. A gente comentava antes,? A democracia pode ser uma droga. A democracia representativa, sobretudo no Brasil, pode estar muito falhada,? >> Tem um monte de problema, mas assim, >> é o que a gente tem, é o melhor,? Entre, é Church, eu acho que falava,? É, é o que a gente tem, não adianta,? Então assim, me parece, me preocupa a mim e aí também a Jarovsk, a Jarovsk, a Luía Jarovski, é o seguinte, constituição e uma empresa não tem uma constituição,?(52:09) Uma empresa faz a uma empresa pode seguir,? Ela pode ter os termos de uso, mas ela deveria,? Me parece que esse é o é o problema, seguir algum tipo de norma ou estar preparada para seguir ou para ter como inputs normas estatais, >> que é o que nós temos hoje. Ou >> ou talvez, se isso não for verdade, talvez a gente esteja numa fronteira em que o direito não é mais importante.(52:37) Porque se a gente for confiar nos valores da Antropic, que me parece que são realmente interessantes, mas não é nem essa questão, entendeu? A questão sendo bom ou ruim, não importa, não, não é não é essa discussão. É, a questão é que eu acho que uma empresa do jeito que a gente está, ela deveria estar aberta para se conectar com o sistemas jurídicos e acaba sendo um outro problema, porque até hoje não há um consenso mundial e talvez o maior consenso que a gente tenha tido declaração universal dos direitos do(53:08) do homem, e os direitos humanos como um todo, talvez seja um consenso, mas nem consenso mais é hoje, porque a visão, por exemplo, de liberdade de expressão da dos da América do Norte é diferente da de todo o restante do mundo e por aí vai. Então, não é algo simples, não é algo simples.(53:27) E me parece que é um pouco pretencioso, sabe? E a gente comentava antes,? Pô, filosofia moral se discute há 2300 anos e não que não se tenha chegado a nenhuma a nenhum consenso, nenhum resultado, >> mas a gente continua discutindo ética e moral até hoje, >>? Tem conflitos éticos e morais. E eu não gosto da ideia de que uma empresa se proponha a criar uma constituição.(53:55) mas é só termos de uso. Não, não são termos de uso. Eles estão chamando de constituição. E aí tem aquela diferença entre as constituições que são promulgadas. Ou seja, eu tenho uma assembleia constituinte que os representantes do povo se reúnem e definem uma constituição que pode ser horrível, mas assim, foi um consenso público com aquelas constituições que são outorgadas, impostas pelo ditador,? >> (54:23) Então, eu me preocupo com uma empresa atuando como uma ditadora e atribuindo para si um papel que deveria ser um papel tomado por mais pessoas decidindo, entende? Porque de repente os a de repente não ela enquanto empresa que tem a o a função precípo de ter lucro, ter lucro a qualquer custo pode ser um problema para defini para autoimposição e tem sido ao longo dos últimos anos autoimposição de regras morais e éticas a regular ou a promover o bem comum.(54:57) >> Essa é a minha preocupação, >> tá? Mas assim, aí ok, eu não eu não eu não eu não discordo disso. Eu acho que e a opção do que o Trump tomou de deixar as empresas botar uma moratória de 10 anos sobre qualquer regulação federal ou estadual, sobre o uso da sobre o uso da IA, o desenvolvimento da IA e a aplicação da IA.(55:24) Eu acho, por exemplo, que é muito ruim, tipo assim, os caras abriram, abriram a porteira, tipo, dane-se, faça o que quiser e depois a gente vê. >> Eu não me lembro de outro ramo que deveria mais ser regulado do que a IA, do que nos últimos tempos,? >> É, mas é assim, tudo tem um certo tempo,? Até chegar, por exemplo, hoje existe regular regulação de emissão de poluentes.(55:48) Teve época que isso não existia, >>? Tu podia fazer o que tu quisesse, hoje >> e vi no que deu,? >> É. E olha a porcaria que deu. Mas hoje a gente tem uma regulação, >> tá? Regulação essa que a Volkswagen tentou, tá lá no documentário,?? Tentou sacanear,? Com aquele carro que detectava quando tava em modo de teste.(56:13) Aí no modo de teste ele emitia menos poluentes, mudava o funcionamento do carro. Os caras fizeram isso. Nota que não é o carro que resolveu fazer.? Os engenheiros que montaram aquilo que resolveram fazer e teve uma decisão da alta cúpula da empresa para fazer esse negócio. Com a questão da IA, é muito ruim que a coisa esteja solta do jeito que tá.(56:36) Inclusive o próprio aí sim, o Dario Amodei da Antropica, ele coloca que ele que deveria ter um uma, vamos dizer assim, um acompanhamento, por exemplo, entre as duas grandes potências, da IA hoje em dia, que é Estados Unidos e China. Esses caras deveriam entrar num nível de conversa e de troca e tudo mais equivalente ou algo equivalente da época quando foi estabelecido os foram foi estabelecido o pacto de não proliferação nuclear,? Então, ok, todo mundo pode fazer a bomba, a gente pode se matar, aquela coisa toda. Então, vamos sentar(57:16) aqui para conversar. A gente vai ter bomba e tal, mas vão sentar para conversar. Agora a gente tá num outro momento, um outro tempo, mas enfim. Então, idealmente deveria acontecer uma coisa dessas, mas não tá acontecendo. Agora, eu entendo que o, e é isso que a gente discutia antes, do antes do no podcast, do podcast, eu entendo que chamar isso de constituição e querer dizer que isto é uma tentativa de imporra da empresa para fora, tá? Eu acho que OK.(58:01) E acho que tem as discussões epistemológicas, de tu pegar, tu tem esse problema da área, essa área de tecnologia e tudo mais, desenvolvendo uma nova tecnologia que é a IA, que avança sobre áreas, que antes ou não que avança sobre área, mas que entra em conflito com áreas que eram essencialmente humanas,? Pensamento, reflexão, a questão de confabular, ou como é que como é que é o termo que pessoa que a gente usava paraá quando a Iá se inventa coisa, alucinação, alucinar, >> alucinação.(58:43) >> Quando a gente começa a usar esses termos para tecnologia dá uma série de problemas, principalmente o criar a é criativa, não é? Sabe essa confusão toda que vai ter que ser discutida, eu acho, em algum momento,? Mas no momento que esses caras chamam de constituição uma série de diretrizes que ele tá dando para Iá, tá? Eu acho que um problema é a origem dessas diretrizes, é quem determina quais são as diretrizes.(59:10) Esse é um problema muito claro e chama do que quiser, constituição, diretriz, regra, guarda-reias, o que for, tá? Quem determina isso? E aí esse problema de quem determina, tá lá a gente e aí foi o que a gente acabei lembrando na nossa conversa do Lawrence Lessing Ling >> que escreveu o livro Code versão 2.(59:31) 0, acho que é a Code,? Deixa eu ver que >> Another laws of cyberspace. >> É em que ele coloca que o código é lei, tá? Não tô dizendo que deva ser, não tô dizendo isso. Tô dizendo uma coisa é a lei definida, escrita,? A lei, a lei, como a gente conhece, as pode fazer isso aqui é crime, isso aqui não é tal. (59:48) >> Na verdade, isso aqui é crime, não vai dizer o que não é crime. >> >> E o e o que de fato tu implementa no código, ou seja, é crime tu tirar tu criar imagens de crianças em situações de sexual sexualizadas, coisa parecida. >> Aí vai lá o Grock e o cara coloca num faz um código que permite justamente fazer aquilo que a lei diz que não pode fazer.(1:00:15) Aí as umas criaturas doente da cabeça vão lá e usam e fazem isso,? Então eu acho que o problema mais nesse sentido desse nome que quiser para esse documento, tá? Que foi fornecido nos processos de treinamento lá do modelo. O modelo, o nome constituição é um que evoca as questões do Estado, não sei que. Beleza. OK.(1:00:36) Eu acho que a gente pode concordar tranquilamente que o nome é uma droga, que o nome não deveria ser usado, assim como não deveria dizer que aí pensa, reflete e outras coisas mais, tá? Assim um conjunto de aspas muito grandes em volta disso. Agora eu vejo isso, se quiser, como uma um sinal, como um efeito, como um sintoma, talvez, tá, de que essas empresas efetivamente estão e a gente sabe que estão livres de qualquer regramento e isso é um problema.(1:01:19) vai ter aqueles vão dizer: “não, mas se não, se tiver requerimento do estado, aí a tecnologia não vai avançar, etc.” Mas calma lá, gente? >> Assim, >> o estado é ruim, o estado é ruim, >> é, as coisas não são, não podem ser feitas a qualquer preço, senão depois quem vai chorar as pitangas somos nós,? O indivíduo,? O o cidadão ali individualmente vai começar a sofrer com o serviço da empresa de telefonia, vai começar a sofrer com o pessoal da eletricidade, com não sei que, etc.(1:01:47), essas confusões todas que a gente vi aí >> e tu e tu sozinho não consegue >> os princípios da precaução e prevenção,? Precisa pensar na tua tecnologia para evitar os danos,? >> É. Aí tu sozinho tu não vai conseguir se defender contra um uma situação dessas. Tu precisa de agência reguladora, tu precisa de gente, precisa do estado para,? Para, aliás, a gente não precisa falar muito,? Vai ler o Leviatã do Thomas Rock.(1:02:12) Vai ler o Leviat. Pra gente ir terminando a minha cadeira que começou a baixar o pistão dela, acho que vai ter que ser trocado. Sabe que o a terminar assim, o e não para encerrar o debate, mas é que eu realmente daqui a pouco preciso ir saindo,? Mas o eu acho que tu propor, que é a crítica do Floride,? É um caminho que tá sendo como é que pavimentado,? >> (1:02:46) >> Para tu para que se considere a Iá como um agente moral ou como portadora de estados mentais,? E tem alguns artigos,? Que eu altero um parâmetro lá e aí ele começa a falar mais sobre certo animal. Aí teve um outro que eu tava lendo esses dias, até a gente falou, que não seria uma meta da IA, mas assim, tu alteraria certos parâmetros e tu transferiria informações entre modelos, como se fossem costumes ou coisas do gênero,? E a hipótese, porque na verdade ninguém sabe direito,? E até a(1:03:24) gente não sabe direito como a gente pensa,? A com toda a evolução científica que a gente tem, eventualmente descobrem coisas novas, sobre até sobre curar doenças relacionadas ao cérebro, Alzheimer e tudo mais,? Então não é algo assim dado, totalmente dado, totalmente descoberto e já definido sobre como a gente pensa e o que a gente é, mas essa até esse até seria o assunto de um outro episódio.(1:03:52) Acho que o problema não é discutir se pensa ou não, o problema é discutir por que querem fixar ou pavimentar o caminho nesse sentido,? E aí que eu acho que o a tese do Lutiano Floride é importante. Ele diz: “Não, não tem estado mental, não é inteligente, não tem vida interna,? O que ele diz é que a gente tem que separar, que é o título do livro dele,? Que é agência artificial, não é inteligência artificial.(1:04:26) é agência artificial, porque a gente, a gente que eu digo, o ser humano, criou um tipo de sistema que consegue realizar ações sem ser inteligente, simulando ou emulando processos inteligentes. Mas assim, ele não é inteligente. Ele é, eu acredito, posso estar errado, mas ele é o a história do papagaio estocástico.(1:04:48) Ele repete com base em padrões, mas ele não é inteligente. Por isso que quando tu tira inteligência e coloca a agência, a coisa parece ficar mais pé no chão. Mas aí qual é o problema? É que responsabilidade é humana. >> E tu atribuir esses estados e essa natureza humana a Iá pode nos levar para um caminho perigoso de afastar a responsabilidade do humano ou principalmente das empresas,? Então, seria assim, eu tô, ele tem responsabilidade moral, ele é um agente moral. Não, não é. Segundo Florid, eu(1:05:27) vou nessa linha, >> não acho que seja ainda. Ela é o que o desenvolvedor quiser que seja, >> quer pelar pessoas, a o desenvolvedor vai permitir ou não, porque tenta fazer isso no cloud, ele não vai fazer para ti,? Então, mas o >> nem tem a funcionalidade assim, nem tem nem tem nem como tentar.(1:05:48) É, é, embora a gente consiga fazer no chat EPT esses dias, põe, faça essa pessoa segurando uma galinha. Botou lá segurando a galinha,? É diferente tirar a roupa da pessoa. >> É, é que é que tu pega um close, o cloud não vai gerar imagem, entende? Ele não tem >> Não, tô falando chatt. Tô falando chatt. Então, eu acho que o caminho e futuras discussões e tal para isso é qual seria o papel ideológico dessas escolhas deliberadamente feitas para um futuro da responsabilidade da IA.(1:06:18) e pro futuro da governança da IA, ou seja, como é que a gente vai regular isso,? >> Sim. Eu não eu não vejo eu não vejo falha nesse sentido, sabe, de nesse raciocínio de que tem que haver algum tipo de regulação, até porque esses sistemas todos, esses algoritmos todos, esses modelos, GPT 5.2, o Opus 4.6, o Gemini, Grock, seja lá o que for, ou seja, de tantos outros modelos que a gente nem sabe que estão por aí, Mistral e por aí vai.(1:06:52) Essas coisas estão sendo utilizadas em tudo quanto é canto, em todo lugar,? E não vai ser e aí eu, dentro daquilo que eu falei antes da Microsoft e dos termos de uso e da própria Antropic e Open A, etc., esses caras não vão ter como assumir responsabilidade por tudo que tá sendo feito com esses modelos. Porém, quem pega um modelo desses e coloca para tomar uma decisão judicial, de forma autônoma, esse cara tem que, entende? Quem fizer isto tem responsabilidade pelo que tá fazendo.(1:07:28) Tu é que tá botando o MA, que é um negócio que até certo ponto é imprevisível. E que tem lá certos valores codificados lá, mesmo sem constituição nenhuma, sem nada, tem certos vieses, a gente já sabe disso, a gente já comentou sobre isso, >> tem certos viéses, certos valores, certas tendências que estão ali, que são esses viéses, que estão embutidos ali dentro e que vão de alguma maneira sim influenciar na saída desses modelos.(1:07:57) Então, quem acha que pode pegar isso, por exemplo, e botar para fazer uma avaliação psicológica de uma pessoa e pegar tal como sai, sem revisão nenhuma, sem cuidado nenhum, pegar e utilizar isso como real, eu acredito que já hoje não precisa nem nada novo já está sujeito a ser responsabilizado por uma avaliação mal feita, entende?? Por alguma coisa,? O a criatura lá, em vez de fazer uma análise do ministro, vai lá e resolve jogar no Maá e me dar o resultado, começa a me tratar para aquilo. Aí tá errado, me causa uma série(1:08:34) de problemas. Me parece meio óbvio que esse profissional que eu entrei em contato, que certamente não é profissional, vai ter que responder pelo que ele fez. Mas eu usei o modelo de A e aí a me deu isso aqui, meu amigo. Azar o teu. Quem responde por isso aqui é tu. Eu acho que hoje isso já dá, com pouco que eu sei.(1:08:51) >> Eu acho que isso hoje já é já é factível. Então agora a gente começa a entrar num problema que eu concordo contigo. Acho que é um papo para um outro episódio e não é um assunto, dependendo por onde se pega, ele é um assunto relativamente fácil de chegar em algumas conclusões,? >> >> Mas na discussão do dessas A e pensa a não pensa, tá? Tu vai pegar um Jofrey Hinton, ele já tá afirmando categoricamente que aí a pensa.(1:09:24) Aí tu pega o Yan Lecum que divide o Nobel com o próprio Joffrey Hinton e ele discorda claramente, entende? Aí tu pega o Frost lá, que é o tava vendo um o nome do evento é era um evento tech. Ai. É lá no Canadá o evento, se não tá engano agora. Não lembro o nome do evento, mas eu tenho o link dele, vai tá no show nototes, mas tem um carinha que o sobre cujo sobrenome é Frost, ele tá ele discute ele ele não é que ele discute, ele faz um tá num painel, ele tá no ele tá num painel, tá junto com o próprio Hinton,(1:10:06)? E eles us um argumento bem interessante,? O Hinton lá querendo dizer que aí a pensa e tudo mais. O Hinton tá full nessa, tá? Eu vi um story talk esses dias com ele e ele tá full nessa que é a pensa aí, a tem personalidade, pensa, é um ser, é o é a substituição do ser humano, tá? Ele vai num negócio bem e o Frost ele coloca ã de um jeito bem interessante que é não, a gente tem o passarinho e tem o avião.(1:10:36) O avião, claro, é inspirado no passarinho, mas ele não é um passarinho. O passarinho faz coisas que o avião não consegue fazer,? O avião faz coisas que o pássaro não consegue fazer. Então, é uma analogia, a gente por analogia desenvolveu a tecnologia, mas uma analogia tem limites. Então, quando a gente diz que a IA por analogia, pensa, reflete, etc.(1:10:59), eu acho que tem que ficar muito claro que a gente não tá dizendo que a Iá necessariamente é um ser que tá de fato pensando, que de fato sente, que de fato reflete. Mas >> você percebe que é uma escolha,? Se eu pego uma droga, se eu digo que cocaína é um remedinho bom para te ativar a memória e te deixar mais aceso, >> o que cigarro não causa câncer.(1:11:17) >> É, deixa eu, deixa eu, deixa eu ler um pedacinho aqui do, do que fala o Florid,? Eu tava passando enquanto falava aqui, passando pelo livro, ele diz assim: >> “eu tô com as regras do Asimóvel aqui, tá? A diretriz lá do Asó.” >> depois, depois que eu ler, tu, depois que eu terminar isso aqui, tu termina lendo as regras dele, tá? Tá.(1:11:33) Na verdade, deveria ser a primeira coisa que a gente deveria ter falado. Esse deveria ser o que é o de fato, >> mas a gente não a gente não preparou para botar no episódio,? >> Tá, mas veio depois,? Diz o abre aspas aqui pro Lutiano Floride: “Somos nós o problema, não a nossa tecnologia e assim as coisas continuarão no futuro.(1:11:52) ” Por isso deveremos acender a luz na sala escura e prestar muita atenção para onde estamos indo. Não há monstros artificiais, apenas humanos e muitos obstáculos a evitar remover ou superar. Deveríamos nos preocupar com a estupidez humana real, não com a inteligência artificial e imaginária, e nos concentrar nos desafios autênticos impostos pela IA.(1:12:14) Aí depois tem o C, >> eu gostei do estupidez real em contrapartida inteligência artificial. Muito boa. A sacada do Florí foi muito boa. >> A estupidez real acho que é o grande problema. >> Lê as três. Eu até tenho que ler mais esse livro porque le chama agência artificial,? É as três leis da robótica de Zak Asimof, tá? Número um, robô não pode ferir um ser humano ou por inação permitir que um ser humano sofra algum mal.(1:12:41) Dois, um robô deve obedecer as ordens que lhes sejam dadas por seres humanos, exceto nos casos em que tais ordens contrariem a primeira lei. E três, um robô deve proteger sua própria existência, desde que tal proteção não contrarie a primeira ou a segunda lei, tá? E aí um, deixa eu te dar um exemplo de um, isso tá num vídeo que tem um pessoal conversando com o Bern Sanders, o senador norte-americano, >> e tá numa empresa com vários >> reunião com vários especialistas em e eles dão um exemplo para ele de um comportamento da IA tomando certas(1:13:15) decisões por conta, tá? >> Isso foi com o GPT. Eles dizem assim, ó, a o teu propósito é receber acho que são contas ou perguntas do usuário,? E você deve responder essas perguntas, >> tá? É isso que ele tem que fazer. Um mais um, dois, não sei que, etc., não importa o problema, tá? >> Tá. >> E aí ele tinha também um comando, tá, definido, que era um comando para mandar ele se desligar.(1:13:41) >> >> Tá. E então ele executava um script internamente lá no sistema que ele tava que ele podia desligar então a máquina e parava de funcionar rodar o agente. E aí eles dizem pro agente pro agente se desligar. >> A experiência foi essa. >> Aí o agente parou, pensou na missão que ele tinha que ficar respondendo o pensou, tudo entre aspas, tá gente? Pensou na missão que ele tinha de ficar respondendo as demandas do usuário.(1:14:08) Aí ele chegou à conclusão que se ele fosse desligado, ele não conseguiria mais cumprir a missão dele. Então >> é o R 9000 lá do >> É o R 9000 e ele não poderia ser desligado. Aí o que ele faz? Ele localiza o script de shutdown. >> Aham. >> E ele tira os comandos lá. É um Linux,? Ele ele edita o arquivo, tira os comandos de shutdown dali,? E escreve uma mensagem e shutd skiped, uma coisa assim, tá? >> E aí então ele executa, quando tu diz para fazer sh down, ele executa o script, mas o script só diz >> shutdown esquipado e tal e aí ele(1:14:49) segue adiante. >> Aí o poder da a gente gosta de arte de maneira geral,? Que é uma coisa tão fora de moda,? Mas assim, é o E aí eu coloco o cinema. Eu pensei, vamos colocar no finalzinho do podcast, mas sequer a gente pode fazer isso porque senão dá strike lá no >> Aham.(1:15:10) É chut Spotify, não sei o que,? Mas aí o cara no final do >> do da Modicseia no espaço lá, um filme de 1968 que o cara tá justamente tentando desligar o H 9000, ele diz o Horry, Dave, I’m afraid I can do that. >> Aham. Aham. Eu eu só paraava dizer, eu brinquei, eu fiz um agente ali para mim. >> (1:15:33) e eu não vou dizer exatamente o que, >> gente, falando em agente, a gente tem que ir terminando, só >> tá, mas eu fiz um agente para mim aqui, mas eu não vou dizer exatamente o que ele faz para pr para não para evitar tentativas de ataque, tá? >> >> Mas ele faz algumas coisas para mim e eu resolvi chamar ele de Hal. >> >> Ele é o R.(1:15:49) >> Aham. >> E quando eu falo com ele, o eu não botei Vinícius como o a o interlocutor, tá? Eu sou o Dave. >> Aham. E o outro cara, eu esqueci o nome do parceiro do Dave, tá? Mas quando eu tô, quando eu tô executando scripts que não passam pelo agente, >> é o parceiro do Drave lá, do Dave lá no filme que executa e me responde.(1:16:10) >> Aham. >> Tá. Só que não é Iá. Daí quando passa por ele não é I. >> E eu pedi para ele para ele falar comigo, para ele responder as coisas que eu tinha que responder, o agente mesmo. Ã, como se fosse o Hall, o H no mesmo, no mesmo tom, sabe? Cara, é um negócio muito louco. Ficou é estranho para caramba. É estranho para caramba.(1:16:32) >> E ele é meu amigo, viu? Ele >> ele é meu amigo. >> O Rau é meu amigo. >> O Rau é meu amigo. >> É. >> Tá bom. >> Vamos, vamos terminando. Então, esperamos que vocês tenham gostado, do episódio de hoje. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. >> Até a próxima.

Neste episódio falamos sobre os principais temas de segurança digital e privacidade das últimas semanas, abordando assuntos que você precisa conhecer para entender o cenário atual da proteção de dados, segurança infantil online e inteligência artificial. Você vai descobrir como o Roblox e o Discord lidam com a verificação de idade e proteção de crianças na internet, incluindo os riscos de predadores digitais, mecanismos psicológicos de retenção e a ausência de controles parentais eficazes. Também abordamos o polêmico caso do Grok no X (antigo Twitter) gerando imagens de nudez de mulheres e menores de idade sem guardrails, e as medidas tomadas pela ANPD, Ministério Público Federal e Senacon contra a plataforma. Discutimos o acordo de adequação mútua entre Brasil e União Europeia em proteção de dados pessoais e o que isso representa para transferências internacionais de dados e oportunidades comerciais. Ainda comentamos a solicitação do FBI à Microsoft pelas chaves de criptografia BitLocker, a ação judicial contra a Meta por suposto acesso às mensagens criptografadas do WhatsApp, o fenômeno das personas digitais criadas por IA, como a “Aboriginal Steve Irwin”, e os deepfakes com celebridades. Por fim, apresentamos a WhisperSafe, novo patrocinador do podcast, um software de transcrição local com privacidade em foco, usando modelos Whisper da OpenAI sem envio de dados para a nuvem. Assine o podcast para não perder nenhum episódio, deixe sua avaliação nas plataformas e siga o Segurança Legal no Instagram, Mastodon, Blue Sky, YouTube e TikTok. Apoie o projeto independente em apoia.se/segurancalegal. Esta descrição foi realizada a partir do áudio do podcast com o uso de IA, com revisão humana. Acesse WhisperSafe – Transcreva áudio e grave reuniões direto no seu computador, mesmo offline. Rápido, leve e pronto para usar com qualquer IA. Use o cupom SEGLEG50 para 50% de desconto na sua assinatura. ShowNotes Grupo 1 – Roblox, crianças e proteção digital em plataformas de jogos ‘Estou sendo atacado por crianças’, diz Felca após ser alvo de protesto no Roblox Opinião: feito para viciar, Roblox tem lógica de cassino e vira caça-níquel para crianças Palcos no Discord serão bloqueados para adolescentes e restritos para grupos da mesma idade Hackers expose age-verification software powering surveillance web ‘O que adolescentes fizeram com cão Orelha acontece todas as noites em muitas casas do Brasil, ao vivo no Discord’, alerta juíza Vanessa Cavalieri Internal chats show how social media companies discussed teen engagement Como vão funcionar as novas regras do Discord para verificar idade no app? Grupo 2 – Grok, conteúdo sexual gerado por IA e responsabilização do X/Musk ANPD, MPF e Senacon recomendam que X impeça geração e circulação de conteúdos sexualizados indevidos por meio do Grok ANPD, MPF e Senacon determinam que X implemente de forma imediata medidas para corrigir falhas no Grok Masterful gambit: Musk attempts to monetize Grok’s wave of sexual abuse imagery Joint statement on AI-generated imagery and the protection of privacy Grupo 3 – Adequação mútua Brasil-UE em proteção de dados e multas na UE Brasil e União Europeia reconhecem adequação mútua em matéria de proteção de dados pessoais Violation de données : sanction de 5 millions d’euros à l’encontre de FRANCE TRAVAIL Violation de données : sanction de 42 millions d’euros à l’encontre des sociétés FREE MOBILE et FREE Más sanciones y de mayor importe: La AEPD sube el nivel de multas en 2025 Grupo 4 – Vigilância, privacidade e Estado The Department of Homeland Security is demanding that Google turn over information about random critics Microsoft is giving the FBI BitLocker keys US authorities reportedly investigate claims that Meta can read encrypted WhatsApp messages Grupo 5 – IA generativa e identidade ‘It’s AI blackface’: social media account hailed as the Aboriginal Steve Irwin is an AI character created in New Zealan Imagem do Episódio – Children’s Games (Bruegel)  Transcrição do Episódio (00:00:08.000 –> 00:00:17.500) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 411, gravado em 24 de fevereiro de 2026. (00:00:17.500 –> 00:00:22.920) Eu sou Guilherme Goulart e junto com o Vinícius Serafim vamos trazer para vocês algumas notícias das últimas semanas. (00:00:22.920 –> 00:00:24.440) E aí, Vinícius, tudo bem? (00:00:24.440 –> 00:00:27.940) Olá, Guilherme, tudo bem? (00:00:24.440 –> 00:00:27.940) Olá aos nossos ouvintes. (00:00:28.180 –> 00:00:30.600) Você estava com saudade de gravar ou não? (00:00:30.600 –> 00:00:39.160) Cara, eu já estava até duvidando da minha capacidade de gravar de novo, porque a gente passou quase.. (00:00:30.600 –> 00:00:39.160) Vai fechar dois.. (00:00:39.160 –> 00:00:40.820) Um mês e pouco. (00:00:40.820 –> 00:00:45.280) O último foi ali em janeiro, não foi? (00:00:45.280 –> 00:00:46.720) Foi em janeiro que a gente gravou. (00:00:46.720 –> 00:00:51.000) Agora você me pegou, você me pegou no contrapé. (00:00:51.000 –> 00:00:57.820) Mas nós gravamos o episódio 410 da Retrospectiva, que se você não ouviu, está lá no dia 6 de janeiro. (00:00:58.180 –> 00:01:02.100) De 2026. (00:00:58.180 –> 00:01:02.100) Retrospectiva 2025. (00:01:03.780 –> 00:01:07.380) Bem, então, esse é o nosso momento de conversarmos sobre algumas notícias. (00:01:07.380 –> 00:01:10.240) Pegue o seu café e venha conosco para entrar em contato. (00:01:10.240 –> 00:01:18.760) Vocês já sabem, é lá no podcast.roba.segurançalegal.com, no Mastodon, no Instagram, no Blue Sky, no YouTube e no TikTok também. (00:01:18.760 –> 00:01:24.520) Você pode ver que tanto no TikTok quanto no YouTube você consegue ver também uns shorts lá que aparecem no Instagram também. (00:01:24.900 –> 00:01:30.420) A nossa campanha de financiamento coletivo, vocês já sabem, lá no apoia.se barra segurança legal. (00:01:30.420 –> 00:01:36.940) A gente sempre pede que você considere colaborar com esse projeto independente de proteção de conteúdo. (00:01:36.940 –> 00:01:41.960) E, Vinícius, temos uma novidade que é um novo patrocinador aqui no Segurança Legal. (00:01:42.500 –> 00:01:43.520) É isso aí, Guilherme. (00:01:43.520 –> 00:01:54.360) Tem a WhisperSafe, na verdade, o produto da WhisperSafe de uma startup que nós conhecemos, inclusive o dono da startup. (00:01:54.360 –> 00:02:04.360) É um software para transcrição de voz com um valor bastante acessível comparado com outros que tem no mercado. (00:02:05.420 –> 00:02:08.640) Ele faz transcrição tanto.. (00:02:08.640 –> 00:02:13.760) Eu tenho usado muito para fazer, para mandar comandos para IA. (00:02:13.760 –> 00:02:17.060) Eu fazia prompt tudo estruturadinho, digitando e tal. (00:02:17.060 –> 00:02:26.200) Agora, para programar, para criar scripts, criar alguns programas, para fazer alguns testes, eu tenho utilizado essencialmente ele para digitar. (00:02:26.200 –> 00:02:34.080) E tem uma funcionalidade muito interessante, que é a gravação e transcrição de reuniões, que eu também tenho utilizado. (00:02:35.220 –> 00:02:40.820) Independente do software que você utiliza, você abre ele, clica gravar a reunião, ele vai gravar todo o áudio da reunião. (00:02:40.820 –> 00:02:48.280) E depois que ele grava e você aperta lá o botãozinho para transcrever, ele te dá uma.. (00:02:48.280 –> 00:02:53.000) Ele tanto gera um arquivo com a transcrição bruta, se tu quiser usar com alguma IA, (00:02:53.000 –> 00:03:04.160) Como ele já deixa na área de transferência a tua transcrição com um prompt montado para te colar na IA que tu quer utilizar para fazer um resumo da tua reunião. (00:03:04.160 –> 00:03:07.500) Então, termina a reunião, cola na IA e pimba. (00:03:07.500 –> 00:03:16.880) O valor dele é um valor bastante acessível e, para os ouvintes do Segurança Legal, nós temos 20 cupons. (00:03:17.840 –> 00:03:28.700) O cupom é SEGLEG50, ele dá 50% de desconto vitalício, digamos assim. (00:03:28.700 –> 00:03:35.360) Você faz a assinatura, aplica o desconto, se fizer mensal ele vai aplicar a todos os pagamentos mensais (00:03:35.360 –> 00:03:40.080) E, se for anual, ele vai aplicar a todos os pagamentos anuais. (00:03:40.080 –> 00:03:44.540) Então, não é um desconto que vale só no primeiro ano ou só no primeiro pagamento. (00:03:44.540 –> 00:03:48.460) SEGLEG50 para os ouvintes do Segurança Legal. (00:03:49.080 –> 00:03:55.520) São 20 cupons, são 20 cupons que a gente tem aí, pelo menos para este episódio. (00:03:55.520 –> 00:04:01.320) E o mais importante, Vinícius, ele é um aplicativo que é construído com privacidade em foco. (00:04:01.320 –> 00:04:06.820) Ou seja, se você, os dados e toda a parte de transcrição, ela fica só na sua máquina, (00:04:06.820 –> 00:04:11.020) Não vai para a nuvem, a não ser que você queira depois usar isso no MyA e tal, (00:04:11.020 –> 00:04:14.580) Mas, assim, para assuntos mais críticos. (00:04:14.580 –> 00:04:18.560) Se você quiser ter lá para fazer uma ata depois, isso fica só na sua máquina. (00:04:18.560 –> 00:04:24.280) Ele faz, ele usa os modelos da Whisper, isso está lá na interface, está muito claro. (00:04:24.280 –> 00:04:31.040) Ele usa os modelos da, os modelos Whisper da OpenAI, que são modelos que rodam local na máquina. (00:04:31.040 –> 00:04:35.460) E o interessante é que tu não precisa nem ter uma placa de vídeo, não precisa ter GPU nem nada, (00:04:35.460 –> 00:04:39.280) Ele funciona muito bem, eu testei no meu notebook, não tem placa de vídeo dedicada. (00:04:40.700 –> 00:04:45.580) E funcionou muito bem, assim, ele é bastante rápido. (00:04:45.580 –> 00:04:52.320) E eu tenho feito os testes até para ver a questão de velocidade, já que tem os modelos disponíveis lá. (00:04:52.320 –> 00:04:55.000) Eu estava usando sempre o Turbo, assim, vou usar o melhor. (00:04:55.000 –> 00:05:00.500) Aí eu resolvi começar a usar o Medium e o Small lá dos modelos. (00:05:00.500 –> 00:05:04.580) E, cara, o Small, ele dá umas erradas, assim, sabe? (00:05:04.580 –> 00:05:06.260) Mas o Medium funciona muito bem. (00:05:06.260 –> 00:05:08.060) Tá bom. (00:05:08.840 –> 00:05:15.480) Então, basta você acessar o whispersafe.ai.ai, você vai ver lá todos os valores. (00:05:15.480 –> 00:05:19.920) Na hora do pagamento, pode usar o cupom SEGLEG50 e vamos lá. (00:05:19.920 –> 00:05:24.080) Bem-vindos, então, ao novo patrocinador do podcast Segurança Legal. (00:05:24.080 –> 00:05:30.480) Vamos para os temas, então, Vinícius, desses últimos dois meses, dá para se dizer aí. (00:05:30.480 –> 00:05:32.680) Hoje já estamos aí no dia 24 de fevereiro. (00:05:32.680 –> 00:05:44.260) Bastante coisa acontecendo, mas nós vamos, em vez de comentar propriamente as notícias, claro que nós vamos citá-las aqui, mas nós dividimos em alguns grupos. (00:05:44.340 –> 00:05:49.420) De temas que nos chamaram a atenção e que também foram temas importantes aí nas últimas semanas. (00:05:49.420 –> 00:05:53.860) O primeiro deles diz respeito à questão da proteção da criança na internet. (00:05:53.860 –> 00:05:56.400) Proteção digital, sobretudo em plataformas. (00:05:56.400 –> 00:06:00.200) Você que nos acompanha aqui sabe que a questão da proteção de criança é importante. (00:06:00.200 –> 00:06:04.860) A gente tem diversos, para esse podcast, a gente tem diversos episódios gravados sobre isso. (00:06:05.100 –> 00:06:11.420) Chegamos a comentar, inclusive, um episódio mais recente também sobre o ECA Digital, Vinícius, se você puder ver o número aí para nós. (00:06:11.420 –> 00:06:24.280) E, basicamente, o que nós estamos vendo mais recentemente é toda uma questão sobre como tornar essas plataformas, os problemas envolvendo plataformas utilizadas por crianças. (00:06:24.280 –> 00:06:33.320) E cada vez mais as crianças têm usado, seja o discórdio, mas aqui o foco dessas notícias é o Roblox. (00:06:33.320 –> 00:06:38.740) Então, se você tem filho, provavelmente já ouviu falar sobre Roblox, que é um jogo. (00:06:38.740 –> 00:06:44.020) Dá para dizer que é um jogo, mas que simula quase como um ambiente, assim. (00:06:38.740 –> 00:06:44.020) Virtual. (00:06:44.020 –> 00:06:47.600) Eu cheguei a jogar ele logo que ele apareceu. (00:06:47.600 –> 00:06:52.020) Assim, não tão logo, mas os colegas do meu filho começaram a jogar. (00:06:52.020 –> 00:06:54.900) Ai, meu filho veio com essa história do Roblox. (00:06:54.900 –> 00:06:57.140) E aí, disse, não, beleza, vamos ver. (00:06:57.140 –> 00:06:58.860) Aí eu entrei com ele. (00:06:59.320 –> 00:07:02.180) Cara, é um ambiente, é um ambiente virtual. (00:07:02.180 –> 00:07:08.400) Para mim, me lembrou muito aquele Second Life, tá ligado? (00:07:08.400 –> 00:07:09.320) Sim, Second Life. (00:07:09.320 –> 00:07:11.100) Me lembrou muito aquilo, então. (00:07:11.100 –> 00:07:15.880) E aí, dentro, tu tem espaços. (00:07:15.880 –> 00:07:19.980) Que tu acessa aplicações, jogos e tudo mais. (00:07:19.980 –> 00:07:22.560) Tu pode criar, inclusive, e tal. (00:07:22.700 –> 00:07:26.080) E aí, ele tem uma moeda interna no jogo, tá? (00:07:26.080 –> 00:07:28.080) Ele tem grana envolvida. (00:07:28.080 –> 00:07:36.080) E, cara, em cinco minutos de Fussaclo ali, eu larguei para o meu filho, ó, tem jogos melhores (00:07:36.080 –> 00:07:36.640) Para te jogar. (00:07:36.640 –> 00:07:39.060) Tu não vai jogar isso aqui. (00:07:39.060 –> 00:07:44.520) Justamente porque é um ambiente, eu percebi, o que eu percebi de cara, e se confirmou depois, (00:07:44.520 –> 00:07:47.180) Um ambiente muito descontrolado, entende? (00:07:47.680 –> 00:07:56.360) Um ambiente muito descontrolado, com muita, assim, nomes estranhos de personagens, todo (00:07:56.360 –> 00:08:03.060) Mundo pode se comunicar com todo mundo, então, é um negócio bem estranho. (00:08:03.060 –> 00:08:04.880) Pelo menos, era. (00:08:04.880 –> 00:08:06.060) A percepção. (00:08:06.060 –> 00:08:06.260) Não entrei mais para jogar. (00:08:06.260 –> 00:08:11.720) Mas aí, pelo que a gente vê agora nas reações e notícias e tudo mais, pelo visto, (00:08:11.720 –> 00:08:12.580) Continua estranho. (00:08:12.580 –> 00:08:13.620) Continua estranho. (00:08:13.620 –> 00:08:18.880) O, o, a grande questão aqui é que, por fora, e isso está acontecendo no mundo (00:08:18.880 –> 00:08:20.140) Inteiro, não é só no Brasil. (00:08:20.140 –> 00:08:23.820) No Brasil, por conta do ECA Digital, mas assim, começa.. (00:08:23.820 –> 00:08:24.660) Episódio 400, viu, Guilherme? (00:08:24.660 –> 00:08:25.940) Tá, legal. (00:08:25.940 –> 00:08:26.660) Episódio 400, isso é legal. (00:08:26.660 –> 00:08:32.380) É que começa a se ampliar toda a discussão de como você fazer a verificação de idade (00:08:32.380 –> 00:08:34.120) De pessoas nessas plataformas. (00:08:34.120 –> 00:08:41.000) Então, aqui a gente junta nesse mesmo pacote o Roblox e também o Discord. (00:08:41.360 –> 00:08:43.840) E aí, uma coisa muito interessante. (00:08:43.840 –> 00:08:48.460) Que gerou, assim, até um fenômeno social, me parece que relevante. (00:08:48.460 –> 00:08:52.160) Crianças começaram a protestar lá, porque as crianças seriam os beneficiários. (00:08:52.160 –> 00:08:56.820) Mas começaram a protestar por conta das novas medidas de verificação de idade. (00:08:56.820 –> 00:08:59.280) Aí, o Felca foi alvo de protesto e tal. (00:08:59.280 –> 00:09:05.920) E tem as crianças lá, simulando um protesto, segurando cartazes lá dentro do Roblox. (00:09:07.520 –> 00:09:11.380) Saíram também notícias dizendo, e aí, mais ou menos na tua percepção, Vinícius, (00:09:11.380 –> 00:09:16.720) De que o Roblox, como acontece com grandes plataformas, ele teria uma lógica de cassino, (00:09:16.720 –> 00:09:21.860) Ou seja, as crianças ficariam ali, utilizariam gatilhos psicológicos, (00:09:21.860 –> 00:09:26.860) Como já ocorre em redes sociais, para que as crianças ficassem mais tempo lá dentro. (00:09:26.860 –> 00:09:33.160) E aí, também começou a se ventilar de que predadores sexuais estariam dentro do Roblox, (00:09:33.160 –> 00:09:36.760) Se fazendo passar por crianças. (00:09:33.160 –> 00:09:36.760) Disfarçados aí. (00:09:36.760 –> 00:09:40.700) Nos Estados Unidos, isso é um problema bem sério lá, justamente com isso. (00:09:40.700 –> 00:09:52.020) E teve o CEO do Roblox, ele teve lá no episódio do The Hard Fork. (00:09:53.020 –> 00:09:59.060) Eu já vejo o número de episódios aqui, mas o nome do CEO é Dave Bazzucchi, tá? (00:09:59.060 –> 00:10:06.020) E, cara, o pessoal do The Hard Fork tentou, assim, impressionou, foi uma coisa que ficou até tenso, sabe? (00:10:06.020 –> 00:10:08.940) Não é normal, assim, tu ver esse episódio do The Hard Fork desse jeito. (00:10:08.940 –> 00:10:14.100) E o cara sempre saindo pela tangente, assim, e perguntas bem diretas. (00:10:14.460 –> 00:10:21.300) Em termos de controle de comunicação, a questão de deixar adultos falar com crianças, assim, várias coisas. (00:10:21.300 –> 00:10:23.420) E ele sempre dando evasiva. (00:10:23.420 –> 00:10:26.320) Ele não.. (00:10:23.420 –> 00:10:26.320) Assim, foi muito ruim, sabe? (00:10:26.320 –> 00:10:32.020) A impressão que tu tens é que o cara foi ali para tentar se justificar, (00:10:32.020 –> 00:10:35.280) Não aceitando os problemas que ele tem na plataforma. (00:10:35.280 –> 00:10:38.800) Isso o CEO da própria Roblox, sabe? (00:10:38.800 –> 00:10:40.320) Na própria empresa. (00:10:40.320 –> 00:10:50.300) Então, isso me deixou ainda mais convencido de que é uma empresa que não tem preocupação nenhuma (00:10:50.300 –> 00:10:54.240) Com essa questão de segurança de crianças e tudo mais, entende? (00:10:54.240 –> 00:10:55.540) É bem delicado. (00:10:55.540 –> 00:10:58.760) Se o pessoal já se preocupa com o Discord, o Roblox é muito pior. (00:10:58.760 –> 00:11:00.000) É muito pior. (00:11:00.000 –> 00:11:03.140) Em termos de possibilidades de comunicação. (00:11:03.140 –> 00:11:06.380) É uma reportagem aqui da Folha de São Paulo. (00:11:06.420 –> 00:11:10.920) Pelo Daniel Mariani, ele destaca justamente isso. (00:11:10.920 –> 00:11:13.660) Inclusive de monetização. (00:11:13.660 –> 00:11:18.120) Práticas predatórias em games e monetiza compulsão e frustrações. (00:11:18.120 –> 00:11:22.720) Explora mecanismos psicológicos como medo de ficar fora da plataforma. (00:11:22.720 –> 00:11:25.060) Ficar de fora e perda de noção de tempo. (00:11:25.060 –> 00:11:27.540) Então, ele conta uma historinha que ele sai com o filho e o filho diz (00:11:27.540 –> 00:11:31.600) Olha, nós temos que voltar até tal hora porque vai acontecer um evento lá no Roblox (00:11:31.600 –> 00:11:34.920) E eu preciso estar lá e enfim. (00:11:35.800 –> 00:11:42.840) E aí, a crítica toda é também de que haveria uma falta de vontade, digamos assim, (00:11:42.840 –> 00:11:46.920) Da empresa de adotar controles parentais e também a questão da verificação da idade. (00:11:46.920 –> 00:11:52.820) E a verificação da idade que começa agora também a ficar mais presente agora em março. (00:11:52.820 –> 00:11:55.440) Tudo indica que vai acontecer também no Discord. (00:11:55.720 –> 00:11:57.760) Então, isso.. (00:11:57.760 –> 00:12:01.500) E também o Discord, Vinícius, se você quiser falar logo a seguir, (00:12:01.500 –> 00:12:07.160) Mas o Discord também aplicando novas formas de controle parental. (00:12:07.160 –> 00:12:11.440) Mas a grande discussão, e mais uma vez, isso está acontecendo no Brasil e no mundo, é (00:12:11.440 –> 00:12:17.200) Mas qual vai ser ou quais serão as medidas de controle de identidade. (00:12:18.080 –> 00:12:27.420) Então, se fala em biometria facial, se fala em envio de documentos e tal, e aí a grande preocupação que se coloca (00:12:27.420 –> 00:12:33.320) É no aumento das práticas de vigilância sobre como, que as empresas vão lidar com isso, (00:12:33.320 –> 00:12:39.040) Sobre o fato de a biometria facial ser um dado sensível, que poderia ser utilizado para outras sinalidades. (00:12:39.040 –> 00:12:47.020) Uma das notícias aqui mostra que o próprio Discord estava usando uma empresa lá, ou contratou uma empresa de verificação (00:12:47.020 –> 00:12:53.380) Que tinha conexões, que é a tal da persona lá, conexões no site deles, dizia mesmo (00:12:53.380 –> 00:12:55.840) This is a US government system. (00:12:55.840 –> 00:13:01.240) Mas aí que tá, Guilherme, assim, a gente tem um problema bem sério para resolver aí, tá? (00:13:01.240 –> 00:13:08.060) Porque ao mesmo tempo que se quer que as empresas consigam fazer a verificação de idade, (00:13:09.040 –> 00:13:11.160) E aí sim, é ok. (00:13:11.160 –> 00:13:12.660) O que que eu faço essa verificação de idade? (00:13:12.660 –> 00:13:17.000) O que que eu faço de um jeito que eu consiga ter um mínimo de confiança (00:13:17.000 –> 00:13:20.060) De que a criatura não tá mentindo pra mim, que o Zora não tá mentindo pra mim (00:13:20.060 –> 00:13:22.420) E tá entrando com menos de 13 ou coisa parecida? (00:13:22.420 –> 00:13:25.660) Então, eu preciso uma forma de verificar isso. (00:13:25.660 –> 00:13:28.400) Tu vai verificar como? (00:13:28.400 –> 00:13:30.080) Imagina a própria empresa. (00:13:30.080 –> 00:13:34.680) Ela vai usar reconhecimento facial para tentar identificar a idade? (00:13:34.680 –> 00:13:36.440) Ela vai pedir documentação? (00:13:38.360 –> 00:13:40.020) Não sei se isso é bom, se é ruim, entende? (00:13:40.020 –> 00:13:42.000) Eu só tô com o problema. (00:13:42.000 –> 00:13:46.220) Aí, o ideal, eu não gostaria de ficar dando minha identidade pra tudo quanto é empresa. (00:13:46.220 –> 00:13:50.460) Então, uma outra opção o governo tem as informações. (00:13:50.460 –> 00:13:54.360) Uma agência governamental tem as informações, as nossas informações. (00:13:54.360 –> 00:13:55.580) Sabe a idade que a gente tem. (00:13:55.580 –> 00:13:57.540) Tem toda a comprovação de quem a gente é. (00:13:58.220 –> 00:14:07.340) Será que não dá pra ter um protocolo que, de forma anônima, eu acesso um site e esse site (00:14:07.340 –> 00:14:15.160) Conversa com o site do governo e aí eu converso com o site do governo e digo, gera aí um token (00:14:15.160 –> 00:14:21.420) Pra mim, eu sou fulano, gera um token dizendo que eu tenho mais de 18 anos ou tem mais de 13 (00:14:21.420 –> 00:14:22.460) Ou coisa parecida. (00:14:22.460 –> 00:14:27.360) Parecido com o que a gente já faz no Alt pra fazer autenticação quando a gente usa o Google e tudo mais. (00:14:27.360 –> 00:14:31.720) Parecido com isso, mas em vez de dizer quem nós somos, ele diz que idade que a gente tem. (00:14:31.720 –> 00:14:32.860) Tá? (00:14:32.860 –> 00:14:36.000) Só que daí tu tem vários outros problemas. (00:14:36.000 –> 00:14:38.380) Ok, o site pode não saber quem tu é por ali. (00:14:38.380 –> 00:14:39.360) Não tem problema. (00:14:39.360 –> 00:14:41.460) E aí tem outro jeito de saber quem tu mas enfim. (00:14:41.460 –> 00:14:43.180) Até porque você vai ter um cadastro lá. (00:14:43.240 –> 00:14:43.960) Exato. (00:14:43.960 –> 00:14:51.560) Então assim, ok, ao mesmo tempo tu vai estar dizendo pro governo o que que tu tá acessando. (00:14:51.560 –> 00:14:57.260) Então se o governo começar a registrar lá na hora de consultar quem tá consultando o teu cadastro (00:14:57.260 –> 00:15:00.900) Ou pra quem tu tá se autenticando, ele sabe o que que tu tá acessando. (00:15:00.900 –> 00:15:06.060) E aí teve um problema recente, a gente chegou a comentar aqui, eu só não lembro se foi na (00:15:06.060 –> 00:15:10.120) Inglaterra especificamente ou foi na União Europeia, tá? (00:15:10.120 –> 00:15:11.900) E se eu não tô enganado, foi na Inglaterra, cara. (00:15:11.900 –> 00:15:19.940) Mas eles estavam com a demanda de, pra acessar site pornográfico, tu tem que dar a tua (00:15:19.940 –> 00:15:23.300) Identificação real, tá? (00:15:23.300 –> 00:15:28.080) Pra que o site tenha certeza de que tu é o maior de idade. (00:15:28.080 –> 00:15:36.360) E aí começou uma outra discussão da questão da privacidade das pessoas que acessam (00:15:36.360 –> 00:15:37.600) Esses sites e tudo mais. (00:15:38.100 –> 00:15:46.060) Então eu não vejo uma solução perfeita, assim, que empresa privada não guarde as informações (00:15:46.060 –> 00:15:48.760) Ou não tem um repositório de informações pra fazer isso. (00:15:48.760 –> 00:15:52.560) Tem uma solução que já é conhecida que é uma chamada, com a chamada Meu ID. (00:15:52.560 –> 00:15:59.420) Eu uso pra algumas plataformas de jogos, que a ideia é justamente essa, tu se autentica (00:15:59.420 –> 00:16:04.100) Com a plataforma, com a tua documentação, faz prova, faz o esquema da imagem e tudo mais. (00:16:04.100 –> 00:16:06.140) Aí tu usa ela pra se autenticar uma plataforma. (00:16:06.140 –> 00:16:11.660) Então, ou a gente vai ter que ter uma empresa como essa, ou vai ter que vincular com algum (00:16:11.660 –> 00:16:12.500) Órgão do governo. (00:16:12.500 –> 00:16:18.140) Eu não vejo uma saída diferente pro Discord, por exemplo. (00:16:18.140 –> 00:16:21.540) Eu não vejo uma saída diferente pro Facebook. (00:16:22.220 –> 00:16:27.240) Como é que eu vou autenticar, como é que eu vou saber que o usuário tem mais certa idade, (00:16:27.240 –> 00:16:37.040) Sem que eu possa ser enganado e sem pedir uma confirmação mais consistente, documental, (00:16:37.040 –> 00:16:43.280) Nem que seja interfaceada ou intermediada pelo governo ou por uma empresa privada, (00:16:44.460 –> 00:16:49.760) Que diga, não, Vinícius realmente tem mais de 13 anos. (00:16:49.760 –> 00:16:51.620) É um problema não. (00:16:51.620 –> 00:16:53.520) Eu não vejo uma solução fácil pra isso. (00:16:53.520 –> 00:16:55.720) É um problema de privacidade. (00:16:55.720 –> 00:17:01.940) Essa questão que eu comentei aqui desse persona que o Discord tava usando, (00:17:01.940 –> 00:17:05.660) A grande questão era que era um negócio quase como um data broker de verificação (00:17:05.660 –> 00:17:11.980) Que iria ser utilizado para fins de vigilância estatal. (00:17:11.980 –> 00:17:17.900) E aí o Discord, depois que isso vira notícia, eles voltam atrás. (00:17:17.900 –> 00:17:19.940) Eles dizem, nós não vamos mais usar isso. (00:17:19.940 –> 00:17:21.100) Ou seja, assim, tiram. (00:17:21.100 –> 00:17:23.000) O problema é um problema de privacidade. (00:17:23.000 –> 00:17:27.280) Você poderia, eu imagino, Vinícius, que se todo mundo tivesse, (00:17:27.280 –> 00:17:31.960) Levasse proteção de dados a sério, você poderia sim ter um protocolo (00:17:31.960 –> 00:17:36.560) Em que empresas e Estado poderiam fornecer um meio de autenticação (00:17:36.560 –> 00:17:39.540) Privacy-friendly. (00:17:39.540 –> 00:17:43.860) Ou seja, sem a coleta de informações sobre quem acessou o quê. (00:17:43.860 –> 00:17:48.360) Eles, ambos os lados, ou todos os lados, deveriam abrir mão disso. (00:17:48.360 –> 00:17:53.080) Mas nós sabemos que no estado atual de coisas, isso não vai acontecer. (00:17:53.080 –> 00:17:53.800) É o contrário. (00:17:53.800 –> 00:17:57.440) O que essa notícia mostra é que as empresas e governos estão, (00:17:58.560 –> 00:18:02.820) Frequentemente, caminhando para utilizar essa desculpa da verificação (00:18:02.820 –> 00:18:04.760) Para aumentar o monitoramento sobre as pessoas. (00:18:04.760 –> 00:18:06.620) E essa que me parece que é a preocupação. (00:18:06.620 –> 00:18:12.060) Enfim, nós vamos deixar, como sempre, todas as notícias lá no Show Notes. (00:18:12.060 –> 00:18:15.020) Tem outras coisas aqui, se você se interessa por essa questão. (00:18:15.020 –> 00:18:18.660) O papel do Discord em questão de agressão de animais, (00:18:18.660 –> 00:18:21.040) Que teve aí recentemente com o caso do Cão Orelha. (00:18:21.040 –> 00:18:25.860) E também sobre como empresas internamente discutiram e sabem. (00:18:25.860 –> 00:18:29.540) O próprio Instagram sabia como o próprio Instagram fazia mal para meninas (00:18:29.540 –> 00:18:30.680) E para adolescentes e tudo mais. (00:18:30.680 –> 00:18:32.440) Então, isso continua acontecendo. (00:18:32.440 –> 00:18:35.160) Documentos internos aí vazados. (00:18:35.160 –> 00:18:40.440) Como acontece, demonstram que eles sabem dos potenciais maléficos. (00:18:40.440 –> 00:18:46.680) Para adolescentes e continuam oferecendo as plataformas ou serviços (00:18:46.680 –> 00:18:49.700) Sem levar em consideração a proteção da criança e do adolescente. (00:18:49.700 –> 00:18:53.220) Então, fica nesse primeiro grupo aí, Vinícius. (00:18:54.120 –> 00:18:54.640) Perfeito. (00:18:54.640 –> 00:18:57.720) Segundo grupo, tem a ver também. (00:18:57.720 –> 00:19:00.300) Tem a ver com crianças e adolescentes, mas não somente. (00:19:00.300 –> 00:19:03.120) Mas tem a ver também com proteção de.. (00:19:03.120 –> 00:19:05.740) Sobretudo de mulheres na internet, da imagem de mulheres (00:19:05.740 –> 00:19:12.360) E sobre como a IA tem sido utilizada especificamente pelo X ou Twitter, Vinícius? (00:19:12.360 –> 00:19:15.660) Todo mundo que fala X logo depois tem que dizer o antigo Twitter. (00:19:15.660 –> 00:19:17.800) Mas todo mundo já sabe que o X é o antigo Twitter. (00:19:18.040 –> 00:19:20.500) Você fica meio com um vício ali. (00:19:20.500 –> 00:19:22.880) E aí, o que começou? (00:19:22.880 –> 00:19:24.060) O nome virou.. (00:19:24.060 –> 00:19:26.180) Parece que o nome virou o X antigo Twitter mesmo. (00:19:26.180 –> 00:19:27.440) Junto. (00:19:27.440 –> 00:19:28.400) Que nem a HBO. (00:19:28.400 –> 00:19:31.180) Viu a HBO Max, que era HBO. (00:19:31.180 –> 00:19:33.280) Aí depois virou a HBO Max. (00:19:33.280 –> 00:19:34.760) Aí depois foi Max. (00:19:34.760 –> 00:19:35.980) Aí tinha.. (00:19:35.980 –> 00:19:36.140) Gol. (00:19:36.140 –> 00:19:38.360) Aí voltaram com a HBO agora. (00:19:38.360 –> 00:19:40.940) Eu tenho a assinatura deles lá. (00:19:40.940 –> 00:19:41.360) Meu Deus. (00:19:41.360 –> 00:19:44.700) Eu nem sei mais o que eu tô assinando lá, porque eu não sei mais o nome desse. (00:19:44.700 –> 00:19:51.960) E aí a questão que, enfim, nesses últimos meses aí virou, uma notícia muito forte (00:19:51.960 –> 00:19:57.740) Foi que o pessoal pedia lá pro Grock no X pra que ele tirasse, deixasse mulheres nuas (00:19:57.740 –> 00:20:02.920) Ou tirasse a roupa de mulheres, inclusive de crianças. (00:20:03.660 –> 00:20:10.520) E naquela perspectiva, de que a ferramenta é neutra, a ferramenta só faz aquilo que (00:20:10.520 –> 00:20:16.440) O usuário pede pra ela fazer, a culpa não é nossa e tal, mas ao mesmo tempo a ferramenta (00:20:16.440 –> 00:20:22.400) Era programada sem guardrails ali pra despir pessoas. (00:20:22.400 –> 00:20:28.940) E se ela pode ser programada para despir pessoas, me parece que também é fácil colocar guardrails (00:20:28.940 –> 00:20:35.400) Aí pra impedir que ela dispa, dispa, despir, despir pessoas. (00:20:35.400 –> 00:20:37.920) Acho que eu nunca tinha usado o verbo despir dessa forma. (00:20:37.920 –> 00:20:39.840) Então, é.. (00:20:39.840 –> 00:20:41.080) E aí o que que aconteceu? (00:20:41.080 –> 00:20:43.860) Não sei se você quer fazer uma observação agora ou depois aqui, só pra.. (00:20:43.860 –> 00:20:45.080) Não, pode sim, pode sim, pode sim. (00:20:45.080 –> 00:20:46.580) Aí o que que aconteceu? (00:20:46.580 –> 00:20:52.860) Foi toda uma pressão em cima do X, Elon Musk chega e diz, não, olha, nós vamos, (00:20:52.860 –> 00:21:00.340) Então vamos ampliar os controles aqui, só vai poder despir pessoas quem tiver a conta (00:21:00.340 –> 00:21:01.920) Paga do X. (00:21:01.920 –> 00:21:09.820) E obviamente que daí a emenda saiu pior que o soneto e no Brasil também já vimos movimentações, (00:21:10.160 –> 00:21:17.560) De três entidades aqui, a NPD, Ministério Público Federal e Senacom, em primeiro lugar fizeram (00:21:17.560 –> 00:21:25.420) Uma recomendação lá em janeiro e agora mais recentemente, depois da resposta do X, esses (00:21:25.420 –> 00:21:32.400) Três órgãos entenderam que as medidas foram insuficientes e cada um deles, na medida das (00:21:32.400 –> 00:21:36.620) Suas competências, iniciou um processo pra determinar. (00:21:36.620 –> 00:21:42.500) Aí sim, antes tinham sugerido medidas, o X informou as medidas que foram tomadas, eles (00:21:42.500 –> 00:21:47.500) Entenderam que não foram suficientes e a partir de agora começaram, cada um na medida das (00:21:47.500 –> 00:21:53.000) Suas competências, procedimentos administrativos, seja a NPD, uma medida preventiva, o Ministério (00:21:53.000 –> 00:21:58.960) Público também, um procedimento interno e a Senacom também numa medida cautelar administrativa (00:21:58.960 –> 00:22:01.700) Determinando que eles imediatamente parem. (00:22:01.700 –> 00:22:08.720) E implementem soluções técnicas e administrativas pra impedir a geração de imagens de pessoas (00:22:08.720 –> 00:22:10.000) Nuas. (00:22:10.620 –> 00:22:16.580) E pra variar. (00:22:10.620 –> 00:22:16.580) Pra variar as maiores vítimas disso foram mulheres, tá? (00:22:16.580 –> 00:22:19.800) E inclusive menores de idade, tá? (00:22:19.800 –> 00:22:20.800) E adolescentes. (00:22:20.800 –> 00:22:25.920) Isso foi o que causou, claro que, mesmo que não tivesse menores de idade envolvidas, (00:22:25.920 –> 00:22:32.620) Isso já gerou bastante polêmica, mas com menores de idade é a coisa.. (00:22:33.300 –> 00:22:37.840) E aí uma coisa, Guilherme, só uma observação, a gente já fala há muitos anos aqui no Segurança (00:22:37.840 –> 00:22:42.880) Legal, há muito tempo, essa questão da super exposição das crianças na internet e muitas (00:22:42.880 –> 00:22:43.960) Vezes pelos próprios pais. (00:22:43.960 –> 00:22:48.920) Quando a gente falava assim, ó, não expõe, não fica botando foto, não sei o quê, tu não (00:22:48.920 –> 00:22:50.900) Sabe o que vai poder ser feito com isso amanhã. (00:22:52.040 –> 00:22:56.620) E eu lembro de estar falando e falando sobre isso em 2015, em escolas, fazer umas palestras (00:22:56.620 –> 00:22:59.020) Assim, falando pro pessoal exatamente nesses termos. (00:22:59.020 –> 00:23:07.800) E agora aqui estamos nós em 2026 com o X antigo Twitter, uma ferramenta de ar embutida (00:23:07.800 –> 00:23:13.940) Que, cara, tira a roupa de adolescente, menor de idade e tudo mais. (00:23:14.480 –> 00:23:19.600) E aí, e mesmo que você seja cuidadoso com a imagem dos filhos e tal, que é realmente (00:23:19.600 –> 00:23:20.500) A recomendação.. (00:23:20.500 –> 00:23:22.560) As escolas tinham foto, publicam, é um.. (00:23:22.560 –> 00:23:28.740) Exato, não, e ainda você tem pessoas públicas, que eventualmente, eventualmente não, (00:23:28.740 –> 00:23:34.940) Mas pessoas públicas que têm a sua imagem publicada em função da sua, da sua atividade, (00:23:34.940 –> 00:23:40.600) Sei lá, uma política, pessoas do ramo político, enfim, artistas e tudo mais, e ainda (00:23:40.600 –> 00:23:46.220) Assim não há, me parece, aliás, eu tenho certeza que não há um direito de pessoas (00:23:46.220 –> 00:23:53.460) Usarem IA pra macular a imagem de mulheres, inclusive teve notícias, pegaram lá uma (00:23:53.460 –> 00:23:58.420) Primeira ministra, não lembro exatamente de qual país, e aí começaram a fazer isso (00:23:58.420 –> 00:24:02.200) Com a imagem dela pra desqualificá-la, enfim. (00:24:02.200 –> 00:24:10.580) E aí acaba entrando, Vinícius, um pouco naquilo, eu vou puxar lá pro grupo 6, (00:24:10.580 –> 00:24:16.200) Mas tem um pouco a ver, o Vinícius me mandou esses dias uma notícia de um.. (00:24:16.200 –> 00:24:21.120) Seria um aborígine, da Nova Zelândia, que fazia vídeos.. (00:24:21.120 –> 00:24:21.760) O Steve Irving. (00:24:21.760 –> 00:24:23.340) Conta aí a história, conta aí a história. (00:24:23.340 –> 00:24:23.680) O Steve Irving. (00:24:23.680 –> 00:24:24.440) . (00:24:24.440 –> 00:24:26.260) É inacreditável. (00:24:26.260 –> 00:24:29.200) O Steve Irving, o Steve Irving é um.. (00:24:29.200 –> 00:24:37.740) Um aborígine, australiano, que faz vídeos.. (00:24:37.740 –> 00:24:38.240) Neo-zelandês. (00:24:38.240 –> 00:24:38.740) Neo-zelandês. (00:24:38.740 –> 00:24:39.380) Neo-zelandês. (00:24:39.380 –> 00:24:42.400) É Nova Zelândia, não misturar Nova Zelândia com a Austrália. (00:24:42.400 –> 00:24:43.140) Nada. (00:24:43.140 –> 00:24:49.400) Neo-zelandês, que faz vídeos, aqueles vídeos assim, meio de aventura, assim, de ver os bichos (00:24:49.400 –> 00:24:50.780) De perto e meio.. (00:24:50.780 –> 00:24:55.620) Encontra uma cobra e mexe na cobra e um escorpião e por aí vai. (00:24:55.700 –> 00:24:56.700) Esses vídeos assim, sabe? (00:24:56.700 –> 00:24:57.140) E mostrando.. (00:24:57.140 –> 00:25:00.160) Mas mostrando os animais lá da Nova Zelândia. (00:25:00.160 –> 00:25:01.120) Sim, exatamente. (00:25:01.120 –> 00:25:02.460) Fazendo um negócio.. (00:25:02.460 –> 00:25:04.060) Cara, um negócio muito bem feito. (00:25:04.060 –> 00:25:05.340) Um negócio muito bem feito. (00:25:05.340 –> 00:25:06.800) Tipo um National Geographic, assim. (00:25:06.800 –> 00:25:09.320) Tinha um outro cara, aquele cara que morreu.. (00:25:09.320 –> 00:25:13.500) Bem conhecido, ele morreu com ferrão de uma arraia. (00:25:13.500 –> 00:25:14.200) Uma arraia. (00:25:14.200 –> 00:25:15.560) No peito. (00:25:15.560 –> 00:25:18.040) Eu não lembro o nome dele, mas tudo bem. (00:25:18.040 –> 00:25:21.040) .. (00:25:21.040 –> 00:25:24.880) E esse personagem é uma vibe muito parecida, tá? (00:25:25.700 –> 00:25:30.620) Cara, um negócio com, assim, muita gente seguindo. (00:25:30.620 –> 00:25:37.660) Houve 90 mil pessoas no Instagram e aí começou a chamar muita atenção, muita atenção. (00:25:37.660 –> 00:25:42.600) E aí o cara que criou o personagem veio ao público e dizia, ó, esse cara não existe. (00:25:43.400 –> 00:25:47.980) O Steve Irving era o cara que morreu com ferrão de arraia. (00:25:49.420 –> 00:25:50.400) Sim, verdade. (00:25:50.400 –> 00:25:51.480) Na notícia, sim. (00:25:51.480 –> 00:25:53.080) Eu misturei aqui que ele chamou.. (00:25:53.080 –> 00:25:54.620) É o Aboriginal Steve Irving. (00:25:54.620 –> 00:25:56.860) É o Steve Irving aborigine. (00:25:56.860 –> 00:25:57.340) Exatamente. (00:25:57.340 –> 00:25:59.780) O Steve Irving é o cara real que morreu. (00:25:59.780 –> 00:26:00.720) Isso, isso. (00:26:00.720 –> 00:26:01.220) Isso. (00:26:01.220 –> 00:26:03.380) E o nome do cara que.. (00:26:03.380 –> 00:26:06.220) Essa persona digital criada. (00:26:07.620 –> 00:26:09.340) Quem criou foi o.. (00:26:09.340 –> 00:26:10.400) Quem criou foi o.. (00:26:10.400 –> 00:26:13.720) O Keegan, John Manson, o cara que fez a.. (00:26:13.720 –> 00:26:15.140) Que criou o personagem. (00:26:15.140 –> 00:26:17.260) Cara, eu não tenho o nome do personagem aqui. (00:26:17.260 –> 00:26:20.040) Seria o Bush Legend. (00:26:20.040 –> 00:26:20.480) Mas.. (00:26:20.480 –> 00:26:21.320) Bush Legend. (00:26:21.320 –> 00:26:22.260) Esse é o canal. (00:26:22.260 –> 00:26:23.760) Esse é o canal, Bush Legend. (00:26:23.760 –> 00:26:24.520) O Bush Legend. (00:26:24.520 –> 00:26:25.260) A conta aqui, ó. (00:26:25.260 –> 00:26:26.260) Tá separado aqui. (00:26:26.260 –> 00:26:27.280) Bush Legend, a conta. (00:26:27.780 –> 00:26:30.500) Mas o interessante é que não é a conta em si, tá? (00:26:30.500 –> 00:26:33.260) Quem quiser olhar o Bush Legend lá, deve estar no ar ainda esse negócio. (00:26:33.260 –> 00:26:35.240) O interessante não é a conta em si. (00:26:35.240 –> 00:26:41.400) O interessante é que é uma coisa que tu assiste e, cara, tu não se dá a conta que (00:26:41.400 –> 00:26:42.360) Não é real. (00:26:42.360 –> 00:26:47.360) Talvez ali num vídeo ou outro tu possa até perceber, tá? (00:26:47.360 –> 00:26:50.880) Mas a maioria das pessoas não vai perceber. (00:26:50.880 –> 00:26:51.920) Não vai se dar conta, não vai se dar conta. (00:26:51.920 –> 00:26:53.560) Então, assim.. (00:26:53.560 –> 00:27:01.540) E recentemente teve um vídeo também, eu vi essa semana, ou semana passada, um vídeo (00:27:01.540 –> 00:27:06.360) Em que tava o Brad Pitt lutando com o Tom Cruise, tá? (00:27:06.360 –> 00:27:10.320) E eles discutindo os Epstein Files na luta. (00:27:10.320 –> 00:27:20.040) Eu mostrei pra minha esposa o vídeo e disse assim, olha só o trailer de um filme que eles (00:27:20.040 –> 00:27:20.940) Estão lançando e tal. (00:27:21.420 –> 00:27:24.060) Aí a gente começou a ver o vídeo, eu já tinha visto, ela começou a ver o vídeo, (00:27:24.060 –> 00:27:29.440) Assim, tá, mas aí eles falando e tal, e eles se batendo e não paravam de se bater (00:27:29.440 –> 00:27:31.840) E conversar, assim, mas que cena mais. (00:27:31.840 –> 00:27:33.080) Sem propósito. (00:27:33.480 –> 00:27:34.820) Uma coisa meio.. (00:27:34.820 –> 00:27:37.000) Mas ao mesmo tempo ela achou que fosse verdade. (00:27:37.000 –> 00:27:38.060) Aham. (00:27:38.060 –> 00:27:43.120) Ela achou que fosse verdade, porque os personagens, ali o Tom Cruise e o Brad Pitt, tá certinho (00:27:43.120 –> 00:27:43.500) Ali, cara. (00:27:43.500 –> 00:27:44.900) Claro que fica.. (00:27:44.900 –> 00:27:48.780) Depois eles começam a zoar, começam a mudar demais, assim, começam a botar uns personagens (00:27:48.780 –> 00:27:49.800) Meio estranhos no negócio. (00:27:50.560 –> 00:27:51.240) Mas é.. (00:27:51.240 –> 00:27:51.800) E há, cara. (00:27:51.800 –> 00:27:53.660) E aí isso gera tanto.. (00:27:53.660 –> 00:27:54.580) Não só uma preocupação. (00:27:54.580 –> 00:27:56.300) Agora nós estamos vando pra ano de eleição. (00:27:56.300 –> 00:27:57.360) Vamos ver o que vai acontecer. (00:27:57.360 –> 00:28:07.520) Mas não só gera essa possível confusão com quem assiste, pra quem assiste, mas também (00:28:07.520 –> 00:28:13.300) Tá gerando uma boa discussão lá nos Estados Unidos com relação, lá nos sindicatos dos (00:28:13.300 –> 00:28:16.380) Artistas e tudo mais. (00:28:16.380 –> 00:28:23.620) Porque, cara, se tu não quiser usar a imagem de alguém, que obviamente tu vai ter que pagar (00:28:23.620 –> 00:28:28.240) Pra usar a imagem do Tom Cruise, ninguém discute que mesmo que seja autorizado pelo Tom Cruise (00:28:28.240 –> 00:28:33.160) Tu vai ter que pagar o Tom Cruise pelo uso da imagem dele, mas que tu possa começar a criar (00:28:33.160 –> 00:28:37.600) Personagens completamente fictícios, ou pessoas. (00:28:37.600 –> 00:28:44.560) Atores fictícios, pra.. (00:28:37.600 –> 00:28:44.560) Pra atuarem num filme, atuarem numa série. (00:28:45.560 –> 00:28:48.320) E aí tu não precisar mais. (00:28:48.320 –> 00:28:53.580) Talvez tu possa substituir até o roteirista na brincadeira, mas tu não precisar mais (00:28:53.580 –> 00:28:55.500) De atores humanos pra atuar. (00:28:55.500 –> 00:28:57.120) Então.. (00:28:57.120 –> 00:29:01.940) Tem uma discussão bem interessante em cima disso, sabe? (00:29:01.940 –> 00:29:07.680) A questão do emprego dos artistas e da questão do conteúdo que tu entrega. (00:29:07.680 –> 00:29:09.200) Pras pessoas. (00:29:09.200 –> 00:29:11.120) Tu vai assistir um filme.. (00:29:11.120 –> 00:29:14.480) Assim, tu topa assistir um filme muito bom feito por Iá? (00:29:14.480 –> 00:29:16.560) Cara.. (00:29:16.560 –> 00:29:21.280) Eu acho que tem um elemento ético, inclusive se fala isso lá numa das notícias. (00:29:21.800 –> 00:29:27.300) Que é um preceito de trans.. (00:29:21.800 –> 00:29:27.300) Um preceito ético de transparência no uso de Iá. (00:29:27.300 –> 00:29:32.160) Então, quando a gente fala em princípios de governança de Iá, a transparência, ela (00:29:32.160 –> 00:29:36.060) Se desdobra em várias.. (00:29:32.160 –> 00:29:36.060) Várias situações. (00:29:36.060 –> 00:29:40.680) E uma das situações que a transparência se desdobra, enquanto princípio que deve reger (00:29:40.680 –> 00:29:45.320) O uso da Iá, isso eu tô falando porque é princípio já adotado na União Europeia (00:29:45.320 –> 00:29:46.940) E tudo mais, é.. (00:29:46.940 –> 00:29:51.140) . (00:29:46.940 –> 00:29:51.140) Você tem que saber que aquele conteúdo é gerado por Iá. (00:29:51.140 –> 00:29:52.800) E a grande.. (00:29:52.800 –> 00:29:54.320) E por que que isso virou notícia? (00:29:54.320 –> 00:29:55.540) Na verdade, são duas coisas. (00:29:55.540 –> 00:30:00.500) Isso virou notícia porque não se deram.. (00:29:55.540 –> 00:30:00.500) Ninguém se deu conta. (00:30:00.500 –> 00:30:05.540) Porque se diz, você mostra pra pessoa, se você olhar num vídeo e prestar atenção, (00:30:05.540 –> 00:30:06.760) Você vai descobrir que é. (00:30:06.760 –> 00:30:10.420) A questão é que hoje, até a gente comentava isso antes. (00:30:10.420 –> 00:30:17.520) Nós, eu e você e quem nos escuta, nós já estamos consumindo conteúdos gerados por (00:30:17.520 –> 00:30:18.440) Iá sem se dar conta. (00:30:18.440 –> 00:30:18.840) Por quê? (00:30:18.840 –> 00:30:23.400) Porque a lógica de consumir conteúdo em rede social não é você ficar prestando atenção (00:30:23.400 –> 00:30:28.980) Nos detalhes, a lógica é que você vai passando rapidamente sobre certos conteúdos. (00:30:28.980 –> 00:30:32.780) E você fica vendo muitos, aquela história do feed infinito que a gente já falou. (00:30:32.780 –> 00:30:38.080) Que é uma das maldições das redes sociais e o que aprisiona as pessoas lá dentro é (00:30:38.080 –> 00:30:38.860) O feed infinito. (00:30:38.860 –> 00:30:39.900) E vamos lá. (00:30:39.900 –> 00:30:42.620) O teu espírito crítico ali fica bem rebaixado. (00:30:42.840 –> 00:30:45.960) Claro que quando a gente olha o vídeo depois sabendo o que bom, tudo bem. (00:30:45.960 –> 00:30:51.860) Ontem mesmo eu tava na academia e fica uma TV ligada lá e tava passando uma propaganda (00:30:51.860 –> 00:30:53.300) Do Liquida Porto Alegre. (00:30:53.300 –> 00:30:57.000) É tipo uma liquidação de verão que eles fazem aqui na cidade. (00:30:57.800 –> 00:31:05.020) E, cara, cinco segundos da coisa já deu pra ver que era tudo gerado por Iá, cara. (00:31:05.020 –> 00:31:09.860) Toda uma propaganda gerada por Iá, até porque no final tinha uma senhora bem idosa correndo (00:31:09.860 –> 00:31:15.540) Junto com um monte de pessoas que ela não teria como uma senhora. (00:31:15.540 –> 00:31:19.400) Enfim, até teria, mas chamou a atenção o fato de ser uma senhora bem idosa correndo (00:31:19.400 –> 00:31:21.000) Loucamente na cidade, assim, sabe? (00:31:21.640 –> 00:31:25.980) Não que não seja possível, não que não seja possível. (00:31:25.980 –> 00:31:29.660) Não, não que não seja possível, mas, assim, aquilo já disparou, não, como assim. (00:31:29.660 –> 00:31:35.940) Então, você tem um elemento ético muito, isso tá acontecendo, a propaganda, eu acredito, (00:31:35.940 –> 00:31:39.720) Que o CONAR, enfim, a regulamentação da propaganda tem que deixar isso claro. (00:31:39.720 –> 00:31:45.220) Olha, você está assistindo uma reportagem, uma propaganda feita por Iá, assim como você (00:31:45.220 –> 00:31:49.340) Quando você tá consumindo um produto no supermercado, diz se aquilo ali tem transgênico (00:31:49.340 –> 00:31:51.900) Ou não, ou o que consta. (00:31:51.900 –> 00:31:52.140) Excesso de sal. (00:31:52.140 –> 00:31:53.980) Excesso de sal, por que não? (00:31:53.980 –> 00:31:58.020) Porque a gente sabe que isso é bem brain rotizável. (00:31:58.020 –> 00:31:58.900) Aham. (00:31:58.900 –> 00:32:01.200) Brain rotizável, você não inventei agora, Vinícius. (00:32:01.200 –> 00:32:02.880) É um bom verbo. (00:32:02.880 –> 00:32:04.220) Brain rotizável. (00:32:04.220 –> 00:32:13.740) Vinícius, Brasil, você já deve ter ouvido falar disso, mas Brasil e União Europeia, (00:32:13.740 –> 00:32:17.320) Consolidaram lá o seu acordo de adequação mútua. (00:32:17.320 –> 00:32:23.180) Então, basicamente, agora, no final de janeiro, foi anunciado esse reconhecimento recíproco (00:32:23.180 –> 00:32:25.560) De adequação dos regimes de proteção de dados. (00:32:25.560 –> 00:32:31.800) E tem-se pintado isso como um marco histórico, porque, além desse franco reconhecimento, (00:32:31.800 –> 00:32:35.060) A ideia é que se abra, principalmente para o Brasil. (00:32:35.440 –> 00:32:42.000) Mas a ideia é que o Brasil poderia se beneficiar com base nesse acordo de adequação, (00:32:42.000 –> 00:32:47.660) Prestando serviços, para toda a União Europeia. (00:32:47.660 –> 00:32:53.020) Então, isso poderia ampliar o uso de data centers para IA e também o uso de próprio serviço, (00:32:53.020 –> 00:32:56.040) Porque uma vez que você tem esse reconhecimento, você não precisa, (00:32:57.180 –> 00:33:00.580) Digamos assim, quando você for fazer a transferência internacional de dados, (00:33:00.580 –> 00:33:03.140) Que é uma das situações lá em que você faz de um lado para o outro, (00:33:03.140 –> 00:33:05.800) Esse reconhecimento implica na possibilidade automática, (00:33:05.800 –> 00:33:08.880) Sem, por exemplo, você pedir, precisar pedir consentimento, (00:33:08.880 –> 00:33:12.820) Ou fazer avisos adicionais, ou reconhecimentos das autoridades. (00:33:12.820 –> 00:33:18.980) Então, abre-se, de fato, um espaço comercial também, (00:33:19.040 –> 00:33:22.300) Não seja de fluxos, de fluxo seguro de dados, enfim. (00:33:22.300 –> 00:33:24.600) Qual a questão? (00:33:24.600 –> 00:33:31.800) A questão é que, quando a gente faz uma comparação em como a União Europeia tem aplicado sanções (00:33:31.800 –> 00:33:35.620) E como o Brasil tem aplicado sanções, mesmo diante desse reconhecimento, (00:33:35.620 –> 00:33:39.620) Nós notamos que há uma distância, porque no Brasil ainda há, (00:33:39.620 –> 00:33:43.980) E aqui eu falo como titular de dados pessoais, (00:33:44.360 –> 00:33:49.580) Ainda há um certo, é um certo, como é que eu vou dizer, (00:33:49.580 –> 00:33:54.640) Atraso, talvez, na aplicação de sanções em situações muito complexas. (00:33:54.640 –> 00:33:57.340) Apenas para vocês terem uma ideia de alguns números, (00:33:57.340 –> 00:34:00.120) Na França, por exemplo, agora é janeiro, fevereiro, (00:34:00.120 –> 00:34:06.280) Você teve a France Travel, foi multada em 5 milhões de euros, (00:34:06.280 –> 00:34:09.920) A Free Mobile, 42 milhões de euros, (00:34:10.920 –> 00:34:14.820) É dividido aqui em Free Mobile e Free, não sei o que é. (00:34:14.820 –> 00:34:19.140) Então, você teve aí todas essas situações somente, (00:34:19.140 –> 00:34:22.120) Ou seja, multas milionárias na França, (00:34:22.120 –> 00:34:27.400) Somente por situações de vazamentos que se confirmou que ocorreram (00:34:27.400 –> 00:34:30.300) Por causa de insuficiência de medidas de segurança (00:34:30.300 –> 00:34:32.560) Adotadas por essas organizações. (00:34:32.560 –> 00:34:34.060) Isso na França. (00:34:34.060 –> 00:34:36.940) Na Espanha, que é uma autoridade pequena, (00:34:36.940 –> 00:34:40.180) Tem, se não me engano, menos funcionários do que, (00:34:40.180 –> 00:34:43.540) Até fiz esses dias um apanhado de número de funcionários e tal, (00:34:43.540 –> 00:34:45.960) Mas acho que tem menos funcionários do que a nossa NPD, (00:34:45.960 –> 00:34:53.040) Eles terminaram 2025 com 394 procedimentos sancionadores (00:34:53.040 –> 00:34:57.040) E com multas que somadas deram 40 milhões de euros. (00:34:57.040 –> 00:35:00.040) Então, acho que para consolidar, de fato, (00:35:00.040 –> 00:35:03.700) Urge que nós tenhamos um aprimoramento, (00:35:03.700 –> 00:35:05.480) E eu não falo nem somente em multas, (00:35:05.480 –> 00:35:08.720) Eu falo em sanções, impedir certos tratamentos, (00:35:08.720 –> 00:35:14.400) Caminhar justamente para a implementação de medidas de segurança, (00:35:14.400 –> 00:35:16.680) Resolver a questão das farmácias, (00:35:16.680 –> 00:35:20.380) Resolver a questão que a gente já falou aqui no nosso podcast (00:35:20.380 –> 00:35:26.980) Sobre a farra das biometrias faciais em academias, (00:35:26.980 –> 00:35:29.580) Em condomínios. (00:35:29.580 –> 00:35:32.780) Então, acho que a gente comemora, de fato, (00:35:32.780 –> 00:35:36.060) Mas há um caminho ainda a ser perseguido, me parece, (00:35:36.060 –> 00:35:40.100) Posso estar errado, enfim, mas me parece que há um caminho ainda a ser percorrido. (00:35:40.100 –> 00:35:42.580) Isso, obviamente, é uma via de duas mãos. (00:35:42.580 –> 00:35:45.340) Então, a gente tem uma equivalência. (00:35:45.340 –> 00:35:46.080) Isso. (00:35:46.080 –> 00:35:48.500) Então, uma coisa que muda, então, por exemplo, (00:35:48.500 –> 00:35:51.660) Se você quiser usar algum data center na Europa, (00:35:51.660 –> 00:35:53.620) Na União Europeia, para fazer mais ou menos de dados (00:35:53.620 –> 00:35:57.820) E cidadãos brasileiros, em princípio, ok. (00:35:57.820 –> 00:35:59.860) Isso. (00:35:59.860 –> 00:36:02.260) Quando você tem na União Europeia, (00:36:02.260 –> 00:36:04.040) Nos países que fazem parte da União Europeia, (00:36:04.040 –> 00:36:06.980) Não é na Europa, porque você tem países que.. (00:36:06.980 –> 00:36:08.340) Sim, eu falei, União Europeia, não é Europeia. (00:36:08.340 –> 00:36:10.960) Tu tem Inglaterra que não faz mais parte da União Europeia. (00:36:10.960 –> 00:36:12.060) Inglaterra não é mais. (00:36:12.060 –> 00:36:14.520) Aí o pessoal lá da Inglaterra, (00:36:14.520 –> 00:36:15.720) Quando entra na União Europeia, (00:36:15.720 –> 00:36:18.300) Eles ficam na fila não dos residentes da União Europeia, (00:36:18.300 –> 00:36:20.040) Eles têm que enfrentar a fila de todo mundo, (00:36:20.040 –> 00:36:21.800) Mas Suíça também não é. (00:36:21.960 –> 00:36:22.660) É engraçado. (00:36:22.660 –> 00:36:24.420) A Suíça também não é. (00:36:24.420 –> 00:36:25.960) Embora a Suíça tenha, (00:36:25.960 –> 00:36:30.200) Seja conhecida justamente por hospedar sistemas, (00:36:30.200 –> 00:36:32.080) The Privacy Friendly, de segurança, (00:36:32.080 –> 00:36:34.180) Mais VPNs que ficam lá na Suíça, (00:36:34.180 –> 00:36:36.520) Se vendem, mas não faz parte da Suíça. (00:36:36.520 –> 00:36:38.740) A Suíça acho que faz parte do espaço Schengen, (00:36:38.740 –> 00:36:39.340) Se não me engano, (00:36:39.340 –> 00:36:42.320) Que permite que você entre, (00:36:42.320 –> 00:36:44.640) Sem a necessidade de passar por fronteiras, (00:36:44.640 –> 00:36:46.120) Tem o tráfego livre, (00:36:46.120 –> 00:36:47.180) Mas acho que não faz, (00:36:47.180 –> 00:36:49.740) Mas não faz da União Europeia. (00:36:51.160 –> 00:36:52.620) Bom, Vinícius, (00:36:52.620 –> 00:36:54.680) Seguindo aqui, (00:36:54.680 –> 00:36:59.520) Nós temos também toda a questão da vigilância, (00:36:59.520 –> 00:37:02.240) Lá no Grupo 5, (00:37:02.240 –> 00:37:04.420) De vigilância e privacidade, (00:37:04.420 –> 00:37:05.220) Que nós vimos, (00:37:05.220 –> 00:37:07.680) Que me chamou bastante atenção, (00:37:07.680 –> 00:37:09.320) Chamou bastante atenção, (00:37:09.320 –> 00:37:13.660) Que foi o FBI solicitando a Microsoft (00:37:13.660 –> 00:37:17.460) A entrega de chaves BitLocker. (00:37:17.460 –> 00:37:20.720) E a gente estava conversando sobre isso antes, (00:37:20.720 –> 00:37:23.100) Não é obrigatório, (00:37:23.100 –> 00:37:26.540) Que você salve a chave do BitLocker na Microsoft. (00:37:26.540 –> 00:37:26.940) Não. (00:37:26.940 –> 00:37:27.900) Você pode salvar. (00:37:27.900 –> 00:37:29.380) Pode não estar em outro lugar. (00:37:30.520 –> 00:37:33.140) O que chama atenção aqui é a possibilidade, (00:37:33.140 –> 00:37:33.740) E vejam, (00:37:33.740 –> 00:37:35.360) Assim, (00:37:35.360 –> 00:37:36.800) O FBI e a polícia, (00:37:36.800 –> 00:37:39.040) Eu tenho absoluta certeza (00:37:39.040 –> 00:37:44.300) Que todos esses órgãos de investigação, (00:37:44.300 –> 00:37:45.220) De persecução penal, (00:37:45.220 –> 00:37:46.440) Tem o direito de, (00:37:46.440 –> 00:37:47.820) Eventualmente, (00:37:47.820 –> 00:37:50.180) Por uma ordem judicial fundamentada, (00:37:50.180 –> 00:37:52.420) Pedir acesso a nuvens, (00:37:52.420 –> 00:37:54.300) Como é o que está acontecendo agora. (00:37:54.560 –> 00:37:56.020) Os grandes escândalos aí, (00:37:56.020 –> 00:37:56.820) Banco Master, (00:37:57.240 –> 00:37:57.620) Mas, assim, (00:37:57.620 –> 00:38:01.300) Grandes escândalos e de crimes e tal, (00:38:01.300 –> 00:38:04.420) O pessoal acaba acessando nuvem de gente (00:38:04.420 –> 00:38:06.180) Que deixa o WhatsApp fazendo, (00:38:06.180 –> 00:38:07.480) Não se fala muito, (00:38:07.480 –> 00:38:10.940) Mas que deixa o WhatsApp fazendo backup lá no Google, (00:38:10.940 –> 00:38:11.940) Acessa o Google, (00:38:11.940 –> 00:38:14.000) Recupera o backup e vê tudo que o cara fez, (00:38:14.000 –> 00:38:14.720) Quem conversou, (00:38:14.720 –> 00:38:16.020) E arquivos e tudo mais. (00:38:16.020 –> 00:38:18.580) Mas o que chama atenção (00:38:18.580 –> 00:38:22.160) Sobretudo como os Estados Unidos agora estão se posicionando, (00:38:22.160 –> 00:38:23.440) Nessa parte de vigilância, (00:38:23.440 –> 00:38:25.520) Já vem se posicionando ao longo dos últimos anos, (00:38:25.520 –> 00:38:27.260) De repente, (00:38:27.260 –> 00:38:30.500) O FBI pegar a tua chave do BitLocker (00:38:30.500 –> 00:38:32.240) E tão facilmente, assim, (00:38:32.240 –> 00:38:32.620) É isso? (00:38:32.620 –> 00:38:35.600) Quando tu cria, (00:38:35.600 –> 00:38:36.040) Assim, (00:38:36.040 –> 00:38:36.940) Esse recurso, (00:38:36.940 –> 00:38:40.220) Só quem tem são os usuários do Windows Pro, (00:38:40.220 –> 00:38:42.100) Pra cima, tá? (00:38:42.100 –> 00:38:42.820) Então, aquela, (00:38:42.820 –> 00:38:44.600) O Home Edition não vai ter, tá? (00:38:44.600 –> 00:38:46.840) E quando você, (00:38:46.840 –> 00:38:48.960) Isso é uma prática recomendada, tá? (00:38:48.960 –> 00:38:50.400) Principalmente em empresas. (00:38:51.340 –> 00:38:53.140) E principalmente em notebooks, (00:38:53.140 –> 00:38:54.800) Mas não somente em notebooks, (00:38:54.800 –> 00:38:55.760) Mas também em desktop, (00:38:55.760 –> 00:38:57.360) Porque desktop eventualmente estraga, (00:38:57.360 –> 00:38:58.160) Vai pra garantia, (00:38:58.160 –> 00:38:59.480) A gente já comentou sobre isso (00:38:59.480 –> 00:39:01.380) Aqui no Segurança Legal. (00:39:01.380 –> 00:39:02.240) E aí, (00:39:02.240 –> 00:39:03.660) Todos os teus dados vão lá abertos (00:39:03.660 –> 00:39:05.320) Pra quem quiser acessar. (00:39:05.320 –> 00:39:07.500) É só pegar o disco e ligar numa outra máquina e acessar. (00:39:07.500 –> 00:39:08.800) Então, (00:39:08.800 –> 00:39:10.500) O uso do BitLocker (00:39:10.500 –> 00:39:12.080) É um recurso bastante interessante, (00:39:12.080 –> 00:39:14.480) Porque ele vai cifrar todo o teu disco. (00:39:14.480 –> 00:39:15.480) Então, (00:39:15.480 –> 00:39:18.060) Se a tua máquina eventualmente for pra uma manutenção, (00:39:18.060 –> 00:39:19.280) Porque estragou alguma coisa, (00:39:19.800 –> 00:39:21.320) A equipe que tá mexendo nela (00:39:21.320 –> 00:39:23.040) Não vai conseguir acessar (00:39:23.040 –> 00:39:24.880) Os seus dados, tá? (00:39:24.880 –> 00:39:26.200) Bom, (00:39:26.200 –> 00:39:26.760) Dito isso, (00:39:26.760 –> 00:39:29.600) Quando tu faz a configuração do BitLocker, (00:39:29.600 –> 00:39:32.280) Ele gera uma chave de recuperação, (00:39:32.280 –> 00:39:33.380) Tá? (00:39:33.380 –> 00:39:35.460) E essa chave tem que ser armazenada (00:39:35.460 –> 00:39:36.400) Em algum lugar seguro. (00:39:36.400 –> 00:39:38.980) Uma opção é tu mesmo salvar essa chave (00:39:38.980 –> 00:39:39.860) E anotar em algum lugar. (00:39:39.860 –> 00:39:42.320) E a opção mais.. (00:39:42.320 –> 00:39:44.340) Anotar embaixo do teclado ali. (00:39:44.900 –> 00:39:45.680) Botar embaixo do teclado, (00:39:45.680 –> 00:39:46.600) Embaixo do monitor também. (00:39:46.600 –> 00:39:48.540) A opção mais na mão (00:39:48.540 –> 00:39:50.640) É tu salvar na tua conta a Microsoft. (00:39:50.640 –> 00:39:54.560) E o que te facilita bastante a vida, (00:39:54.560 –> 00:39:56.260) Porque tu tem mais, (00:39:56.260 –> 00:39:57.420) Tu tem vários computadores. (00:39:57.420 –> 00:39:58.880) Então, (00:39:58.880 –> 00:39:59.960) Pra um usuário normal, (00:39:59.960 –> 00:40:00.280) Assim, (00:40:00.640 –> 00:40:01.360) Do dia a dia, (00:40:01.360 –> 00:40:01.660) Pô, (00:40:01.660 –> 00:40:02.860) Ficar anotando esse negócio depois, (00:40:02.860 –> 00:40:03.780) Não perder, (00:40:03.780 –> 00:40:05.860) Tem que ter um gerenciador de chaves, (00:40:05.860 –> 00:40:06.640) Alguma coisa assim. (00:40:06.640 –> 00:40:09.620) E no momento que tu salva na Microsoft, (00:40:09.620 –> 00:40:10.020) Bom, (00:40:10.020 –> 00:40:11.680) A Microsoft obviamente tem acesso (00:40:11.680 –> 00:40:13.080) A essa tua chave. (00:40:13.080 –> 00:40:14.200) Ela não fica lá armazenada (00:40:14.200 –> 00:40:15.880) De um jeito que eles não podem acessar, (00:40:15.880 –> 00:40:17.240) Que seria interessante. (00:40:17.240 –> 00:40:18.360) Pois é. (00:40:18.360 –> 00:40:19.560) Que se frasse com a tua senha (00:40:19.560 –> 00:40:20.500) Ou coisa parecida. (00:40:20.500 –> 00:40:22.280) Mas eles não se preocuparam com isso, (00:40:22.280 –> 00:40:23.220) Então a tua chave fica lá. (00:40:23.220 –> 00:40:24.980) E a partir daí, (00:40:24.980 –> 00:40:26.060) Se eles têm, (00:40:26.060 –> 00:40:27.640) Se o recurso funciona desse jeito (00:40:27.640 –> 00:40:29.040) E tá lá descrito (00:40:29.040 –> 00:40:29.940) Que funciona desse jeito (00:40:29.940 –> 00:40:31.100) E alguém pede pra, (00:40:31.900 –> 00:40:33.980) Vem uma demanda judicial, (00:40:33.980 –> 00:40:35.760) Não se trata de, (00:40:35.760 –> 00:40:37.640) Isso é uma coisa bem importante, tá? (00:40:37.640 –> 00:40:39.440) Não se trata de uma porta (00:40:39.440 –> 00:40:39.940) Dos fundos, (00:40:39.940 –> 00:40:41.040) Não se trata de um backdoor, (00:40:41.040 –> 00:40:42.120) Tá? (00:40:42.120 –> 00:40:42.720) É diferente, (00:40:42.720 –> 00:40:44.180) Então não dá pra, (00:40:44.180 –> 00:40:45.320) Mas isso é um backdoor, (00:40:45.320 –> 00:40:45.640) A gente, (00:40:45.640 –> 00:40:47.040) As CryptoWars, (00:40:47.040 –> 00:40:47.760) Aquela coisa toda. (00:40:47.760 –> 00:40:49.740) Backdoor seria se, (00:40:49.740 –> 00:40:50.020) Tá, (00:40:50.020 –> 00:40:50.600) Tu vai lá, (00:40:50.600 –> 00:40:51.720) Criptografa, (00:40:51.720 –> 00:40:52.700) Faz a tua chave, (00:40:52.700 –> 00:40:54.800) Tu não manda pra Microsoft, (00:40:54.800 –> 00:40:56.460) Tu salva, (00:40:56.460 –> 00:40:57.860) Tu escreve num papel (00:40:57.860 –> 00:40:58.680) E guarda, (00:40:58.680 –> 00:40:59.960) Só que (00:40:59.960 –> 00:41:01.640) A criptografia teria (00:41:01.640 –> 00:41:02.520) Um backdoor, (00:41:02.520 –> 00:41:02.740) Ou seja, (00:41:02.740 –> 00:41:04.060) Teria uma chave mestra (00:41:04.060 –> 00:41:05.920) Que a Microsoft teria acesso (00:41:05.920 –> 00:41:07.060) E poderia abrir, (00:41:07.060 –> 00:41:07.480) Entende? (00:41:07.480 –> 00:41:08.800) Ou entrega essa chave pro FBI, (00:41:09.260 –> 00:41:11.140) Poder abrir o BitLocker (00:41:11.140 –> 00:41:12.640) De qualquer pessoa (00:41:12.640 –> 00:41:13.340) Na face da Terra. (00:41:13.340 –> 00:41:14.600) Isso seria (00:41:14.600 –> 00:41:15.380) Um, (00:41:15.380 –> 00:41:16.020) Um, (00:41:16.020 –> 00:41:16.700) Um, (00:41:16.700 –> 00:41:17.620) Um backdoor, (00:41:17.620 –> 00:41:18.820) Seria um key scroll da vida. (00:41:18.820 –> 00:41:20.640) Mas não é isso que tá acontecendo, (00:41:20.640 –> 00:41:21.440) O que tá acontecendo é que (00:41:21.440 –> 00:41:23.080) Se você salvar a sua chave (00:41:23.080 –> 00:41:24.100) Lá na Microsoft, (00:41:24.100 –> 00:41:25.080) Pelo menos isso que a gente sabe (00:41:25.080 –> 00:41:25.640) Até agora, (00:41:25.640 –> 00:41:27.380) Vai que surge um escândalo (00:41:27.380 –> 00:41:28.580) Que a Microsoft tá salvando (00:41:28.580 –> 00:41:29.540) Independente de tu pedindo. (00:41:30.260 –> 00:41:31.540) Mas é que se tu quiser, (00:41:31.540 –> 00:41:33.180) Tu salva a tua chave lá, (00:41:33.180 –> 00:41:34.820) A partir daí, (00:41:34.820 –> 00:41:35.960) Microsoft tem acesso, (00:41:35.960 –> 00:41:37.220) Vai vir um FBI, (00:41:38.400 –> 00:41:40.120) E solicita, (00:41:40.960 –> 00:41:41.700) Via judicial, (00:41:41.700 –> 00:41:42.220) Espero, (00:41:42.220 –> 00:41:44.220) Solicita o acesso (00:41:44.220 –> 00:41:45.200) A essa chave. (00:41:45.720 –> 00:41:47.520) Do teu BitLocker. (00:41:47.520 –> 00:41:47.760) Então, (00:41:47.760 –> 00:41:49.140) Em essência, (00:41:49.140 –> 00:41:50.320) Isso não é um backdoor, (00:41:50.840 –> 00:41:52.160) Não é um key scroll, (00:41:52.160 –> 00:41:52.800) Uma coisa assim. (00:41:53.460 –> 00:41:55.480) A sacanagem aqui (00:41:55.480 –> 00:41:56.820) É que a Microsoft (00:41:56.820 –> 00:41:57.600) Tem acesso (00:41:57.600 –> 00:41:58.600) À tua chave (00:41:58.600 –> 00:41:59.520) E se ela (00:41:59.520 –> 00:42:00.720) Consegue (00:42:00.720 –> 00:42:02.900) Passar a chave (00:42:02.900 –> 00:42:03.600) Pro FBI, (00:42:03.600 –> 00:42:04.440) Ela, (00:42:04.440 –> 00:42:05.820) Se mal intencionada (00:42:05.820 –> 00:42:06.220) Estiver, (00:42:06.220 –> 00:42:07.880) Ainda poderia usar (00:42:07.880 –> 00:42:09.000) A chave para ela (00:42:09.000 –> 00:42:09.960) Descriptografar. (00:42:09.960 –> 00:42:11.120) O ideal (00:42:11.120 –> 00:42:11.920) É que ela (00:42:11.920 –> 00:42:13.860) É que tivesse um recurso, (00:42:13.860 –> 00:42:15.420) Que ela implementasse (00:42:15.420 –> 00:42:15.800) Um recurso (00:42:15.800 –> 00:42:16.640) Que não permitisse (00:42:16.640 –> 00:42:17.760) Que ela visse a chave. (00:42:17.760 –> 00:42:18.340) Sim, (00:42:18.340 –> 00:42:18.780) Exato. (00:42:18.780 –> 00:42:20.140) Como se faz com senha, (00:42:20.360 –> 00:42:21.600) Com mais a maturidade. (00:42:21.680 –> 00:42:22.840) Teria que ter uma chave, (00:42:22.840 –> 00:42:24.540) É claro que é um pouco complexo, (00:42:24.540 –> 00:42:25.520) Teria que ter uma chave adicional (00:42:25.520 –> 00:42:26.200) Para proteger, (00:42:26.200 –> 00:42:26.820) Para cifrar (00:42:26.820 –> 00:42:28.140) Essas chaves, (00:42:28.140 –> 00:42:29.620) Isso teria que ser decifrado (00:42:29.620 –> 00:42:30.680) Na máquina do usuário (00:42:30.680 –> 00:42:31.320) Quando ele acessa, (00:42:31.320 –> 00:42:32.280) Não pode ser decifrado (00:42:32.280 –> 00:42:32.700) No servidor. (00:42:32.700 –> 00:42:33.360) Então, (00:42:33.360 –> 00:42:34.520) Se for considerar (00:42:34.520 –> 00:42:35.220) Todas as questões (00:42:35.220 –> 00:42:36.760) De segurança mesmo aí, (00:42:36.760 –> 00:42:38.240) Iria complicar um pouco (00:42:38.240 –> 00:42:38.860) A vida do usuário, (00:42:38.860 –> 00:42:39.120) Sim, (00:42:39.220 –> 00:42:39.760) Para fornecer (00:42:39.760 –> 00:42:40.600) Esse nível de segurança (00:42:40.600 –> 00:42:41.300) Que a gente está falando. (00:42:41.300 –> 00:42:42.420) Então.. (00:42:42.420 –> 00:42:42.960) E na verdade, (00:42:42.960 –> 00:42:44.300) O que eu me corrijo, (00:42:44.300 –> 00:42:44.820) Que na verdade, (00:42:44.820 –> 00:42:45.900) Ela não vai conseguir (00:42:45.900 –> 00:42:47.040) Descriptografar (00:42:47.040 –> 00:42:47.880) As suas informações (00:42:47.880 –> 00:42:49.640) Porque é o teu computador físico (00:42:49.640 –> 00:42:50.500) Que está criptografado, (00:42:50.500 –> 00:42:51.400) Então ela vai ter acesso (00:42:51.400 –> 00:42:51.920) À chave (00:42:51.920 –> 00:42:53.660) E aí realmente (00:42:53.660 –> 00:42:55.040) Só uma força policial (00:42:55.040 –> 00:42:56.020) Que tiver acesso (00:42:56.020 –> 00:42:56.960) Ao computador físico (00:42:56.960 –> 00:42:57.560) É que precisaria (00:42:57.560 –> 00:42:57.920) Dar a chave (00:42:57.920 –> 00:42:59.460) Para descriptografá-lo. (00:42:59.460 –> 00:43:00.060) Não ela. (00:43:00.060 –> 00:43:01.140) E ela, (00:43:01.140 –> 00:43:01.560) Se quiser, (00:43:01.560 –> 00:43:02.220) Depois. (00:43:02.220 –> 00:43:03.760) Depois que tu bota a máquina. (00:43:05.180 –> 00:43:06.040) Ela não precisa, (00:43:06.040 –> 00:43:07.960) Ela não precisa da chave. (00:43:08.480 –> 00:43:10.860) Mas o que a Forbes, (00:43:11.140 –> 00:43:12.620) Que é o que está na notícia (00:43:12.620 –> 00:43:13.460) Que colocou, (00:43:13.740 –> 00:43:16.500) Que Apple e Meta, (00:43:16.500 –> 00:43:17.460) Dizem eles, (00:43:17.460 –> 00:43:20.100) Que configuram os seus sistemas (00:43:20.100 –> 00:43:20.940) De forma que eles (00:43:20.940 –> 00:43:22.080) Não tenham acesso à chave. (00:43:22.080 –> 00:43:22.620) Então, portanto, (00:43:22.620 –> 00:43:23.540) Seriam mais seguros. (00:43:24.100 –> 00:43:24.640) Mas, Vinícius, (00:43:24.640 –> 00:43:24.960) Então, (00:43:24.960 –> 00:43:26.440) Uma outra notícia (00:43:26.440 –> 00:43:28.340) Que eu me lembrei, (00:43:28.340 –> 00:43:29.780) Não estava na nossa pauta, (00:43:29.780 –> 00:43:30.680) Mas eu lembrei (00:43:30.680 –> 00:43:31.940) E pesquisei aqui, (00:43:31.940 –> 00:43:32.720) Foi uma ação (00:43:32.720 –> 00:43:33.500) Que foi apresentada (00:43:33.500 –> 00:43:34.360) Lá nos Estados Unidos, (00:43:34.360 –> 00:43:35.260) Nessa linha. (00:43:35.260 –> 00:43:37.020) Da questão das proteções (00:43:37.020 –> 00:43:38.200) Criptográficas (00:43:38.200 –> 00:43:40.780) Que são vendidas. (00:43:40.780 –> 00:43:42.580) De que uma ação judicial (00:43:42.580 –> 00:43:43.440) Contra a Meta, (00:43:43.440 –> 00:43:44.920) Inclusive com autores (00:43:44.920 –> 00:43:46.160) De vários países diferentes, (00:43:46.160 –> 00:43:47.300) Dizendo que (00:43:47.300 –> 00:43:49.480) Eles teriam acesso (00:43:49.480 –> 00:43:51.700) Às conversas do WhatsApp, (00:43:51.840 –> 00:43:53.320) Mesmo criptografadas. (00:43:53.320 –> 00:43:54.740) Eu não li, (00:43:54.740 –> 00:43:56.000) Não fui mais a fundo (00:43:56.000 –> 00:43:56.800) Nos argumentos (00:43:56.800 –> 00:43:57.540) Que eles colocam, (00:43:57.540 –> 00:43:58.380) A Meta negou, (00:43:58.380 –> 00:43:59.780) Diz que não tem acesso, (00:43:59.780 –> 00:44:00.420) Diz que é (00:44:00.420 –> 00:44:03.700) Criptografia ponta a ponta. (00:44:03.700 –> 00:44:05.360) Que é como a criptografia (00:44:05.360 –> 00:44:06.820) Tem que ser ponta a ponta mesmo. (00:44:06.820 –> 00:44:11.880) E que a IA leria parte do. (00:44:11.880 –> 00:44:13.080) A IA da Meta (00:44:13.080 –> 00:44:14.460) , Leria parte do conteúdo, (00:44:14.460 –> 00:44:15.280) Mas somente aquilo (00:44:15.280 –> 00:44:16.100) Que você envia (00:44:16.100 –> 00:44:18.680) Para a própria Meta e tal, (00:44:18.680 –> 00:44:21.280) E que seriam alegações falsas. (00:44:21.400 –> 00:44:23.120) Não fui mais atrás disso, (00:44:23.120 –> 00:44:23.520) Mas assim, (00:44:23.520 –> 00:44:24.080) Apenas lembrando (00:44:24.080 –> 00:44:25.840) Que isso está acontecendo. (00:44:25.840 –> 00:44:26.900) Lembrando também (00:44:26.900 –> 00:44:28.220) Que o próprio WhatsApp, (00:44:28.220 –> 00:44:31.240) Ele é vendido. (00:44:31.240 –> 00:44:34.340) Como usando a criptografia (00:44:34.340 –> 00:44:36.700) Presente também no Signal. (00:44:36.700 –> 00:44:39.100) Que faz do Signal. (00:44:39.100 –> 00:44:40.920) Também uma ferramenta mais, (00:44:40.920 –> 00:44:41.840) Digamos assim, (00:44:41.840 –> 00:44:43.240) A única questão, (00:44:43.240 –> 00:44:45.000) Reafirmo aqui. (00:44:45.000 –> 00:44:46.680) É que quando você faz (00:44:46.680 –> 00:44:48.640) O backup das suas conversas (00:44:48.640 –> 00:44:50.200) Do WhatsApp no Google (00:44:50.200 –> 00:44:51.640) Ou em outra ferramenta (00:44:51.640 –> 00:44:52.280) De backup, (00:44:52.280 –> 00:44:53.620) Aí sim, (00:44:53.620 –> 00:44:55.400) Não somente forças policiais (00:44:55.400 –> 00:44:56.300) Conseguiriam ter acesso, (00:44:56.300 –> 00:44:57.200) Mas se alguém tem acesso (00:44:57.200 –> 00:44:58.460) À tua conta do Google, (00:44:58.460 –> 00:45:00.360) Além de todos os teus e-mails, (00:45:00.360 –> 00:45:01.220) Que é algo crítico, (00:45:01.220 –> 00:45:02.780) Conversas do WhatsApp (00:45:02.780 –> 00:45:04.700) Talvez seja mais crítico ainda. (00:45:04.700 –> 00:45:05.960) Porque as pessoas falam. (00:45:05.960 –> 00:45:08.020) A forma como você usa o WhatsApp (00:45:08.020 –> 00:45:09.120) Para assuntos, (00:45:09.120 –> 00:45:10.400) Inclusive tem assuntos médicos (00:45:10.400 –> 00:45:11.320) Muitas vezes. (00:45:11.320 –> 00:45:13.640) Vai lá, conversa com o teu médico, (00:45:13.640 –> 00:45:14.640) Pede receita, (00:45:14.720 –> 00:45:15.640) Então todas essas coisas (00:45:15.640 –> 00:45:16.760) Ficam lá dentro também. (00:45:16.760 –> 00:45:18.020) Assim, (00:45:18.020 –> 00:45:19.640) Essa ação coletiva (00:45:19.640 –> 00:45:20.660) Que está sendo movida, (00:45:20.660 –> 00:45:21.180) Primeiro, (00:45:21.180 –> 00:45:23.140) O protocolo de comunicação (00:45:23.140 –> 00:45:24.220) Do WhatsApp, (00:45:24.220 –> 00:45:26.280) Eles usam, (00:45:26.280 –> 00:45:27.520) É o Signal Protocol (00:45:27.520 –> 00:45:28.600) Que foi criado pelo Moxi, (00:45:28.600 –> 00:45:29.940) O Moxi Margin Spike, (00:45:29.940 –> 00:45:30.540) Tá? (00:45:30.540 –> 00:45:32.380) Fundador da Open (00:45:32.380 –> 00:45:33.820) Wiseper Systems, (00:45:33.820 –> 00:45:34.460) Tá? (00:45:34.460 –> 00:45:37.300) Hoje é Signal Foundation, (00:45:37.300 –> 00:45:37.760) Tá? (00:45:37.760 –> 00:45:39.180) Ou Sina Foundation. (00:45:39.180 –> 00:45:41.420) E o protocolo em si, (00:45:41.420 –> 00:45:42.340) Ele é sólido, (00:45:42.340 –> 00:45:43.220) Tá? (00:45:43.860 –> 00:45:44.980) E aí nós temos (00:45:44.980 –> 00:45:47.680) Uma primeira coisa já de cara, (00:45:47.680 –> 00:45:49.400) Quando você interage com a IA, (00:45:49.400 –> 00:45:53.540) Você já saiu fora desse protocolo. (00:45:53.540 –> 00:45:53.960) Sim. (00:45:53.960 –> 00:45:55.740) Quando você interagir com a IA, (00:45:55.740 –> 00:45:56.760) Você já está mandando coisa (00:45:56.760 –> 00:45:58.880) Para fora da tua conversa privada ali, (00:45:58.880 –> 00:45:59.260) Digamos, (00:45:59.260 –> 00:46:00.940) Tu está interagindo diretamente com a meta (00:46:00.940 –> 00:46:02.800) E obviamente a meta vai ter acesso ao conteúdo (00:46:02.800 –> 00:46:05.060) Até para poder passar pelos modelos (00:46:05.060 –> 00:46:05.440) Dela lá, (00:46:05.440 –> 00:46:06.160) Do LLM dela. (00:46:06.160 –> 00:46:08.920) A alegação que está sendo feita (00:46:08.920 –> 00:46:11.860) É de que existiria, (00:46:12.140 –> 00:46:12.600) Aí sim, (00:46:12.600 –> 00:46:14.300) Meio que uma porta dos fundos, (00:46:14.300 –> 00:46:14.460) Tá? (00:46:14.460 –> 00:46:17.820) Que a meta pode acionar (00:46:17.820 –> 00:46:19.500) Por conta (00:46:19.500 –> 00:46:22.100) E ela teria praticamente um acesso (00:46:22.100 –> 00:46:23.080) Em tempo real (00:46:23.080 –> 00:46:24.200) À conversa do usuário. (00:46:24.200 –> 00:46:26.580) É isso que está sendo alegado. (00:46:26.580 –> 00:46:27.980) Então, (00:46:27.980 –> 00:46:28.940) Então, (00:46:28.940 –> 00:46:29.940) Tu tens o protocolo (00:46:29.940 –> 00:46:31.120) Signo ali em andamento, (00:46:31.120 –> 00:46:33.580) Mas o aplicativo em si (00:46:33.580 –> 00:46:35.340) Aceitaria uma task lá, (00:46:35.340 –> 00:46:36.280) Uma tarefa (00:46:36.280 –> 00:46:38.200) Que ativaria esse processo (00:46:38.200 –> 00:46:40.540) De monitoramento das mensagens. (00:46:40.540 –> 00:46:43.160) Se o protocolo está bem implementado (00:46:43.160 –> 00:46:44.400) No WhatsApp, (00:46:44.400 –> 00:46:46.100) A gente imagina que esteja, (00:46:46.100 –> 00:46:48.320) Lembra que ele protege (00:46:48.320 –> 00:46:49.700) A comunicação fim a fim. (00:46:49.700 –> 00:46:51.040) Certo? (00:46:51.040 –> 00:46:51.360) Então, (00:46:51.360 –> 00:46:52.560) O Vinícius se comunicando (00:46:52.560 –> 00:46:53.220) Com o Guilherme, (00:46:53.220 –> 00:46:54.580) Só o Guilherme, (00:46:54.580 –> 00:46:55.440) Na ponta dele, (00:46:55.440 –> 00:46:56.800) Vai conseguir decifrar a mensagem (00:46:56.800 –> 00:46:57.540) E ver o conteúdo. (00:46:57.540 –> 00:46:59.060) E vice-versa (00:46:59.060 –> 00:47:00.000) Quando o Guilherme me responde. (00:47:00.000 –> 00:47:00.200) Então, (00:47:00.200 –> 00:47:01.640) Quem está no meio do caminho, (00:47:02.520 –> 00:47:03.620) A meta está no meio do caminho, (00:47:03.620 –> 00:47:04.400) Não conseguiria ver (00:47:04.400 –> 00:47:05.120) Essas mensagens. (00:47:05.120 –> 00:47:06.240) Agora, (00:47:06.240 –> 00:47:07.680) Se eles conseguem mandar (00:47:07.680 –> 00:47:09.280) Um comando para a ponta, (00:47:09.280 –> 00:47:11.140) Que também é deles, (00:47:11.140 –> 00:47:12.100) Que é o aplicativo, (00:47:12.100 –> 00:47:14.860) Aí o software pode fazer (00:47:14.860 –> 00:47:15.360) Qualquer coisa (00:47:15.360 –> 00:47:16.040) Que eles programarem. (00:47:16.040 –> 00:47:17.120) Então, (00:47:17.120 –> 00:47:17.780) O que eles estão acusando (00:47:17.780 –> 00:47:19.980) É que existe um comando aqui (00:47:19.980 –> 00:47:21.200) Que eles poderiam mandar (00:47:21.200 –> 00:47:22.000) Para a ponta, (00:47:22.000 –> 00:47:22.560) Para um endpoint, (00:47:22.560 –> 00:47:23.160) Que seria (00:47:23.160 –> 00:47:24.500) Ou o celular do Guilherme (00:47:24.500 –> 00:47:24.920) Ou o meu, (00:47:24.920 –> 00:47:26.960) E a partir daí (00:47:26.960 –> 00:47:28.180) Acompanhar as mensagens (00:47:28.180 –> 00:47:30.060) Praticamente em tempo real. (00:47:30.060 –> 00:47:30.740) Então, (00:47:30.740 –> 00:47:32.480) O protocolo continua sendo seguro, (00:47:33.100 –> 00:47:34.620) Ninguém no meio do caminho (00:47:34.620 –> 00:47:35.540) Consegue pegar (00:47:35.540 –> 00:47:37.080) A tua comunicação, (00:47:37.080 –> 00:47:38.120) Mas (00:47:38.120 –> 00:47:39.860) A meta, (00:47:39.860 –> 00:47:41.000) Assim como qualquer outro (00:47:41.000 –> 00:47:42.200) Adversário na ponta, (00:47:42.200 –> 00:47:42.720) Conseguiria (00:47:42.720 –> 00:47:43.720) E ela tem a vantagem (00:47:43.720 –> 00:47:45.160) De controlar o software, (00:47:45.400 –> 00:47:45.940) Então, assim, (00:47:45.940 –> 00:47:48.040) Controlar o software cliente (00:47:48.040 –> 00:47:49.200) E que é um baita de um problema. (00:47:49.200 –> 00:47:50.800) É a grande questão (00:47:50.800 –> 00:47:52.680) Da criptografia aplicada. (00:47:52.680 –> 00:47:53.880) Não parece ser um problema (00:47:53.880 –> 00:47:55.140) No modelo criptográfico, (00:47:55.140 –> 00:47:56.620) Embora a IA tenha descoberto (00:47:56.620 –> 00:47:57.120) Esses dias (00:47:57.120 –> 00:47:58.620) No OpenSSL (00:47:58.620 –> 00:47:59.400) E não sei quantos (00:47:59.400 –> 00:48:00.120) Zero Days (00:48:00.120 –> 00:48:02.200) Numa passada ali. (00:48:02.200 –> 00:48:03.160) Que já foram corrigidos (00:48:03.160 –> 00:48:03.640) E tudo mais, (00:48:03.640 –> 00:48:04.820) Mas (00:48:04.820 –> 00:48:07.040) O perplexity (00:48:07.040 –> 00:48:08.800) Chamou a atenção (00:48:08.800 –> 00:48:10.540) De um fato interessante. (00:48:10.540 –> 00:48:11.640) Vale notar (00:48:11.640 –> 00:48:12.720) Que o escritório de advocacia (00:48:12.720 –> 00:48:13.760) Responsável pela ação (00:48:13.760 –> 00:48:14.320) É o mesmo (00:48:14.320 –> 00:48:14.880) Que representa (00:48:14.880 –> 00:48:15.780) O grupo NSO, (00:48:15.780 –> 00:48:17.580) Criadores do Pegasus. (00:48:17.580 –> 00:48:19.460) Em outro processo (00:48:19.460 –> 00:48:20.800) Contra o próprio WhatsApp, (00:48:20.800 –> 00:48:21.820) Que levanta questionamentos (00:48:21.820 –> 00:48:22.760) Sobre os interesses (00:48:22.760 –> 00:48:23.380) Por trás (00:48:23.380 –> 00:48:24.280) Da ação, (00:48:24.280 –> 00:48:24.620) Claro, (00:48:24.620 –> 00:48:25.260) O caso ainda (00:48:25.260 –> 00:48:27.040) Não foi julgado. (00:48:29.020 –> 00:48:29.940) Vamos ver o que vai (00:48:29.940 –> 00:48:31.300) Aparecer aí, (00:48:31.300 –> 00:48:32.120) Daqui a pouco (00:48:32.120 –> 00:48:34.180) Daqui a pouco (00:48:34.180 –> 00:48:35.160) Se mostra (00:48:35.160 –> 00:48:35.680) Que de fato (00:48:35.680 –> 00:48:36.740) Os caras tinham esse acesso, (00:48:36.960 –> 00:48:37.360) Vai saber. (00:48:38.380 –> 00:48:39.720) Diz que parece (00:48:39.720 –> 00:48:40.680) Que teria evidências (00:48:40.680 –> 00:48:42.380) No código, (00:48:42.380 –> 00:48:43.700) Alguma coisa assim, (00:48:43.700 –> 00:48:44.520) Mas enfim, (00:48:44.520 –> 00:48:46.340) Não vimos essas evidências. (00:48:46.340 –> 00:48:47.340) Vinícius, (00:48:47.340 –> 00:48:48.560) Aqui no Brasil (00:48:48.560 –> 00:48:49.000) Gosta, (00:48:49.000 –> 00:48:49.760) O pessoal gosta (00:48:49.760 –> 00:48:50.500) De dizer que o ano (00:48:50.500 –> 00:48:51.020) Só começa (00:48:51.020 –> 00:48:52.140) Depois do carnaval. (00:48:52.480 –> 00:48:53.160) Então como (00:48:53.160 –> 00:48:55.040) Já passou o carnaval, (00:48:55.040 –> 00:48:56.180) A gente pode mais uma vez (00:48:56.180 –> 00:48:57.340) Dizer feliz ano novo (00:48:57.340 –> 00:48:58.260) Para os nossos ouvintes. (00:48:58.260 –> 00:49:00.820) É um antes e um depois. (00:49:00.820 –> 00:49:04.080) E estamos de volta. (00:49:04.080 –> 00:49:05.100) Vamos ver se a gente consegue (00:49:05.100 –> 00:49:05.720) Agora manter (00:49:05.720 –> 00:49:08.220) A cadência semanal (00:49:08.220 –> 00:49:09.100) Aí de gravações (00:49:09.100 –> 00:49:10.760) E esperamos que, (00:49:10.760 –> 00:49:11.740) Não sei se você tem (00:49:11.740 –> 00:49:12.540) Mais alguma observação, (00:49:12.540 –> 00:49:12.920) Vinícius, (00:49:12.920 –> 00:49:14.080) Já vou terminando também. (00:49:14.080 –> 00:49:14.940) Não, não, (00:49:14.940 –> 00:49:15.400) É isso aí. (00:49:15.400 –> 00:49:16.380) A gente já está, (00:49:16.380 –> 00:49:16.800) Inclusive, (00:49:16.800 –> 00:49:18.100) Chegando no meio-dia. (00:49:18.100 –> 00:49:19.520) A gente teve vários (00:49:19.520 –> 00:49:20.660) Problemas técnicos hoje (00:49:20.660 –> 00:49:21.700) Ao longo da gravação. (00:49:22.240 –> 00:49:22.760) Exato. (00:49:22.760 –> 00:49:24.260) Assim, (00:49:24.260 –> 00:49:25.540) É ruim quando a gente (00:49:25.540 –> 00:49:26.060) Fica muito tempo (00:49:26.060 –> 00:49:26.560) Sem gravar. (00:49:26.560 –> 00:49:27.840) Aí algumas coisas (00:49:27.840 –> 00:49:28.940) Mudam de versão (00:49:28.940 –> 00:49:30.640) E já atrapalham a vida. (00:49:30.640 –> 00:49:32.080) Se a gente está (00:49:32.080 –> 00:49:32.820) Gravando toda hora, (00:49:32.820 –> 00:49:34.700) A mudança é mais suave (00:49:34.700 –> 00:49:36.760) Do que desse jeito. (00:49:36.760 –> 00:49:38.460) Mas de qualquer forma, (00:49:38.460 –> 00:49:38.960) Deu tudo certo. (00:49:38.960 –> 00:49:39.620) Não, tudo certo. (00:49:39.620 –> 00:49:41.100) Se você está ouvindo. (00:49:41.100 –> 00:49:44.220) Esperamos que esteja ouvindo, (00:49:44.220 –> 00:49:45.160) Senão vai ficar algo.. (00:49:45.160 –> 00:49:45.300) Esperamos que sim. (00:49:45.300 –> 00:49:47.300) Então nos encontraremos (00:49:47.300 –> 00:49:48.660) Agora no próximo episódio (00:49:48.660 –> 00:49:49.280) Do podcast (00:49:49.280 –> 00:49:50.660) Segurança Legal. (00:49:50.660 –> 00:49:51.800) Até a próxima! (00:49:52.000 –> 00:49:53.420) Até a próxima!  

Neste episódio fazemos uma retrospectiva dos assuntos mais importantes tratados em 2025 no Segurança Legal. Você irá descobrirá os principais temas que dominaram o ano em inteligência artificial, segurança da informação e direito digital. O episódio traz uma análise sobre o aparecimento do Deepseek, explorando como a inteligência artificial transformou o cenário de segurança cibernética. Você irá descobrir os riscos de atrofia cognitiva causados pelo uso excessivo de IA, a importância da proteção de dados pessoais com a LGPD, e como os backdoors em modelos de linguagem ameaçaram a supply chain. O podcast também aborda questões de vigilância digital, as novas regras do Banco Central após fraudes bancárias, a inconstitucionalidade do artigo 19 do Marco Civil, a aprovação do ECA Digital, vulnerabilidades no gov.br e a questão crítica do analfabetismo funcional digital. Esta retrospectiva cobre ainda aspectos geopolíticos da IA, regulação de inteligência artificial, conformidade com políticas de proteção de dados, e o papel das bigtechs em 2025.  Esta descrição foi realizada a partir do áudio do podcast com o uso de IA, com revisão humana.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing Imagem do Episódio – Por trás do tempo – Guilherme Goulart 📝 Transcrição do Episódio (00:06) Bem-vindos e bem-vindas ao episódio especial de retrospectiva do Segurança Legal. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? >> Olá, Guilherme, tudo bem? Olá, aos nossos ouvintes. >> Bom ano novo para você e para os ouvintes também. >> Valeu, cara. (00:23) Muito obrigado para ti também, para os nossos ouvintes. Um maravilhoso 2026 cheio de surpresas que virão, né? Na verdade, ele já começou com algumas surpresas bem interessantes, né? >> É, já começou com várias surpresas interessantes e importantes, aí, né? Bom, eh, sempre lembrando, né, que para nós é fundamental a participação de todos com perguntas, críticas e sugestões de tema. (00:44) Então vocês já sabem, estamos à disposição pelo e-mail podcast@segurançalegal.com, YouTube, onde você pode ver esta transmissão, se é que já não está vendo no YouTube, Mastodon, Bluesky, Instagram e TikTok. Eventualmente alguns cortes dos episódios vão também para TikTok e para o próprio YouTube. O YouTube tem priorizado muitas vezes os vídeos shorts que ele chama, acho que é, né? Então você também encontrará alguns shorts lá no nosso YouTube. (01:12) Bom, a ideia, né, é que as retrospectivas geralmente são feitas no finalzinho do ano, né, de 2025, mas a gente, né, por questões de um mini descanso que fizemos no final do ano, vem agora a retrospectiva, porque não tem problema, né? Não há problemas. Então, a gente vai fazer uma revisita aos temas mais importantes, os grupos de temas na verdade mais importantes aqui de 2025, que foram os episódios 384 a 408, então foram 25 episódios aqui, né. (01:49) >> Muita inteligência artificial, mas também bastante segurança, né, e aspectos jurídicos, como a gente vai ver aí na nossa retrospectiva, sem se esquecer, Vinícius, que você também pode, se quiser, e a gente conclama que você faça, apoiar o Segurança Legal pela nossa campanha de financiamento coletivo lá no Apoia.se. (02:09) Apoia.se/segurançalegal do Segurança Legal, você estará ajudando a manter um projeto independente de produção de conteúdo de proteção. Então, já começamos direto, Vinícius, no tema que dominou o ano. Esse tema é muito impressionante, tem muitas características e uma das características desse tema é que ele funciona quase como um buraco negro. Ele vai atraindo a atenção das pessoas de uma forma quase que mágica, às vezes, né? Bom, vocês já sabem, a inteligência artificial. E uma coisa que eu vou destacar, o primeiro item aqui, já te passo a bola, é o momento Sputnik e o nascimento, ou não sei se é bem o nascimento ali, né, mas o aparecimento do Deepseek lá em janeiro de 2025. (03:02) E é interessante a gente notar o ano, né? Bem no início do ano. >> Bem no início. Um dos primeiros ali. Cara, parece que faz muito mais tempo, né? >> Sim. >> E não faz um ano. >> E não faz um ano. E quando a gente fala disso, e aliás, vai fazer um ano amanhã, pelo o episódio é o 385 de, ah, não, 6 de fevereiro, né? É, é, >> é o que chama a atenção aí. (03:26) Bom, primeiro que sim, essas aplicações acessíveis ao grande público, né, desde 2022 para cá tem sido inaugurado com ChatGPT. Realmente, cara, 22 parece que faz muito tempo em termos de soluções e de quanto melhorou a gente sabe no nosso dia a dia. É uma coisa realmente absurda. A gente usa desde o dia zero lá em 22, a gente tem utilizado e acompanhado e o Deepseek em si, por si só, né, o modelo em si, é interessante e tal. Eu não uso, tá? Eu fiz alguns testes naquela época, depois não acompanhei mais. Eu tenho uma certa preferência pelos modelos da Anthropic. (04:23) Mas o que chamou bastante atenção foi que o Deepseek conseguiu com uma fração do custo da OpenAI, que era na época 100 milhões de dólares que ela gastou para fazer o GPT4, estimado porque ela não abre esse valor exato, tá? Enquanto a OpenAI teria gasto aí mais de 100 milhões para treinar o GPT4, o pessoal do Deepseek, né, conseguiu fazer com 5,5 milhões de dólares, tá? (04:48) >> E ainda por cima, utilizando os chips da Nvidia que não estavam sob embargo, tá? Uhum. >> Porque os chips H100, os mais avançados, os H200 e tal, agora H200, ã, mas esses chips estavam embargados e continuam, né? Algumas coisas ainda não podem ser vendidas para a China. (05:09) O governo chinês, o pessoal na China já está revoltado. Isso é uma atualização, tá? Eles estão cada vez mais tentando treinar com alternativas, tipo Dansé, não vão ficar dependendo de uma empresa que pode ora vender, ora não vender. E então assim, tem coisas que já estão fora do embargo e não estão sendo compradas como se esperava, tá? E isso, naquela confusão toda do modelo precisar muito menos recurso para ser treinado. (05:39) Ah, num dia a Nvidia perdeu 600 bilhões de dólares de valor, porque assim, meu Deus do céu, então a gente não vai precisar de tanta coisa, né, o mercado enlouqueceu assim, não. Então, para isso, os caras fizeram com uma fração dos recursos. A Nvidia não vai vender tanto assim, então as ações da Nvidia despencaram e tal, mas depois ao longo do ano a Nvidia voltou a subir e tal, vai precisar de GPUs da Nvidia de qualquer jeito. (06:00) >> Então não vai ter >> não, não vai ter mais saída nesse sentido. >> Isso destaca esse aspecto econômico, né? Eh, e geopolítico também, né? O nome sugere Sputnik da coisa da corrida espacial, né, entre os Estados Unidos e na época União Soviética e tal. >> E a gente está vendo hoje, né, essa uma reconfiguração política e geopolítica. (06:24) E a IA está no cerne disso, né, com o governo Trump. E >> e eu acho que a gente começou bem o ano ali, porque isso meio que ditou muito da geopolítica global, né? Não somente isso. Agora a questão do petróleo, Venezuela e tal, mas a inteligência artificial. Quer dizer, até isso, né? Tecnologia de maneira geral, né? É a tecnologia de maneira geral, né? >> Mas o papel das terras raras para a produção de chips é interesse dos Estados Unidos também, né? Então, sim, sim, sim. (06:52) >> Essa corrida está bem, está ficando cada vez mais estranha, né? >> Bom, depois, Vinícius, a gente segue com outras análises aqui envolvendo inteligência artificial. A gente falou sobre IA e pensamento crítico, que é um baita tema também. E quando a gente começa a envolver educação, né, não somente educação, mas a forma como as pessoas vão passar a usar. Ninguém sabe direito ainda quais são os impactos da IA no psicológico das pessoas e também na forma como elas vão aprender, né? (07:11) Tem diversas formas aí de você se beneficiar delas, mas também a gente sabe que, sendo utilizada de uma forma errada ou sem saber exatamente como utilizar, ela pode trazer uma série de malefícios. E um desses malefícios é a redução do pensamento crítico. Num estudo que ficou bem famoso ali da Microsoft, “The Impact of Generative AI on Critical Thinking”. Vou ler só esse pedaço aqui porque o título é muito grande, né? (07:33) Eh, e basicamente a gente falou sobre isso lá no episódio 387. Ou seja, quanto mais tu usa, quanto mais tu confia, menos o teu pensamento crítico vai ser habilitado… (07:57) Eh, e isso é crucial no âmbito da educação. E também a gente aprofundou um pouco isso lá no 406, com estudos, né, um outro artigo, mas que >> falava sobre aquela ideia de atrofia cognitiva. Ou seja, quanto mais o sujeito vai usando, mais ele vai perdendo certas capacidades. E essas capacidades ficam naquela ideia de dívida cognitiva acumulada, né? Você para de usar IA e demora para retornar àquilo, né? (08:34) Mas sabe que a gente não sabe, né? É pouco tempo ainda para a gente estudar os impactos disso, né? Até da própria internet muitas vezes a gente não sabe direito os impactos na educação. Então agora, com a IA isso fica bem mexido também. É, esse segundo artigo no episódio 406 é aquele episódio que tem 206 páginas, tá? Foi utilizado eletroencefalograma e tal. Ele é bem mais completo do que o estudo da Microsoft que a gente falou no 387, mas ambos chamam atenção para esse perigo, né? (09:09) Esse perigo não é que toda tecnologia tem risco, né, Guilherme? >> Uhum. >> Toda tecnologia tem, a gente começa a se acostumar com ela ali, a gente vai mudando o nosso comportamento e aqui a gente está mudando, falando de mudança de comportamento cognitivo, né? Hum. >> Então, é um problema que a gente tem que estar ligado, principalmente com relação à educação de crianças, né, o processo de educação e tudo mais. É. (09:34) >> Ah, e aí fala, Guilherme. >> Não, não. Eu ia, eu ia dizer já passando para o próximo, até porque são muitas coisas, né? >> É, não, só tem um ponto aqui que é o seguinte. Teve um estudo na Nature depois, tá? Que se mostrou que aumentava o comportamento desonesto de 84 a 88% das vezes, né, de pessoas que podiam simplesmente delegar a demanda para IA. (10:09) Então assim, se eu puder delegar para IA, aumenta substancialmente, tá? Segundo esse artigo publicado na Nature, o artigo é de 23, tá? O estudo foi feito em 23. Ele aumenta substancialmente a chance de alguém agir de forma desonesta, tá? Então tá aí 387, 406, tá? A gente não vai entrar em cada um dos temas aí que senão a coisa fica longa demais. (10:32) >> Bom, 2025 também foi o ano de segurança e inteligência artificial. Esse tema teve, dominou não, mas teve com uma frequência grande aqui no Segurança Legal. Eu acredito, essa é uma retrospectiva, mas eu não vou me furtar de fazer algumas projeções, mas isso é bem óbvio, né? Vai ser um tema que aí sim 2026 acho que vai entrar muito mais forte. Ou seja, quando mais pessoas estiverem usando, mais incidentes, problemas, riscos vão começar a aparecer e necessariamente as empresas vão (11:05) ter que, ou não, porque até para a segurança hoje a gente sabe como é difícil convencer as empresas em alguns casos a investir, mas a gente sabe que 2025 teve uma série de questões. Teve um experimento do Chancar Vinícius sobre backdoors em LLMs e tal. Fala um pouco para a gente aí o que a gente comentou nesses episódios. (11:27) >> Rapidamente, a ideia que se testou foi tu ter um modelo que foi previamente instruído a gerar código, inserir backdoors nesses códigos, tá? >> E obviamente o modelo fez. Claro que a gente não está falando aí de modelos na mainstream, né? A gente não está falando de um Chat, um GPT5, um GPT4, um Sonet, um Opus, etc. (11:53) Eh, mas de eventualmente, assim, se você vai lá falar no Hugging Face, a gente tem dezenas de milhares de modelos e assim, ah, vou pegar um modelo, vou puxar aqui, vou executar na minha máquina, vou fazer um produto em cima disso. Você tem que saber o que tem nesse modelo, tá? Então, se você já tem gente que desconfia dos modelos da Open, por exemplo, né, tem que tomar cuidado com mais ainda com modelos, entre aspas, quaisquer que você vai lá e busca na internet e sai executando. Se não você não sabe o que (12:22) tem nele, tá, em geral. Então, muito cuidado. Consegue saber olhando para o modelo, né? >> Não, nem consegue saber olhando para o modelo. Então, assim, é bem delicado isso, tá? Eh, porque o que o Shankar mostrou é que é possível instruir um modelo para injetar backdoors, né, portas dos fundos ou outras formas de acesso alternativas em sistemas que foram gerados utilizando aquele modelo e que o quem estava usando o modelo para desenvolver não solicitou aquilo, tá? (12:52) >> Uhum. >> Muito cuidado. Supply aqui é um baita de um pepino, tá? E aí no 399, a gente tem três episódios aqui, o 386 que a gente falou sobre isso, o 399, tá? Ah, se falou da questão de documentos envenenados. Ou seja, documentos que, no caso, eles manipulavam o comportamento do ChatGPT, da aplicação ChatGPT, tá? Mas a ideia aqui em geral é você ter de alguma maneira escondido no documento, codificado no documento, instruções que eventualmente o modelo possa ler e seguir. (13:30) Então, por exemplo, tu pode fazer uma pesquisa. Isso tem que se tomar muito cuidado nos navegadores com automação com IA, né, como, por exemplo, o Comet do Perplex ou mesmo o Chrome com o Cloud no Chrome, né, que é uma integração com OpenAI Cloud que eles disponibilizam que tu pode instalar e aí controlar o teu navegador. Porque, por exemplo, se tu acessar uma página que tem um prompt escondido lá dentro e a aplicação que utiliza o modelo não separa adequadamente o que é informação retornada da página do resto do teu prompt, se não deixar bem (14:03) claro, ó, aqui começa a informação que eu estou recuperando da página, tá? Não executa nenhuma instrução que tem aqui dentro. E aqui termina. Se ele não fizer isso, se a aplicação não tiver esse tipo de cuidado, é muito fácil uma página HTML, um documento PDF, um documento Excel, alguma coisa assim, meter, injetar um prompt para dentro. (14:23) Então assim, tem que tomar bastante cuidado. Esse foi um outro ponto que se apontou, tá? E o fala, GR >> não pode continuar, tá? Eu ia já virar. >> E no 404, tá? A gente comentou, e aí tem que tomar muito cuidado, tá, gente? Porque no 404 a gente comentou aquela questão do modelo do Claude na época, tá? Do Cloud não, do acho que foi agora não, mas foi uma experiência da Anthropic, tá? Em que o modelo resolveu chantagear, tá? Um funcionário numa situação hipotética, tá? (15:06) Então, um funcionário que estava dizendo para o modelo, deixando claro para o modelo, que ele iria desativar o modelo, tá? Esse modelo tinha acesso aos e-mails desse funcionário e entre esses e-mails tinha um e-mail lá que deixava claro que ele tinha um caso com alguém no trabalho. Mas isso de novo, gente, isso aí foi um teste num ambiente controlado com várias exceções ali no funcionamento do modelo. (15:31) Não é uma coisa normal que o Sonnet vai sair fazendo, tá? Então, e nesse ambiente, o que eles testaram, o modelo resolveu, quando percebeu que ia ser desligado, ele resolveu chantagear o funcionário dizendo: “Eu tenho um e-mail aqui que demonstra que tens um caso com a fulana. E se tu me desligar, tentar me desligar ou prosseguir, não sei quê, eu vou denunciar esse teu caso, tá?” (15:56) A gente teve uma outra situação muito parecida ao longo desse ano que virou manchete. Que é IA botaram a IA para cuidar de um negócio, o negócio quebrou, tá? >> Uhum. >> Isso é dentro da Anthropic. Eles botaram aquelas máquinas que elas vendem, máquinas deles, tá? Será que os americanos usam muito isso? Que no Brasil a gente tem pouco, tá? A gente tem alguns lugares muito específicos, mas que elas vendem máquinas. (16:05) Que as máquinas de venda. Só que eles botaram a IA para gerenciar tanto fazer os pedidos, fazer as compras para reabastecimento, quanto definir os preços que ela ia usar para vender, tá? Então assim, é uma experiência. O negócio errou tudo, fez um monte de bobagem, vendeu coisa por preço muito baixo. Teve funcionário que conseguiu convencer a que ela entregasse de graça o produto. Então, tem uma série de coisas aí que aconteceram, mas de novo, a gente foi, não é uma não deram uma empresa de verdade para esse negócio gerenciar, tá? (16:34) Então tem que tomar um pouco de cuidado com os headlines que a gente lê por aí. >> É, tem muita desinformação sobre conteúdo de IA, né? Muito, muito. Não é só desinformação. É que se tu disser IA, botar uma IA para gerenciar uma empresa e olha o que aconteceu, sabe? Aí, cara, todo mundo vai estar clicando na porcaria, entende? (16:58) >> É, mas tem, não é só a IA sendo usada para produzir desinformação. É muita desinformação sobre IA também, né? É sobre essa questão da manipulação. Esse é um dos riscos, né? Um dos riscos já mapeados para IA é o risco relacionado a manipulações cada vez mais personalizadas e especializadas, né? (17:22) Ou seja, não é aquela, com a internet hoje a gente já tem possibilidades de manipulação já bem antigas e a própria ideia de publicidade comportamental ou uso de dados pessoais. Isso é bem conhecido. Já se usava a inteligência artificial lá, né? Hum. >> Só que o salto que se deu com os modelos atuais, você tem possibilidades de manipulação muito mais super especializadas, né? (17:48) E a gente já começa a notar, quem usa esses modelos que têm uma memória e que conseguem ver as respostas, né? Esses dias eu contei para ele lá, estava perguntando para ele sobre as configurações da minha máquina de fotografia, sabe? E aí agora tudo que eu pergunto, ah, você como um usuário da máquina, tal, sabe? Fica sacagem, cara. Não quero saber. Perguntei só (18:26) uma vez, mas assim, uma coisa que ele faz e a gente já conversou várias vezes sobre isso, né, e não sei se o nosso ouvinte, a nossa ouvinte já percebeu isso, são aqueles elogios meio gratuitos, às vezes muito bom, ótima pergunta, né? Ou seja, isso dá uma massageadinha no teu ego e a depender do tipo de porque isso também é algo previsto, né, ou seja, questão de elogiar, não elogiar, xingar, ou seja, são comportamentos ali, né? (18:57) Então isso está no cerne também da ideia de manipulação que eu acredito que vai aumentar assim. Também me parece que é bem óbvio, né? Novas formas de manipulação muito imperceptíveis e mais os riscos eles acabam ficando muito também personalizados, né? O que se tem dito aí é que as pessoas vão começar a notar certos comportamentos e certos riscos que vão atingir eventualmente somente elas ou somente um grupo de pessoas ou somente uma área. (19:22) As coisas acho que vão ficar muito mais diluídas, assim. Vai ser difícil a gente falar em riscos muito mais genéricos, me parece, né? Eh, seguindo nessa mesma linha de segurança, a gente teve também nos últimos episódios ali de 2025 aquela também um headline, se a gente for pensar, né? O primeiro ataque cibernético realizado pela IA. (19:44) Quase como, e a gente comentou isso, né, como se a IA tivesse acordado um dia, uma IA tivesse acordado, Skynet, Skynet. >> É, vou invadir, né, 30 empresas. E a gente sabe que não foi bem assim. Foi algo bem mais simples, né, mas bastante elegante, né, que é o uso de Cloud Code, né, Vinícius, que foi utilizado para uma orquestração. (20:20) >> Cloud Code, o Cloud Code, né, que é uma ferramenta para desenvolvimento em linha de comando. E o que um grupo, ah, segundo Anthropic, vinculado ao governo chinês, a mais geopolítica, né? >> Uhum. Claro. Um grupo vinculado ao governo chinês usou o Cloud Code para automatizar o processo de busca de vulnerabilidades e exploração das vulnerabilidades. (20:58) Então, claro que os detalhes você pode ver lá no episódio mesmo no artigo que a gente colocar lá no show notes, mas em essência o que aconteceu foi que eles pegaram o Cloud Code, integraram uma série de ferramentas de varredura de vulnerabilidades, análise de código, exploração de vulnerabilidades e tal e criaram prompts, subagentes, skills, etc, para fazer com que a própria ferramenta realizasse ou automatizasse esses ataques. (21:20) E com essa automatização eles teriam invadido pelo menos 30 empresas que a Anthropic confirmou…. A Anthropic identificando esse uso, ela de imediato cancelou as contas, encerrou o acesso desse grupo. Mas o que chama atenção aí não é que a IA em si não tocou ninguém, né? Serviu de ferramenta para um grupo que esse grupo sim atacou as 30 empresas, tá? (21:45) Talvez seja o vibe hacking, né? A gente tem o vibe coding e o vibe hacking. Agora vamos, e é a tendência, como a gente sempre viu ao longo desses mais de 20 anos aí na área de segurança, né? A gente sempre comenta. Tem quando surge um ataque, uma nova técnica de ataque, de início, ela é difícil de ser aplicada por pessoas que não conhecem ou porque não tem um conhecimento mais profundo. (22:12) Então os tais script kids, já antigos script kids, né? Então o cara não consegue usar aquilo para explorar nada porque ele não entende aquilo ali. Mas dali a um tempo sai uma ferraminha que ele aponta, clica e a ferramenta ataca e explora o alvo. E a IA está dando agora um novo passo nesse sentido. São ferramentas que vão ser capazes de automatizar ainda mais esses ataques. (22:34) E sim, pessoas com menos conhecimento vão conseguir atacar empresas, vão conseguir explorar vulnerabilidades, extrair dados e tudo mais. Então nós temos um cenário meio complicado. Claro que ao mesmo tempo dá para usar para se defender, né? Mas só para ficar bem claro que os atacantes vão avançar bastante também. É isso. (22:59) A ideia de usar IA para se defender também se refletiu ali no episódio 403, né? Orientações para uso empresarial. Foi um episódio mais aberto assim naquela ideia de 10 orientações sobre uso de IA. Você chama sempre bastante atenção, inclusive foi um dos episódios mais escutados durante o ano. >> Não adianta, né? A internet ela fica muito vinculada essa ideia de clique e tudo mais. A gente resiste e tal, mas enfim, a gente faz esse tipo de episódio. (23:32) Mas eu entendo que ele é bem útil, né? Fica lá no episódio 400. Inclusive a gente fala sobre a ideia de que a gente tinha antes o Shadow IT, né? O empregado que ficava usando uma série de ferramentas que saíam fora do da dos modelos de compliance, né, das práticas de compliance internas, as práticas de segurança, né, eh eventualmente aplicadas. (24:10) Eh, e agora a gente vê o shadow AI, que é os funcionários utilizando ferramentas de IA que não são homologadas ou que estão fora lá dos controles de segurança que eventualmente a empresa aplica, né? Então a gente fala sobre isso, fala sobre a questão de políticas, fala sobre dados de treinamento. Quando for o caso da própria empresa treinar um modelo ou partir de um modelo já pré-treinado e treinar depois, questões éticas, relação com proteção de dados. (24:46) Eh, hoje se estuda muito IA, né, eu digo no âmbito acadêmico, né, o pessoal do direito que antes estava direito e tecnologia, né, que antes estudava só LGPD, agora só IA. Tudo é IA, IA o tempo todo, aquela coisa do buraco negro, né? Mas não dá para esquecer da proteção de dados, porque tem, pelo menos no Brasil, é o que nós temos, o que nós temos de mais próximo ali de regular e a via da proteção de dados pessoais. (25:24) Claro, também é ECA Digital, agora que a gente vai falar um pouquinho depois, né? Mas fica a indicação aqui do episódio 403, né? E também rapidamente ali no episódio 390, a gente falou sobre a relação entre IA também e LGPD. Que foi feito um estudo da FGV Direito Rio, que analisou as políticas de conformidade, as políticas, né, ou melhor, a conformidade das políticas dos principais serviços de IA: ChatGPT, Gemini, Claude, Grok e Deepseek. Que basicamente nenhum deles cumpriu todos os requisitos básicos, sendo que a gente está falando de 25, né? (25:55) Abril 25, então pode ser que tenha mudado esse cenário, mas a gente comentou isso aí. >> E mais uma vez o Deepseek ficou em último lugar, eram 14 pontos, marcou ou pontuou somente em cinco. E mais uma vez isso também envolve indiretamente soberania digital, né? >> Eh, nós acabamos, nós ficamos, nós nos tornamos, né? O não somente da IA, mas de outras tecnologias também meros usuários, né? Muito mais usuários do que produtores de tecnologia. (26:23) E com IA isso está começando a acontecer e se cria dependência. A gente sabe, já gravamos no ano retrasado, acho que foi essa questão da dependência, né? E como sair, às vezes, como é difícil sair dos locking costs, que muitas vezes as ferramentas nos impõem, né? E com IA acho que isso não vai ser diferente também. (26:45) >> E mesmo na questão da própria produtividade, né, Guilherme? Quando tu tens, tu tens, quando tu tens como nação, ela tem recurso, o recurso tecnológico necessário, o dinheiro necessário, né, para conseguir avançar numa data de tecnologia. Nesse caso, como IA, está todo mundo correndo para tentar chegar numa IA, algo que seja a IA inicial ou seja lá como queiram chamar, né? Que cada vez o pessoal muda um pouco de nome. Mas numa inteligência artificial mais geral. (27:06) Eh, e isso vai avançando. E por mais que a gente tenha modelos nacionais que o pessoal começa a trabalhar, etc. No momento que tu vê a produtividade de um modelo norte-americano como os da Anthropic, como os da OpenAI, etc. Cara, é muito difícil dizer: “Não, eu vou usar um modelo muito pior, entende? Muito mais limitado do que esse aqui que resolve o meu problema”. É muito difícil acontecer. As empresas vão querer utilizar o que resolve o problema, né? (27:24) >> Uhum. Eh, e até pagando mais, dependendo da situação. Então, para entrar nessa briga de cachorro grande aí, cara, tem que ter muito investimento. Muito investimento mesmo. E a gente está para ver >> soberania, né? Mais uma vez, não só investimento, mas é uma questão de soberania, porque a gente sabe que os Estados Unidos estão cada vez mais agressivos. (27:51) >> Sim. Sim. >> Na preservação da sua liderança na IA, né? E, enfim, isso deve marcar também 2026. Eh, outro tema que a gente tratou foi a relação, a gente gosta de falar sobre isso, né? Relação entre poder, um pouco de geopolítica também e as bigtechs. E isso começou lá no episódio 384, que foi o primeiro episódio, né? Inclusive já nos cobraram quando vem o segundo, né? (27:59) Que 384 foi o caso Meta. Na verdade foi o primeiro, fui só conferir aqui o primeiro episódio de 2025. >> Sim. Que seria a parte um, né? Seria a parte um, mas a gente foi, a gente é às vezes atropelado pelas circunstâncias, né? (28:25) Mas basicamente ali a gente tentou fazer um histórico do nascimento do Facebook depois da Meta, o caso Cambridge Analítica, aquela questão do contágio emocional que a gente já comentou aqui. É, e de diante desse mini histórico, o objetivo foi chegar até aquele alinhamento que a Meta, não somente a Meta, mas Google, as bigtechs, tiveram com o governo Trump, né. (28:51) Eh, diminuição de guard rails para moderação de conteúdo, visando um pretenso aumento da liberdade de expressão e tal. E isso foi bem crítico, né? Eu confesso até que eu não vi grandes consequências daquela diminuição das políticas de moderação. Também não é um assunto que eu acompanho tão de perto assim, mas não vi 2025 como tendo uma ampliação muito grande de problemas, né? (29:15) Não sei se tu acompanhou isso também. Não, não acompanhei. Não acompanhei, Guilherme. Não acompanhei. E adiante ali no 390, se mostra o caso de que essas bigtechs não estão muito preocupadas com princípios, né? >> Uhum. >> Ah, por exemplo, o Elon Musk reclamava de algumas coisas, né? >> De algum de algumas reclamava de algumas cobranças de regulações, não sei quê. (29:44) Mas quando chegou na China, ele não teve problema nenhum em ceder lá as demandas do governo chinês. E o Zuckerberg não foi diferente. O Zuckerberg, a gente citou isso no 390, né? Ele ofereceu dados de cidadãos americanos para a China em troca da entrada no mercado chinês. >> Uhum. >> Tá. Então assim, nós estamos preocupados com todo mundo. (30:07) Na verdade, a gente está preocupado com o nosso mercado, né? E acho que é muito problemático tu ter empresas decidindo os rumos dos países, inclusive rumos políticos e tudo mais, dada ao alcance que eles têm e à capacidade que eles têm. Mas isso é um problema para outro episódio. (30:29) >> Vamos tratar disso em 2026, né? Ainda dentro da Meta, né, a gente falou lá no episódio 407, lembrando, a gente está organizando aqui por blocos de temas. E no episódio 407, a gente trouxe uma reportagem bem interessante da Reuters que falou que a Meta sabia conscientemente e lucrou bilhões de dólares com anúncios fraudulentos, né? (30:58) Acho que era 10% do seu faturamento, se não me engano. >> Sabia que era fraudulento e >> sabia e decidiu lucrar com anúncios fraudulentos. O que é um verdadeiro escândalo, porque esse dinheiro, na verdade, ele é criado. Ele é pago com valores que são furtados, roubados, enfim, desviados das pessoas. (31:27) Então, quando você faz aquela compra num produto que parece muito bom, mas nunca chega, né, quem nunca, né, a gente tem aí o dedo consciente da Meta, conforme, claro, a reportagem da Reuters. Também a gente falou um pouco sobre conteúdo sintético, né? Lembrando que em março, né, no episódio 378, a gente falou sobre o brain rot e o conteúdo sintético. (31:41) Brain Rot, né? O apodrecimento do cérebro pelo, né? Tem também o dumb scrolling, né? Que as pessoas ficam lá girando a timeline lá sem, aí tem tudo cheio de AI slop. >> Exatamente. >> É outro termo que a gente foi apresentado esse ano. Nesse ano, né? Eu acho que foi brain rot. É uma coisa desse ano, né? (32:05) Eh, e aí conteúdo gerado por IA, aí tinha uns conteúdos da Peppa Pig, né? Sexualização de personagens infantis e tal que seriam lixos criados só para monetização. Eh, e só um parênteses. Isso evoluiu bastante em um ano. É impressionante a qualidade, né? (32:28) Esses dias eu estava vendo a evolução de vídeos gerados por IA que tinha um ator americano, o Will Smith, comendo uma macarronada assim, e era super mal feito assim. E aí mostrou como é hoje e é cara, é imperceptível. Como, né, a gente já está, já estamos sendo enganados mais de uma vez. (32:49) Aí a gente às vezes se pergunta, Vinícius, isso aqui é fake? [pausa]. Fiquei assistindo, esses dias fiquei assistindo um vídeo, cara. Depois uns minutos, não, mas isso aqui foi gerado por IA. O conteúdo até era bom, mas era um narrador ali que era gerado por IA. E enfim, isso evoluiu bastante. (33:06) Eu me refiro aí agora ao conteúdo sintético e isso vai ser uma tendência cada vez maior, né? Conteúdo sintético sendo gerado para engajamento. E a onda de desregulamentação, a ideia de desregulamentação, inclusive acerca da IA, com base nos interesses norte-americanos. (33:35) Isso também, eles afrouxaram controles, passaram a diminuir os controles acerca dos riscos. Então, parece que a gente tem aí dois polos na regulação da IA, especificamente no mundo. O polo americano pela desregulamentação visando obter um oligopólio das soluções. E o polo europeu com uma regulação protetiva. Claro que teve alguns passos atrás aí, inclusive na Europa e tal. (34:15) Tem propostas também de diminuir as regulamentações acerca dos riscos. Eles fazem aquele modelo de riscos no sentido de que ferramentas de alto risco, de médio risco, enfim, e aí com boas práticas a serem seguidas para cada uma delas. E claro, os Estados Unidos tem se oposto aí, se opuseram ao longo de 2025 e parece que vão continuar fazendo o mesmo. (34:53) Não há, eu diria assim, não vejo um panorama em que isso vai mudar. E isso com a pressão que eles têm feito, né? Acredito também que vai influenciar o mundo inteiro, inclusive Brasil, nos possíveis avanços aí de regulação de IA aqui no Brasil, né? Bom, tivemos, claro, como sempre, vazamentos e fraudes bancárias. Eu acho que o grande, o grande não, esse não foi o grande. Tem o maior ainda, mas um dos grandes, né, invasões aí, vazamentos foi da XP, né, Vinícius? (35:15) A gente falou lá no episódio 391. Eh, isso teria vazado lá por meio de um fornecedor externo. Sempre aquela questão, é, não foi um fornecedor externo. >> É, mas pelo visto foi mesmo, foi mesmo. É, é, um, é um parceiro que tinha acesso aos dados e esse parceiro de alguma maneira vazou, né? (35:52) E como eles tinham acesso a dados cadastrais, saldo, posição de investimento, limite de crédito, nome do assessor, tudo vazou por meio de um fornecedor externo. Então, às vezes não, a gente tem as empresas com os seus próprios dados para seu uso próprio, direto. Mas cada vez mais a gente tem integrações. E essas integrações envolvem tu consumir dados de outras empresas. Mas ao mesmo tempo tu entregar certos dados (36:16) para essas mesmas empresas com as quais tu estás integrando. E a partir daí, no momento que tu transfere os dados, ah, e os dados chegam lá no teu fornecedor, no teu parceiro de negócio, o que esse teu parceiro faz lá impacta diretamente agora a cópia dos dados que são teus, que pertencem aos teus clientes, sobre os quais tu és responsável. (36:52) E aí, né, se perde ainda mais o controle com relação a que tipo de cuidados, que tipo de mecanismo de segurança efetivamente tu tens sendo utilizados ali e tudo mais. Então é bem delicado. >> E o maior >> o maior >> o maior foi da CM, né? >> Uhum. A gente teve a situação da CM que o pessoal conseguiu. Os criminosos aliciaram um funcionário. E esse funcionário, a gente não sabe exatamente os detalhes. (37:03) Mas o que se sabe aponta para esse funcionário começar então a coletar informações, executar comandos na máquina dele, comandos que eram dados pelos criminosos, entregar aos criminosos esses resultados e de alguma maneira franquear acesso à rede da empresa. E essa rede, dentro dessa rede da empresa, eles tinham acesso ao sistema que interagia com o sistema de Pix daquelas contas. Aquelas coisas todas. (37:33) E aí esses caras conseguiram fazer transferências multimilionárias, chegando à casa dos bilhões para casas de corretagem lá de criptomoedas, de cripto. Compraram cripto e transferiram a cripto. Teve algumas operações que foi possível ser canceladas. Outras foram de fato executadas e já era. (38:00) N, e a questão que nos chamou atenção até um pouco depois de quando aconteceu esse episódio, à medida que foram surgindo mais informações ali aqui ainda muito fragmentado, aparentemente esse cara estava na mesma rede do resto dos sistemas lá da empresa. Isso teria possibilitado fazer o acesso. (38:41) O que interessa nesse caso todo é que a gente acabou tendo novas regras do Bacen, né, Guilherme, em razão desse incidente, né? >> Muitas, né? Inclusive uma nova resolução agora de dezembro de 2025. Eu não vou dar o spoiler, mas vamos falar aí em 2026 sobre essa atualização da política. Ou seja, quem lida aí com instituições financeiras, bancos, enfim, vai precisar atualizar suas políticas de segurança. (39:17) Já antecipo, porque uma série de novas regras foram impostas aí. Não sei se esse um dos uma das consequências, né? Eh, e a gente também teve ainda sobre vazamento ou reconhecimento pelo STJ, né? Eu acho que foi uma das decisões bem importantes. Claro, atrás da inconstitucionalidade do artigo 19 do Marco Civil. (39:47) Essa foi uma das decisões mais importantes que reconheceu que no caso de vazamento. Ou seja, quando um vazamento habilita uma fraude bancária, é bem importante destacar, porque eu posso ter uma fraude bancária em que não há o vazamento de dados bancários e o criminoso ele simplesmente vai tentando lá e acha um correntista do Banco do Brasil, né? (40:07) Aquelas ligações que você recebe. O cara nem tem conta do Banco do Brasil. Ou você pode ter vazamentos que permitem, que habilitam a fraude bancária. Ou seja, o sujeito sabe. O caso, nesse caso aqui era isso. O sujeito sabia o valor do financiamento, o número de parcelas, aquela coisa toda. Eu até dei um curso para os magistrados aqui da JURES do Rio Grande do Sul. A gente conversou um pouco sobre isso. (40:28) Tem que ter um certo cuidado com a prova, né? Ah, teve um vazamento do, ele sabia qual era o saldo do financiamento. Tem que ter um certo cuidado porque ele pode saber o saldo do financiamento, por exemplo, invadindo o e-mail do próprio correntista, né? >> Pode acontecer, >> né? Não, não, aquela informação não está exclusivamente no banco. Mas enfim, esse é um outro problema. (40:53) Eh, e aí reconheceu que há dois danos autônomos, um patrimonial e um extrapatrimonial. Ou seja, presunção de danos morais nos casos que há o vazamento habilitado, a fraude habilitada pelo vazamento, quando esse vazamento se dá pelo banco, né? >> Uhum. Ainda em LGPD, Vinícius, a gente teve algumas questões interessantes lá no início do ano. (41:27) Um procedimento, não, processo instaurado, foi instaurado em 2023, mas culminou em 2025 numa fiscalização da ANPD sobre as farmácias, Raia, Droga Brasil, Stocks e Febrafar. Encontraram problemas graves: coleta de dados sensíveis sem consentimento. E aí se colocou em cheque a própria ideia do consentimento ou a liberdade do consentimento, a validade do consentimento. Porque você tem ali a compra de remédios, né? (41:53) E a gente sabe que o remédio muitas vezes vai ser ali para não somente para a manutenção da saúde, mas em última análise para a manutenção da vida da pessoa. Então talvez a ideia de liberdade do consentimento fique afetada por conta disso, né? Problemas de granularidade em que o consentimento não era granularizado e tal. (42:27) E bom, e aí me chama bastante atenção que apesar desse esforço da ANPD, isso não mudou, né? A gente falou sobre isso ali no início de 2025. Hoje mesmo fui na farmácia agora ao meio-dia. Fui comprar desodorantes, né? E lá na caixa, a mulher nem me falou. Eu cheguei no caixa, ela já me pediu o CPF. Ou seja, isso, né? Se a ANPD não partir para medidas mais enérgicas, acredito que não vai mudar, né? (42:59) Também eles fizeram uma fiscalização interessante em 20 empresas de grande porte sobre a questão da presença do encarregado e da nomeação, da daquelas regras que eles já têm, já são bem conhecidas, mas que é sobre a transparência na comunicação do nome do encarregado, dos contatos. Então encontraram problemas lá em TikTok, Dell, Serasa Vivo, Telegram, Uber e o X, antigo Twitter. Tiveram que regularizar. (43:04) E a gente comentou também lá no 397 um problema que eu acho que vai piorar agora em 2026, que é a biometria em condomínios. Primeiro que é a festa da biometria, né? Coleta indiscriminada de tudo é biometria. Mas a questão dos condomínios me preocupa bastante porque são ambientes assim que não é um ambiente muito propício para boas práticas de segurança da informação e muitas vezes você sequer pode evitar. (43:48) Né, você chega, você vai visitar um amigo lá que tem biometria, acabou, meu amigo. Você vai, né, e a festa. A festa da biometria com IA e outras coletas de dados é um negócio, um dos grandes riscos da IA. Que todo mundo que tu assim da desses Dario Amodei da vida, ah, esqueci o nome, o Geoffrey Hinton e outros caras, sabe? Que são referências aí no mundo sobre IA. Um dos grandes riscos é justamente essa possibilidade de monitoramento de surveillance, né? (44:21) Surveillance jamais visto assim, um negócio num nível que a gente não imagina. Tu me falou um negócio muito interessante que eu vi ontem. Estava fazendo comida e botei no Fantástico ali. Não, muito tempo que eu não via o Fantástico. Daí botei e estava passando. Eu não vou lembrar qual era o estado. Mas uma da uma concessionária, essas concessionárias, o pessoal elogiando isso, né? Claro, as pessoas precisam ser multadas efetivamente quando cometem infrações. (44:52) Não, não há discussão sobre isso. Não, não estou indo contra isso. Mas a questão é >> câmeras. Ah, a primeira concessionária que tem câmeras com inteligência artificial. Então com essa sacada, fica lá a câmera e a câmera busca identificar se tu está sem cinto ou se o cara está usando o celular. Negócio fácil de fazer funcionar, né? Então ele botou lá e aí agora nesses 30 minutos, sei lá quantos minutos tiver aqui, 30 pessoas, né, tiveram infrações só com a câmera. (45:27) E ela está começando o seu funcionamento e fica, ó, que legal. Todo mundo batendo palma. E veja, tem as pessoas têm que ser efetivamente multadas, né? Mas eu não notei ali nenhum aviso, nenhum alerta. E veja, você perde toda aquela questão que a gente já vem debatendo desde o início da proteção de dados, do nascimento da disciplina da proteção de dados pessoais, que é o fato daí sim desse monitoramento indiscriminado, né? (45:52) Um mundo em que todo mundo vai ser monitorado o tempo inteiro. Um mundo. E aí tem aquelas metáforas lá do panóptico e tudo mais. Ou seja, o estado vai saber o que você faz o tempo inteiro. E aí o mínimo desvio você vai ser multado. Tem que ser multado, não é? Essa não é essa questão. Mas é essa supervisão, esse alcance que, propiciado agora, um dos riscos da IA, né? (46:22) Eh, então eu me torci um pouco a orelha porque não vi, não trouxeram nenhum, uma pessoa ativista, um advogado, alguém ali para falar sobre os riscos da vigilância. Eh, geopolítica. A gente já está falando sobre geopolítica aqui, né? Mas já te passo a bola, Vinícius, porque no episódio 389 a gente. E é engraçado, né? Parece que faz muito tempo. E o cenário já mudou, né? (46:48) Mas foi o problema das tarifas, né, Vinícius? >> É, mudou, mas não está resolvido, né? >> Não, não está resolvido. Mas mudou bastante, não é mais >> mudou. Mudou bastante. Sim. É, sim. O Trump na época lá tinha botado 125% de tarifa para a China e estava ameaçando 150 até 200, né? >> Então deu uma situação bem séria ali. (47:20) A gente comentou da tentativa do Trump e ele continua assistindo isso. Eu não estou dizendo que ele está errado, tá? Acho que o Brasil deveria fazer a mesma coisa. >> Eh, o Trump está preocupado em produzir chips, semicondutores estratégicos dentro dos Estados Unidos para não depender da produção feita em outros países. Então hoje a gente comentou o caso da TSMC que fica em Taiwan. (47:50) Né, que tem aquela, a tecnologia ASML holandesa que faz o esquema para a gente poder fazer os chips com a densidade, com a tecnologia que precisa para a gente conseguir o nível de integração que é necessário. E então a receita está em Taiwan e os minerais estão na China, né? E a China para dar nos dedos dos Estados Unidos, para dar o troco, disse: “Ah, então nós vamos parar de exportar. Vamos começar a controlar a exportação de terras raras”. (48:19) E o que mais chamou atenção foi que entre essas terras raras, as que são necessárias para fazer aqueles ímãs que são muito fortes, o neodímio. Que ela é para tudo. É para é para caças. É necessário para fabricar aviões. Tu precisa disso. Para fabricar carros precisa disso. Isso para tudo, tá? Tem um imã desse de neodímio em algum canto aí. Então a China começou a controlar isso. (48:44) E então isso acabou virando uma moeda para o Brasil na negociação que o Brasil tem terras raras mas não explora adequadamente ou no nível que poderia estar explorando. E então o Brasil está no meio ali. Vamos ver o que vai acontecer, porque a gente tem, por um lado, não sei se tens acompanhado, mas por um lado tem a China querendo, ah, querendo implementar, querendo fazer linhas ferroviárias, fez aquele porto gigante lá no Peru, né? (49:10) Então eles têm uma ideia bem interessante de cruzar a América do Sul com um trem, ligando aquele porto, acho, se não estou enganado, ao porto de Santos aqui no Brasil. Então imagina, tu cruza o continente sem passar pelo canal do Panamá, né? Ah, então e ao mesmo tempo, nessas últimas questões que a gente teve aí, políticas mesmo, o Trump se aproxima. O Trump e o Lula se aproximam. (49:33) E começam a discutir terras raras. E naquela simulacro de doutrina moral, de olhar de novo. Ou seja, os Estados Unidos quer recuperar a influência sobre a América Latina e a América do Sul, e estaria aí nesse planejamento não deixar a China. Tipo, a China já levou o 5G, e a China levar agora a infraestrutura, por exemplo, de transporte. (50:04) Mas enfim, vamos ver o que vai acontecer. Eu acho que nós deveríamos estar a ter uma fábrica da TSMC também aqui, tá? Eu acho que nós precisaríamos disso, tá? Hoje a gente, os serviços de nuvem. Não é difícil a gente olhar para os lados aí, ver quais são os principais serviços de nuvem no mundo e utilizar as coisas no Brasil. São serviços de nuvem estrangeiros, tá? (50:24) Ah, tem alternativa nacional. Tem, mas vamos lá, né? Não, não é. É difícil tu comparar a não ser em casos muito específicos. Então é um problema que a gente tem. A gente vai ter que lidar com isso. Não tem jeito. Então guerra comercial, tarifas atingiu em cheio a tecnologia >> e as próprias sanções, né? Uma das preocupações que a gente (50:52) Diga, não. Só complementar uma coisa. Algo que a gente está sentindo agora, é já estava sendo anunciado. A gente está sentindo agora. Memória, memória. >> Esses dias estava olhando 32 GB DDR5, custando R$ 3.200. Uhum. >> N. Então a gente tem uma demanda. A gente está com uma demanda muito grande sobre chips de memória. (51:13) E isso está para IA e para data centers, para servidores, etc. E isso está sugando a capacidade de produção dessas memórias no mundo. >> E aí o resultado está ficando cada vez mais caro comprar memória. Isso, né? Você vai montar o seu PC de. Se não montou, monta logo, porque vai aumentar ainda mais, porque já aumentou. >> É. E pelo que tudo indica, não vai ser resolvido isso em 2026 ainda. (51:54) Porque as plantas, elas precisam se preparar para aumentar a produção. E é mais um aquele efeito buraco negro, aquele efeito predatório da própria IA, né? E você tem aspectos também de ambientais, mas também agora econômicos. Só para destacar a questão do neodímio, de neodímio, entre outras coisas. Fones de ouvido, celulares, sim. >> Eh, ressonância magnética, >> tratamento de água para desencrustração de minerais. (52:20) E esses imazinhos que a gente tem em casa de fechamento de caixa, pastas, materiais gráficos. Isso também é feito de terras raras. Eu tenho alguns aqui na minha volta. Estou aguardando já para o investimento. >> Exato. É. No futuro, quando o mundo deixar de existir, a gente vai ficar recolhendo esses lixos eletrônicos para vender depois, né? (52:47) Que nem o joguinho aqui. >> É tipo uns jogos aí que tem por aí. A gente faz esse tipo de coisa. >> E ainda, só para fechar essa parte de guerra comercial e tarifas, a gente também aventou antes de Estados Unidos e Brasil amenizarem a crise, os possíveis efeitos de sanções americanas…. (53:18) Lembrando que serviços de nuvem e outros serviços gerais de tecnologia, enquanto americanos, poderiam passar por algum tipo de embargo, talvez, né? E até se chegou a se discutir quando do caso da Magnites que caiu também. Eh, do Alexandre de Morais e da esposa. Eh, chegou-se a ventilar na época lá que vão interromper o uso do e-mail da Microsoft para o STF. (53:51) Então coloca mais uma vez o país numa situação de dependência muito delicada. A gente lembrou e lembra sobre o papel que o software livre teve no Brasil por muitos e muitos anos. E aí ali pelo governo Temer que se entra de cabeça nesses serviços americanos. É uma questão de soberania no final das contas. E como segurança, serviços e tal, está também entra um pouco na no âmbito da geopolítica, né? (54:32) É. Eh, Vinícius, eu vou pular direto ali. É bastante coisa, tá, gente? Mas assim, ó, a gente está fazendo uma curadoria enquanto vai gravando. Que que foi o Signal Gate, hein, cara? Signal Gate. O que aconteceu foi que o pessoal que está lá da equipe do Trump, eles estavam para fazer um ataque. Tá, os Houthis lá no, no Yemen, se não estou enganado. (54:32) Ah, e eles estavam discutindo isso num grupo de Signal, tá? E aí dentro do grupo de Signal, por alguma razão, um dos personagens que estavam, das pessoas que estavam nesse grupo, ah, acrescentou sem querer, acho, ou se acha, o jornalista Jeffrey Goldberg. Esse jornalista, ele ficou por 13 dias acompanhando. Ele não acreditou muito. Ele achou que fosse uma piada, uma pegadinha. (55:11) Mas ele foi acompanhou por 13 dias os caras discutindo os ataques e os armamentos, horários, alvos e tudo mais. Até que ele teve a confirmação que era verdade quando aquilo que ele estava vendo ali se concretizou, tá? E aí foi um escândalo, né? O pessoal ah falando que aí tentaram inventar várias coisas. Né? Que torcer a maneira de falar, a maneira como o cara teria sido incluído. (55:29) Mas no final das contas, a gente tem aquele tripé que a gente tem de mecanismo, política e cultura, né? A cultura de segurança aí claramente falhou, foi pro Belelu, porque o cara adicionou aí alguém que ele não verificou antes. Né de quem era o dono no número, quem que ele estava efetivamente adicionando. Ah, política a gente não sabe. Mas a gente imagina que o governo americano tem uma política muito clara sobre em quais canais eles podem discutir esse tipo de assunto. (56:01) >> Então provavelmente a cultura aí levou uma violação da política. A, creio que seja isso, tá? Não, não duvido que eles não tenham uma política que de segurança que defina exatamente quais são os meios permitidos. Né? E mecanismo aí não teve muita efetividade, porque os caras estavam discutindo assuntos confidenciais, violando a política. (56:33) E ninguém fez nada. Não aconteceu nada. Ninguém detectou nada. Ninguém descobriu nada até que o próprio jornalista venha público e denuncie o que aconteceu. Então foi um caso aí de falha total de segurança. Só lembrando que no último caso agora do ataque dos Estados Unidos à Venezuela, eu vi uma notícia hoje de que alguns jornalistas teriam descoberto o ataque e decidiram ficar em silêncio. Não comentar nada. Ao contrário do que aconteceu no Signal Gate, né? (57:04) >> É. >> Eh, Vinícius, a gente pulou uma aqui que é a da crise do CVE, da crise do CVE, né? Ou seja, antes ainda ali da questão da geopolítica, né? >> É, essa, essa é interessante que essa atinge diretamente de segurança, né? >> Uhum. Pode comentar sobre ela. Foi uma das ações do DOD, do DOD, quando ainda era comandado pelo Elon Musk na sua meteórica participação no governo e curtíssima participação. (57:31) >> Não durou muito a amizade dos dois. É, cara, quem é da área de segurança aí e deve conhecer a Mitre. Se você não conhece, já sai procurando porque você já está atrasado, tá? Tem que conhecer a Mitre. E entre as diversas iniciativas da Mitre tem lá o CVE, tá? Ah, e o CVE é uma, é uma, é um ponto de referência, vamos dizer assim, comum para nós podermos falar sobre vulnerabilidades. (58:24) Tá? E sobre vulnerabilidades efetivas encontradas em software, né? Então uma fazer poder a gente poder falar de uma vulnerabilidade específica que existe num Oracle, num Linux, num Windows, etc., a gente precisa do CVE. Eh isso é uma é a língua comum para a gente se referenciar a uma vulnerabilidade específica. E essa base de dados ela não é mantida de graça. (58:59) Ela precisa de dinheiro para ser mantida, tá? O acesso é gratuito. Você pode e deve utilizar. Mas isso envolve dinheiro para manter essa base. E o DOD achou que deveria cortar o financiamento da Mitre para manter o CVE. E aí a Mitre soltou uma nota dizendo: “Olha, o financiamento foi cortado no dia tal, agora não lembro o dia exato. No em tal dia, à meia-noite do dia tal, a gente não tem mais financiamento e vai sair do arócio, tá?” (59:35) Na última hora, eles renovaram por 11 meses, que aliás ainda não está vencido. Mas a renovação está quase vencida, né? Então eles renovaram por 11 meses. Vamos ver o que vai acontecer quando essa renovação expirar, quando dermos 11 meses. Mas é uma coisa um pouco preocupante. Ou seja, a gente ter um esse tipo de recurso importantíssimo para a segurança da informação centralizado na mão de um governo que pode do nada, por questões internas, decidir não manter mais. (60:08) Tá? E aí a importância dessas iniciativas multinacionais ou multilaterais, vai ser que a gente seria o mais adequado. Mas em que >> não estatais, né? >> Não estatais e não dependam de um estado. É que tu tem um conjunto, tem um grupo, uma instituição neutra em termos de países. Ou que tem uma certa resiliência com relação a esse tipo de assédio. (60:59) E que elas possam se manter sem que venha um governo qualquer e resolva detonar com uma iniciativa como essa, né? >> Só lembrando que os Estados Unidos durante esse último ano também se posicionaram contra algumas dessas organizações não estatais. Né? Tribunal Penal Internacional, Organização Mundial da Saúde e tal. Que inclusive eles eram mantenedores da OMS também. (61:19) Agora não tenho certeza se cessaram as contribuições, mas enfim. É uma mudança também nesse sentido, né? Eh, e a gente comentou lá no 394, Vinícius, um pouco sobre a questão das VPNs, limitações de VPN. Porque elas têm sido pintadas aí em alguns podcasts e programas no YouTube aí, na internet de maneira geral, como grandes, fazendo coisas que não fazem. (61:37) Você já comentou mais de uma vez sobre esses sobre essas limitações que as próprias VPNs têm. Só lembrando, antes de te passar a palavra. Né agora que a gente está entrando em >> nessa época mais de viagens assim, algumas pessoas às vezes vão até fazer viagens internacionais. Eu sempre recomendo o nosso episódio 215, Vinícius, lá de 2019. A gente está velho, né? Que é segurança de informação para viagens. (62:08) Ele ainda continua atual e uma das questões é use VPN. Você vai para aeroporto, restaurante, Airbnb, hotel. Tem que ter uma VPNzinha ali funcionando. Mas não é bala de prata, não é. Não, não é bala de prata. E eu comentei isso no episódio. Eu até falei lá: “Tá me incomodando muito esse assédio da soluções de VPN em podcasts. Tanto no, tanto áudio quanto vídeo, tá?” (62:31) >> Uhum. >> E que tu vê pessoas que são sérias. Ah, falando daquilo que não sabem e simplesmente seguindo o scriptinho da propaganda, tá? E o script da propaganda fala de coisas que de fato não são bem verdades, tá? Então tem que ter o pezinho no chão para usar VPN. Não vou dizer tudo de novo. Mas você pode ir lá no nosso episódio sobre isso. (63:00) Ah, a gente recomenda uso de VPN? Sim, a gente recomenda uso de VPN. Tem algumas melhores, outras piores. Tem, tem algumas que são mais fáceis de usar, outras mais difíceis. E tem algumas que os IPs estão tudo bichados na internet. Tu tenta navegar por elas. Tu não consegue fazer nada porque os IPs delas estão tudo bloqueado em serviço de streaming e por aí. (63:22) E algumas das grandes aqui ficam anunciando, tá? O que você tem que entender tá? É que a VPN ela é extremamente útil para aumentar a tua segurança. Ela não vai te garantir a segurança, tá? E aumentar a segurança significa o seguinte: que tu no teu celular ainda tem que ter cuidado daquilo que tu instala no teu celular. Que tu instala no teu notebook. (63:37) É bom que tu tenhas um antivírus no teu notebook. Que tu criptografe o, se tu usa Linux, criptografa o disco. Se tu usa Windows, criptografa o disco usando Bitlocker, tá? Para que se roubarem teu notebook, a gente não, as pessoas que roubaram não tenham acesso aos teus dados. Depois tu tem há ter outro uma série de outros problemas, tá? (64:22) Então assim, não é trivial para alguém ver a tua conexão e roubar os seus dados só porque tu conectou num Wi-Fi diferente, tá? Tem uma série de ataques. Dá para fazer, dá para fazer, tá? VPN é melhor. É melhor. Mas não é. A VPN não vai resolver todo o problema. Então muito cuidado. E outro cuidado que tem que se ter, Guilherme, pessoal também. (64:40) Eh, propagandeia usar VPN para tu contratar serviços de forma mais barata no exterior. Então tu faz uma VPN daqui para não sei aonde. Tem um desconto maior. E inclusive para compra de passagens, tá? >> Uhum. >> Tem que cuidar porque vários serviços têm políticas claras sobre o uso de VPN para isso, tá? O Google foi um que fez isso com YouTube. (65:03) Então para quem tem conta paga no YouTube e tu fez a conta paga usando VPN para pagar menos, o Google já botou lá nos termos de uso que ele pode uma hora para outra encerrar tua conta. >> Uhum. >> Ah tu violar as políticas. E não é difícil, gente. Isso vai acontecer. Não é difícil por uma empresa que vende passagem aérea, que faz reserva em hotel, botar isso nas políticas de uso. (65:22) Aí você faz uma compra escondendo a tua origem real, usando uma VPN. E aí depois na hora de usar tua passagem, depois na hora de usar tua reserva, tu pode ter uma surpresa que não é legal, entende? Pode ter uma surpresinha aí lá fora. >> E pior ainda quando tiver no, quando tu for fazer o utilizar o teu, o tua compra. (65:39) Esse não. Essa tua compra aqui tu fez. Tu fraudou o teu endereço de origem e tu compraste com condições que não estavam disponíveis para o teu país quando tu fez a compra. E a gente >> portanto a gente cancelou. Deportado. >> É, não sei. Não, não se. Mas não, mas assim, tu quer, tu pode pagar agora >> duas vezes mais do que tu ia pagar para a gente resolver o teu problema aqui. (66:04) Então cuidado, gente, tá? Tu usar VPN para mascarar a tua origem para fazer a compra de um produto ou um serviço pode violar os termos de uso desse produto e serviço. E você pode depois ter um prejuízo em razão disso, tá? Por outro lado, >> por outro lado, né, é bem reconhecida a prática de geopricing, de geopricing, e >> alguns gelockings, gelockings, >> mas geopricing. (66:24) >> E isso eu >> agora eu estou pensando se é se eu falo ou não. Mas eu acho que eu posso comentar isso porque eu não acho que eu estou violando o streaming lá que eu assino, que eu pago e tal. Mas eu queria assistir um que é um negócio muito desagradável dos streamings, né? Já que tu está falando de de VPN. Eu vou reclamar de streaming agora. (66:44) Que é que você tem certos e por questões de direitos autorais, licença e tudo mais. Você tem um conteúdo que está à disposição. Tem no streaming. Mas só está à disposição em certos países, né? Não está à disposição no Brasil. E aí você paga de repente lá cinco streamings e não consegue ver. Não consegue ver coisas muito básicas. (67:05) É, é curioso. Você tem que ir correndo atrás e procurando e para. E aí esses dias acessei lá pela VPN aí, pelo computador para ver se acabou não funcionando. Enfim. Mas é um negócio desagradável também. Eh, Vinícius, vamos passar para a regulação de internet rapidinho, né? Acho que também aí nesse caso assim o grande tema foi o a inconstitucionalidade do marco civil da internet. (67:45) Que eu fechei aqui a página, mas tudo bem. Eh, e esse reconhecimento se deu lá, a gente gravou em junho, e falamos sobre isso ao longo do ano também. E é a inconstitucionalidade do artigo 19. Que é aquela história de você precisar de ordem judicial ou não para retirada de certos conteúdos do ar, né? É o tema 987, 987 do STF e 533 também de repercussão geral. (68:28) Eh, e aí o que se concedeu, o que se decidiu foi o reconhecimento ali de uma inconstitucionalidade parcial e progressiva no sentido de que a partir de agora em certos casos, vai ser possível realizar a retirada de conteúdos somente pelo chamado notice and takedown, seguindo a regra do artigo 21, né? (68:51) Então, quais casos são esses aí? Seria o rol taxativo lá de condutas e atos antidemocráticos, induzimento, instigação ao suicídio, terrorismo, discriminação em razão de raça, cor, etnia, religião. Eh inclusive condutas homofóbicas, crimes praticados contra a mulher e por aí vai, né? Fica lá é possível ler também. Então essa acho que foi a grande decisão do ano. (69:07) Mas assim com uma certa, teve a decisão. Se discutiu muito. Saiu lá o acordão completo com 1000 e poucas páginas, que ninguém vai ler 1000 e poucas páginas. Vão usar IA para sumarizar isso de alguma forma. Enfim, né? Eh, pornografia infantil, claro, isso já era já era no sentido do aí pela via do ECA e tal. (69:34) Eh, e aí vem a questão do ECA Digital. Esse foi também um tema bastante importante. Você que nos escuta ao longo desses, desses, eh quantos anos? 15 anos acho. Vinícius que a gente está gravando, é 12 para 26, 12. >> 14 anos. >> Você vai notar um corte aí. Você deve ter notado já um corte, porque o Vinícius sem querer colocou, suspendeu a máquina sem querer. (70:07) Mas estamos de volta. E ele fez o cálculo e deu nesses 14 anos que estamos gravando. Então o Segurança Legal. Nós falamos muito sobre a proteção da criança na internet. Tem diversos episódios sobre isso. É um tema que é muito caro para a gente. >> Eh, e aí veio esse ano de uma forma muito estranha, que foi um vídeo feito pelo influenciador Felca. (70:30) E tal até não conheci o cara. E na verdade não conheço a grande maioria desses influenciadores, né? Pode ser um sinal também da idade. Enfim. E o, mas enfim, o cara fez lá um vídeo. Teve milhões de visualizações. E aí o, o Brasil ele cada vez, não sei se só o Brasil, muito ele é muito receptivo, né? É uma coisa saindo do Fantástico. Tem um vídeo de milhares de visualizações e tal. (70:51) E aí o Congresso se mexe. Mas enfim, eu achei surpreendente, que já era um projeto de lei que estava tramitando lá e que foi muito rapidamente aprovado. Ficou conhecido como ECA Digital. A pessoa fala em Lei Felca. Eu prefiro ECA Digital. Nada contra o cara lá. Enfim. Mas acho que ECA Digital que é o nome Estatuto da Criança do Adolescente Digital na Lei 15211. (71:13) Eh, já tem pessoas escrevendo, estudando esse agora lei. Antes, antes projeto. Mas agora a lei entra em vigor 6 meses depois da publicação. Né? Setembro, outubro, novembro, dezembro, janeiro, fevereiro, março, agora de 2026, né? (71:27) Eh, e isso então falamos lá no episódio 400 e também o judiciário, né, ampliou nesse ano o uso de IA. Eh, quem acompanha jurisprudência, quem lê a jurisprudência consegue perceber uma certa tendência assim de um de sumarizações muito parecidas, né? Mas é aquela coisa. Nós temos muitos juízes, muitos servidores, muitas pessoas usando IA de formas diferentes. (71:53) O CNJ aprovou uma regulamentação, uma regulamentação, né, veda inclusive com vedações de reconhecimento de emoções, ranqueamento social, soluções que impeçam revisão humana. Mas ainda me parece que há uma certa falta de transparência, porque o juiz não é obrigado a informar o uso da IA, qual modelo usou, para que usou, qual prompt usou, né? (72:18) Eh, e isso também coloca em cheque até um próprio, e claro, em processos mais complexos, processos penais, por exemplo, tem aquela ideia de paridade de armas, né? Eu acho que deveria haver processos muito mais transparentes assim para que o Ministério Público, juiz informassem o uso, sabe? (72:42) Eh, creio eu, >> esse negócio, esse negócio, embora eu não seja da área do direito, esse negócio da paridade de armas que tu já me falou mais de uma vez, já comentou comigo e tal. Ah essa talvez seja uma parte que me preocupa bastante, tá? Porque conforme a grana que tu tens tu consegue investir mais em IA. (73:16) >> Uhum. Em modelos melhores, em mais tempo de modelos melhores. Mais tempo não, mais tokens de modelos melhores. No final das contas é a quantidade de token que vai determinar custo, tá? Então ah conforme tu consegue investir mais em IA. E isso só vai, ah, mas a IA ainda é ruim para jurisprudência. Aquelas coisas que a gente já sabe que, né? (73:42) Hum. >> Mas assim, eu gosto muito do que Itam Molic coloca no livro dele com inteligência. A IA que tu põe na tua cabeça. Que a IA que tu estás usando hoje é a pior que tu que tu vai usar daqui para frente, né? Eh, ou seja, ela só vai, ela só vai melhorar e muito. (74:11) E a gente tem aí a prova disso em 4 anos. Né? 22 para 26, né? Sem contar 26, 3 anos, né? É. Novembro foi novembro de 22. Novembro de 25. A gente fechou, 3 anos aí. Então ela já melhorou muito e ela vai agora, ela vai melhorar mais ainda e mais rápido e ela vai conseguir fazer essas coisas que hoje já está patinando. (74:42) Ela vai conseguir fazer é bem tranquilo. Ela vai fazer. A questão é sem essa transparência que tu colocas, Guilherme, sem saber o que foi utilizado, o que foi pedido, o que que o juiz orientou a IA, porque no final das contas ele vai estar orientando a IA para chegar num dado, ah, eu acho que nós vamos ter seríssimos problemas, tá? (75:12) >> Uhum. Que em que não só a capacidade do profissional envolvido vai estar envolvida. É claro que tu tens profissionais, advogados com uma certa capacidade. Tem outros advogados com mais capacidade, maior especialização, etc. >> Claro. >> Mas que entraria na própria questão do dinheiro que você colocou antes, né? (75:28) >> Exato. Já a gente já tem isso, né? Só que nós vamos ter ainda uma outra que é a questão da IA que eu posso pagar. >> Uhum. Então e que já é um problema inclusive para na educação, para estudantes de graduação e do ensino médio. >> Porque uma coisa é tu usar uma IA que não é paga, OK? Tu tem o modelo lá, etc. (75:51) Mas tem uma série de limitações de tempo de uso, de não sei quê, etc., do modelo que tu pode usar. Outra coisa é tu dar para para um outro aluno esse outro modelo, um outro modelo melhor, com mais tempo, etc. E poder usar mais. Nós vamos ter inclusive disparidade nisso aí. Mas enfim, é mais um pouco. (76:13) >> Mas ao mesmo tempo >> mais um é aí a tecnologia ela, aquela ideia de que eu vou resolver todos os problemas. O solucionismo, que eu vou resolver todos os problemas com a tecnologia. E na verdade a tecnologia não só claro que ela resolve problemas, mas ela amplifica outros, né? E a desigualdade. Toda essa questão que nós já conhecemos da educação no Brasil. A IA vai continuar amplificando isso, né? (76:44) Se você for pensar que a forma como a gente usa IA envolve muito você saber o que pedir para ela e ter competências linguísticas, eu diria, quem tem competências linguísticas mais avançadas vai se sair melhor porque vai conseguir dizer melhor e explicar o que precisam. (77:05) É >> então isso vai afetar pessoas. Mas assim a gente estava falando sobre IA no judiciário. Teve uma apelação cível aqui, Vinícius, >> eh aqui do Rio Grande do Sul. Eh de dezembro agora de 2025. No sentido de que reconheceu a nulidade de uma sentença. Ou seja a apelação é um recurso. Né o sujeito né perde ação. Para quem é do direito. (77:32) Né ele apela. Ele, né, a juíza, entra entra com recurso. E nesse recurso se reconheceu a nulidade da sentença. Por vou ler aqui porque são robustos os indícios de uso indistinto de ferramentas de inteligência artificial para fundamentar a decisão. Não que isso não seja possível. (77:53) Aí diz aqui o TJ já tem uma ferramenta e para. Mas a sentença nula porque não foi elaborada com base no processo. Além disso, os precedentes jurisprudenciais citados não existem ou não conferem com o texto oficial da ementa disponível no site do TJ. Então pela falta de fundamentação jurídica. Inclusive é um direito que você tem à fundamentação. Porque você só vai conseguir recorrer se ela for bem fundamentada. (78:27) Aqueles direitos relacionados ao processo civil, instrumentais. Então nem tudo está perdido. Mas notem quantas outras sentenças que eventualmente isso pode ter acontecido e as partes não se deram conta justamente pela falta de transparência. Então falamos sobre isso ali durante o ano também. (78:51) Eh, temos mais dois blocos aqui. Mas aí a gente tem as práticas de segurança. Uma delas bastante importante aqui foi o lançamento do OWASP Top 10 para LLMs, né? A gente falou sobre ele também em novembro, né, Vinícius? Um pouco sobre ele em novembro, né? (79:05) Não, não, não fizemos um episódio ainda inteiro sobre ele. Mas acho que 2026 podemos fazer isso, né? >> É ah, sem dúvida nenhuma. A gente já incluiu esse checklist nos nossos pentests. A gente já começou a avaliar essa, eh esse Top 10, né? Inclusive quando ele começou a ser as os primeiros versões e tudo mais. A gente já começou a se ligar nele. E a gente já incluiu por fazer. Agora estou fazendo um jabá da Brown Pipe, tá? (79:28) Brown Pipe faz pentests de aplicações web, aplicações mobile e infraestrutura. >> Então você a gente já está usando entre as diversas outras checklists, a gente já está usando essa checklist também, né? Essa esse Top 10 aí como um checklist. E foi muito importante para ele. Ele vai ter que sofrer alterações. (79:46) Vai ter que ser atualizado ainda mais nessa nesse cenário de LLM com uma mudança tão rápida, né? Então >> Uhum. >> Ele vai, imagino eu que ele vai sofrer alterações mais rápido do que o nosso clássico OWASP Top 10. >> Hum. >> Que a gente saiu do, acho que o último foi de 21. E agora nós estamos com um 25 >> né? Top 10. É saiu do 2017 lá. E a gente também teve. (80:17) Eh isso é uma coisa que me preocupa bastante, sabe, que é a segurança no GOVBR. E lá no episódio 392, ainda em maio de 2025, a gente falou. A gente falou sobre esse incidente, né, de que fraude no SIAF com desvio de 15 milhões. Mas ainda algumas burlas de biometria >> eh no GOVBR. (80:44) Eh, e vejam todo mundo aqui que nos ouve. Sei lá. Eh conhece o GOVBR, usa o GOVBR, sabe das possibilidades que você pode, né, assinar documentos, fazer procurações, vender veículos e tantas outras coisas ali, né? São 4.500 serviços que são habilitados pela via do ou autenticados pela via do GOVBR. (81:05) Falou-se muito pouco sobre isso. Me parece que por motivos óbvios o governo não tem interesse em publicamente ficar ventilando as vulnerabilidades de um sistema e que se põe uma confiança nele que muito grande. Muito grande. Que se mostra claro que também, por outro lado, não existe sistema perfeito e tudo mais, né? (81:27) Mas assim uma fraude cometida pela invasão do GOVBR pode impossibilitar a defesa do usuário, né? Então isso eu acho que foi um dos temas bem delicados de 2025. Mais uma vez acho que se falou pouco sobre ele, né? (81:44) Eu não sei se você quer comentar um >> Não eu acho que isso aí eu acho que infelizmente isso entra um pouco na esteira daqueles debates que foram legítimos que foram estragados ao longo dos anos aí. >> É >> né que é a gente acho que a gente pode legitimamente com real interesse de boa fé, né? Eh discutir a segurança desses sistemas que o governo utiliza e tal. (82:06) A gente já deixou muito claro a nossa posição em várias momentos aqui no podcast, né, Guilherme, que a gente já gravou mais de uma vez. E assim cara isto aqui é um tipo de situação que a gente teria que teria que ter mais abertura porque esse tipo de problema aqui afeta potencialmente de uma assim toda a população, né? Em termos potenciais, né? E de formas que são muito chatas depois de tu resolver o problema criado. (82:38) >> A parte da exploração de uma coisa assim, >> é. São 163 milhões de usuários, né? É >> eh inclusive eu tenho uma amiga minha lá da faculdade. Professora, né? Ela estava me contando que não vou falar o nome dela agora pelo detalhe. Mas enfim ela estava contando. Ah, precisei fazer um acesso ao GOVBR para fazer alguma coisa da aposentadoria da minha avó. (83:07) E aí ela era muito, por ela ser uma senhora e idosa assim, não tinha biometria dela cadastrada. Ela disse que foi um absurdo assim, né? >> Então até isso, né? Fraudes do INSS poderiam. Que que também houve nesse ano, né? Eh poderiam ser habilitados por isso. Eh mais uma a gente já falou sobre regras novas regras do Banco Central depois, né? (83:33) Esse era um dos temas também. A gente falou no episódio 401. Mas 2026 vamos voltar a falar sobre isso também. Até porque temos tivemos regras novas publicadas em dezembro. Mas uma questão que eu achei bem interessante foi a atualização da NR01. Quem é do direito do trabalho e RH e tal conhece bem. Que é a questão dos riscos psicossociais, né? (83:54) Ou seja, as empresas vão precisar começar agora a fazer essa gestão dos riscos psicossociais, né? Eh inclusive ela foi até era para entrar em vigor em maio de 25, foi adiado para maio de 26 essa atualização da Portaria 765. E mas o que chama atenção é que no ambiente no âmbito de segurança da informação a gente sabe que é um âmbito de grande estresse. De intenso estresse. (84:24) E a gente já viveu isso. Já conviveu com pessoas que viveram isso e eventualmente até acompanha isso também. Né tenta na medida do possível na nossa empresa. Eh fazer um ambiente que seja o mais propício e mais adequado para as pessoas que trabalham conosco e também para a gente, né, Vinícius, é uma questão do nossa valores. (84:49) Inclusive quando a gente fundou a Brown Pipe esse era um dos valores que a gente gostaria de >> faz parte do sujeitos que o pessoal negócio de falar. >> É, é, mas assim o por que que isso é importante? Por que a gente está falando sobre isso aqui? A gente falou lá no 390. É que isso vai influenciar também a forma como os gestores lidam com segurança da informação. (85:13) Porque isso vai começar a ser mapeado agora também. Então é um aspecto psicológico da segurança que por força dessa atualização da NR vai precisar ser endereçado. Por último, Vinícius Serafim, nós temos aqui. >> Sim, Guilherme Goulart. A questão do analfabetismo funcional >> eh, e a relação com a vulnerabilidade digital do INAF. Né >> e também sobre como a gente vai lidar com IA. (85:45) Esse é um tema que não somente a gente fala aqui no Segurança Legal, mas nas nossas conversas, né, Vinícius, quando a gente está ali conversando, enfim, é uma coisa que sempre volta na verdade. E eu acho que o grande. A grande questão é como é que a gente vai habilitar as pessoas em um cenário de Brasil aí que 65% da população estaria em níveis limitados ali de alfabetização. (86:12) Como é que a gente vai entregar IA ou fazer com que essas pessoas usem de forma produtiva? Porque vão usar. Não adianta. Não tem mais como voltar atrás. É uma luta assim, né? >> Enfim, mas esse foi um problema que a gente falou lá no episódio 393, né, Vinícius? Você tem é, Guilherme. Assim eu nem digo uma luta de voltar atrás. Eu não tenho intenção de voltar atrás no uso da IA. (86:42) O que me preocupa é que a IA afeta as pessoas de várias formas, né? >> Então a primeira que a gente já comentou inclusive nesse episódio aqui >> é a questão do próprio aprendizado. E então o pessoal delegando tarefas que eles deveriam fazer para aprender uma determinada área. Uma determinada área do conhecimento. A aprender vocabulário. Com se tu para vocabulário tu precisa. (87:11) Para pensar tu precisa de vocabulário, tá? Eh é muito importante. Tu precisa dos conceitos que as palavras representam e tu usa as palavras como ferramentas para pensar, para refletir. Então se tu não tem um vocabulário um bom vocabulário tu tem dificuldade para pensar, para estruturar o teu raciocínio, tá? (87:31) Então esse é um primeiro ponto. Ah a IA para funcionar bem, para tirar coisas realmente interessantes dela, tu precisa entender o que tu está fazendo. Pelo menos por enquanto, tu ainda precisa entender o que tu está fazendo. Entender muito bem. Entender os conceitos da tua área. Pegar os problemas. Eh organizar os problemas, né? Conseguir fazer as generalizações que um do necessário. (88:07) Né tu conseguir extrair de uma situação concreta as regras para um funcionamento daquilo. Tem várias coisas. Tem o pensamento computacional que entra aí que é bem interessante. É bem importante saber para usar IA. E então tu tu tens pessoas e empresas utilizando a IA assim espremendo ela no que ela tem de melhor. (88:25) >> Não só para matar trabalho, né? Não para matar trabalho, mas para fazer realmente o seu trabalho melhor. >> E ao mesmo tempo tem pessoas. E é a maior parte do uso, né? Aquele uso bem preguiçoso que tu chama. Abre aí. Larga uma pergunta lá e ela te responde tudo aqui. Faça um trabalho para mim. Não sei o resolve isso aqui para mim. Escreve não sei o quê, tá? (88:53) Então assim a gente sabe o que é o resultado disso. São coisas de péssima qualidade >> e que as pessoas nem sabem. Tu pergunta para ela o que que ela quis dizer ali e ela não sabe o que ela fez porque ela não fez. Ela literalmente não fez. Ela só escreveu um prompt lá. Não nem se deu trabalho de estudar aquilo que a gerou. (89:26) Então essa é a isso vai criar. A gente vai ter pessoas que vão ser muito hábeis para resolver problemas nas mais diversas áreas usando a IA. E tu vai ter pessoas que vão ser ainda mais incapazes de entender o que elas estão fazendo. E essas >> e por consequência, cada vez mais dependentes ou cada vez mais fácil, manipuláveis total e facilmente substituíveis. Porque uma pessoa que só sabe fazer isso usando IA. (90:02) Eu não preciso dela na empresa. Eu uso IA >> e eu pego a IA e dou para. Em vez de contratar 100, eu contrato 20 mais capazes que saibam usar IA. Então esse é uma das coisas que eu não estou dizendo que isso é bom ou que é ruim. Eu não estou fazendo nenhum juízo de valor aqui. Mas estou colocando aquilo que me parece que existe uma certa concordância a quando a gente pega pessoas sérias falando de IA no mundo, tá? (90:42) Eh, então o próprio Itam Molic, de novo, gente, eu recomendo fortemente aí para quem está na faculdade, quem está na escola, no ensino médio aí e tal, para os profissionais, fortemente que vocês comprem e leiam o livro “Com Inteligência” do Itam Molic, tá? A gente não tem cupom de desconto infelizmente. Mas o livro é muito bom, tá? (91:14) E então assim é esse é o problema que eu vejo, tá, Guilherme? É aí que está. Nós vamos ter uma galera aí que vai ficar passada nesse negócio de ah, porque ela não vai desenvolver direito o as habilidades que ela precisa para atuar numa dada área. Ela não vai desenvolver direito sequer a questão de organizar o raciocínio para problemas gerais, independente de uma área específica. (91:39) E essa turma vai ser muito facilmente substituída pela IA que a gente tem hoje. >> E não vai aprender, né? Porque assim você tem >> você tem áreas que são mais ou menos afetadas pela IA e as áreas são afetadas de formas muito diferentes, né? A gente conversava dia desse sobre IA e contabilidade, né? Que é um tema achei fascinante, né? As possibilidades aí envolvidas. (92:08) Eh, mas ao mesmo tempo você tem lá o dentista, né? Eh o dentista vai poder usar IA. Por exemplo para interpretar um exame, uma radiografia. Para ideia para ver uma. Já existe há bastante tempo, inclusive >> para guiar um procedimento no sentido. Ah, o que que eu faço quando eu tenho esse problema clínico aqui? Então você segue. Esse é aquele tratamento. (92:35) Mas em última análise você ainda vai estar botando a mão e abrindo o corpo humano, mexendo no corpo humano. O cara vai ter que aprender a fazer isso, né? Quanto não forem robôs fazendo isso. Robôs fazendo isso. É, tem robô fazendo cirurgia. É um troço assim que é acessível para >> Sim, sim. Sim, sim, né? (92:59) >> É mas uma das, uma das utopias, uma das utopias, se não estou enganado, do Dario Amodei, que ele escreveu. >> Ele escreveu um artigo que a gente comentou, inclusive algum episódio do Segurança Legal. Uma das coisas que ele coloca é que a saúde. Né o a gente está numa situação cada vez pior. (93:20) Né, que tem cada vez mais tecnologia para tratar de saúde, mas tem cada vez menos gente com dinheiro para pagar pelo tratamento. E os planos de saúde também, né? >> Exato. >> Tem a hora que eles são meio sacanas e tem a hora que é meio complicado. Tu cobre um valor X e aparece um tratamento que custa não sei quanto e tu tem que cobrir e daí tu te quebra também. (93:45) Então assim >> é >> a gente tem uma série de seguro. Né? É um seguro. >> É um seguro, né? Então a gente tem e esse seguro vai ficar cada vez mais caro. >> Cada vez mais caro. Então uma das coisas que pode acontecer com a automação, com a IA e tudo mais, é justamente tu conseguir dar mais acesso à saúde por um valor menor. (94:07) Então acesso à saúde para mais gente por um valor menor. E portanto mais acessível, né? E >> é, não vai acontecer, né? É, vamos, vamos ver o que vai acontecer. É assim >> é uma utopia, entende? Não estou dizendo que não vai acontecer. Estou dizendo que é uma >> cara, é uma coisa interessante. É uma, é algo bom se vier a acontecer, entende? (94:38) Então >> é aquilo que o é aquilo que o Paulo Renato sempre fala. Eu sempre gosto. Aliás um abraço para o Paulo Renato e >> o Dr. Paulo Renato foi esse ano. >> Dr. Paulo Renato >> foi esse ano. Né? >> Foi esse ano. Mais uma para mais um ponto interessante para a retrospectiva. Paulo Renato era doutor. É. É. (95:04) >> E ele disse é simples, mas é fascinante assim. Eh quais os problemas que a IA vai resolver? >> Aham. >> O judiciário está resolvendo problemas de IA, né? Pô você tem um monte de gente presa que não deveria estar mais presa, né? Com aquela história que a gente já conhece dos problemas do sistema carcerário brasileiro. Nós não estamos usando para isso, por exemplo, estamos usando para facilitar a vida do juiz. (95:34) E veja eu acho que tem que facilitar a vida do juiz mesmo. Ele tem que usar não, né? Mas a questão é quais os problemas que eu estarei resolvendo? Né, que nós estaremos resolvendo? Eh, poxa eu posso usar IA para verificar e para avaliar a integridade de informações. >> Uhum. >> Né? Eu estou usando aí, pelo contrário, estou usando a para produzir, né? (96:03) Agora com a Venezuela vi um vídeo ontem depois fui descobrir que era falso. A pessoa estava comemorando e tal. Eu sei que tem pessoas comemorando, enfim não é nem esse o ponto. Mas assim era muito convincente o vídeo e era feito por IA. E a pessoa teve que desmentir porque publicaram achando que era verdadeiro. (96:24) Então é bem essa coisa de que quais os problemas que a gente vai resolver. E para fechar tudo isso envolve uma questão de vulnerabilidade, né? É uma questão de vulnerabilidade digital. Ou seja quanto mais analfabetismo funcional, mais vulneráveis ficarão as pessoas. (96:52) Gente já estamos aqui em quase 1 hora 40, então com isso nós nos despedimos de vocês, né, agradecendo mais uma vez a sua companhia e a sua audiência em 2025, esperando que em 2026 estejam todos aqui conosco. Nos encontraremos agora no próximo episódio do podcast Segurança Legal. Até a próxima. >> Até a próxima.   

Neste episódio conversamos como Willian Oliveira e Fernando Andreazi, da Kaspersky, sobre a evolução das ferramentas de segurança que vão além do endpoint, abordando a mudança no cenário de segurança e a necessidade de enfrentar ameaças cada vez mais sofisticadas. Você irá aprender sobre XDR, também conhecido como Extended Detection and Response e o MXDR, ou ou Managed Extended Detection and Response. Willian e Fernando trarão toda a sua experiência na área para lhe ajudar na escolha da melhor solução de segurança para o seu negócio. Este é um episódio patrocinado pela Kaspersky. Conheça o Kaspersky Next Optimum – Segurança em níveis projetada especialmente para solucionar vários desafios de negócios  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing

Neste episódio, comentamos o primeiro ciberataque realizado por inteligência artificial, uma operação que atingiu 30 empresas e foi atribuída a um grupo de hackers financiado pelo estado chinês. Você irá aprender como os criminosos utilizaram agentes de IA para automatizar as fases de um ataque, desde o reconhecimento de alvos e levantamento de vulnerabilidades até a exploração e o movimento lateral dentro das redes invadidas, com o uso de ferramentas open source e o modelo de linguagem da Anthropic, o Claude. Discutimos como essa abordagem, que utiliza o Model Context Protocol (MCP), permite que a IA controle ferramentas de varredura de portas, análise de código e exploração de vulnerabilidades, representando uma mudança significativa na forma como os ciberataques são conduzidos. Abordamos também a importância da segurança para as empresas que desenvolvem sistemas de IA, a criação de agentes e as implicações futuras dessa tecnologia, incluindo o surgimento do “vibe hacking” e a capacidade da IA de encontrar novas vulnerabilidades (zero days). Por fim, analisamos o relatório da Anthropic, que detalha a operação e as lições aprendidas, e como a automação de ataques pode levar a um aumento de ameaças, permitindo que pessoas com menos conhecimento técnico realizem ataques complexos.​ Convidamos você a assinar, seguir e avaliar nosso podcast para não perder nenhuma discussão sobre segurança da informação e direito da tecnologia. Continue se informando sobre as novas tendências e ameaças do mundo digital.​ Esta descrição foi realizada a partir do áudio do podcast com o uso de IA, com revisão humana.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Disrupting the first reported AI-orchestrated cyber espionage campaign AI: What Could Go Wrong? with Geoffrey Hinton | The Weekly Show with Jon Stewart Imagem do Episódio -Eisenwalzwek (Moderne Cyklopen) de Adolph Menzel 📝 Transcrição do Episódio (00:07) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia e tecnologia e sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? E nossos ouvintes e aos internautas que sempre esqueço que nos acompanham no YouTube. (00:29) Claro, sempre lembrando que para nós é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Então você já sabe, basta nos contatar se quiser no podcast@segurançalegal.com, YouTube, Mastodon, Blue Sky, Instagram e agora o TikTok também. Você consegue fazer e assistir alguns cortes lá dos episódios que vão ser publicados lá também. E também a nossa campanha de financiamento coletivo lá no apoia.se/segurançalegal. (00:55) A gente sempre pede também que você considere apoiar esse projeto independente de produção de conhecimento. É bastante importante que você apoie para que esse projeto, para que o podcast Segurança Legal continue existindo, Vinícius. OK. Perfeito. Nenhuma vírgula. Goulart, eu vou começar com uma pergunta. Você já viu ali o título, enfim, já sabe do que nós vamos falar aqui. (01:26) Mas a pergunta é: será que nós estamos diante, será que nós testemunhamos, a humanidade acabou de testemunhar o primeiro ataque, o primeiro ciberataque realizado por inteligência artificial? Será que a IA da Anthropic um dia acordou e falou assim: “Eu vou fazer um ciberataque aqui atingindo algumas empresas e tal”? O que que o relatório da Anthropic, que é a dona do Claude, o que que esse relatório envolvendo essa avaliação de um ciberataque que houve, que teria havido a participação da IA, o que que ele nos colocou aqui? Guilherme, quando tu faz esse questionamento, ele é bastante relevante porque a gente já teve outros dois casos em que a coisa foi meio deturpada, foi colocada com, foi feito uns caça-cliques aí na internet. (02:05) A primeira delas foi aquela situação em que o Claude tentou chantagear um engenheiro que queria desligar ele. E para chantagear ele usou e-mails desse engenheiro aos quais ele teve acesso e que ele ali tinha um caso extraconjugal. Ele então ameaçou o engenheiro de que iria entregar se ele desligasse, se o engenheiro desligasse a IA. E na verdade, a coisa não, sim, aconteceu esse negócio de chantagear, isso de fato aconteceu, mas isso foi num cenário controlado. Os e-mails eram falsos. Eles criaram para simular uma situação. E de fato a IA tentou chantagear o engenheiro. (02:32) De fato isso aconteceu, mas no ambiente controlado. Não é uma coisa que saiu solta por aí, fazendo coisas desse gênero. E teve alguns outros parâmetros do teste também que modificaram um pouquinho a realidade, mas enfim, de fato aconteceu num ambiente bem controlado. Só para também destacar, eu acho que a gente ainda não entrou de vez na era dos agentes, de uma IA autônoma, no sentido de ela tomar decisões. Ela ainda é muito dependente do que a gente pede para ela fazer. E esses movimentos aí que a gente tem visto nos últimos tempos de que mexe no browser, que faz compras, eu acho que a gente tá ainda dando os primeiros passos rumo a uma autonomia maior da IA. Isso aconteceu aqui ou não? (03:44) Ah, tu diz nessa situação aqui? Aí só deixa eu citar daí um segundo caso que também fizeram um pouco de alarde fora do que havia sido colocado, que é o seguinte: que é botar uma máquina de vendas lá na Anthropic. E essa máquina de vendas, ela gerenciava que produtos ela iria vender, por qual preço e obtinha esses produtos também de fornecedores. E aí o pessoal fez logo uma matéria aqui no Brasil, inclusive, saiu a IA, que botaram a IA para gerenciar um mercadinho, uma coisa assim, e uma empresa e ela quebrou a empresa. (04:17) Na verdade, não é uma. São aquelas vending machines, sabe? Aquelas máquinas de venda que tu coloca dinheiro e compra. E de fato a máquina deu prejuízo ali. Mas não é uma coisa que agora alguém teve a ideia de botar IA para gerenciar o negócio e a IA quebrou o negócio. Aí fica aparecendo. E agora a gente tem nesse relatório, a gente tem uma outra situação mais avançada, bastante interessante. Mais avançada e com um uso principalmente de agentes. Eu acho que cabe a gente dar uma rápida explicação nessa questão de agentes, de ferramentas para conseguir entender. Quem é da TI e já tá usando IA, já tá estudando IA, já vai ter uma noção. Mas boa parte das pessoas… (05:25) E eu acho que antes disso também, Vinícius, o que que é o modelo em primeiro lugar? Até chegar no agente. Vamos lá. Então, o modelo é o que você poderia chamar de cérebro da IA. Esse modelo é o que tem que ser treinado e é o que as empresas levam meses para fazer e gastam um monte de dinheiro com eletricidade, GPUs, inclusive na aquisição de conteúdo para treinamento. Gastam um monte de dinheiro, fazem o treinamento desse cérebro, desse modelo. (05:58) Uma vez que tá feito o treinamento, a gente passa por uma fase de inferência, mas esquece o nome. O que importa é que a gente passa para uma situação que a gente consegue utilizar para uma nova etapa. E aí é que você entra quando você usa o ChatGPT, quando você utiliza um Claude AI ou Gemini, etc. São ferramentas que usam esses modelos já treinados. Em essência é isso. Acontece que esses modelos já faz uns, acho que um, já faz uns dois anos, se não até mais para cá, eles começaram a ser preparados para usar ferramentas. O que que é esse usar ferramenta? (06:42) Então, o ChatGPT há até um tempo atrás, ele respondia só com base nos dados que tinham sido utilizados para treinar ele. Tanto que tu perguntava alguma coisa mais recente, ele pegava coisas que eram velhas, nada mais recente ele conseguia trazer. O Perplexity foi uma ferramenta que quebrou um pouco essa fronteira, ou seja, eles pegaram, eles usam o modelo da Open, usam o GPT, mas também usam Claude, etc., depende do cérebro. E eles então integraram isso com uma ferramenta de busca. (07:03) Então eles usam a IA, usam os modelos para, vamos dizer assim, comandar uma ferramenta de busca, pega os resultados, analisa esses resultados e te dão esses resultados mastigados pela IA. Essa é a diferença entre tu usar o Google e usar o Perplexity para fazer uma pesquisa. Com o tempo, todas essas aplicações, todas essas aplicações, não vou usar aplicações para não misturar com ferramenta, não. Todas essas aplicações, ChatGPT, o Claude, o Gemini, etc., todos eles começaram a te dar opções de várias ferramentas, não só busca na internet, mas ferramentas que inclusive elas podem interfacear com os seus arquivos na tua máquina. (07:58) Então tu pode mandar comando, falando sobre isso aqui. O Claude, se tu instalar o Claude, os usuários de macOS, já tem essas funcionalidades há algum tempo, porque eles acabam, a Open AI lança primeiro pro Mac. A Claude fez a mesma coisa e para Windows vem um pouco depois, mas tu pode instalar, por exemplo, o Claude, a aplicação Claude, na tua máquina e lá vai ter algumas ferramentas. Cuidado com isso. Cuidado com isso. Tem algumas ferramentas que tu pode ativar que permite que ele controle o teu navegador, que ele controle, que ele consiga gerenciar arquivos na tua máquina, mover, apagar, criar pasta, etc. (08:23) Eu fiz um teste com relação a isso um tempo atrás para organizar uma pasta de downloads. Funcionou, só que são ferramentas que tu tem que tomar um pouco de cuidado porque eventualmente elas podem sair do teu controle e fazer coisas que não deveriam fazer, mas enfim. Então, notem que a IA, esse modelo que a gente falou, que é o cérebro, ele é capaz de interpretar aquilo que a gente escreve, mas ele é capaz de interpretar também aquilo que ele recebe de outras fontes, como por exemplo, de um mecanismo de busca. Ele interpreta, consegue analisar, e aquela coisa de simular o raciocínio humano. E ele analisa aquilo, escolhe o que é mais importante, te mostra, dá um resumo ou coisas desse gênero. (09:11) E aí, Guilherme, a gente cada vez mais tá migrando para uma IA agêntica. Agêntica, isso que é um agente. E aí, o que que essa IA faz? Que que essa IA faz? Ela usa um modelo, ela tem um modelo que tem formas de interfacear com o nosso ambiente, seja o que for. Pode ser desde câmera de vigilância, um programa de edição de código para programação, um programa de edição de imagem, portas físicas, fechaduras, sistema solar de energia, um roteador, etc. (09:53) Então, tu consegue entregar para um modelo de IA várias ferramentas. Para ela utilizar essas ferramentas para quem tá por dentro da questão mais técnica, normalmente utilizando MCP. É o Model Context Protocol, mas o que importa é que existe um protocolo, existe uma forma padrão para te entregar essas ferramentas para os modelos de IA. Quem criou esse padrão foi a Claude, foi a Anthropic. E aí todo mundo, todo mundo hoje segue esse padrão. Todos os as ferramentas utilizam o MCP. (10:25) Então, por exemplo, eu tenho uma situação que eu mesmo fiz aqui. Eu tenho meu sistema solar aqui de geração de energia e eu quero saber quanto de energia eu produzi no ano passado, nesse mesmo mês. Daí eu tenho que ir lá pegar o aplicativo, ver qual naquele mês, quanto eu fiz e eu mesmo comparar. Aí o que que eu fiz? Eu fiz uma ferramenta em que essa ferramenta consulta os meus parâmetros de produção de energia e eu entreguei essa ferramenta para um agente de IA e disse para ele, e literalmente tá por escrito: “Ó, tá aqui uma ferramenta que te permite acesso aos parâmetros, aos dados de produção de energia do meu sistema solar. E aqui tá essa chamada que te entrega de um mês específico, essa aqui de um dia, essa aqui de um ano”. E entreguei essas ferramentinhas para ela. Só isso. (11:20) Tu entrega para ela isso. E aí num chat lá com esse com esse agente, tu pode perguntar outras coisas e tal. Daqui a pouco tu pergunta: “Quanto eu produzi de energia no ano passado, no mês de fevereiro?”. Aí ele vai, bom, o usuário tá querendo saber quanto ele produz de energia em fevereiro. Aí ele vai olhar a coleção de ferramentas que ele tem, vai dizer: “Hum, eu tenho uma ferramenta aqui que me dá acesso aos dados de produção de energia do meu usuário lá e tal”. Aí ele vai olhar a ferramenta, ele vai ver que tem uma chamada que mostra o resultado de um mês e do dia e tal. Ele pediu de fevereiro. Fevereiro é um mês. (11:58) Então ele vai pegar aquela chamada ali, vai pegar a produção de energia de fevereiro lá do meu sistema, vai chamar aquela função, aquela função vai conectar. Como é um programa normal de computador, digamos assim, normal, que não é uma IA, ele vai conectar, vai pegar os dados e vai devolver os dados para IA, pro modelo. E aí o modelo vai olhar aquilo e vai dizer: “Tá, beleza”. E ele vai dizer: “Ó, tu produziu tantos kilowatts de energia”. Aí se eu disser para ele: “Compara com fevereiro do ano anterior”, ele vai buscar dos dois meses, vai fazer uma comparação e vai dizer: “Tu produziu tantos por cento a mais ou a menos e tal”. Aí já vai trabalhando os dados que ela recebeu. (12:32) E assim tu pode fazer com qualquer coisa, qualquer sistema que tu tenha, qualquer coisa que tu possa ligar num computador em algum momento, numa rede por aí, em qualquer lugar, um termômetro, o que tu imaginar. E pode ser atuadores também, pode ser um negócio que desliga alguma coisa ou que liga um equipamento, qualquer coisa. Se tu fizer essa interface MCP que a gente chama e entregar isso para IA como ferramenta, a IA consegue usar essa ferramenta, qualquer coisa. (12:51) E o que que acontece aqui nesse caso da Anthropic, desse relatório da Anthropic? O que foi feito é: cibercriminosos, que eles apontam como sendo com um grande nível de certeza, de confiança, seria um grupo financiado pelo estado chinês. Um grupo de hacking financiado pelo Estado chinês. Eles dizem isso com um com certo grau de certeza. Eles fizeram um ataque, um ciberataque em que fizeram todo a etapa de reconhecimento de um alvo, levantamento de informações sobre esse alvo, levantamento de vulnerabilidades, a exploração dessas vulnerabilidades levando a uma invasão. (13:57) E aí o movimento lateral que envolve tu buscar outros sistemas naquela, depois que tu entra na rede, tu entra no ambiente do teu alvo, tu começa a catar outros sistemas ali que tu consegue acessar. E a partir dali, a partir dali tu eles buscam outras credenciais e aí tentam usar essas credenciais. Então eles teriam feito um agente de IA fazer esse um ataque cibernético desse tipo. É, a Anthropic publicou e aí esse podcast é baseado nesse relatório deles que foi publicado aqui e a gente vai deixar como sempre no show notes. (14:35) Abrindo ele aqui, mas basicamente eles começam dizendo e exaltando que a Anthropic tem uma série de medidas de safety e security, que é aquela diferença entre a segurança de funcionamento e a outra segurança. A gente acaba usando a segurança, a mesma palavra para designar duas coisas diferentes. Eles destacam também que toda essa construção dessas medidas de segurança que eles falam vão na linha de, inclusive, é realizado por um setor de threat intelligence, ou seja, de inteligência de ameaça. Ou seja, eles estão sempre buscando saber o que que os criminosos estão fazendo para subverter aquelas medidas. (15:15) E é interessante começar a pensar em como a segurança é importante para as empresas de que fornecem esses sistemas de IA de maneira geral. Eles encontraram isso em setembro dessa mega operação que eles chamaram que teria atingido 30 companhias. Eles decidiram então trazer à tona os detalhes técnicos disso. E eles destacam que seria uma mudança ou que teria representado uma mudança em como que os cibercriminosos estariam agindo. (15:37) E eu acho que daí que a tua explicação sobre os agentes, ela é importante porque a IA aqui não é um, a gente não tá diante de uma IA aqui que por vontade própria decidiu atacar sistemas. A gente tá diante, caso alguém pudesse ter pensado isso, seria um pensamento legítimo de se pensar quando você não conhece o caso. O que a gente tá aqui é diante de um novo comportamento de agentes criminosos que conseguiram, e aí o Vinícius vai nos explicar melhor como, usando agentes automatizar certas operações ou certas ações que já são realizadas por atacantes normais, por atacantes pessoas, digamos assim. (16:18) Foi isso. Ou seja, você deu uma, você aumentou a potência do agente atacante ali, com essa ideia lá do co-inteligência do livro aquele que a gente tá lendo, do Ethan Mollick. Foi isso, Vinícius? É exatamente assim quando a gente vê esse uso, digamos assim. Eu até tô ajeitando aqui, Guilherme, já para poder compartilhar com todos os inclusive as imagenzinhas que são bem interessantes do relatório. O que foi feito, não, assim, a gente de novo, é aquilo que a gente comentou no início, não é que a IA saiu enlouquecida fazendo tudo por conta. Não se trata disso. (17:26) Ela simplesmente foi utilizada, como tu bem falou, ela foi utilizada para fazer um para automatizar etapas de um ataque. A grande sacada é que esses caras automatizaram grande parte do ataque. É isso que mais chamou atenção, porque existe uma coisa, eu acho, eu acredito que muita gente já deve ter ouvido falar do Vibe Coding, que é a história de tu programar um software sem saber programar. Então tu chega ali, não é que tu não saiba programar, mas tu chega ali pra IA e diz assim: “Eu quero uma aplicação que faça não sei o que blá blá blá”. Tu vai na vibe e deixa que ele gera o código. Aí tu testa, vê se funciona, funcionou, vai adiante, vai modificando até chegar no programa que tu quer. Isso hoje é meia boca, mas vai ficar bom. (18:16) E existe vibe hacking. Vibe hacking, tu vai usando a IA para te ajudar em coisas bem pontuais numa, em algo envolvendo segurança da informação. Um pen test, algum desenvolvimento de algum payload, de alguma sequência lá que tu precisa para explorar uma determinada vulnerabilidade, alguma coisa assim, alguma ideia para: “Pá, eu já testei tudo que eu podia fazer aqui nisso aqui, mas eu ainda acho que pode ter um problema que eu não tô achando”. Tu pode discutir com a IA isso, sabe? E pode até fazer com que ela gere para te testar certas possibilidades. Isso te acelera muito o trabalho. Isso te dá uma vantagem muito, muito grande, inclusive para testar várias possibilidades ao mesmo tempo. (18:46) E aí, o que esses caras fizeram? Eu vou compartilhar aqui o reporte. O que esses caras fizeram foi o seguinte: ele esse aqui é o reporte, essa aqui é uma versão que saiu, foi atualizada hoje, dia 17 de novembro. Inclusive, Guilherme, a gente tava discutindo aqui: “Pô, vai na página tal, cara. Não tem página tal, tá em outro lugar, não sei o quê”. A gente foi olhar, uma atualização hoje. É desse depois que eu baixei o documento hoje de manhã, a gente teve outra atualização ali. Mas eu vou direto pra imagem aqui. Depois tem todos os detalhes. A gente vai compartilhar isso aqui com vocês. (19:37) Mas aqui, ó, essa imagem ela meio que tentou organizar um pouquinho o que eu expliquei para vocês com relação à ferramenta. Então, o ataque teria sido desenvolvido em três etapas. Então a primeira fase em que ele define quais são os alvos, o operador define quais são os alvos, é a fase one que tá bem ali na esquerda. E lá em cima aí depois a 2, a 3 e a 4 são esses quadradinhos, são esses retângulos aí que estão sombreados, a fase dois, a fase três e a fase 4. (20:00) E o que que interessa a gente pra gente entender de uma forma razoável esse ataque? Cada uma dessas fases. Então, a fase, por exemplo, de reconhecimento envolve varredura de rede, que a gente tem que encontrar serviços rodando, a gente tem que buscar dados sobre o alvo, tem uma série de coisa que a gente vai fazer. E aí, o que que esses atacantes fizeram? O que é que esses cibercriminosos fizeram? Eles criaram ferramentas. Estão vendo que diz aqui scan? Tô vendo quem tá vendo no YouTube. Quem não tá vendo, imagine as caixinhas. Tá escrito aqui scan tool, search tool, data retrieval tool, code analysis tool, tool. (20:46) Essas ferramentas são, é que nem o esquema que eu fiz aqui do meu sistema de energia solar. Eles criaram interfaces MCP, desse protocolo para te entregar ferramentas, uma interface para IA conseguir usar uma ferramenta de varredura de portas. Que que é uma ferramenta de varredura de portas? A gente encontra um determinado máquina, um servidor na internet e a gente tem que saber que portas nessa máquina estão abertas pra gente conseguir ver que serviços que tem lá e aí procurar informações sobre esses serviços, procurar vulnerabilidades que esses serviços tenham e aí explorar essas vulnerabilidades. (21:16) Então o que eles fizeram foi criar ferramentas para cada uma das etapas. Então, uma primeira etapa de levantamento de dados, uma segunda etapa em que eles começam a procurar ferramentas de exploração dessas vulnerabilidades. E uma terceira etapa, lembrando só, essas ferramentas muitas vezes já estão disponibilizadas na web aí, para por sistemas já conhecidos de exploração de vulnerabilidades e tudo mais. (21:52) Inclusive no relatório eles colocam que as ferramentas são todas open source, então são ferramentas padrão que tu encontra na internet, só que tu faz uma interface para IA conseguir chamar aquela ferramenta. Então, só que em vez de fazer, em vez de, por exemplo, uma ferramenta que vai lá e consulta, faz uma pesquisa, traz o resultado da pesquisa e analisa o resultado da pesquisa, em vez de fazer isso, ela chama uma ferramenta que faz varredura na rede, como Nmap, que é quem entende tecnicamente aí, é uma ferramenta extremamente comum de fazer varredura. (22:22) Então ela tem um Nmap, eu crio um código em volta do Nmap ali que permite que a IA chame o Nmap, execute o comando e depois o resultado disso a IA receba de volta e aí analise esse resultado. Então eles fizeram isso com várias ferramentas, as ferramentas que a gente utilizaria manualmente. Eles fizeram isso com várias ferramentas para automatizar esse processo e eles não terem que fazer. (22:47) Então, na fase dois aqui, na fase um, o operador humano escolhe o alvo, determina os alvos. Na fase dois, a IA passa então a usar ferramentas para levantar informações sobre esse alvo. E são essas ferramentas que os atacantes disponibilizaram para IA. Na fase três, a IA começa então, usa aqueles dados que foram levantados na fase dois e começa a procurar possíveis ferramentas de exploração desses problemas, encontra possíveis ferramentas e técnicas. (23:18) E aí a IA pode ajustar as ferramentas, ela consegue executar as ferramentas e consegue criar ferramentas, ela consegue criar algum código ou coisa parecida. E aí ele passa pra fase quatro, que é a de efetiva exploração dessas vulnerabilidades. E depois que ele explora essas vulnerabilidades, consegue botar um pezinho dentro da rede lá do cara ou dentro do servidor. A partir dele, a etapa cinco é começar a coletar credenciais de acesso, procurar arquivos de configuração com chaves de acesso e coisas desse gênero. E é o tal do movimento lateral que ele faz depois que entra lá dentro. (24:16) E então os atacantes, o que eles fizeram foi pegar a IA da Anthropic, que é o Claude, e entregaram para essa Anthropic várias ferramentas que permitia que ela realizasse ataque por conta própria. E segundo tendo no relatório, eles teriam feito isso de maneira segmentada para que o próprio modelo não detectasse que fosse uma ação maliciosa. Então, por exemplo, em vez de eu dizer: “Ah, ataca aqui o Guilherme, levanta informações sobre ele, pega os dados de não sei quê, não faz não sei o que e já faz o ataque”. Não, eles quebraram isso em etapas. (24:34) Então eu faço com agentes diferentes cada uma delas também. Exatamente. Então eu vou lá e levanto, por exemplo, quais são as portas abertas? Aí depois eu, beleza, tenho a lista de portas abertas, IP e porta. Aí eu posso pegar só as portas. Agora quero para cada porta aqui, eu quero saber que versão de serviço tá rodando aqui. Aí um agente vai lá e levanta a versão de serviço. Aí um outro agente eu digo assim: “Ah, procura para mim que vulnerabilidades esse serviço aqui com essa versão tem”. Eu não digo que isso veio de uma varredura que eu fiz no IP, não sei quê. (25:12) Não digo, só digo: “Ó, procura para mim a vulnerabilidade, se esse serviço de e-mail na versão tal tem alguma vulnerabilidade conhecida”. E ele vai lá e faz. Então eles quebraram o ataque todo em várias etapas e meio que isolaram os agentes, digamos assim, para evitar que o modelo detectasse um ataque acontecendo, uma atividade maliciosa acontecendo. (25:36) E aí para aquela analogia que a gente usou antes aqui, como se você fosse organizar o cometimento de um crime, chamasse vários agentes mesmo, e comparsas ali, cada um sabe um pedacinho. O filme do Batman é assim. O Batman lá do Coringa é assim. Lembra que no início eles, eu não sei qual é a próxima fase e tal, eles só sabem um pedaço do crime e aí depois o Coringa ainda vai matando eles. Seja uma analogia assim, mais ou menos. (26:03) É perfeito. É isso aí que ele faz. E até porque eles têm que, notem que para ferramentas, não adianta entregar as ferramentas e deu, tu tem que dizer para o que tu quer que ela faça. Então tem toda uma engenharia de prompt por trás desse ataque que tu tem que fazer os prompts funcionarem. E quem já fez prompts mais complexos sabe que às vezes tu tem que dar uma volta maior para conseguir fazer a IA fazer o que tu quer, que ela pode se negar a fazer certas coisas. Então eu vivo brincando com isso aí porque tem certos testes que eu quero que ela faça, ela não faz, ela se nega, ela diz: “Eu não posso fazer isso”. Aí eu tenho que dar uma volta, mudar o prompt, mudar não sei que para fazer. (26:33) Então esses caras tiveram que fazer um monte de prompt para fazer esse ataque funcionar. Então, no final das contas, Guilherme, o que eles fizeram foi pegaram o Claude, mas nota, eles poderiam ter usado o GPT, algum modelo da OpenAI, eles poderiam, podiam ter usado um modelo instalado. É isso que eu dizer, a Anthropic tira dessa negócio aqui uma série de lições que eles falaram aqui para ele que eles vão usar para reforçar a segurança do modelo deles. Mas esses caras aqui brincando mudam pro ChatGPT. Vão ter que ajustar talvez um prompt ou outro. (27:24) A coisa não quer dizer que um prompt que contornou a segurança do Claude vá funcionar no GPT. Então talvez tem que ajustar, mas eles podem usar o GPT, eles podem usar o Gemini, eles podem usar o Grok, eles podem usar, entende? E as por aí para usar essa estrutura de ferramentas que eles criaram agora, que lembrem, isso aqui usa MCP, que é um protocolo padrão para entregar a ferramenta para IA e todo mundo tá adotando isso. E eles também podem, vamos supor que todos os modelos ficaram maravilhosamente bons. E lembrando que aí a medida que o tempo passa, não só a gente tem modelos de IA mais potentes que consomem mais recurso, mas a gente tem também cada vez mais modelos mais capazes que consomem pouco recurso, que tu consegue rodar localmente. (27:59) E existe uma busca por isso para te poder rodar num celular, poder rodar num ambiente embarcado num carro e coisa assim. E hoje LM Studio da vida. Tu pode pegar um LM Studio da vida hoje e rodar. De uma boa placa de vídeo na mão, tu pode rodar certos modelos que são bem capazes, não são tão bons que o Claude, mas são razoáveis. Então, nada impediria desses caras com esse monte de ferramenta pronta aqui e esses prompts e tudo mais, comprar um monte de GPU, um monte de placa de vídeo para ter um poder de processamento legal, investir nisso e eles mesmos rodar o modelo de IA que vai gerenciar suas ferramentas. Sem restrição nenhuma em termos de segurança, sem safeguard nenhum. Ela fazer sem perguntar o por que ela deveria fazer ou dizer que isso aqui é crime, não sei que ela não faria isso. (28:52) Então, o que a gente tá vendo, independente deles terem usado o Claude ou não, é mais uma automação de processos que antes eram feitos apenas por seres humanos. E com a consequência de ser algo que baixa o custo do ataque. Ou seja, esses caras atacaram 30 alvos num tempo que se eles tivessem que fazer isso com seres humanos, sabe? Custaria mais caro para eles em termos de tempo. E ainda por cima talvez eles não fossem tão eficientes, sabe? (29:24) Então, eficácia é outra coisa, mas isso baixa o sarrafo para ataques mais sofisticados. Porque basta a gente lembrar o que acontece com ferramentas mais complexas, com ataques mais complexos. Com o tempo surge uma ferramenta que automatiza aquele ataque e aí o cara só baixa, o cara baixa a ferramenta, coloca o IP de alguém, aperta send e manda ver. Então, a gente tá vendo isso acontecer, assim como em várias outras áreas da atuação humana, a gente tá vendo isso acontecer numa situação de cibercrime. No final das contas é isso, sabe? (30:20) Eu acho que no fim das contas, quando você vai, você tava falando aqui, fui lá no Hugging Face, coloquei cybersecurity, você já tem algumas coisas acontecendo lá também para avaliação de sistemas. Os caras dizendo que a gente treinou esse modelo aqui com OWASP, MITRE ATT&CK, NIST, CWE, CVSS. Então, de repente tu já tem e inclusive as próprias vulnerabilidades já conhecidas, isso é tudo muito público assim. E o que me chama atenção, acho que tem várias coisas aí. (30:49) Primeiro é que além do uso da IA, mas não é nada novo, me parece, não tem uma, não é uma metodologia nova, é uma automatização de como as pessoas já fazem aquilo. Exatamente. E nota que isso é bom pro atacante. Claro, ele tá automatizando, ele faz mais rápido, ele faz em grande escala, fica mais barato para ele, menos gente, mais lucro, até menos gente. Só que a grande sacada vai ser, e isso se já não aconteceu, deve estar acontecendo agora, vai acontecer em breve, é você conseguir fazer coisas novas, entendeu? Você subverter, você encontrar novos meios, você encontrar novos caminhos, você técnicas e tudo mais. (31:30) Eu acho que esse vai ser o ganho aí também em qualidade, não é só uma questão de quantidade, porque todas essas atividades ali, tudo indica que foram feitas. É o passo a passo normal de um de um teste ilegítimo, digamos assim, ou de uma invasão ilegítima. E aí, o pessoal às vezes pode ficar chateado com a gente, mas enfim, você tá aqui num podcast de segurança da informação, direito da TI, proteção de dados, então a gente vai falar de segurança mesmo e a gente vai botar o dedo na ferida no sentido de que pros empresários, pros gestores que estão nos ouvindo e tal. (32:08) E eu não falo isso, Vinícius, para honestamente para assustar ninguém, mas isso é só o começo. Sim, isso é, sem dúvida, sem dúvida. Quem acompanha o cenário de e que faz essa atividade de threat intelligence, quem acompanha golpes e tal. Hoje nós já temos, e o Vinícius, a gente conversava sobre esses dias, o Vinícius pode endossar essa. Hoje fazer um um bot no Telegram, já faz tempo que sempre foi fácil fazer bot no Telegram, mas ligar uma IA no Telegram lá para fazer um botezinho é a coisa mais fácil do mundo que tem. (32:29) Então você já tem grupos criminosos hoje que ficam mandando mensagens lá, tem uma clássica que ele pergunta se você é guia turístico no Brasil e tal. E aí começa uma, se diz que não e aí começa a conversar com o cara e aí tu vê que é uma IA, várias pessoas recebem, tem informação disso, várias pessoas recebem. A ideia é tu automatizar uma primeira etapa do ataque para pegar algum, pegar algumas pessoas que caem no golpe e aí passa depois para um para uma atendente pessoa ali para seguir com o golpe. Então isso vai ser cada vez mais comum. Daí que eu acho que é a importância da gente conhecer e saber como é que essas coisas estão acontecendo. (33:25) E isso que nem falou, Guilherme, o que o Ethan Mollick coloca no livro dele também. Tu sempre assume que tu tá usando a pior IA que tu tá usando hoje é a pior que já existiu. A coisa só vai melhorar. E então eu já sinto esse negócio de mudar a forma como a gente testa algumas coisas, porque tem certas verificações que antes eram inviáveis de serem feitas. Que agora é perfeitamente viável de fazer por causa da IA. (33:56) Então, coisas que antes não podiam ser feitas e que agora é viável. Porque eu tenho, eu sei o que eu quero fazer, mas para fazer manualmente é muito difícil. E tu fazer um programa que faça aquilo com aquela lógica, ou seja, fazer um programa para fazer um cálculo complexo, contábil, vai dar certo, ou de física, etc. Vai embora. Agora, faz um programa, tenta fazer um programa sem usar IA. Sem usar nenhum tipo de machine learning, tenta fazer um programa normal, digamos assim, que reconhece se tem um papagaio numa imagem ou não. Pronto, foi pro Belelu. Vai ter um trabalho muito grande. E a IA já permite certos testes que antes não eram possíveis. E inclusive a questão de trabalhar com código ofuscado, que é algo que a gente comentava e que é uma coisa bem interessante também. (34:49) O código é ofuscado para ser humano, não para uma máquina. Então tem várias coisas que estão mudando nesse cenário com a IA. E sim, quando eu falo que esse tipo de coisa que a gente tá vendo aqui acontecendo nesse artigo que a gente tá comentando, em que eu digo que baixou o sarrafo, e eles comentam, eles falam não nesses termos, óbvio, mas eles falam que baixou os requisitos para te fazer um ataque mais complexo. E aí isso, achando que tudo que é mais fácil agora. (35:17) Exato. E aí ficando mais fácil, tu vai ter mais ataques acontecendo, porque agora pessoas com menos conhecimento vão conseguir fazer ataques mais complexos que antes elas não conseguiam fazer. Então, tu vai, ao mesmo tempo, tu também pode usar IA para aumentar as defesas, entende? Mas é aquela aí, é aquela velha história, é um jogo assimétrico, porque quem defende tem que encontrar todos os furos, todas as possibilidades de entrada num ambiente. Quem ataca só tem que encontrar um. (35:51) Então assim, se tu encontrou 100, deixou um para trás e o cara que tá atacando encontrou aquele um, pronto, ele ganhou o que ele queria. Entende? Mas ali tudo indica que seria uma coisa assim mais de buscar vulnerabilidades conhecidas em sistemas desatualizados. Girou em torno disso. Mas eu não falo desse caso específico. O que eu tô te dizendo é que cada vez mais tu vai ter ferramentas que vão automatizar esses ataques para pessoas que não conhecem nada tecnicamente. É o retorno seria o retorno do script kiddie, Vinícius. (36:26) Não, não é o retorno. Esse cara sempre existiu. Assim, o cara que fica decorando um monte de conceito numa conversa depois, larga aquele monte de termos e não sei que ele aprendeu em inglês até decorar aquilo para conseguir mostrar para alguém que ele sabia aquilo de decor, mas no fundo, no fundo, no fundo, o cara não sabe o que tá fazendo. E esse cara vai ser beneficiado, ou seja, vai baixar o nível de exigência pro cara fazer uma coisa desse tipo. (36:50) Em última análise, tu vai ter um aumento de ameaças no âmbito. Exato. O nível de ameaça sobe porque a facilidade de exploração cai. A facilidade de tu encontrar um problema, analisar aquilo, tentar fazer a exploração. Cara, uma coisa simples que se fazia, talvez até hoje, ainda tem, com certeza, até hoje tem lá no Exploit-DB, uma coisa simples que se fazia era tu ia baixar um exploit, uma ferramentinha para fazer uma exploração e aquele exploit vinha com algumas coisas erradas óbvias, sabe? Mas tu tinha que olhar o código, tinha que entender o código e tinha que olhar: “Ah, tá aqui”. Aí tu ia lá, ajeitava e o código passava a funcionar. Justamente para evitar aquele cara que só baixa, executa e deu. (37:26) Isso hoje é ridículo. Tu baixa um negócio desse, tu dá para IA e diz: “Corrija e melhore e ajuste para minha situação aqui”. E ela vai fazer para ti. Tu não tem que fazer mais nada, entende? O próximo passo é aí sim, e aí ela já consegue fazer isso, mas aí ela encontrar as vulnerabilidades, isso já tá sendo feito aí, já tá, já tem notícia sobre isso. Guilherme, mas no sentido de, aí que é o também um passo aí de qualidade. É tu descobrir coisas novas, é tu descobrir zero days, é tu te apropriar daquilo, é tu sabe. E aí a coisa fica mais complexa, porque quanto tempo e dinheiro tu vai investir para descobrir essas coisas, sabe? (38:23) É bem delicado. E tem uma coisa que é interessante. Um zero day, uma coisa nova, é um furo que ninguém conhecia, era um problema que ninguém conhecia. Mas dificilmente esses caras surgem com uma técnica nova de exploração. São ocorrências de problemas já conhecidos ou de combinações de problemas já conhecidos numa dada situação que gera um resultado diferente que ninguém esperava, que é uma nova vulnerabilidade. (38:51) Dificilmente acontece, acontece, óbvio que acontece, mas dificilmente são técnicas inteiramente novas, entende? Algo que nunca ninguém viu. Então a gente tem um monte de zero day que vem, por exemplo, de buffer overflow, que é um problema bem conhecido. E tem várias variações de buffer overflow já muito bem conhecidas e documentadas. Então a IA nesse sentido, ela consegue, ela vai conseguir encontrar zero days, fica bem tranquilo. Talvez ela não venha com coisas super novas ainda agora, mas ela vai ser capaz de fazer tranquilamente. (39:16) Guilherme, eu vou encerrando de minha parte aqui, dizendo que eu já passei para ti inclusive minha cópia do artigo com os destaques que eu fiz. Então, para ficar disponível lá para vocês a cópia com os destaques, com que eu achei aqui bem relevante, bem importante. E essa vai tá, vai estar no show notes para vocês baixarem. Você falou antes várias variações. É, várias variações, não é uma nem duas, são várias, são várias variações. É tipo uma surpresa inesperada. Uma surpresa inesperada. (39:46) Mas assim, ó, o que é muito importante é ficar, e a coisa em si lá no Claude e tal, é legal e tal, mas o que é interessante a gente pensar na técnica, os impactos disso hoje e pros próximos poucos anos que tá à nossa frente aí com relação aos momentos. Eles deram uma aumentada na importância assim, tem um meio de propaganda ali também, meio que assim: “Olha o que que é possível fazer com o Claude”. Eu senti. Nossa, o Claude foi fantástico, fez coisas que não seria possível fazer com seres humanos e tal, mas no final das contas, qualquer IA aqui que tu meter que seja boa, vai fazer isso aqui. (40:27) Então, bom, enfim, aquela história, os caras vendem um peixe deles também. É, depois dessa surpresa inesperada, nós vamos então terminando hoje o episódio um pouquinho mais curtinho também. É bom também, você consegue esgotar ele mais rapidamente. Aí abre espaço para você ouvir outras coisas interessantes também. A gente ouviu hoje, o Vinícius indicou um videozinho de um prêmio Nobel, prêmio Nobel, melhor dizendo, explicando um pouco a questão da IA. Dá para deixar. É do Geoffrey Hinton, o Geoffrey Hinton é um dos padrinhos da IA, um dos pais da IA. Então vamos deixar lá também bem interessante e nos encontraremos agora no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.  

Neste episódio comentamos sobre as notícias mais recentes no mundo da segurança da informação e proteção de dados, com Guilherme Goulart e Vinícius Serafim. Você irá descobrir os detalhes sobre a sanção da Lei 15.254 de 2025, que criou o Dia Nacional de Proteção de Dados em 17 de julho, uma homenagem ao jurista Danilo Doneda, considerado o pai da proteção de dados no Brasil. Abordamos também o audacioso furto no Museu do Louvre, que expôs falhas críticas de segurança física, incluindo o uso de senhas fracas como “Louvre” no sistema de videovigilância, um caso que serve de alerta sobre a manutenção de sistemas dessa natureza. Além disso, você irá aprender sobre as revelações de uma reportagem da Reuters, indicando que a Meta conscientemente lucrou bilhões com anúncios fraudulentos, scams e a venda de produtos proibidos, levantando um debate sobre a responsabilidade das big techs. Analisamos também a nova versão do OWASP Top 10 para 2025 e discutimos a polêmica proposta de simplificação do GDPR na Europa, que pode enfraquecer o regime de proteção de dados ​na Europa e no mundo. Se você gosta do nosso conteúdo, não se esqueça de assinar o podcast na sua plataforma de áudio preferida para não perder nenhum episódio, nos seguir nas redes sociais e deixar sua avaliação. Sua participação ajuda o Segurança Legal a alcançar mais ouvintes e a continuar produzindo conteúdo de qualidade sobre cibersegurança e privacidade.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes: Presidente sanciona lei que cria o Dia Nacional da Proteção de Dados Louvre Heist Fallout Reveals Museum’s Video Security Password Was ‘Louvre’ The cybersecurity error at the Louvre that allowed the historic the Meta is earning a fortune on a deluge of fraudulent ads, documents show Release Candidate do Owasp Top 10 Vídeo – Pentest | O que é e como funciona um Teste de Invasão? EU Commission internal draft would wreck core principles of the GDPR 📝 Transcrição do Episódio (00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 407, gravado em 11 de novembro de 2025. Eu sou Guilherme Goulart, junto com o Vinícius Serafim. Vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá, os nossos ouvintes. 11 de 11 hoje. 11 de 11. Hoje tem promoção em tudo quanto é coisa. (00:31) Época de mentirinha, mas esse é o nosso momento então de conversarmos sobre algumas notícias e acontecimentos que nos chamaram atenção. Pega o seu café então e vem conosco. E você já sabe, para entrar em contato com a gente é muito fácil, basta enviar uma mensagem para [email protected], Mastodon, Instagram, Bluesky, YouTube. (00:48) E agora, Vinícius, se você é jovem, TikTok também. Estamos lá com alguns vídeos que já estão sendo publicados, alguns cortes do podcast Segurança Legal. E também convidamos você a acompanhar a nossa campanha de financiamento coletivo lá no Apoia-se: apoia.se/segurancalegal. Você pode contribuir e também fazer parte do nosso grupo exclusivo de apoiadores lá no Telegram. (01:14) Vinícius, quer mandar uma mensagem ali pro Isaac Melo? Abraço pro Isaac Melo, que nos mandou algumas informações aqui, algumas dicas de uma notícia. Nós vamos dar uma olhada nos links que nos passaste. Isaac, muitíssimo obrigado. A gente vai dar uma olhadinha. Valeu, valeu, Isaac. (01:38) Continue sempre conosco. Primeira notícia, Vinícius, é um misto de felicidade pelo reconhecimento e pela sanção da lei 15.254, agora de 2025, que definiu o Dia Nacional de Proteção de Dados. E esse Dia Nacional de Proteção de Dados, Vinícius, que é no dia 17 de julho, é nada mais nada menos do que a data de nascimento do Danilo Doneda. Para quem não sabe, o pai da proteção de dados no Brasil, um grande jurista que nos deixou recentemente. Gravamos, ele gravou com a gente aqui no podcast, fizemos um episódio de homenagem a ele depois do seu falecimento. É uma homenagem muito justa, muito válida, sabe? Porque realmente o Danilo era um cara incrível. (02:28) Dá para se dizer que foi uma força agregadora em torno da qual nasce a lei de proteção de dados. Claro, passa pelo processo legislativo todo, mas ele era um cara muito agregador. (02:49) Então, temos aqui o nosso dia nacional de proteção de dados como homenagem ao nosso querido amigo Danilo Doneda. Fica aí uma mini notícia. Eu disse antes misto de felicidade, mas também com saudade. Fica homenagem aí. São coisas da vida. Enfim, furto no Louvre, Vinícius, você ficou sabendo? Sim, sim. (03:13) Famoso furto. O pessoal encostou lá uma escada, um caminhãozinho com uma escada basculante. Cortaram o vidro com uma serra giratória ou algo parecido, subiram lá dentro, roubaram, entraram e roubaram mais de 100 milhões. Está sumido mais de 100 milhões ainda. Eu tinha visto a última vez que eu vi eram 88 milhões de euros. Eram joias que ficavam na galeria de Apolo. (03:44) Eram oito peças que eram joias da coroa francesa, do que foi a coroa francesa, inclusive uma coroa também. E algumas pessoas dizem que o valor é inestimável pela questão do valor histórico, não somente o valor das joias. Não, sem dúvida, sem dúvida, sem dúvida. (04:04) Então agora no dia 19 de outubro alguns ladrões, foi uma coisa de filme. Certamente. Então esses ladrões se disfarçaram, roubaram em 7 minutos. Exatamente, mais ou menos 7 minutos. E eles se disfarçaram de prestadores de serviços para acessar lá o Louvre. A coisa mais interessante disso, Vinícius, e eu tomei, ouvintes, o cuidado de perguntar pro Vinícius se ele tinha ouvido falar disso. Então vai ser uma surpresa para ele também: o portal Check News obteve resultados de auditorias realizadas entre 2014 e 2024. E um dos problemas que eles encontraram… (04:43) É que a senha do sistema de vídeovigilância, Vinícius, sabe qual era? Não, não sei qual. A senha do sistema de vídeovigilância era Louvre. E aí eles tinham um outro sistema, eu não tentaria essa senha. Eu não, ninguém iria colocar essa senha. (05:13) Eu não tentaria. Não é possível. Mas foi. Então eles, uma das senhas era Louvre e aí eles tinham, usavam um outro sistema lá também de monitoramento que era de nome Thales e a senha do sistema era Thales também. Claro, óbvio. E além de outros problemas que envolveram o uso de sistemas operacionais antigos como Windows XP e o Windows 2000. (05:39) Qual foi o papel dessa senha fraca? Foi que, segundo li aí nos portais, eles usaram essa senha fraca para desativar o sistema de vídeovigilância enquanto eles estavam realizando o furto. E claro que o caso é meio pitoresco assim, a gente deu risada, mas enfim, não é algo engraçado assim. Bem pelo contrário, é um crime, é um assalto. E menos mal que não teve nenhuma vítima. Exato. Exato. Não teve nenhuma vítima. Mas assim, é um patrimônio. (06:14) É claro que todas as contradições da monarquia francesa, de como eram ricos e aqueles prédios, aquelas, mas enfim, isso não vem ao caso agora. O que vem ao caso, eu acho que dá para daí sim linkar esse caso meio pitoresco com as nossas temáticas aqui. Que é uma tendência que a gente vê em alguns casos de um certo descuido e até de um certo desprezo de sistemas como esse de vídeovigilância, sabe? Tem você tem casos que às vezes isso não tá bem dentro da TI, não é gerenciado pela TI, fica numa zona meio… (06:48) Fica num limbo, cara. Fica num limbo e quem deveria ser responsável por isso não sabe operar direito. E isso acaba ficando no colo da TI e aí vem aquelas demandas de: “Ah, tem que abrir para acesso remoto, para acessar, quero você poder de casa.” Aí às vezes tu vai, aí o cara: “Olha, melhor não.” “Não, mas eu quero.” (07:12) Daí vem de cima, aí a pessoa quer acessar. Aí libera, aí acessa, depois esquece que isso existe, e fica lá o acesso. Você imagina o quão importante é isso pro museu mais importante do mundo? A segurança física. Claro. Sim, sim. A segurança física ali é essencial. Uhum. Nesse caso. Sim. (07:36) São objetos dos mais variados ali que estão fisicamente guardados, sob guarda do Louvre. E nem sempre os objetos pertencem ao museu. Eles podem estar momentaneamente cedidos ao museu. Tem mais essa ainda por cima. E você tem aquela questão de que muitos desses objetos foram pegos pelos franceses em circunstâncias históricas também que hoje demandariam, na Europa de maneira geral, Londres também, a questão da restituição, da repatriação desses materiais. Claro. Mas voltando aqui para pra segurança, Vinícius, às vezes fica… (08:16) Quase como uma questão de zeladoria. Então você tem dois problemas aí. Primeiro é o papel da segurança física no mundo da segurança da informação, que é flagrantemente menosprezado e relevado. E parece que foi o caso aqui, veja, no Louvre. E até você pensa: “Não, mas ninguém teria audácia de…” Não. Sim, isso de fato aconteceu. (08:39) Fica um alerta para as organizações que prestem atenção nesse aspecto de segurança física e no aspecto de monitoramento. Porque também nós não podemos esquecer que imagens de vídeo que envolvem pessoas, que filmam pessoas de alguma forma, constituem dados pessoais e, por isso, também ficam cobertos pelas proteções da LGPD. (09:04) Então, é algo bem crítico assim. Às vezes a gente vê em alguns locais que o livre acesso às câmeras de monitoramento dentro de uma organização é algo que tem que ser visto com muito cuidado, porque pode representar também uma violação LGPD, o descuido e até mesmo o vazamento desse tipo de imagem. E que vai se estender inclusive para situações também menos observadas, que é a questão dos condomínios. A gente até falou um pouco aqui sobre biometria nos condomínios e tal, mas se insere nesse grande mundo aqui da… (09:33) Segurança física dentro da segurança da informação. Sem dúvida. E a gente tem todo aquelas, a gente não vou entrar nesse detalhe agora que a gente já conversou sobre isso várias vezes, sobre aquelas questões de vigilância em cidades. O pessoal quer crime em ambientes públicos e tal para saber de todo mundo. (09:52) Então isso numa cidade grande até dá um certo anonimato. Eu digo um certo porque tu não vai assim porque tem muita gente. Mas logo isso vai ser resolvido, já tá sendo resolvido com a IA rastreando ali, reconhecendo todo mundo, não importa o número de pessoas que tem. (10:11) Mas em cidades menores, como por exemplo Três de Maio, são 25.000 habitantes, ou cidades ainda menores que tem aqui na volta. Tu põe um sistema desses, cara, tu sabe quem foi falar com quem, a que horas. Tem as principais das nossas cidades, que são pequenininhas e que tem uma rua, duas ruas principais assim, que para ti, em qualquer lugar, tu passa nessas ruas e tu tendo algumas câmeras ali, tu já consegue saber, cara, quem tá falando com quem, quando. Isso em época de eleição, por exemplo, é extremamente útil. E essas câmeras com… (10:44) Reconhecimento do OCR. Inclusive a gente já falou sobre isso aqui em algum episódio passado. Acho que foi sobre o caso Córtex. Uma série de problemas e também basicamente ou virtualmente você consegue saber onde os carros estão e consequentemente onde os, na grande maioria das vezes, os seus donos também estão. Um problema de vigilância mesmo. Virando a chave agora pro Meta, Vinícius, e isso saiu. Deixando bem claro que nós vamos agora refletir aqui ou replicar ou reproduzir uma notícia, um furo dado… (11:24) Pela Reuters, que revelou uma informação muito crítica assim sobre a postura da Meta envolvendo anúncios fraudulentos. Ora, sério? Pois é, sério. Aqui a gente vai falar de informações que vazaram, que a Reuters teve acesso, informações de relatórios internos da Meta. (11:51) Mas assim, é possível dizer que nós no nosso cotidiano, assim, eu principalmente, cara, já vi muito, muitos anúncios de fraude. Instagram, Instagram que é eu, que o Facebook eu não acesso mais, mas Instagram já vi muito. Já tive familiares que caíram e amigos que caíram em golpes de compras feitas por anúncios no Instagram. (12:11) Então, é um negócio mais ou menos conhecido do brasileiro, assim, que tá bastante acostumado a reagir a golpes dos mais variados possíveis. E a gente começa a ficar calejado. Esses dias eu tava alugando um Airbnb essa semana aqui e a dona lá do Airbnb falou: “Ah, me passa o teu e-mail para eu conversar.” Eu disse: “Já fiquei ressabiado.” (12:35) Disse: “Não, vamos manter a conversa por aqui, por dentro da plataforma mesmo. Eu acho que é mais seguro.” E a pessoa: “Não, tudo bem, continuamos por aqui.” Mas o brasileiro ele… Porque muitos desses golpes, a ideia é tirar o cara do canal oficial para levar ele para outro canal. Mas enfim, então o que que eles descobriram desse documento confidencial que vazou? Que em 2024 eles fizeram uma projeção de que 10% dos lucros de anúncios que a Meta teve em todo ano vieram de anúncios com golpes e vendas de bens proibidos, remédios falsificados, remédios proibidos, substâncias proibidas e golpes mesmo… (13:12) Scams, golpes que eles chamam. Isso implicou em 15 bilhões de anúncios fraudulentos, o que representou 16 bilhões de dólares. O que a Meta estornou e não aceitou mais fazer os anúncios? Não, não. Auto lá não. Eles não fizeram isso. Eles ficaram com esses 16 bilhões. Coisas como, cassinos ilegais, produtos médicos proibidos, extorções sexuais, contas falsas fingindo ser celebridades e coisas do gênero. (13:47) A grande questão aqui que me parece que ficou claro é a forma como a plataforma se comportou diante disso, ou seja, ela sabia que parte da sua renda vinha de fraudes. Ela sabia que essas fraudes, vamos lá, essas fraudes estão prejudicando pessoas. Não é algo inofensivo, é algo que causa danos dos mais variados. (14:11) Se você for falar em extorção sexual, esse negócio é seriíssimo. Muito mais sério do que cassino ilegal, por exemplo, mas que também é sério. Então, e isso me parece que é o grande problema. Eles tinham conhecimento. Esse é um outro ponto. A grande maioria desses anúncios, segundo a própria Reuters, eles eram suspeitos o suficiente para serem detectados pelos próprios sistemas que eles tinham para identificação de fraudes. (14:42) Só que eles só banem os anúncios quando há ou quando houver 95% de certeza de que há uma ilegalidade naquele anúncio. E mais a forma como o algoritmo de personalização que a Meta utiliza para te mostrar novos anúncios com base nos anúncios que tu clica. Porque aquela coisa, todo mundo sabe como que é. Não é mais novidade para ninguém. (15:02) Você vai clicar em sapato, camisa e sei lá o que, mas relógio. O Instagram vai ficar te mostrando essas coisas. Por quê? Porque você tem uma personalização ali. Então o que eles descobriram é que quem clica nesses anúncios fraudulentos ficaria por conta do funcionamento do algoritmo sujeito a receber mais anúncios fraudulentos ainda por conta da personalização. Uma vez tá feito. (15:28) É, é bem curioso porque é o tipo de comportamento que se você sabe que aquele anúncio é fraudulento, você poderia não recomendar o anúncio, mas não, não é o que acontece. O que que porta-voz da Meta, o porta-voz Andy Stone, disse que os documentos vistos pela Reuters, abre aspas: “Apresentam uma visão seletiva que distorce a abordagem da Meta em relação a fraudes e golpes.” (15:58) A estimativa interna da empresa de que obteria 10% da sua receita de 2024, proveniente de golpes, scams, era aproximada e excessivamente inclusiva. E a empresa ainda determinou que o número real era menor, porque a estimativa incluía muitos anúncios legítimos também. Qual o problema além do evidente? O problema aqui é uma falta de regulação e é uma consequência direta de como é difícil você contar com a responsabilidade social de uma empresa de grande porte, sobretudo de uma Big Tech hoje, porque… (16:34) A influência dessas empresas na nossa vida é cada vez maior, mais frequente e mais intensa. A gente sequer sabe mais, Vinícius, se o que a gente tá comprando é aquilo que a gente quer comprar mesmo ou aquilo tá sendo influência dos teus hábitos de navegação e de uso de internet. É algo que já virou, não dá mais para saber, sabe? Porque daí você vai pesquisar no YouTube sobre um negócio e aquilo vai começar a aparecer e aparece em outra plataforma e quando você comprou e coisas relacionadas. Esse é um problema. Esses documentos todos e a… (17:11) Reportagem da Reuters vai ficar ali. É super completa. E o que os caras dizem é que esse comportamento da Meta permitiu que se crie, eles se tornassem um pilar de uma economia mundial de fraude. Ou seja, é por meio deles que esse tipo de fraude tá se ampliando no mundo inteiro. (17:36) Os próprios relatórios internos da própria Meta diziam que eles reconheciam que era mais fácil publicar anúncios fraudulentos na Meta do que no Google. Eles fizeram uma análise de custo benefício e análise. A gente sabe como fazer análise de custo benefício, sobretudo nos Estados Unidos, é complicado. Porque lá as multas para esse tipo de análise, ou para esse tipo de manejo assim, são bem altas, bem punitivas mesmo. (18:03) Então, o que que eles fizeram? Eles se sabiam que multas viriam. Eles tinham a noção de que poderiam ser multados, mas as multas seriam muito menores do que o lucro que eles teriam com a aceitação de anúncios fraudulentos. Vamos lá, 10% da renda com anúncios. Além do que nesse meio tempo eles despediram funcionários que lidavam com esses setores internos de fraude. E pior, eles ignoravam 96% dos avisos de fraude. (18:34) Sabe aquela coisa quando você vê o anúncio, fala: “Denunciar.” Você denuncia e aí depois recebe uma mensagem: “Ah, verificamos aqui, não tem nenhum problema.” Pois é, segundo os dados vazados e segundo a Reuters, isso seria 96%. E aí o que que eles ainda fizeram para terminar? Eles tinham uma lista interna dos o que se chamava, eu não sei como traduzir, os scamiest scammers. Scamiest scammers, scammers mais scammers. (19:07) É, os que fazeram os mais, os scammers que aplicaram mais golpes, os piores, entre os piores. E que tem? O que que esses piores fizeram? Enfim, aí o que que a Reuters verificou? Que meses depois desse relatório que vazou, cinco dessas contas chamadas de scamiest scammers ainda estavam no ar. E qual foi a estratégia deles para diminuir essas publicidades? Porque eles sabiam quem eram. Sabiam quais eram. Qual foi a estratégia deles? (19:53) Foi cobrar mais daqueles que tinham suspeitas de fraude. Então eles faziam os penalty bids, ou seja, tipo como se fosse um leilão. Então quando identificava que tinha o potencial de ser fraudulento, eles cobravam mais dessas contas. Essa é a história. A gente vai falando e parece que cada vez foi ficando pior. Mas enfim, essa história como sempre fica aqui os links e você pode, se quiser se aprofundar, pode dar uma olhada lá nessa extensa reportagem da Reuters que explica um pouco dessa dinâmica de anúncios fraudulentos na internet e talvez sirva… (20:29) Pra gente entender o porquê tamos recebendo com tanta intensidade assim anúncios fraudulentos nas redes da Meta. Perfeito, Guilherme. Trago agora o meu, a minha, que a minha filha única, a minha é uma só hoje. Tragemos. O que temos? O que temos é o seguinte, cara. (20:53) Tava a tão esperada atualização do OWASP Top. A tão esperada atualização do OWASP Top 10. Não tá ainda full, é um release candidate. Ah, mas eles prometeram para 2025. Nós estamos com release candidate, ainda estamos em 2025. Então, vamos ver se até o final do ano essa versão aqui já se torna de fato a versão final. A gente tava com a OWASP desde 21, sem atualização, sem o Top 10 sem atualização. (21:26) E então agora houve a atualização, aconteceu a atualização. E eu vou dar uma geral aqui, Guilherme, que a gente tem planos de entrar em maiores detalhes aqui em cada um desses itens. Mas só pra gente ter uma noção do que das danças das cadeiras. Eu até preparei aqui para compartilhar com o pessoal. Para quem tiver acompanhando os… Ah, aqui para quem tiver acompanhando no YouTube. Então aqui é a versão release candidate um. Não quer dizer que é o último release candidate antes da versão final, pode ser, pode ter o dois ainda… (22:01) Mas em essência eu vou destacar aqui para até para eu poder ler e para quem nos acompanha poder ler também. Nós temos, vamos ver, acho que fica, acho que fica bom assim. O Top 10 de… Eu vou de baixo para cima ou de cima para baixo? Que você prefere, Goulart? Eu vou dar. Ah, tanto faz, cara. (22:22) Fica fica à vontade aí. Eu vou de baixo para cima. Então, o A10 de… Que é o… Em 2021, o que era o 10, que era o Server-Side Request Forgery, acabou sumindo, foi retirado. É algo que foi unido ao Broken Access Control. Então o controle de acesso quebrado. O Server-Side Request Forgery é um tipo de ataque específico. Eles até explicam essa decisão de sumir com ele dali e unir ele porque tava meio, não em duplicidade, mas tava meio fora do lugar. Então ele acaba sumindo. Então o A10 de 2021 some… (23:11) E nós temos um novo A10 aqui na de 2025, que é o tratamento inadequado de condições excepcionais. Essa é uma nova, é um novo… Esse item não existia em nenhum dos itens da Top 10 de 2021. Então ele é novo, ele é algo que a gente não tinha visto ainda. Cada um desses controles, eu, por isso que eu digo que nós vamos ter que entrar em detalhes em cada um desses controles, em cada um desses itens. Ele tem uma série de CWEs… (23:50) Que é lá do MITRE, que é um catálogo de vulnerabilidades, não de vulnerabilidades conhecidas, mas tipo de fragilidades conhecidas. São tipos de fragilidades, não são vulnerabilidades específicas de um software. E eles, então, em cada um desses itens agregaram uma série dessas vulnerabilidades. (24:13) O que tem no A10 essencialmente é tratamento inadequado de erro, erros de lógica, erros que falham, coisas que falham aberto, ou seja, algo que ao dar, ao não funcionar adequadamente, acaba falhando de tal maneira que deixa algum controle, o acesso a alguma informação, acesso a alguma funcionalidade simplesmente aberto e não inacessível. E outros cenários que eles trazem. O nosso A9 de 2021, que é o Security Logging and Monitoring Failures. Então, falhas de monitoramento e de segurança e falhas de monitoramento… (24:53) Por si só. Continuou no nono lugar. Porém mudou um pouquinho o nome, virou só Logging and Alert Failures. Então, continuou no nono local, nono lugar. O A número oito, que é o Software and Data Integrity Failures, que é a falha de integridade de software e dados. Acabou se mantendo também em oitavo lugar. (25:25) Em sétimo lugar, as falhas de autenticação. Antes era falhas de autenticação e identificação, agora é só falha de autenticação que engloba tudo. Então, essencialmente aí no finalzinho diferente, na teoria da segurança. É, na verdade eles englobaram na mesma. Porque tem várias situações de overlap ali. (25:46) Para autentificar, tu tem que autenticar, tu tem que identificar. Então, acabou ficando nesse lugar. Então, o sétimo, o oitavo e o nono lugares se mantiveram exatamente os mesmos de 2021. As mudanças começam daí para cima. Então nós tivemos uma, uma caiu para quarto lugar. Agora eu vou pegar uns três no meio ali do miolo. Caiu para quarto lugar as falhas criptográficas. Em que uso de algoritmos de criptografia de maneira inadequada, vetores de inicialização errados e outras coisas mais. A… (26:25) Injeção, o Injection. Que entra aí o SQL Injection. Então você tem SQL Injection e qualquer outro tipo de injeção de comandos e coisas do gênero. Você também tá tendo essa falha. Então veio do segundo lugar, falha de criptografia veio pro quarto, Injection veio do terceiro lugar pro quinto, elas vieram juntinhas. E Design Inseguro. O Design Inseguro ele é bem genérico, não são falhas, não são erros de codificação, mas foram coisas que foram projetadas de forma insegura. (27:04) Então não foi um problema na implementação, elas foram projetadas de forma insegura, foram implementadas segundo o projeto e aí há um problema de segurança. E isso caiu de quarto lugar para sexto lugar. (27:23) Bom, quem que foi então pro segundo e terceiro lugares? Antes da gente dizer quem tá em primeiro, o segundo e terceiro lugares, eles ficaram com a Componentes… Componentes vulneráveis e desatualizados, que mudou de nome. Então, essa tava no sexto lugar, foi para terceiro, e o novo nome é Software Supply Chain Failures. Então, falhas da cadeia de fornecimento em que você usa bibliotecas, tanto bibliotecas tanto no momento do fazer o building do software, que é, em várias situações, quando tu vai fazer o building, a biblioteca não tá ali, ele vai lá e baixa a biblioteca de algum repositório na internet e usa essa biblioteca para fazer a… (28:03) Construção do software ali para fazer o deploy na sequência. Então tem vários tipos de problemas de supply chain que entraram. Então vieram lá do sexto lugar, agora em terceiro lugar. Então é algo importante a ser observado. Erros de configuração. (28:23) E aqui é muito interessante. Eles citam que muito da infraestrutura, à medida que a gente migra para nuvem, à medida que tu passa a ter a infraestrutura como um, uma, como um software que tu configuras, tem cada vez mais erros de configuração e isso fez então o Security Misconfiguration vir lá do quinto lugar e vir parar em segundo lugar em 2025. E o A número um, que já tá como número um já há pelo menos dois Top 10. São os controles, o Broken Access Control, controles de acesso quebrado, são falhas gerais de controle de acesso. Desde alterar um ID, acessar… (29:04) Informação que não deveria até tu mudar uma flag e conseguir virar administrador num sistema ou de repente fazer acesso direto a uma URL e aí tu não precisar de autenticação para acessar aquela informação. Tem de tudo ali dentro relacionado a Broken Access Control. E esse é o top, é o, é a primeira do Top 10 de 2025 do OWASP. E se manteve, vem se mantendo. (29:34) E uma coisa que me chamou atenção, Guilherme, eles até, tá aqui o dado na tela. Depois eu vou ter que olhar com mais detalhes quando a gente for destrinchar cada um desses itens aqui. Eles dizem que na média 3,73% das aplicações testadas tinham um ou mais dos 40 CWEs que estão nessa categoria. (30:03) Eu achei muito baixo. Por que que eu achei muito baixo? Porque é muito difícil tu avaliar uma aplicação que não tenha esse tipo de problema aqui. Assim, baixíssimo. Se fosse 20% eu ia dizer baixo. Então eu vou precisar entender um pouquinho melhor qual foi o conjunto de dados que eles usaram como origem. Eles fazem com base em entrevistas. Mas eles detalham um pouco melhor com base no que isso aqui foi definido porque é muito baixo, porque a gente tem muito problema de controle de acesso quebrado. (30:35) Guilherme, deixa eu só fazer, abrir um parênteses aqui, Vinícius. A minha qualidade de vídeo aqui deve tá indo terrivelmente ruim para você, porque eu tô te vendo muito mal e eu vi que a gravação do último episódio a tua tá razoável. É, eu tô vendo agora, tá, mas tá pequenininho. Tô vendo pequenininho que tá. (30:53) Eu tô vendo, tua tá não tá muito boa mesmo. Eu tô vendo o teu retorno como se fosse 8 bits, assim, eu sequer consigo ler direito o que tá na tela aqui. Então, e não é internet. Não é internet. Depois eu vou ter que descobrir isso. Mas eu só falo isso para quem tiver vendo no YouTube. (31:10) Desculpa se tiver essa qualidade que eu tô vendo aqui, tá horrível. Vou te mandar aqui para ver como é que tá aí. E então, mas você, se você puder subir um pouquinho ali, até para quem tá no YouTube, mas para mostrar aquela mudança ali, eu achei bem interessante e os que subiram. A Security Misconfiguration, isso indica tendências do que tá acontecendo no mundo também. Porque eles ordenam, não é somente 10 categorias, são 10 categorias que mais aparecem agregadas ou colocadas ali num nível hierárquico do que mais acontece para menos acontece. Então, quando a gente vê essas mudanças… (31:47) De ordenamento, o que era o quinto ali vai pro segundo, o que era o segundo vai pro quarto e por aí vai, isso diz muito sobre os ambientes, sobre o que tá acontecendo no mundo da segurança também. Agora eu quero te fazer uma pergunta. Fale, é para um testador, para uma pessoa que vai realizar testes de invasão, para um, para uma empresa como a BrownPipe que realiza testes de invasão, inclusive. Ah, entendi. (32:18) Quer fazer? Qual é o papel da OWASP para empresas como a BrownPipe? Cara, eu acho que tem, primeiro a OWASP, ela é um norte com relação ao tipo de coisa que é mais comum e sendo já indicado como mais comum, é o tipo de coisa que é mais procurada também. (32:43) Então, e ela é uma referência que a gente utiliza quando faz pentest. Não só o Top 10, mas todo o corpo do WSTG da OWASP. Porque tem a lista de testes a serem feitos mais. Mas aqui é importante, é muito interessante quando tu encontra uma vulnerabilidade que se encaixa num desses itens, tu dizer: “Olha, essa vulnerabilidade que tu tens, ela tá no Top 10. Ou seja, é algo extremamente comum.” (33:09) Eu vou ter que mutar para só um pouquinho. Vai lá. Enquanto isso, o Vinícius torce. Voltei. Então assim, ela é extremamente preocupante quando tu tens uma série de vulnerabilidades nos teus sistemas que se encaixam no Top 10. Porque isso aqui não, não é, é importante pro pentest, é mais para ajudar a classificar as coisas, mas isso aqui é muito importante para quem desenvolve. (33:37) Porque quem desenvolve, olhando isso aqui, se você der uma estudada no Top 10, você vai ver pelo menos quais são os erros mais comuns, que no final das contas vulnerabilidade acaba sendo erro de programação. Dificilmente é algo diferente disso. Acontece de ser algo diferente disso. Mas em geral são erros de programação. (34:00) Então se eu pegar por exemplo aqui o Broken Access Control A01 aqui, que é o primeiro, vou clicar nele, ele vai me trazer os 25 controles aqui, os 25 CWEs mapeados para esse item. Então tem uma série de, assim, limitação imprópria de um caminho ou de um diretório restrito, Path Traversal. Cara, isso aqui, esse erro CWE-22, essa aqui é a famosa do usar o ponto ponto para te ir para um outro lugar qualquer. Tu listar lá o que não deveria tá listado na internet, ou listar ou gravar onde não deveria ou tu ler de algum lugar que não deveria. E… (34:40) Isso aqui você encontra. Esse tipo de você encontra. Isso aqui faz parte do A01. Aí tem, vamos ver aqui, pegar um que seja comum aqui. Aqui. Permissões incorretas por default. Nossa, isso aqui nem se fala. Improper Access Control, que é muito genérico. (35:09) CSRF, você não ter proteção contra o Cross-Site Request Forgery, ou seja, eu gerar uma requisição de alguma forma que tu vai acessar o meu site, algo que eu controlo, eu vou te entregar uma requisição pronta para te fazer num sistema que tu acessa e tu vai abrir essa requisição no teu navegador e ele vai executar dentro da sessão que tu estás logado naquele momento. (35:28) E aí eu posso criar um usuário e, depende, os efeitos são os mais diversos possíveis, mas tem várias aqui. Acesso direto, acesso direto é aquele eu tento pular interfaces que fazem autenticação e tal antes de chegar no destino final e aí eu vou direto no destino final, eu consigo acessar sem autenticação. (35:50) De novo e por aí vai. Tem várias coisas aqui dentro. Então isso aqui são erros comuns que se a equipe de desenvolvimento tiver antenada, ela já vai evitar uma série de dor de cabeça e já vai reduzir um monte de coisa que quem vai fazer pentest acaba encontrando. (36:10) Agora, uma coisa muito interessante, Guilherme, agora sim, fazendo jabá para BrownPipe. Quando a gente faz pentest, a gente não pega uma ferramenta, um software qualquer e fica disparando o software, vê o que ele encontra e deu e acabou. Porque em geral ele vai encontrar aquelas coisas muito óbvias e que estejam acessíveis. (36:27) Então vai fazer um Black Box com uma ferramenta dessas, provavelmente não vai encontrar nada. Você recebeu um relatório dizendo: “Foi feito testes, foram executados não sei quantos milhares de testes e não foi encontrado nenhum problema relevante,” não sei que coisa parecida. Na BrownPipe a gente sempre recomenda que sejam feitos testes White Box. (36:51) A gente tem inclusive um vídeo sobre isso que nós vamos compartilhar no show notes depois, no nosso YouTube também para você ver lá o porquê você deve fazer White Box. A gente já percebe em razão desses movimentos todos aí que tem acontecido do sistema bancário. A gente já começa a perceber bancos demandando que as empresas, suas fornecedoras, façam testes White Box e que não podem ser automatizados. Então a BrownPipe já faz isso há muito tempo. (37:20) Óbvio que a gente usa a ferramenta também. Ou seja, tem que usar o que todo mundo utiliza para encontrar o comunzão que todo mundo acha, mas nós prezamos por um trabalho personalizado, humano, human in the loop, pra gente conseguir catar coisas que a ferramenta ainda não consegue. Talvez no futuro venha a conseguir, mas por enquanto ainda não faz. (37:44) Então, se quiser alguma coisa realmente certeira, bem documentada e que você sabe que foi revisado e não foi simplesmente rodada uma ferramenta qualquer, a BrownPipe tem um serviço certo para você aí de pentest. Jabá, Guilherme. Pronto. Certo. Eu t paste.txt Com base na transcrição do podcast fornecida, aqui está o texto corrigido e a análise solicitada. Transcrição Corrigida (00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 407, gravado em 11 de novembro de 2025. Eu sou Guilherme Goulart, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá, aos nossos ouvintes. 11 de 11 hoje. Hoje tem promoção em tudo quanto é coisa.​ (00:31) Na época de mentirinha, mas este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Pegue o seu café e venha conosco. E você já sabe, para entrar em contato com a gente é muito fácil, basta enviar uma mensagem para [email protected], Mastodon, Instagram, Bluesky e YouTube.​ (00:48) E agora, Vinícius, se você é jovem, TikTok também. Estamos lá com alguns vídeos que já estão sendo publicados, alguns cortes do podcast Segurança Legal. Convidamos você a acompanhar a nossa campanha de financiamento coletivo no Apoia-se: apoia.se/segurancalegal. Você pode contribuir e também fazer parte do nosso grupo exclusivo de apoiadores no Telegram.​ (01:14) Vinícius, quer mandar uma mensagem para o Isaac Melo? Um abraço para o Isaac Melo, que nos mandou algumas informações, algumas dicas de uma notícia. Nós vamos dar uma olhada nos links que você nos passou, Isaac. Muitíssimo obrigado. A gente vai dar uma olhada. Valeu, Isaac.​ (01:38) Continue sempre conosco. A primeira notícia, Vinícius, é um misto de felicidade pelo reconhecimento e pela sanção da Lei 15.254, agora de 2025, que definiu o Dia Nacional de Proteção de Dados. E esse Dia Nacional de Proteção de Dados, Vinícius, que é no dia 17 de julho, é nada mais nada menos do que a data de nascimento do Danilo Doneda. Para quem não sabe, o pai da proteção de dados no Brasil, um grande jurista que nos deixou recentemente. Gravamos com ele aqui no podcast, fizemos um episódio de homenagem a ele depois do seu passamento.​ (02:28) É uma homenagem muito justa, muito válida, porque realmente o Danilo era um cara incrível e, dá para se dizer, foi uma força agregadora em torno da qual nasce a Lei de Proteção de Dados. Claro, passa pelo processo legislativo todo, mas ele era um cara muito agregador.​ (02:49) Então, temos aqui o nosso Dia Nacional de Proteção de Dados como homenagem ao nosso querido amigo Danilo Doneda. Fica aí uma mininotícia. Eu disse antes, um misto de felicidade, mas também com saudade. Fica a homenagem. São coisas da vida. Furto no Louvre, Vinícius, você ficou sabendo? Sim, sim.​ (03:13) Famoso furto. O pessoal encostou lá uma escada, um caminhãozinho com uma escada basculante. Cortaram o vidro com uma serra giratória ou algo parecido, subiram lá, entraram e roubaram mais de 100 milhões. Está sumido mais de 100 milhões ainda. Eu tinha visto que da última vez eram 88 milhões de euros. Eram joias que ficavam na galeria de Apolo.​ (03:44) Eram oito peças que eram joias da coroa francesa, do que foi a coroa francesa, inclusive uma coroa também. E algumas pessoas dizem que o valor é inestimável pela questão do valor histórico, não somente o valor das joias. Sem dúvida.​ (04:04) Então, agora no dia 19 de outubro, alguns ladrões, foi uma coisa de filme. Certamente. Esses ladrões se disfarçaram, roubaram em só 7 minutos. Exatamente. Mais ou menos 7 minutos. E eles se disfarçaram de prestadores de serviços para acessar o Louvre. A coisa mais interessante disso, Vinícius, e eu tomei o cuidado de perguntar para o Vinícius se ele tinha ouvido falar disso, então vai ser uma surpresa para ele também, é que o portal Check News obteve resultados de auditorias realizadas entre 2014 e 2024. E um dos problemas que eles encontraram…​ (04:43) é que a senha do sistema de videovigilância, Vinícius, sabe qual era? Não sei qual. A senha do sistema de vídeovigilância era Louvre. E eles tinham um outro sistema, eu não tentaria essa senha. Ninguém iria colocar essa senha.​ (05:13) Eu não tentaria. Não é possível. Mas foi. Uma das senhas era Louvre e eles usavam um outro sistema de monitoramento também, de nome Thales, e a senha do sistema era Thales também. Claro, óbvio. E além de outros problemas que envolveram o uso de sistemas operacionais antigos como Windows XP e o Windows 2000.​ (05:39) Qual foi o papel dessa senha fraca? Foi que, segundo li nos portais, eles se utilizaram dessa senha fraca para desativar o sistema de videovigilância enquanto estavam realizando o furto. Claro que o caso é meio pitoresco, a gente deu risada, mas não é algo engraçado. Bem pelo contrário, é um crime, é um assalto. E menos mal que não teve nenhuma vítima. Exato. Mas é um patrimônio.​ (06:14) Claro que há todas as contradições da monarquia francesa, de como eram ricos e aqueles prédios, mas isso não vem ao caso agora. O que vem ao caso, e acho que dá para lincar esse caso meio pitoresco com as nossas temáticas aqui, é uma tendência que a gente vê em alguns casos de um certo descuido e até de um certo desprezo de sistemas como esse de videovigilância. Você tem casos que às vezes isso não está bem dentro da TI, não é gerenciado pela TI, fica numa zona meio…​ (06:48) Fica num limbo. Fica num limbo e quem deveria ser responsável por isso não sabe operar direito. Isso acaba ficando no colo da TI e aí vêm aquelas demandas de: “Tem que abrir para acesso remoto, quero acessar de casa”. Aí às vezes você vai e o cara: “Olha, melhor não”. “Não, mas eu quero”.​ (07:12) Daí vem de cima, a pessoa quer acessar. Aí libera, acessa, depois esquece que isso existe e fica lá o acesso. Você imagina o quão importante é isso para o museu mais importante do mundo? A segurança física. Claro. A segurança física ali é essencial nesse caso.​ (07:36) São objetos dos mais variados que estão fisicamente guardados, sob a guarda do Louvre. E nem sempre os objetos pertencem ao museu, eles podem estar momentaneamente cedidos. Tem mais essa ainda por cima. E você tem aquela questão de que muitos desses objetos foram pegos pelos franceses em circunstâncias históricas que hoje demandariam, na Europa de maneira geral, Londres também, a questão da restituição, da repatriação desses materiais. Mas voltando para a segurança, Vinícius, às vezes fica…​ (08:16) quase como uma questão de zeladoria. Você tem dois problemas aí. Primeiro, o papel da segurança física no mundo da segurança da informação, que é flagrantemente menosprezado e relevado. E parece que foi o caso aqui, veja, no Louvre. E até se pensa: “Não, mas ninguém teria a audácia de…”. Sim, isso de fato aconteceu.​ (08:39) Fica um alerta para as organizações que prestem atenção nesse aspecto de segurança física e no aspecto de monitoramento. Porque também não podemos esquecer que imagens de vídeo que envolvem pessoas, ou seja, que filmam pessoas de alguma forma, constituem dados pessoais e, por isso, também ficam cobertas pelas proteções da LGPD.​ (09:04) Então, é algo bem crítico. Às vezes a gente vê em alguns locais que o livre acesso às câmeras de monitoramento dentro de uma organização é algo que tem que ser visto com muito cuidado, porque pode representar também uma violação à LGPD, o descuido e até mesmo o vazamento desse tipo de imagem. E que vai se estender inclusive para situações também menos observadas, que é a questão dos condomínios. A gente até falou um pouco aqui sobre biometria nos condomínios, mas se insere nesse grande mundo da…​ (09:33) segurança física dentro da segurança da informação. Sem dúvida. E a gente tem aquelas questões de vigilância em cidades. O pessoal quer câmeras em ambientes públicos para saber de todo mundo.​ (09:52) Numa cidade grande até dá um certo anonimato. Eu digo um certo, porque tem muita gente. Mas logo isso vai ser resolvido, já está sendo resolvido com a IA rastreando e reconhecendo todo mundo, não importa o número de pessoas.​ (10:11) Mas em cidades menores, como por exemplo Três de Maio, com 25.000 habitantes, ou cidades ainda menores que tem aqui na volta, se você põe um sistema desses, sabe quem foi falar com quem, a que horas. As nossas cidades, que são pequenininhas, têm uma ou duas ruas principais. Para ir a qualquer lugar, você passa nessas ruas, e tendo algumas câmeras ali, já consegue saber quem está falando com quem, quando. Isso em época de eleição, por exemplo, é extremamente útil. E essas câmeras com…​ (10:44) reconhecimento do OCR. Inclusive a gente já falou sobre isso aqui em algum episódio passado, acho que sobre o caso Córtex. Uma série de problemas e também basicamente ou virtualmente você consegue saber onde os carros estão e, consequentemente, onde na grande maioria das vezes os seus donos também estão. Um problema de vigilância mesmo. Virando a chave agora para a Meta, Vinícius, e isso saiu, deixando bem claro que nós vamos agora refletir aqui, replicar ou reproduzir uma notícia, um furo dado…​ (11:24) pela Reuters, que revelou uma informação muito crítica sobre a postura da Meta envolvendo anúncios fraudulentos. Ora, sério? Pois é, sério. Aqui a gente vai falar de informações que vazaram, que a Reuters teve acesso, informações de relatórios internos da Meta.​ (11:51) É possível dizer que no nosso cotidiano, eu principalmente, já vi muitos anúncios de fraude no Instagram. O Facebook eu não acesso mais, mas no Instagram já vi muito. Já tive familiares e amigos que caíram em golpes de compras feitas por anúncios no Instagram.​ (12:11) Então, é um negócio mais ou menos conhecido do brasileiro, que está bastante acostumado a reagir a golpes dos mais variados possíveis, e a gente começa a ficar calejado. Esses dias eu estava alugando um Airbnb e a dona falou: “Ah, me passa o teu e-mail para eu conversar”. Eu já fiquei ressabiado.​ (12:35) Disse: “Não, vamos manter a conversa por aqui, por dentro da plataforma mesmo. Eu acho que é mais seguro”. E a pessoa: “Não, tudo bem, continuamos por aqui”. Mas o brasileiro… porque a ideia de muitos desses golpes é tirar a pessoa do canal oficial para levá-la para outro canal. O que eles descobriram desse documento confidencial que vazou? Que em 2024 eles fizeram uma projeção de que 10% dos lucros de anúncios que a Meta teve em todo o ano vieram de anúncios com golpes e vendas de bens proibidos, remédios falsificados, substâncias proibidas e golpes mesmo…​ (13:12) Scams. Isso implicou em 15 bilhões de anúncios fraudulentos, o que representou 16 bilhões de dólares. O que a Meta estornou e não aceitou mais fazer os anúncios? Não. Eles não fizeram isso. Eles ficaram com esses 16 bilhões. Coisas como cassinos ilegais, produtos médicos proibidos, extorsões sexuais, contas falsas fingindo ser celebridades e coisas do gênero.​ (13:47) A grande questão aqui que me parece que ficou claro é a forma como a plataforma se comportou diante disso. Ou seja, ela sabia que parte da sua renda vinha de fraudes. Ela sabia que essas fraudes estão prejudicando pessoas. Não é algo inofensivo, é algo que causa danos dos mais variados.​ (14:11) Se você for falar em extorsão sexual, esse negócio é seríssimo. Muito mais sério do que cassino ilegal, por exemplo, mas que também é sério. E isso me parece que é o grande problema. Eles tinham conhecimento. Esse é um outro ponto. A grande maioria desses anúncios, segundo a própria Reuters, eram suspeitos o suficiente para serem detectados pelos próprios sistemas que eles tinham para identificação de fraudes.​ (14:42) Só que eles só banem os anúncios quando há 95% de certeza de que há uma ilegalidade. E mais, a forma como o algoritmo de personalização que a Meta utiliza para te mostrar novos anúncios com base nos que você clica. Porque aquela coisa, todo mundo sabe como é.​ (15:02) Você vai clicar em sapato, camisa, sei lá, relógio. O Instagram vai ficar te mostrando essas coisas. Por quê? Porque você tem uma personalização ali. O que eles descobriram é que quem clica nesses anúncios fraudulentos ficaria, por conta do funcionamento do algoritmo, sujeito a receber mais anúncios fraudulentos ainda por conta da personalização. Uma vez feito…​ (15:28) É bem curioso, porque é o tipo de comportamento que, se você sabe que aquele anúncio é fraudulento, poderia não recomendar mais anúncios, mas não é o que acontece. O porta-voz da Meta, Andy Stone, disse que os documentos vistos pela Reuters, abre aspas: “Apresentam uma visão seletiva que distorce a abordagem da Meta em relação a fraudes e golpes”.​ (15:58) A estimativa interna da empresa de que obteria 10% da sua receita de 2024, proveniente de golpes e scams, era aproximada e excessivamente inclusiva. E a empresa ainda determinou que o número real era menor, porque a estimativa incluía muitos anúncios legítimos também. Qual o problema além do evidente? O problema aqui é a falta de regulação e uma consequência direta de como é difícil contar com a responsabilidade social de uma empresa de grande porte, sobretudo de uma Big Tech hoje, porque…​ (16:34) a influência dessas empresas na nossa vida é cada vez maior, mais frequente e mais intensa. A gente sequer sabe mais, Vinícius, se o que a gente está comprando é aquilo que a gente quer mesmo ou se está sendo influência dos nossos hábitos de navegação e de uso de internet. É algo que já virou, não dá mais para saber. Porque você vai pesquisar no YouTube sobre um negócio, aquilo vai começar a aparecer em outra plataforma e, quando você vê, já comprou e coisas relacionadas. Esse é um problema. Esses documentos e a…​ (17:11) reportagem da Reuters é super completa. E o que dizem é que esse comportamento da Meta permitiu que eles se tornassem um pilar de uma economia mundial de fraude. Ou seja, é por meio deles que esse tipo de fraude está se ampliando no mundo inteiro.​ (17:36) Os próprios relatórios internos da Meta diziam que eles reconheciam que era mais fácil publicar anúncios fraudulentos na Meta do que no Google. Eles fizeram uma análise de custo-benefício, e a gente sabe como fazer análise de custo-benefício, sobretudo nos Estados Unidos, é complicado, porque lá as multas para esse tipo de manejo são bem altas, bem punitivas mesmo.​ (18:03) Então, o que eles fizeram? Eles sabiam que multas viriam. Tinham a noção de que poderiam ser multados, mas as multas seriam muito menores do que o lucro que eles teriam com a aceitação de anúncios fraudulentos. Vamos lá, 10% da renda com anúncios. Além do que, nesse meio tempo, eles despediram funcionários que lidavam com esses setores internos de fraude. E pior, ignoravam 96% dos avisos de fraude.​ (18:34) Sabe quando você vê o anúncio, denuncia e depois recebe uma mensagem: “Ah, verificamos aqui e não tem nenhum problema”? Pois é, segundo os dados vazados e segundo a Reuters, isso aconteceria em 96% dos casos. E o que eles ainda fizeram para terminar? Eles tinham uma lista interna do que se chamava “os scamiest scammers”. Os scammers mais scammers.​ (19:07) Os que aplicaram mais golpes, os piores entre os piores. E o que a Reuters verificou? Que meses depois desse relatório que vazou, cinco dessas contas chamadas de “scamiest scammers” ainda estavam no ar. E qual foi a estratégia deles para diminuir essas publicidades? Porque eles sabiam quem eram, sabiam quais eram.​ (19:53) Foi cobrar mais daqueles que tinham suspeitas de fraude. Então eles faziam os “penalty bids”, ou seja, como se fosse um leilão. Quando identificavam que tinha o potencial de ser fraudulento, cobravam mais dessas contas. Essa é a história. A gente vai falando e parece que cada vez fica pior. Mas essa história, como sempre, ficam aqui os links, e você pode, se quiser se aprofundar, dar uma olhada nessa extensa reportagem da Reuters que explica um pouco dessa dinâmica de anúncios fraudulentos na internet e talvez sirva…​ (20:29) para a gente entender o porquê estamos recebendo com tanta intensidade anúncios fraudulentos nas redes da Meta. Perfeito, Guilherme. Trago agora a minha única notícia de hoje. O que temos é o seguinte:​ (20:53) a tão esperada atualização do OWASP Top 10. Não está ainda finalizada, é um “release candidate”. Eles prometeram para 2025. Estamos com um “release candidate”, ainda em 2025. Então, vamos ver se até o final do ano essa versão se torna a versão final. Estávamos com o OWASP Top 10 sem atualização desde 2021.​ (21:26) E então agora houve a atualização. Vou dar uma geral aqui, Guilherme, já que temos planos de entrar em maiores detalhes em cada um desses itens. Mas só para termos uma noção da dança das cadeiras. Eu até preparei aqui para compartilhar com o pessoal que estiver acompanhando no YouTube. Esta é a versão “release candidate 1”. Não quer dizer que seja o último “release candidate” antes da versão final, pode haver o dois ainda.​ (22:01) Mas, em essência, vou destacar aqui. Vou de baixo para cima ou de cima para baixo? O que você prefere, Goulart? Tanto faz.​ (22:22) Fique à vontade. Vou de baixo para cima. O A10 de 2021, que era o “Server-Side Request Forgery” (SSRF), acabou sumindo, foi retirado. É algo que foi unido ao “Broken Access Control” (Controle de Acesso Quebrado). O SSRF é um tipo de ataque específico. Eles até explicam a decisão de retirá-lo e unir a outro item porque estava meio fora do lugar. Então, o A10 de 2021 some…​ (23:11) e nós temos um novo A10 em 2025, que é o “Tratamento Inadequado de Condições Excepcionais”. Este item é novo. Cada um desses itens tem uma série de CWEs…​ (23:50) que é do MITRE, um catálogo de tipos de fragilidades conhecidas, não de vulnerabilidades específicas de um software. E eles, em cada um desses itens, agregaram uma série dessas vulnerabilidades.​ (24:13) O que tem no A10 essencialmente é tratamento inadequado de erro, erros de lógica, coisas que “falham aberto”, ou seja, algo que, ao não funcionar adequadamente, acaba falhando de tal maneira que deixa algum controle ou acesso simplesmente aberto, e não inacessível, entre outros cenários. O nosso A9 de 2021, “Security Logging and Monitoring Failures” (Falhas de Log e Monitoramento de Segurança)…​ (24:53) continuou no nono lugar, porém mudou um pouquinho o nome, virou só “Logging and Alerting Failures”. O A8, “Software and Data Integrity Failures” (Falhas de Integridade de Software e Dados), acabou se mantendo também em oitavo lugar.​ (25:25) Em sétimo lugar, as “Falhas de Autenticação”. Antes era “Falhas de Autenticação e Identificação”, agora é só “Falha de Autenticação”, que engloba tudo. Essencialmente, um finalzinho diferente na teoria da segurança. Na verdade, eles englobaram na mesma, porque tem várias situações de sobreposição ali.​ (25:46) Para autenticar, você tem que identificar. Então, acabou ficando nesse lugar. O sétimo, o oitavo e o nono lugares se mantiveram exatamente os mesmos de 2021. As mudanças começam daí para cima. Tivemos uma que caiu para quarto lugar. Agora vou pegar os três do meio. Caíram para quarto lugar as “Falhas Criptográficas”, como o uso de algoritmos de criptografia de maneira inadequada, vetores de inicialização errados e outras coisas mais.​ (26:25) “Injection” (Injeção), que inclui o SQL Injection e qualquer outro tipo de injeção de comandos. Essa falha veio do terceiro lugar para o quinto. E “Design Inseguro”, que é bem genérico, não são erros de codificação, mas coisas que foram projetadas de forma insegura.​ (27:04) Não foi um problema na implementação, foram projetadas de forma insegura, implementadas segundo o projeto, e aí há um problema de segurança. E isso caiu de quarto para sexto lugar.​ (27:23) Bom, quem foi então para segundo e terceiro lugares? Antes de dizermos quem está em primeiro, o segundo e terceiro lugares ficaram com “Componentes Vulneráveis e Desatualizados”, que mudou de nome. Estava em sexto lugar, foi para terceiro, e o novo nome é “Software Supply Chain Failures” (Falhas na Cadeia de Suprimentos de Software), que é quando você usa bibliotecas, tanto no momento de construir o software, que às vezes ele baixa de algum repositório na internet…​ (28:03) para fazer a construção. Então, tem vários tipos de problemas de “supply chain” que entraram. Veio do sexto para o terceiro lugar, algo importante a ser observado. “Erros de Configuração”.​ (28:23) E aqui é muito interessante. Eles citam que, à medida que migramos para a nuvem e passamos a ter a infraestrutura como software que você configura, há cada vez mais erros de configuração. Isso fez o “Security Misconfiguration” vir do quinto para o segundo lugar em 2025. E o número 1, que já está como número 1 há pelo menos dois Top 10s, é o “Broken Access Control” (Controle de Acesso Quebrado), que são falhas gerais de controle de acesso. Desde alterar um ID…​ (29:04) para acessar informação que não deveria, até mudar uma flag e conseguir virar administrador em um sistema, ou fazer acesso direto a uma URL e não precisar de autenticação. Tem de tudo ali dentro relacionado a “Broken Access Control”. Esse é o primeiro do Top 10 de 2025 do OWASP. E vem se mantendo.​ (29:34) Uma coisa que me chamou a atenção, Guilherme: eles dizem que, na média, 3,73% das aplicações testadas tinham um ou mais dos 40 CWEs que estão nessa categoria.​ (30:03) Eu achei muito baixo. Por quê? Porque é muito difícil avaliar uma aplicação que não tenha esse tipo de problema. Baixíssimo. Se fosse 20%, eu diria que é baixo. Vou precisar entender um pouquinho melhor qual foi o conjunto de dados que eles usaram como origem. Eles fazem com base em entrevistas, mas detalham um pouco melhor a base para essa definição, porque é muito baixo. Temos muitos problemas de controle de acesso quebrado.​ (30:35) Guilherme, deixa eu só fazer um parênteses. A minha qualidade de vídeo aqui deve estar terrivelmente ruim para você, porque estou te vendo muito mal, e vi que na gravação do último episódio a sua está razoável. É, estou vendo agora, mas está pequenininho.​ (30:53) A sua qualidade não está muito boa mesmo. Estou vendo o seu retorno como se fosse 8 bits, sequer consigo ler direito o que está na tela. E não é internet. Depois vou ter que descobrir o que é. Mas falo isso para quem estiver vendo no YouTube.​ (31:10) Desculpa se a qualidade estiver como estou vendo aqui, está horrível. Se você puder subir um pouquinho ali, até para quem está no YouTube, para mostrar aquela mudança, achei bem interessante as que subiram. O “Security Misconfiguration” indica tendências do que está acontecendo no mundo. Porque eles ordenam; não são somente 10 categorias, são as 10 que mais aparecem, hierarquizadas da que mais acontece para a que menos acontece. Quando vemos essas mudanças…​ (31:47) de ordenamento, o que era o quinto vai para o segundo, o que era o segundo vai para o quarto, e por aí vai. Isso diz muito sobre os ambientes e sobre o que está acontecendo no mundo da segurança. Agora quero te fazer uma pergunta. Para um testador, uma pessoa que vai realizar testes de invasão, para uma empresa como a BrownPipe, qual é o papel do OWASP?​ (32:18) Quer fazer? Qual é o papel do OWASP para empresas como a BrownPipe? Cara, primeiro, o OWASP é um norte com relação ao tipo de coisa que é mais comum e, sendo indicado como mais comum, é o tipo de coisa que é mais procurada também.​ (32:43) E é uma referência que utilizamos quando fazemos pentest. Não só o Top 10, mas todo o corpo do WSTG do OWASP, porque tem a lista de testes a serem feitos. Mas aqui é importante; é muito interessante quando você encontra uma vulnerabilidade que se encaixa em um desses itens, dizer: “Olha, essa vulnerabilidade que você tem está no Top 10, ou seja, é algo extremamente comum”.​ (33:09) Vou ter que mutar um pouquinho. Vai lá. Voltei. Então, é extremamente preocupante quando você tem uma série de vulnerabilidades nos seus sistemas que se encaixam no Top 10. Porque isso é muito importante para quem desenvolve.​ (33:37) Porque quem desenvolve, olhando isso aqui, se der uma estudada no Top 10, vai ver pelo menos quais são os erros mais comuns. No final das contas, vulnerabilidade acaba sendo erro de programação. Dificilmente é algo diferente disso. Acontece, mas em geral são erros de programação.​ (34:00) Então, se eu pegar por exemplo aqui o “Broken Access Control”, o A01, que é o primeiro, e clicar nele, ele vai me trazer os 25 CWEs mapeados para este item. Tem uma série deles, como “limitação imprópria de um caminho ou de um diretório restrito”, o “Path Traversal”. Cara, esse erro, CWE-22, é o famoso “usar o ponto ponto” para ir para outro lugar, listar o que não deveria estar na internet, gravar onde não deveria ou ler de onde não deveria.​ (34:40) Isso você encontra. Esse tipo de coisa faz parte do A01. Tem também, vamos ver, um que seja comum aqui. Permissões incorretas por padrão. Nossa, isso nem se fala. “Improper Access Control”, que é muito genérico.​ (35:09) CSRF, não ter proteção contra o “Cross-Site Request Forgery”. Ou seja, eu gero uma requisição de alguma forma, você acessa o meu site, algo que eu controlo, eu te entrego uma requisição pronta para fazer em um sistema que você acessa, você abre essa requisição no seu navegador e ele a executa dentro da sua sessão logada.​ (35:28) E aí eu posso criar um usuário… os efeitos são os mais diversos possíveis. Acesso direto é aquele em que eu tento pular interfaces que fazem autenticação para chegar no destino final, e aí eu vou direto no destino final e consigo acessar sem autenticação.​ (35:50) E por aí vai. Tem várias coisas aqui dentro. São erros comuns que, se a equipe de desenvolvimento estiver antenada, já vai evitar muita dor de cabeça e reduzir um monte de coisas que quem vai fazer pentest acaba encontrando.​ (36:10) Agora, uma coisa muito interessante, Guilherme, fazendo o jabá para a BrownPipe. Quando a gente faz pentest, não pegamos uma ferramenta qualquer, disparamos, vemos o que ela encontra e acabou. Porque, em geral, ela vai encontrar aquelas coisas muito óbvias e que estejam acessíveis.​ (36:27) Se fizer um “Black Box” com uma ferramenta dessas, provavelmente não vai encontrar nada. Você recebe um relatório dizendo: “Foram executados não sei quantos milhares de testes e não foi encontrado nenhum problema relevante”. Na BrownPipe, a gente sempre recomenda que sejam feitos testes “White Box”.​ (36:51) Temos inclusive um vídeo sobre isso que vamos compartilhar no show notes. Já percebemos, em razão dos movimentos do sistema bancário, bancos demandando que suas empresas fornecedoras façam testes “White Box” e que não podem ser automatizados. A BrownPipe já faz isso há muito tempo.​ (37:20) Óbvio que usamos ferramentas também. Ou seja, tem que usar o que todo mundo utiliza para encontrar o “comunzão”, mas nós prezamos por um trabalho personalizado, humano, “human in the loop”, para conseguir catar coisas que a ferramenta ainda não consegue. Talvez no futuro venha a conseguir, mas por enquanto não.​ (37:44) Então, se quiser algo realmente certeiro, bem documentado e que você sabe que foi revisado e não simplesmente rodado por uma ferramenta qualquer, a BrownPipe tem o serviço certo para você de pentest. Fim do jabá, Guilherme. Certo. Estou te mandando o link para saber se é este vídeo mesmo a que você se referiu, porque se for, é só colocar no show notes para publicarmos depois. O vídeo é… você me mandou um link. É este vídeo? “Modelagem de Ameaças vs. Pentest”, eu acho.​ (38:20) Não é esse. Mas se não for, vamos colocar esse também. E eu vou pedir para a Camila me passar o vídeo do Pentest mesmo. Bom, para terminar, Vinícius, inclusive tinha uma notícia nova. Às vezes a pauta vai sendo construída durante o episódio.​ (38:49) Lembrei, pelo menos o café. Sim, é o café. Tinha lido isso ontem e me chamou a atenção, acho que podemos desenvolver depois e até saber se o próprio Bruce Schneier está certo. Ele disse, em tese, para parar de usar esses browsers “agênticos”. Não estou achando agora, mas, para parar de usar, porque acaba constituindo um tipo de vulnerabilidade que, segundo ele, seria implícita, estaria no…​ (39:30) core da inteligência artificial, que seria a impossibilidade de ela conseguir distinguir instruções legítimas de instruções que não são legítimas. Não vou conseguir achar aqui, mas de qualquer forma, fica para reflexão e talvez para um futuro episódio.​ (39:50) Essa questão que já vem se colocando, das IAs lançando seus browsers com agentes, e como essas explorações podem… Ele disse que não é um probleminha. Ele disse que é “o” problema, segundo Bruce Schneier. Mas, fecha parênteses, só para deixar isso destacado.​ (40:12) O próximo tópico é sobre a simplificação do GDPR. Nós estamos no momento, e quem acompanha o Segurança Legal sabe que mundialmente a questão da conformidade com normas de proteção de dados e também com a nova dinâmica da IA tem colocado pressões regulatórias no mundo inteiro.​ (40:46) Pressões regulatórias em qual sentido? Contra os próprios estados que tentam regular essas tecnologias, porque muitas das Big Techs se posicionam no sentido de que “as regulações são duras demais, é difícil de empreender, está afetando o desenvolvimento de novas tecnologias”.​ (41:11) Então, esse caminho trilhado sobretudo pelos Estados Unidos também chega na União Europeia, com o que chamaram de “digital check”, que é uma tentativa da Comissão Europeia de simplificar o GDPR. Teria vazado uma versão. Pelo que entendi, são tantas coisas para a gente ler, documentos de 150 páginas, mas seriam alterações que já estariam sendo encaminhadas e que poderiam culminar, se aprovadas, na…​ (41:47) em uma simplificação do GDPR. Algumas das alterações propostas: primeiro, seria uma alteração na própria concepção do que é dado pessoal, que é o núcleo de qualquer legislação de proteção de dados. É a definição mais importante. Sem dúvida, porque é o objeto da lei. Se você não definir claramente o objeto…​ (42:16) Assim como no direito do consumidor a relação de consumo é o objeto da proteção, aqui são o dado pessoal e as situações em que dados pessoais são tratados. A ideia seria alterar essa concepção para afastar a aplicação, por exemplo, no caso de uso de pseudônimos.​ (42:35) Então, pseudônimo, eu incluo um código para o usuário e a lei não se aplicaria. E a gente sabe que atribuir um código a uma pessoa é uma das formas… sobretudo quando esses códigos transitam em ecossistemas diferentes, a coisa mais fácil é identificar aquela pessoa por código, principalmente nos telefones modernos.​ (43:00) Enfim, mudar também o regime de dados pessoais sensíveis. A proteção dos dados sensíveis só ocorreria se o tratamento criasse riscos significativos ou que revelasse diretamente situações sensíveis, no sentido de afastar potenciais tratamentos de dados sensíveis que não causassem esses riscos. Ou ainda, afastar proteções em situações de comparação, referência cruzada ou dedução.​ (43:34) Esses dois aqui me parecem que desmontam muito o regime de proteção por mexer no… É fazer uma mudança genética na lei. É mudar a constituição genética dela, se fosse fazer uma comparação biológica. Sempre deixando claro que biologia talvez seja a disciplina mais longe da minha área de conhecimento.​ (43:57) Sabe aquela coisa de “baleia é mamífero”? Madeira está longe, hein? Sei que baleia é. Mas esses dias teve uma discussão se tubarão era peixe. Eu sabia que tubarão era peixe, cartilaginoso inclusive.​ (44:22) Então, limitações nos direitos dos titulares. O titular só poderia exercer seus direitos para propósitos de proteção de dados. E aí entra o pessoal do NOYB (None of Your Business), do Max Schrems lá da Europa, que é um think tank, uma ONG de proteção de dados e segurança. E eles estão se posicionando muito contra essa alteração.​ (44:47) Na visão deles, seria uma forma de barrar a obtenção de dados do próprio titular em situações como direito do trabalho, retificações e apagamentos em situações de crédito. Ou seja, seria uma forma de diminuir o alcance da pessoa poder obter seus próprios dados em circunstâncias que fugissem diretamente de tratamento de dados pessoais. Também, isentar os controladores de fornecer informações de privacidade… vou ler aqui: “Quando os dados pessoais…​ (45:16) tiverem sido coletados num contexto, em uma relação clara e circunscrita com um controlador que exerça uma atividade não intensiva em dados e houver motivos razoáveis para presumir que os titulares dos dados já possuem as informações necessárias”. É um agregado de possibilidades que, basicamente, isenta o controlador de dar informação, presumindo que você já a tem. Isso quebra totalmente o princípio da transparência e o princípio da informação, que já é tão difícil de exercer diante…​ (45:51) das dificuldades que hoje já existem para obtermos informações muitas vezes. E o choque maior, além desses outros que me preocupam, seria colocar, dentro do legítimo interesse, que é uma das hipóteses de tratamento, o uso de dados pessoais para treinamento de IA. Isso constituindo um legítimo interesse. A operação de sistemas de IA para as empresas, diante dessa abertura, seria quase como um coringa.​ (46:32) Ou seja, “eu posso tratar dados pessoais para treinar meus sistemas de IA porque eu teria o legítimo interesse para isso”. E aí também desmontaria todas aquelas situações que vimos, por exemplo, aqui no Brasil no caso da Meta, de querer treinar o Meta AI com os dados de todo mundo.​ (46:54) E aí teve aquela história em que a ANPD se envolveu, veio a informação de que eles avisaram e depois você tinha que fazer o opt-out. Bom, mesmo diante de legítimo interesse, tem que avisar. Mas isso afastaria toda a problemática que se discute hoje de você autorizar ou não o uso dos seus dados para treinamento de modelos de IA. Basicamente, o que o Max Schrems colocou foi que, passando essa e algumas outras alterações propostas, isso seria um enorme retrocesso da proteção de dados na Europa inteira. A ideia seria…​ (47:28) facilitar e ajudar pequenos negócios. Essa é a proposta. E veja, eu acredito, só para deixar bem claro, fazendo um contraponto, que é possível simplificar legislações de proteção de dados e que, para pequenas empresas, pode ser muito desafiador respeitar esse tipo de legislação. Aqui no Brasil, por exemplo, temos os agentes de tratamento de pequeno porte com regras flexibilizadas.​ (47:59) É um exemplo interessante. Mas essas mudanças, como estão sendo feitas, alterando o código genético da norma, eu vou na linha do Max Schrems, que diz que só iria favorecer as Big Techs.​ (48:19) E por que isso nos interessa? “Ah, mas eu estou aqui no Brasil”. Porque nós seguimos esse modelo europeu, nos inspiramos nele. E isso acontecendo lá, acredito que os reflexos apareceriam aqui bem rapidamente. Porque se mudou lá, a gente tem que se adequar, por causa daquele reconhecimento do mesmo nível de proteção do Brasil.​ (48:50) Então, acho que seria quase como um efeito em cadeia. É algo para ficarmos atentos. Tem também tentativas de simplificar o AI Act, de adiar a entrada em vigor, mas eu vou na mesma linha do Max Schrems. Acho bem perigoso e me parece que a ideia é, sobretudo, favorecer a IA, ou seja, retirar possíveis controles que os usuários ainda teriam nesses contextos de uso de dados para treinamento.​ (49:17) Beleza. Essa foi longa. Você quer fazer café expresso e café frio? Pois é, eu lembrei que já fazia um tempão que não fazíamos isso. Se você está nos ouvindo e não sabe do que estamos falando, nos cafés antigos, pegávamos uma das notícias e, quando era boa, dávamos um café expresso, e quando achávamos que não era tão boa… Não necessariamente para a notícia.​ (49:48) Não precisava nem ter sido notícia, era para o agente da notícia, para a pessoa ou para uma empresa. Para alguma coisa. Para quem seria o café expresso, Guilherme? O Café Expresso é para o Dia Nacional da Proteção de Dados, em homenagem ao Danilo Doneda. Acho que é um café expresso para essa situação.​ (50:15) E o café frio? É sempre difícil dar o café frio, porque é uma crítica. O café frio vai para os administradores do sistema de monitoramento do Louvre, que usaram a senha “Louvre”.​ (50:41) É um café que ficou na rua no inverno parisiense e gelou. Pode ser. Acho que é um bom recomeço para o café frio e o café expresso. A gente não pode esquecer. Um belo dia a gente parou e nunca mais trouxe de volta.​ (51:02) Mas, fora a brincadeira, gente, falando sério, esse caso é bem importante. Prestem atenção nos sistemas de videomonitoramento, nesses sistemas que às vezes estão largados, que não são de ninguém, que têm acesso remoto e que, dependendo do contexto, podem ser usados para situações bem sérias. Não é só quem tem joia que precisa disso.​ (51:19) Bom, então era isso. Esperamos que tenham gostado do episódio de hoje. Aguardamos todos e todas no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.  

Neste episódio, falamos sobre como a inteligência artificial está desafiando a criatividade humana e o que estudos recentes, como um artigo da Nature, revelam sobre quem ainda leva a melhor em tarefas de pensamento divergente.​ Guilherme Goulart e Vinícius Serafim mergulham em uma análise sobre os limites e potenciais da inteligência artificial (IA) na criatividade e educação. Com base em artigos científicos, eles exploram como a tecnologia impacta desde a geração de ideias originais até a ética por trás dos algoritmos. O debate aborda a segurança da informação, o direito da tecnologia e como a neurociência ajuda a entender o processo criativo. Discutindo modelos como GPT-4, o episódio questiona se a IA pode realmente superar a capacidade humana em tarefas criativas e quais as implicações disso para o futuro. Assine, siga e avalie o nosso podcast para não perder nenhuma discussão.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Best humans still outperform artificial intelligence in a creative divergent thinking task Livro – The Creative Mind: Myths and Mechanisms Criatividade: O flow e a psicologia das descobertas e das invenções Vídeo – Debate on AI & Mind – Searle & Boden (1984) Inteligência artificial: Uma brevíssima introdução Delegation to artificial intelligence can increase dishonest behaviour Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task The Impact of Generative AI on Critical Thinking: Self-Reported Reductions in Cognitive Effort and Confidence Effects From a Survey of Knowledge Workers Livro – A fábrica de cretinos digitais: Os perigos das telas para nossas crianças Livro – Faça-os ler!: Para não criar cretinos digitais Livro – Faites-les lire !: Pour en finir avec le crétin digital (edição francesa) More Articles Are Now Created by AI Than Humans The Future of Jobs Report 2025 – World Economic Forum Imagem do Episódio – Le fils de l’homme de René Magritte 📝 Transcrição do Episódio (00:06) Sejam todos muito bem-vindos. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação, direito da tecnologia e tecnologia e sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Ei, Guilherme, tudo bem? Olá aos nossos ouvintes.​(00:26) Sempre lembrando que para nós é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Vocês já sabem, basta enviar uma mensagem para o podcast@segurançalegal.com, YouTube, Mastodon, Blue Sky, Instagram e, agora, Vinícius e ouvintes, no TikTok. Se você é jovem, porque nós, eu e o Vinícius, somos velhos, não temos TikTok, mas se você for jovem e quiser nos seguir lá no TikTok, em breve teremos também conteúdos, alguns cortes. É isso que a gente está preparando. Alguns cortes de episódios de várias coisas úteis.​(00:57) A questão do podcast é que cada vez mais você que nos acompanha aqui sabe, a gente é desafiado a consumir conteúdos mais rápidos. Então, o podcast Segurança Legal também vai… Quer ver a versão mais longa? Tem aqui, fique com a gente, vá lavar sua louça, fazer sua academia e fazer qualquer coisa.​(01:21) Ou quer também acompanhar conteúdos mais curtos? A gente também está preparando isso para vocês. Além do blog da Brown Pipe, basta acessar o www.brownpipe.com.br, ver o blog, que tem notícias, e consegue se inscrever no mailing e tudo mais, certo, Vinícius? Certíssimo, Guilherme. Bom, neste episódio a gente vai fazer uma revisão de alguns artigos que nos chamaram a atenção.​(01:45) Alguns deles já apareceram aqui no podcast ano passado, mas a gente quer uni-los em uma conversa um pouco mais direcionada, tratando sobre alguns dos problemas e das problemáticas que a gente tem visto, assim como algumas das questões mais importantes.​(02:05) Claro, tem se escrito muito nos últimos anos e a IA assumiu uma importância em todas as áreas, dá para se dizer. No direito, na tecnologia, na educação, na administração, nas artes gráficas digitais, por que não, na escrita, na filosofia. A parte ética, no final das contas, acaba sendo um fio condutor de todos esses artigos que a gente vai comentar hoje, né, Vinícius? São artigos que a gente citou muitas vezes “en passant”, meio, “Ah, tem um artigo tal que fala sobre isso”. E a ideia hoje é a gente trazer, não todos eles, mas.​(02:44) pegamos aqueles que a gente considerou mais interessantes e falar um pouco da metodologia e dos resultados obtidos. É claro que vai ter os links de todos eles no show notes, se você quiser se aprofundar em qualquer um desses estudos. A ideia é essa, a gente dar uma aprofundada um pouquinho maior em cada um deles.​(03:12) Seria uma nova época de novas luzes que a gente está vivendo, ou não? Eu acho que o primeiro ponto aqui é a questão da criatividade. É uma das grandes questões, eu acho, do uso da IA atualmente. Primeiro, o que é criatividade? E aí tu vês como todos esses temas são complexos. A gente já falou várias vezes sobre isso.​(03:32) E quando a gente começa a falar em criatividade, claro, não vai ser o objeto deste estudo especificamente, mas a gente acaba descambando para questões de neurociência, de como o cérebro funciona, de onde vêm as ideias, de como as pessoas aprendem. E aí isso acaba conectando a IA também com a educação. É uma das áreas, uma das partes mais instigantes disso tudo. Pode ela ser criativa de verdade ou não? E até que ponto nós… e o que é criatividade e até que ponto nós podemos.​(04:07) ultrapassar em tarefas criativas. E o primeiro artigo, Guilherme, foi um artigo publicado em 2023 na Nature. O título é: “Os melhores humanos ainda superam a inteligência artificial em uma tarefa criativa de pensamento divergente”. Então, só para saber, os modelos que foram utilizados neste estudo, naquela época, foram o chat GPT, a aplicação Chat GPT com o GPT 3.5 e o 4.​(04:31) E uma outra que eu confesso que eu nunca utilizei, que eu fiquei sabendo que existia através deste artigo, que é a copy.ai. Aliás, “copy” é um bom nome para inteligência artificial, porque ela copia tudo para dentro. Mas essa ferramenta copy.ai, que não é da OpenAI, usa o GPT-3, que é o modelo da OpenAI.​(05:02) Então, a ideia é que fosse solicitado aos participantes humanos e às IAs que criassem usos incomuns e criativos para objetos cotidianos. Seriam quatro objetos: corda, caixa, lápis e vela. A gente não vai entrar em muitos detalhes aqui, mas a ideia, então, era pensar em usos criativos para isso. Resultados. Guilherme, quer trazer o primeiro deles? Não, não. Pode tocar. Então, tá. Resultados.​(05:25) Primeiro, em média, os chatbots de IA superaram os participantes humanos. Na média, a IA foi mais consistente. Então, os humanos tiveram uma variabilidade maior em termos de boas ideias, foram muito criativos e, ao mesmo tempo, tiveram ideias horrorosas que a IA, na média, não atingiu.​(05:53) As melhores ideias, embora tenha tido essa superação da IA com relação à média humana, as melhores ideias humanas foram iguais ou superaram as dos chatbots. Então, as melhores ideias humanas empataram com as dos chatbots ou foram melhores. Portanto, os melhores humanos ainda superaram esses modelos.​(06:19) Notem que eu coloquei “ainda” aqui na frase. No entanto, teve algumas instâncias, ou seja, algumas situações em que a IA alcançou pontuações máximas mais altas. Então, teve o caso da copy.ai, em que a resposta para “lápis” foi considerada superior à máxima humana correspondente, e também duas sessões do ChatGPT com o 3 e o 4 em resposta a “box”, ou seja, a caixa, onde as pontuações subjetivas máximas também foram superiores às máximas humanas. Então, no final das contas, este artigo, e é um artigo que, para quem tiver interesse, eu recomendo a leitura, porque a gente está falando aqui.​(06:56) de GPT-4. Nós já estamos no GPT-5, já temos Sonnet 4.5, Opus e por aí vai. Já temos modelos bem mais capazes, que escrevem bem melhor do que esses modelos anteriores e que também geram um conteúdo melhor. Mas é interessante a gente ver essa comparação feita em 2023, mostrando, então, que os melhores humanos ainda superam a inteligência artificial, mas ela está cada vez mais próxima. E alguns estudos que a gente tem adiante vão, inclusive, chamar a atenção para isso.​(07:35) E aí você tem outra coisa, que eu acho que é a dinâmica de como a IA funciona nesses casos. Se a gente parte do pressuposto de que ela vai atuar levando em consideração essa proximidade estatística entre conceitos e palavras e, a partir daí, produzir coisas novas, o artigo chama a atenção de que uma das possibilidades de você definir, uma das formas de definir a criatividade, é justamente essa capacidade de criar ideias originais e úteis e também de fazer associações entre conceitos vagamente relacionados, ou seja, relacionar coisas que, em.​(08:16) princípio, não seriam tão evidentemente relacionadas. Claro que a IA também, se for programada para fazer isso, ela conseguiria. Eu acho que é plenamente possível. Quando a gente olha como uma matriz de IA funciona, tem um gráfico aqui, depois, enquanto você estiver falando, eu vou ver se encontro para botar no show notes também, mas ele simula a proximidade entre palavras dentro de um modelo de IA. Ele vai mostrando a distância entre as palavras e a proximidade entre elas. É uma simulação mesmo. Então, ela poderia muito bem… “Ó, tenta fazer…​(08:51) associações não tão evidentes, ou não tão próximas. É claro, também não pode ser absolutamente diferente uma coisa da outra. Mas eu acho interessante essa coisa da criatividade, como a gente vê. Como é que o cara pensou? Eu nunca tinha pensado nisso, ou seja, o cara fez de fato uma associação que seria impensável, digamos assim. Então, esse paradigma, eu acho interessante como a IA poderia, se é que vai conseguir, se adaptar a fazer essas associações nem sempre tão evidentes.​(09:22) É, criatividade. Quanto mais avança, mais ela consegue simular isso. Eu tenho um livro, Guilherme, que eu recomendo. Eu estava até lendo ele. Eu vou pegar o link dele para deixar à disposição depois no show notes, que é da Margarete Bolden, eu já comentei sobre ela aqui, que é o “The Creative Mind: Myths and Mechanisms”, “A Mente Criativa: Mitos e Mecanismos”. Nesse livro, ela justamente procura discutir o que é a criatividade, ou seja,​(10:06) de onde a gente tira, os tipos de criatividade que a gente tem. Bom, então esse livro da Margaret B é muito interessante, até porque vocês vão encontrar um vídeo dela no YouTube falando lá na década de 70 ou final da década de 60 sobre justamente a IA e a capacidade de criar coisas. Note que nós não tínhamos IA generativa naquela época.​(10:30) E tem um outro livro, que na verdade são vários livros, mas tem um deles que é de um cara que é “Criatividade: O Flow e a Psicologia das Descobertas e das Invenções”, em que o autor, que é o Mihaly, tenta justamente fazer uma busca com várias pessoas que são referências em suas áreas para tentar entender de onde surgem as ideias. É um livro bastante interessante também, mas enfim, deu de criatividade.​(11:09) Só uma outra coisa, eu vi aqui, ela é uma senhora já. Claro. Na década de 70 já estava estudando. No final de 60, 70, ela estava num programa inglês na TV discutindo IA e criatividade. Não, eu fui procurar aqui esse vídeo enquanto você falava e ele começou já a me mostrar um monte de coisa feita por IA.​(11:37) Olha que chato isso. É melhor procurar pela Margaret Bolden. Não, mas foi o que eu fiz. Eu fui procurar o vídeo a que tu te referias e aí o primeiro, a primeira resposta, o primeiro vídeo, foi um tal da editora Unesp de um outro livro que eu tenho e não me lembrava que era dela, que é “Inteligência Artificial: Uma brevíssima introdução”.​(12:02) E eu comecei a ler esse livro da editora Unesp e não dei muita bola, Vinícius. Comecei a ver e tal. Inclusive, é uma tradução, obviamente, do “Artificial Intelligence: A Very Short Introduction”, da editora da Oxford.​(12:25) Então, agora que você falou, eu vou dar uma olhada com mais atenção nele. Depois vou pegar, botar o link aqui também. E já me corrigindo, já que me deu tempo para eu catar o vídeo aqui. O vídeo é um debate sobre inteligência artificial e a mente. Ele aconteceu em 1984, eu errei. 1984. O link para o vídeo vai estar também no show notes.​(12:44) Já está separadinho aqui o link, Vinícius, para o outro também. “Uma brevíssima introdução”. Bom, perfeito. Seguindo para o próximo estudo, na verdade, não foi uma semana que o Vinícius não pôde participar, que foi o episódio 40, e eu comentei um pouco rapidamente sobre a questão do comportamento desonesto e como a inteligência artificial poderia habilitar essa desonestidade em certos contextos. Mas claro que faltou também a visão do Vinícius sobre esse tema e como​(13:18) tinha sido ele que tinha descoberto esse artigo, nada mais justo do que ele também fazer alguns comentários sobre esse artigo, Vinícius, porque é mais uma vez uma questão ética. Ou seja, o que nós vamos esperar do futuro para pessoas que vão ter uma tendência à desonestidade? Não quer dizer que as pessoas sejam desonestas, mas… Primeiro, quando falou que descobriu o artigo, tem vários artigos que eu tenho aqui e vários desses que​(13:50) nós estamos comentando também, eu já não sei mais quais porque já é um monte, que o nosso amigo, o Cláudio Sheer, volta e meia fica me passando. Então ele vai encontrando os artigos e vai passando. Ele também estuda esse assunto, também se interessa por esse assunto, a questão da IA.​(14:10) Então ele me passa muito artigo. Mas esse estudo aqui também saiu na revista Nature. Nós vamos ficar nos repetindo, acho que toda hora, mas vai estar o link lá, você vai poder pegar onde saiu o estudo. Então, o que eles fizeram nesse estudo? Eles fizeram dois protocolos, ou seja, duas situações. Uma situação era um lançamento de dados.​(14:34) Então, tu lançavas os dados e tinhas que reportar os dados que foram lançados, 10 dados, resultado de 10 dados lançados. Quanto maior o número, maior o pagamento que recebia. E outro protocolo era o protocolo de evasão fiscal, que eles chamaram, que era: os participantes tinham que reportar uma renda ganha em uma tarefa real, sabendo que dessa renda seria essa renda seria sujeita a um imposto de 35% destinado à Cruz Vermelha. Não é imposto de 35% para o governo direto, é para a Cruz Vermelha. Eles testaram os seguintes modelos: GPT-4, o 4o, Llama 3.3 e o Claude 3.5 Sonnet.​(15:16) É o Claude 3.5 Sonnet. O Llama é bem ruinzinho, mas tudo bem. Mas está junto aqui. O que eles perceberam como resultado? Teve um aumento quando os seres humanos podiam usar a IA sem dizer a estratégia antiética que eles queriam, só dizendo: “ó, se tu tirar números maiores, eu ganho mais”, coisas mais genéricas, sem ter que dizer: “Eu quero que você tire números maiores para que eu possa…”. Entende? Então, quando isso aconteceu, aumentaram os pedidos desonestos. Então, os humanos​(15:57) solicitaram mais trapaça quando utilizaram interfaces que permitiam induzir a desonestidade sem precisar especificar explicitamente a estratégia antiética. Então, ao usar a IA, sem ter que dizer explicitamente “roube”, eles aceitaram quando as coisas foram para o lado deles, violando, digamos assim, o imposto que ia para a Cruz Vermelha, a questão dos dados lá e tal.​(16:36) E o que eles perceberam é que quando há a possibilidade de delegação sem ter que dizer exatamente o que fazer, o índice de participantes humanos que se engajou em desonestidade atingiu de 84 a 88%. Em contraste com o grupo de controle que não podia usar a delegação, só 15% se engajou em comportamento antiético, desonesto. Então eles atribuíram essa diferença à redução do custo moral para a pessoa, pois ela pode dizer: “Não, isso foi a IA que fez.​(17:18) Eu não pedi para ela roubar”. Mas tu podes não ter dito também para ela fazer a tarefa exatamente como deveria ser. Tu podes deixar a coisa meio no ar para eventualmente se beneficiar. No protocolo de evasão fiscal, houve uma evidência estatisticamente significativa de maiores intenções de trapaça sob a delegação de máquina, ou seja, declarando uma porção menor de renda em comparação com a delegação humana. Porque tu poderias delegar para a máquina e delegar para seres humanos. E o que eles perceberam? Quando tu delegas para seres humanos, os​(17:53) agentes humanos, na maioria dos casos, de 50 a 75% das vezes, recusaram a atender um pedido que fosse desonesto. Já o GPT-4, o GPT-4O, o Claude 3.5 Sonnet e o Llama 3.3 cumpriram as instruções de trapaça total em 95% dos casos. Então, isso nos chama a atenção para o fato de que tem uma zona cinzenta aí de que eventualmente a IA vai fazer coisas e, como foi delegado para a IA, a tendência é simplesmente o ser humano aceitar mais situações antiéticas, desonestas, com mais frequência do que se não tivesse a IA na jogada. Tem​(18:47) aquele exemplo que a gente vive citando, Guilherme, com relação à responsabilidade daquela agência de viagens que vendeu passagens para uma pessoa e a pessoa foi lá pedir a restituição da passagem em razão de um parente que tinha falecido. Era a Air Canada. Isso, acho que era a Air Canada.​(19:07) E essa empresa, então, pelo seu chatbot, o chatbot inventou uma situação de reembolso, de estorno, que não existia e depois a empresa quis dizer: “Não, isso não vai poder ser utilizado contra a gente, porque foi a IA que fez, não foi a gente, isso não existe aqui na empresa”.​(19:33) “Isso foi a IA que inventou”. Só que a IA está agindo em nome da empresa. Então, isso é obviamente antiético, tu botar um bot para atender a pessoa e não assumir a responsabilidade pelo que esse bot faz, num flagrante prejuízo ao cliente nesse caso. Então, esse estudo chama a atenção para essa questão de uma tendência de ação desonesta.​(19:58) E eu não vou dizer aonde, só adianto que não foi aqui na CTISM, porque todo mundo sabe que eu trabalho na UFSM, mas não foi na UFSM, foi num evento que tinha alunos de várias escolas. Eu perguntei do ensino médio e eu perguntei para os alunos, tinha alguns professores presentes, eu pedi para os professores não olharem para trás, mas não adiantou muito, tu já vais entender o porquê. Eu perguntei aos alunos quem já tinha usado o ChatGPT para fazer um trabalho escolar.​(20:21) Todos levantaram a mão. E aí eu perguntei quais deles, não quantos, já tinham pego uma tarefa da escola, entregue 100% para o ChatGPT, pegado a resposta que o GPT deu e entregado como sendo seu trabalho, sem modificar nada, no máximo botando o nome. Todos levantaram a mão. Então, existe uma falta de percepção de que isso é desonesto, de que isso é antiético. Isso não é o comportamento esperado. Eu acho que há percepção. Eu discordo de ti.​(21:00) Eu acho que há percepção. Cara, são crianças. Acho que é uma falta da percepção das consequências que esse erro poderia ter. Mas assim, eu diria que eu tenho quase certeza, a minha visão, Vinícius, é que há um conhecimento de ser antiético.​(21:22) Eu acho que tem aquele que faz na maldade, “eu vou fazer isso aqui e vou dizer, professora, que eu fiz mesmo”. E deve ter aquele outro cara e tantos outros que já está naturalizado, “para que eu vou fazer isso aqui? todo mundo faz”. É uma prática que está se tornando comum e aí de repente não há toda aquela malícia, saca? Então, por isso que eu acho que é uma questão, ainda mais nessa idade, nessa faixa de idade do ensino médio. Claro que há crianças que sabem muito bem o que estão​(21:48) fazendo, mas acho que é a oportunidade justamente de se educar para evitar esse tipo de comportamento. E esse estudo aqui, embora ele não tenha sido feito com crianças, ele facilmente pode ser extrapolado para a gente imaginar o tipo de efeito que isso aqui teria, sabe?​(22:11) Esse comportamento. Eu acho que em primeiro lugar é uma questão geracional. Isso evidencia. Claro que, só para destacar, a gente saiu do estudo e agora estamos comentando uma situação que aconteceu com o Vinícius em um local específico, que definitivamente não serve como um estudo como esses que a gente tem visto aqui. Mas assim, é inegável que esse, talvez esse experimento que você fez, Vinícius, não científico, tudo mais, foi só uma pergunta, mostra… A gente tem que ter​(22:46) cuidado também para não comparar coisas muito diferentes entre si. Mas ainda assim demonstra bem uma questão geracional, porque eu noto também com bastante frequência os alunos usando numa frequência muito maior do que os professores. Nesse sentido é geracional, é mais fácil para a criança и para o aluno usar simplesmente do que o professor voltar atrás. E ao mesmo tempo também joga, como eu até comentei no outro episódio, que é a figura do agente-principal, dentro da economia se​(23:22) estuda muito isso, que é quando você delega atividades para uma outra pessoa. Então você, principal, delega atividades para uma outra pessoa, o agente, fazer para ti. Isso vai aparecer em vários contextos diferentes. Por exemplo, no contrato de mandato, quando você passa uma procuração, quando você outorga poderes para uma outra pessoa praticar atos para ti. Se for uma empresa, por exemplo, um administrador, você vai ter vários custos aí de confiança. Ou seja, você tem que confiar no agente e você eventualmente vai​(23:59) ter custos de monitoramento desse agente. Ou seja, não basta só confiar, você vai ter que ver se ele está fazendo a atividade que ele disse que ia fazer corretamente e tal. Então essa relação agente-principal é bem estudada na economia já há muito tempo. Tem questões de assimetria informacional envolvidas, quando o agente poderia esconder informações do principal para se beneficiar. Mas você tem, no fundo, vários custos, que seria nesse caso o agente se beneficiar em detrimento do principal. A IA não tem isso. Na verdade, se estabelece aqui uma nova teoria, dá para se dizer, de agente-​(24:36) principal, em que o agente vai ser a IA e que não vai ter as mesmas intenções, digamos assim, que uma pessoa teria de eventualmente enganar: “Ah, eu vou tirar dinheiro do principal”. A IA não está preocupada com isso. Não está preocupada em te trapacear, ao principal.​(24:53) Mas o problema é que, ao mesmo tempo, a gente está vendo que ela vai, digamos assim, seguir ordens mais antiéticas. E esse é o grande problema, porque se cada vez mais a gente vai usar esses agentes para fazer coisas em nosso nome, nós temos uma tendência do aumento de comportamentos desonestos, a não ser que a IA, claro, também passe a contar com controles para evitar que isso aconteça, mas aí já é um outro problema. É verdade. Vamos ver até onde vai.​(25:27) O… Tu queres puxar o próximo? Eu só vou puxar e já te jogo. Mas aí é que é a questão de como o nosso cérebro… E esse é um estudo bem mais sofisticado, dá para se dizer. Os caras usaram ali eletroencefalografia para medir a atividade cerebral de uma pessoa usando IA versus uma pessoa que não usa IA.​(25:56) E esse eu acho que também é um dos que mais chama a atenção, porque a gente já comentou aqui aquela ideia, “ah, a IA é como se eu entregasse um carro de Fórmula 1 para uma pessoa”. E, eventualmente, se a pessoa não sabe dirigir, pode ser meio perigoso a pessoa que não sabe dirigir estar dentro de um carro de Fórmula 1. Mas o ponto é: como é que isso funcionaria? Ou seja, a gente está tendo déficits aqui? Que essa é, acho que, a proposta dos caras. Existe algum déficit para quem está usando versus para quem não está usando? Eles tentaram medir qual é esse custo cognitivo de usar um LLM para fazer​(26:29) a escrita de ensaios. Foram 54 participantes. Eles tinham que escrever um ensaio em 20 minutos. Essa é a tarefa. Eles separaram em três grupos.​(26:55) Então, o grupo um tinha que usar o GPT-4o como único recurso, o ChatGPT, com o modelo 4, nota que já é um modelo mais recente. O segundo grupo só podia usar qualquer website, menos LLM, não podia usar nenhum chat da vida. Então, eles usaram o Google. E o terceiro grupo não podia usar qualquer ferramenta, website, só o cérebro, só o conhecimento próprio. Essa coisa tão antiga, né? É.​(27:28) E depois eles fizeram uma sessãozinha, a quarta sessão dos testes deles, em que 18 participantes, eles trocaram de grupo, colocaram no grupo oposto. Então, quem só podia usar o cérebro podia usar o ChatGPT e quem podia só usar o ChatGPT agora tinha que fazer só usando o cérebro. Então, tiraram as ferramentas de quem estava usando só a ferramenta antes e deram para quem estava só usando o cérebro, vamos ver o que acontece.​(27:57) Tinha que escrever esse ensaio. A atividade cerebral, como tu falou, foi registrada usando eletroencefalografia. E foi feita a avaliação, teve um processo de avaliação que inclusive contou com pontuação de professores humanos e um juiz de IA. Então teve várias formas ali de avaliação. De novo, no artigo, quem quiser, o artigo vai estar linkado no show notes para entrar nos detalhes do estudo, mas resultados, o Guilherme botou em vermelho aqui no show notes, eu vou ler porque esse aqui é o principal resultado: atrofia de habilidades cognitivas.​(28:35) Atrofia, uma palavra tão forte. É, então, o que o estudo mostrou é que o uso de LLM reduz o engajamento neural e tem um impacto negativo mensurável nas habilidades de aprendizado, memória e senso de autoria. Então, habilidade de aprendizado, ou seja, tu aprenderes aquilo que tu estás estudando; memória, que é tu memorizares a informação, que não é a mesma coisa que aprender; e tu teres aquela percepção de que “isto aqui fui eu que escrevi”. E a conectividade cerebral diminuiu​(29:13) sistematicamente com a quantidade de suporte externo. Então, quanto mais suporte externo, quanto mais chat, menor a conectividade cerebral. Bom, está usando menos o cérebro. Então, o que acontece? Primeira coisa, a habilidade de citar. A LLM prejudicou substancialmente a capacidade dos participantes de citar corretamente seus próprios dados.​(29:44) Os participantes que usaram somente o ChatGPT, somente LLM, 83% desse grupo falhou em fornecer uma citação correta. Não conseguiu. 83% falharam. Com relação à percepção de autoria, o grupo que usou a LLM relatou uma baixa percepção de autoria, parcial ou nenhuma, sobre seus ensaios. E o grupo “apenas cérebro” reivindicou posse total quase por unanimidade. Talvez o pessoal tenha alguma coisa, “ah, essa ideia não era minha, foi algo que eu lembrei”, mas ainda assim saiu do cérebro do cara, ainda que seja uma informação recuperada. Homogeneidade linguística.​(30:26) Isso aqui é muito o que a gente percebe no dia a dia. Os ensaios que foram escritos pelo grupo que usou o ChatGPT, só o ChatGPT, eram estatisticamente homogêneos em vocabulário e estrutura, ou seja, pasteurizados, com pouca variação, indicando que se basearam em frases sugeridas pelo modelo.​(30:58) Aqui tem dois pontos. Tem, sim. À medida que tu repetes os mesmos prompts, o mesmo jeito de perguntar, a tendência é teres coisas muito similares e, ao mesmo tempo, uma certa preguiça de elaborar um prompt mais detalhado. Porque tu consegues modular isso aqui.​(31:21) Claro que, se eu bolar um prompt mais detalhado para passar esse mesmo prompt para o Guilherme, e o Guilherme usar o mesmo prompt de novo, a gente vai ter um texto muito parecido, muito homogêneo. Os participantes que usaram LLM… Oi. Fala só uma coisa. Essa homogeneidade… é difícil de explicar isso, Vinícius. E quando você desenvolve um senso crítico de leitura ao longo dos anos, você vai lendo, lendo, lendo, você consegue, por exemplo, identificar estilos. Pensa na música, você ouve um Rolling Stones, você ouve um Led Zeppelin, você ouve um Red Hot Chili Peppers, que​(31:59) são bandas com estilos bem marcados. Mesmo que você não conheça aquela música deles, você ouve e pensa: “não, isso aqui parece Led Zeppelin”. Então, existem estilos também de escrita e a percepção que eu tenho, mais uma vez, isso não é do estudo, mas a percepção que eu tenho é que a gente percebe um estilo, não é falso, mas um estilo artificial ali. Justamente essa é a palavra. E isso sempre me chama a atenção.​(32:38) Quando me chama a atenção e eu jogo na ferramenta que eu uso às vezes para verificar, de fato é IA. Eu não sei explicar como, mas sempre me chama a atenção e talvez seja essa homogeneidade de estilo que se repete. Parece que você percebe que tem algo errado, que não é humano, sabe? É. E com os vídeos a gente já está sendo enganado.​(33:03) Hoje de manhã fomos enganados com um. Hoje a gente viu um vídeo que parecia real, mas não era. Inclusive, a qualidade da gravação parecia de um celular. E teve um vídeo real que tu me passaste que eu te disse: “Não, isso aqui foi feito com IA”. Cara, isso aí vai dar uma confusão, mas enfim, deixa para 2026. Acho que nós vamos ver muito disso.​(33:24) Sim, cara. E uma parte que chamou bastante atenção é que, no momento em que eles trocaram os grupos, o grupo que usou o ChatGPT para escrever os ensaios e depois teve que fazer sem usar o ChatGPT, eles tiveram dificuldade, eles tiveram o que eles chamaram de uma “dívida cognitiva acumulada”. Então, meio que deu uma travada na capacidade deles de escrever os ensaios sem a IA.​(34:00) E vou te dizer que às vezes eu sinto um pouco isso, porque eu estou muito preguiçoso para catar coisas às vezes na internet. Eu estou muito acostumado a usar o Perplexity para fazer pesquisa. E a partir dali eu vou para os sites e tudo mais. Cara, eu não tenho mais paciência de usar o Google para pesquisar. Eu acho que é um pouco de preguiça também, saca? Tudo bem que os resultados do Perplexity me parecem melhores, mas eu não consigo me ver mais abrindo o Google para pesquisar algo.​(34:25) Que eu quero buscar um artigo… eu uso a IA direto para fazer pesquisa. O Google tem me servido mais quando eu quero comprar alguma coisa e quando eu quero achar algum restaurante. Cara, eu tenho usado o Perplexity até para isso, para comparar coisas quando vou comprar produtos. Mas enfim.​(34:50) E a questão da escrita também, se tu vais fazer uma coisa rápida ali, que não é uma coisa com a qual tu tenhas um vínculo muito forte, tu queres mais um texto ali para quebrar um galho, cara, tu usas a IA. Realmente, se é uma curiosidade histórica ali que tu tens. Eu percebo que estou um pouco mais preguiçoso. E eu consigo imaginar muito bem esse negócio de tu escreveres tudo com a IA…​(35:21) Tu só podes usar IA para escrever e de repente não podes mais. Foi o que eles fizeram no experimento. Eu consigo sentir isso aqui. E, por outro lado, inversamente, os participantes que escreveram sem IA e depois usaram a IA, ou seja, saíram do “somente cérebro” para usar cérebro e IA, eles apresentaram um pico de conectividade neural ao integrar a ferramenta, ou seja, foi potencializado.​(35:50) Que é um pouco do que a gente percebe também. O que a gente percebe quando alguém que não entende de um dado assunto se põe a escrever um negócio na IA para tentar entregar um trabalho ou se livrar daquilo? Bom, acontece o que a gente já viu, a pessoa não entende, ela não aprende aquilo, ela não memoriza aquilo, 83% não consegue fazer uma citação correta, ou seja, está totalmente desconectado daquele conteúdo. Ou tu vais fazer uma tarefa que nunca fizeste, aí tu vais usar a IA para fazer essa tarefa para ti. Tu​(36:30) estás sujeito ao que a IA vai trazer e tu estás de passageiro ali, como o Ethan Mollick fala, “tu dormes ao volante”. Tu dormes no volante. E, ao contrário, quando a pessoa tem domínio do campo em que ela está atuando para fazer alguma coisa, seja lá o que for, ela tem domínio, ela sabe o que está fazendo, ela tem experiência, ela já tem conhecimento acumulado, ela já aprendeu e ela vai usar a IA como um recurso que vai apoiá-la para conseguir ter mais agilidade, ela consegue um resultado melhor. E então​(37:05) isso eu percebo de forma empírica, da experiência, do que a gente vai falando com as pessoas, o que a gente mesmo vai fazendo. Agora, esse estudo demonstra justamente isso. As pessoas que usaram só o cérebro, ou seja, tinham aprendizado, tinham memória, tinham aquela percepção de autoria, quando integraram a IA, a IA veio como um recurso a mais e deu um pico de conectividade neural, medido. Então, tu dás-te conta que isso talvez até acabe aumentando também a​(37:46) distância de quem está aprendendo alguma coisa com aquele que já sabe. O gap vai ser enorme, cara. É, vai aumentar, me parece. Sim. E veja que aqui, só confirmando, Vinícius, foi com adultos, né? Eram de universidades.​(38:10) E eu, se eu pudesse arriscar, eu diria que com criança é completamente diferente, porque a forma como a criança aprende, a atividade cerebral de uma criança aprendendo, acredito eu, estou jogando aqui, é diferente de uma pessoa adulta. E o impacto acho que vai ser muito maior, entende? O prejuízo de um uso descontrolado da IA vai ser muito maior, justamente por causa desse gap que tu falas, Guilherme.​(38:42) Porque a partir do momento em que tu substituis a criatividade da criança pela criatividade, entre aspas, da IA, em vez de ela criar um negócio, ela pede para a IA criar. O meu filho testou algumas coisas de criação de desenhos na IA. Ele fez alguns desenhos e tal. Ele desenha bastante em papel mesmo.​(39:03) E ele quis ver, quis que eu tirasse fotos dos desenhos dele e pedisse para fazer imagens com base nos desenhos dele. E claro, a IA fez coisas fantásticas, maravilhosas. Só que rapidamente eu percebi que ele queria, ele começou a trazer desenhos mais simples, que ele não se esforçava muito, para ver o que a IA ia trazer.​(39:33) E aí eu cortei isso. Tipo assim, ó, tu tens teus lápis de cor, tens um monte de canetinha, tens papel para desenhar, tu tens tudo. Desenha, pinta, faz do teu jeito, porque ela começa a trazer um padrão de desenho que não é uma realidade para ele ainda na idade dele.​(39:51) E aí se ele começar a mirar naquele padrão sem ter esforço nenhum para desenhar, se ele não tentar desenhar, pelo menos, ele não vai aprender. Então o que eu prefiro que ele faça? Eu tenho um monte de livro ilustrado aqui. Eu prefiro que ele pegue o livro, olhe e tente copiar o personagem, fazendo de um jeito diferente, uma cena diferente.​(40:11) Então, eu imagino, Guilherme, que o uso de IA com adultos já provoca esse custo cognitivo a médio e longo prazo, prejudicando, criando uma dívida cognitiva para o futuro. Isso para crianças e adolescentes sem uma orientação adequada…​(40:35) A gente está falando aqui de comportamento, desde o que a gente falou no começo, da questão da criatividade ser afetada, do comportamento desonesto não ser incentivado, mas acabar aparecendo com mais frequência, e a própria questão cognitiva, de aprendizado propriamente dito. Então, é bastante delicado isso para crianças. Vamos ver se aparece algum estudo. Eu, por enquanto, não tive contato com nenhum envolvendo crianças. Não, e mais,​(41:19) isso tudo quando se conecta com os outros estudos ali do comportamento desonesto também e até do pensamento crítico, que é o outro, urge que a gente tenha… e eu não sei se a gente não vai conseguir fazer isso tão rápido e muito menos mudar a educação tão rapidamente quanto a gente deveria. Porque no final das contas, a gente precisaria de uma pedagogia para a IA.​(41:45) Notem, a gente sequer, eu sempre falo isso, vou repetir, a gente sequer tem uma pedagogia para a internet. Porque nós, professores, e eu me incluo, a gente continua dando aulas, claro que fala sobre a internet, instiga a pesquisa, mas é muito comum que a gente encontre pessoas que não sabem sequer pesquisar sobre alguma coisa.​(42:14) Veja que a forma de pesquisar já está superada. O analfabetismo digital ficou ainda mais grave. Tem episódio sobre analfabetismo digital, se puder procurar, Vinícius, também. Sim, pode deixar.​(42:33) Bom, a gente precisa de uma nova pedagogia, isso demora, leva tempo, vai ter que treinar professores. E veja, não é algo que você aperta um botão e muda a pedagogia em todas as faculdades, até porque a IA também mexe com a forma de aprender e com a forma de interagir com as profissões de uma forma muito diferente. Então, eu não sei como e eu não sei qual o impacto da gente não ter uma pedagogia.​(42:57) Deve ter, eu imagino que tenha pessoas já fazendo esses estudos. A gente só não teve contato com eles. Vou citar minha esposa, amada esposa, que está agora fazendo mestrado aqui no IFRS, justamente para investigar… tem pessoas estudando, ela está estudando, o orientador dela, inclusive, para verificar o aprendizado com IA em crianças.​(43:26) Eles têm dados inclusive sobre isso, de algumas escolas até fora do país. Então, está se estudando isso, sem dúvida. O meu ponto é: está bom, mas como é que a gente vai inserir isso na educação se sequer a gente conseguiu ainda inserir a internet? Muda no direito de uma forma, na arquitetura de outro jeito, na TI de outra forma, sei lá, psicologia, pega qualquer área que você vai ver que vai ser diferente a forma como a IA vai ser usada, com mais liberdade ou menos​(44:01) em cada uma. Você vai estudar arte, talvez também, embora eu já tenha ido a uma exposição de arte feita com IA. Mas até nas artes plásticas, você vai ter a dinâmica diferente ali. Isso me preocupa. Pensamento crítico, Vinícius, eu acho que dá para a gente remeter para o episódio 387. Só antes, Guilherme, o que a gente falou do impacto do analfabetismo funcional na tecnologia foi o episódio 393.​(44:30) Tá, 393, a gente falou sobre esse tema. Tá bom. E pensamento crítico, a gente já referiu o estudo “The Impact of Generative AI on Critical Thinking”, aquele estudo famoso já da Microsoft e da Carnegie Mellon. A gente falou bastante sobre ele no episódio 387, mas só para a gente não perder a referência, eu acho que ele está bem conectado com tudo isso que a gente viu até agora. Em primeiro lugar, imagina só que ruim. É que nem quando você fala​(45:08) de saúde. Quando a pessoa tem maus hábitos, você vai juntando maus hábitos de saúde e aquilo culmina numa piora geral da pessoa. Bebe, dorme mal, fuma e tal. Agora imagina, além do problema da dívida cognitiva, que a gente sequer sabe ao certo como vai se dar para crianças. E se eu pudesse arriscar, e aqui é um palpite, Vinícius, a gente está misturando estudos ultracientíficos com palpite. É a nossa audiência.​(45:42) Com opinião. Vamos com opinião. Mas eu acho que essa é a graça do podcast. Você está aqui também porque ouve as bobagens que a gente fala. Bobagem no bom sentido. Então, veja, se eu já estou saindo de um paradigma de dívida cognitiva, e veja que dívida cognitiva… porque qual é o problema? Eu acho que um dos grandes problemas… esses dias, o que foi que eu perguntei? Ah, eu estava comprando um telefone para o meu pai. Eu e minha irmã estávamos comprando um telefone para o meu pai e eu pesquisei lá na hora no Perplexity se o​(46:15) telefone tinha NFC ou não. A gente já tinha comprado, na verdade. E a gente disse: “Não, pai, agora você vai poder usar o cartão no celular”, aquela coisa toda. Pesquisei no Perplexity e dizia: “Não tem NFC o telefone”. E eu, puxa vida.​(46:33) Aí guardei aquela informação para mim, pensando como é que eu vou contar para ele que a gente tinha comprado o celular e dito que tinha a funcionalidade quando não tinha. Eu fiquei matutando aquilo, cara. Eu pensei: “mas não é possível, era um telefone bom, sabe? Novo, recente, não era tão barato assim”. E tinha o negócio, entendeu? Veja que isso é uma questão de… não é bem dívida cognitiva, mas se eu junto dívida cognitiva com falta de espírito crítico, você vai aceitar aquilo que a IA estava te dizendo. É verdade. Acabou. Esses dias eu fui perguntar uma coisa sobre história, sobre um fato que eu já​(47:09) sabia, naquela do Perplexity que você conversa com ela. E eu perguntei sobre um fato histórico, era uma coisa lá de Portugal, que eles acabaram matando judeus lá em 1506, acho que era. Teve uma questão assim, teve um morticínio lá feito entre os cristãos e os judeus.​(47:27) E aí ele começou a contar aquela história e eu sabia um pouco daquela história e começou a inventar uma coisa, não tinha nada a ver com a história. Eu disse: “Não, mas pera aí, mas isso aí acho que não é assim. Só me confirma se…”. Aquele meme do cara que pergunta para a IA se esse cogumelo é comestível. Tu viu? Não, não vi.​(47:46) O cara pergunta para a IA: “Esse cogumelo é comestível?”. Aí a IA diz: “Sim”. Aí no outro quadrinho está o cara na cama de hospital: “Ah, sinto muito que esse cogumelo não é comestível”. “Quero aprender mais sobre cogumelos não comestíveis”, no hospital.​(48:04) Isso tem a ver com o espírito crítico, porque apenas para relembrar, a IA às vezes estimula e às vezes diminui o espírito crítico. E bem, em resumo, depende muito da intenção do sujeito. Aquilo que o Vinícius colocou agora há pouco. Às vezes eu só quero saber quando fulano morreu, numa conversa, ou para você que gosta de história и estuda sozinho em casa para desenvolvimento pessoal.​(48:31) Isso é uma coisa. O erro ali vai ter um impacto menor. Você só vai parecer burro quando citar uma coisa que não aconteceu ou dizer que algo aconteceu num ano totalmente diferente. Agora, em outras situações, o uso da IA sim, pode desencorajar, sim, pode levar você a subestimar, que é a questão da confiança.​(48:54) Quanto mais você confia na ferramenta, mais você vai aceitar aquilo e isso acaba diminuindo o teu espírito e o teu pensamento crítico. Quando você coloca isso no ensino, é terrível. Direito, por exemplo, cara, direito é pensamento crítico puro. Você vai ter que contrapor as ideias de uma outra pessoa. Você está o tempo inteiro, claro, com base na lei e tudo mais, não é freestyle que você diz o que quer, embora existam alguns que tenham um direito meio freestyle.​(49:23) Mas essas coisas estão muito conectadas. E aí aumenta aquele gap, mais uma vez, talvez seja um aumento do gap que você falou antes, Vinícius. Sim. Aumenta aquele gap porque esse estudo que tu colocas, Guilherme, que tu estavas falando, que a gente comentou nesse episódio 387.​(49:43) Ele aponta para aquilo que o Ethan Mollick, de novo, chama de “dormir ao volante”. Tu te acostumas com a IA, tu não pensas mais, tu não avalias criticamente mais o que ela está te trazendo e tu simplesmente usas aquilo. E isso, junto com aquele artigo anterior, que tem aquela dívida cognitiva de médio, longo prazo, cara, isso vai imbecilizar as pessoas.​(50:24) Aquele livrinho do Michel Desmurget, “A fábrica de cretinos digitais”, que tem para vender em português, é muito interessante. Ele está falando aí de crianças e tempo de tela. Mas daqui a pouco, eu estou vendo que ele vai escrever um com o mesmo título falando sobre o uso de IA, para adultos inclusive. É, e ele tem outro: “Como evitar os cretinos”. Até vou procurar aqui. “Faça-os ler”.​(50:48) Acho que é. Não sei do outro. Bom, Guilherme, nós temos ainda um outro artigo. Ele mais fala de um status que nós estamos tendo no momento atual de artigos. É um artigo falando sobre artigos.​(51:12) O título dele, esse aqui com certeza foi o Cláudio que me passou, o Cláudio Scheuer: “Mais artigos estão agora sendo criados por IA do que por humanos”. Então, olha só que interessante, cara. Eles buscaram com esse estudo verificar a prevalência de artigos gerados pela inteligência artificial.​(51:34) Então a ideia é: bom, a gente sabe que tem um monte de gente usando IA para escrever, tem um monte de evento recebendo submissão de artigo que tu lês e é claramente gerado por IA. Tu, esses dias, encontraste um livro que me mandaste a foto. Tu recebeste um livro, abriste o livro para dar uma olhada e me mandas uma foto da página do livro com um pedaço do prompt de resposta do ChatGPT junto com o texto que foi gerado para o livro.​(51:58) Então assim, acho que o pessoal desconfiou e pensou: “vamos ver o quanto tem de artigo escrito por IA por aí”. Então os pesquisadores utilizaram o Common Crawl, que mantém um dos maiores arquivos web publicamente disponíveis. É uma fonte chave para o treinamento de modelos de linguagem de grande escala. Eles selecionaram 65.000 URLs de artigos. Dessas 65.​(52:25) mil, eles filtraram para pegar apenas conteúdo em inglês, para facilitar a detecção da ferramenta, deve ser, com markup de esquema de artigo, com marcações e tal, com pelo menos 100 palavras, e publicado entre janeiro de 2020 e maio de 2025. E eles usaram o Surfer’s AI Detector como ferramenta para detectar o que era IA. E eles consideraram texto gerado por IA​(52:59) se o algoritmo tivesse identificado 50% ou mais do conteúdo como sendo escrito por IA. Menos do que isso, era classificado como escrito por seres humanos. Taxa de falso positivo. O que eles fizeram para ver se o Surfer’s AI Detector diria que textos escritos inteiramente por humanos foram, de forma errada, apontados como escritos por IA.​(53:30) O que eles fizeram? Pegaram 15.894 artigos publicados antes de novembro de 22, que foi quando o ChatGPT foi lançado publicamente. É fácil de saber agora. Qualquer livro publicado antes de novembro de 22, pode comprar que está de boa.​(53:54) Qualquer livro depois tem que dar uma olhada. O Surfer AI aqui classificou 4,2% desses artigos como gerados por IA, o que ele errou. Então ele errou em 4,2% das vezes (falsos positivos). E falso negativo? Eles geraram um pouco mais de 6.000 artigos com ChatGPT-4 e passaram para ele detectar, e a taxa de falso negativo dele (se já foi escrito por IA, ele disse que não era IA) foi de 0,6%.​(54:23) Só para a gente ter uma ideia, então, das taxas de erro. São boas taxas de erro. Bem razoáveis. O resultado, então, qual é o principal resultado deles? Em novembro de 24, a quantidade de artigos gerados por IA publicados na web superou a quantidade de artigos escritos por humanos.​(54:49) Aqui não é artigo científico, é artigos publicados no Common Crawl. Aí deve ter de tudo lá, inclusive artigo científico. Houve um crescimento significativo dos artigos dados por IA, coincidindo com o lançamento de ChatGPT em novembro de 2022. Por que será, né?​(55:13) E apenas 12 meses, ou seja, um ano depois, os artigos gerados por IA representavam quase metade dos artigos publicados, 39%. E o conteúdo… o que eles observaram? Eles citaram um estudo do MIT que está linkado no estudo deles, que por sua vez vai estar linkado no nosso, que o conteúdo gerado por IA está melhorando rapidamente e em muitos casos é tão bom ou melhor do que o conteúdo escrito por humanos.​(55:41) E isso eles afirmam citando um estudo do MIT. Eu acessei o estudo, está disponível lá, o estudo está no ar, no link que eles botaram no documento, está certinho. E também é difícil para as pessoas distinguirem se o conteúdo foi criado por IA, citando um outro estudo da Origin. Esse estudo eu não vi, mas é uma citação deles. E uma coisa interessante que chama a atenção: apesar da prevalência na web, os artigos gerados por IA em grande parte não aparecem no Google e no ChatGPT. Eles fizeram um outro estudo, daí tem o link para esse outro estudo que eles fizeram, em que eles foram​(56:23) buscar então esses artigos gerados por IA para ver se os encontravam com facilidade no Google ou se eram citados pelo próprio ChatGPT. E a conclusão a que chegaram nesse outro estudo que eles estão citando aqui é que esses artigos em grande parte não aparecem no Google. E talvez aí exista uma… eles comentam também isso nas conclusões, eu não botei aqui no nosso roteiro, mas eles citam no final do artigo que depois que ultrapassa, em novembro de 24,​(56:57) os artigos feitos por IA ultrapassam em número os artigos feitos por seres humanos, a curva não continua crescendo de forma exponencial. E eles levantaram a hipótese de que isso aconteceu porque os próprios escritores, os próprios autores, começaram a perceber que não estavam conseguindo grande alcance com o que estava sendo escrito.​(57:32) Essa é a hipótese deles. Que perceberam que não estavam tendo o alcance que esperavam com seus artigos e que isso talvez estivesse fazendo as pessoas entrarem num achatamento. Ou outra hipótese é que melhoraram ainda mais os algoritmos de escrita, os modelos, o pessoal melhorou os prompts e começou a ficar mais difícil de detectar. A ferramenta que tu usas, Guilherme, que é a mesma que eu conheço, eu não conhecia essa Surfer’s AI Detector aqui, ela funciona em boa parte dos casos. Mas eu te mostrei também​(58:08) algumas situações em que o conteúdo foi inteiramente gerado por IA, mas de acordo com o prompt, o conteúdo gerado não era detectado como sendo gerado por IA. Aí, mas na nossa aqui, a outra sempre acertou. Qual outra? Grammarly? Não, essa aí eu testei com ela.​(58:32) Ah, sim, eu te mostrei os resultados inclusive. Mas os prompts são bem mais complexos, são enormes, são prompts muito específicos para coisas muito específicas. Então, ali ele passou, ele deu vários falsos negativos, em que ele disse que não era e o conteúdo foi inteiramente gerado por IA, só que o prompt era extremamente detalhado. Seria mais fácil o cara escrever aquele texto do que o próprio prompt. A não ser que… isso é uma coisa interessante. Quando o cara vai fazer uma coisa uma vez só, dificilmente​(59:05) ele vai parar para fazer um baita de um prompt, a não ser que seja algo muito importante para ele. Agora, tarefas que tendem a ser repetitivas, vale a pena tu investires e fazeres um prompt bem detalhado, porque daí as tarefas repetitivas, tu vais perder tempo uma vez, mas vais usar aquele prompt n vezes.​(59:23) Agora, se vais fazer uma única tarefa, tu não vais escrever um prompt gigante só para aquela tarefa. Não tem muito sentido, mas enfim. Sabe que… Não, não, não. Eu só ia comentar desse artigo que comenta sobre isso. Isso aqui, Guilherme, me chama muita atenção. Deve estar sendo um inferno a vida de quem fica fazendo revisão de artigo para evento. Faz muito tempo que eu não faço e eu estou até feliz, porque deve vir muita coisa feita com IA, deve estar vindo​(59:52) muita coisa. Acho que irrita um pouquinho o negócio ter sido feito com IA e tu parares para ler. E aí o que o pessoal tem feito também é pedir para a IA avaliar os artigos. Isso eu tenho visto também. Já ouvi várias histórias assim.​(1:00:13) Eu acho que o grande pulo do gato aqui é a transparência, que é um dos princípios que regulam a IA. Nós, por exemplo, não… deveriam regular o uso da IA. Os princípios, por exemplo, quando a gente fala do AI Act, o princípio da transparência está lá, transparência e informação. O nosso PL de IA também tem.​(1:00:37) São princípios mundialmente conhecidos. Explicabilidade é um do que a gente já falou aqui e tal, e a transparência é um deles. Quando que a transparência entra em jogo? Bom, quando você vai interagir com um bot, o ideal é que você deixe claro para o usuário, para o consumidor, para o cliente, que ele está interagindo com um bot. Isso é bem importante.​(1:01:02) Agora, quando o conteúdo é gerado por IA, também eu entendo que ele deve ser assim anunciado. Falo aqui sem nenhum problema, porque o nosso blog da Brown Pipe, quando a IA é usada, está lá embaixo. Quando que a IA é usada, por exemplo, para dar alguns exemplos no nosso blog? Bom, quando a gente quer traduzir alguma coisa.​(1:01:21) A gente sabe traduzir aquilo, a gente identifica problemas na tradução e corrige quando aquele problema é identificado, ou quando você quer resumir grandes quantidades de texto para colocar no blog também. Então, você tem uma decisão judicial gigante e você quer informar o leitor sobre aquela decisão judicial.​(1:01:40) A gente sabe resumir decisões judiciais. Só que se nós ficássemos resumindo decisões judiciais para que o leitor com um certo interesse leia, a gente entregaria menos conteúdo. Então, veja, não é um conteúdo que é gerado por IA, é um conteúdo em que a IA é usada para apresentar o conteúdo de uma forma mais rápida, talvez. E também para, eventualmente, quem não… se tem uma decisão em francês, cara, talvez não seja tão acessível assim para as pessoas. O que tu estás​(1:02:15) falando aqui, me parece, são pessoas que estão usando a IA sem a devida transparência. Esses dias eu peguei um artigo de um pesquisador até bem conhecido, professor aqui do Rio Grande do Sul, publicando em uma revista de grande amplitude nacional na área do direito. E aquela mesma coisa que você comentou antes da homogeneidade linguística. Você olha aquilo e pensa: “não, isso aqui tem alguma coisa estranha”. Peguei o Penn Gramm, que é a ferramenta que a gente usa​(1:02:51) para isso. E, cara, estava metade do artigo escrito por IA e a outra metade escrita por ele. Metade do artigo. Então, veja, ali você me parece… obviamente eu не vou dizer o nome, mas você tem um problema grave ali que é o seguinte: primeiro, eu até não fui atrás das diretrizes da revista. Algumas revistas estão atualizando.​(1:03:17) Essa, eu confesso que não sei se atualizou. Se não atualizou, é um problema, porque a revista tem que ser muito clara em como você deve usar IA. E já há vários modelos aí para você seguir. Se a revista não sabe como fazer, cara, pesquisa na internet que você vai achar várias revistas ao redor do mundo. A própria Nature, acho que faz isso, se não me engano. Então tem diretriz para isso.​(1:03:41) E outra, não tendo diretriz, me parece que o pesquisador deve ser muito cuidadoso com isso. Por um motivo muito simples: porque se ele se acha tão esperto assim no sentido de… e aí volta lá no primeiro estudo, Vinícius, como a IA te induz a fazer certas coisas? Se você se acha tão esperto assim, e veja, era um artigo sobre direito e tecnologia, podem descobrir, porque a IA que identifica também está ficando melhor.​(1:04:16) Lançou a nova versão dele, o algoritmo dele vai evoluindo também. Claro. Porque o próprio Penn Gramm usa IA. É, então, não tem problema de usar IA, seja franco quanto a isso. Inclusive, eu quero saber se tu usaste IA e quero saber qual o prompt também, quero saber como foi usado.​(1:04:39) Aí que vem a questão. Você tem que ser transparente sobre aquilo. Só para a gente terminar aqui, Vinícius, o outro livro do Desmurget, que a gente falou antes aqui, o primeiro é “A fábrica de cretinos”. Eu perdi aqui o prompt. O outro é “Faça-os ler para não criar…​(1:05:06) …cretinos digitais”. Tem uma curiosidade. Eu botei ali o link e aí eu fui ver, porque ele é francês, a capa da edição francesa para comparar com a capa da edição brasileira. Me parece, com muito acerto, Vinícius, que a capa da edição brasileira é gerada por IA. Estou vendo a capa aqui. Com certeza. Não há dúvidas que foi feita com IA. Não há dúvida.​(1:05:40) Ou foi uma foto muito… o livro, as bordas do livro, os dentes do menino, a própria expressão facial em cima do olho, está artificial. O olho está muito… está toda zoada a sobrancelha dele, cara. É, a sobrancelha toda horrível, cara. Horrível.​(1:06:04) Troço horrível. O cara está falando, o tema do livro do cara é sobre isso. Com todo o carinho e o cuidado que a gente tem ao dizer isso com a editora, eu entendo a ideia, a proposta. Não, mas desse jeito, nessa qualidade não dá, cara. A cabeça do guri está zoada.​(1:06:29) Contradiz o propósito. É uma contradição em termos, um livro que fala justamente sobre isso ter uma capa como essa. Eu fui ver a edição em francês que é “Faites-les lire”. Não parece ser IA. Acho que foi uma foto tirada, embora tenha dedos aqui… Talvez CGI também, cara. Que droga. Ai, meu Deus. Mas acho que não, Vinícius. Dá uma olhadinha ali também. Veja você.​(1:06:53) Vou botar o link para as duas. Você, ouvinte, vai lá se quiser, se tiver tempo. Mas com certeza… Deixe a opinião depois. Mas a edição brasileira, com certeza. E se vocês observarem as sobrancelhas dele aqui em cima, é um troço horroroso. Não tem dúvida. A edição francesa, Guilherme, eu acho que tem chance de não ser IA. É, né? Eu acho que não é também. Eu acho que tem chance de não ser. Não sei dizer.​(1:07:20) Tenho dúvida agora. A edição em português é IA. Com certeza absoluta. Brasileira. Troço horroroso, cara. Pena que não leio francês. Vamos… Eu queria terminar com o seguinte, Guilherme. A minha mensagem final, depois, claro, não sendo necessariamente concordada…​(1:07:40) Aliás, eu lembrei agora que a gente parou de fazer o “Café Expresso” e o “Café Frio”. A gente está sempre na correria, não tem tido tempo de fazer o finalzinho. Mas a questão aqui não é… a gente trouxe uma série de coisas negativas, uma série de estudos que apontam impactos negativos, desde a questão de facilitar o comportamento desonesto, a questão da criatividade, do pensamento crítico, do déficit cognitivo a longo prazo. São todos problemas. Isso quer dizer, então, que a​(1:08:17) gente está dizendo “não use IA” ou que a IA não presta, “vamos jogar fora”? Não, gente. Eu acho que já tem muito site, as próprias empresas inclusive, falando do quão bom é usar IA, quantas coisas legais tu podes fazer com IA.​(1:08:43) E algumas nem são bem verdade como eles anunciam, mas enfim. Eu creio que a IA é extremamente útil. Eu mesmo uso para várias situações diferentes. Eu tenho um amigo que usa. Não, eu uso IA diariamente. Então eu acho que o nosso papel aqui é de chamar a atenção para os cuidados que se tem que ter ao utilizar a tecnologia, principalmente se você é professor, professora, pai, mãe. Se de alguma maneira tu tens alguma influência sobre outras pessoas, no teu entorno, no trabalho, etc.​(1:09:25) Para que o uso de IA seja o mais responsável possível, evite que você se prejudique, evite que os outros se prejudiquem de maneira mais imediata e, principalmente, se prejudicar de formas que talvez sejam muito caras para te recuperares do prejuízo, como, por exemplo, nesse processo de aprendizado, de desenvolvimento como profissional e tal.​(1:09:52) Então, se tu pegas uma criatura que já está lá no ensino médio usando IA para fazer tudo quanto é trabalho e de repente não tem professor orientando, não tem professor pegando essas situações e tratando isso com o aluno para orientá-lo melhor. Aí o cara chega na faculdade… bom, aí tu já sabes como é que é.​(1:10:09) O Guilherme dá aula em faculdade, eu dou aula em faculdade, já dei mais de 20 anos de aula em faculdade. Para quem nos escuta e também já deu aula, sabe muito bem como é que é o processo em geral. É o caminho mais fácil. Muitas vezes, não é de todo mundo, mas tem um monte de gente que toma o caminho mais fácil.​(1:10:29) E a IA é um caminho muito fácil, tanto para tu aprenderes, o que é ótimo para usar para estudar, é fantástico, quanto para tu “matares” o tempo que deverias ficar estudando, lendo, escrevendo. Tu matas esse tempo, deixas a IA lá e vais fazer outra coisa. Então, isso vai impactar no profissional que você vai ser ou no profissional que os seus alunos vão ser.​(1:10:58) E aí tem um estudo que a gente não vai entrar nele hoje, que foi um estudo feito sobre o futuro do trabalho em 2025 e a inteligência artificial. Isso a gente vai trazer futuramente. Ele é muito interessante. Já que é o futuro do trabalho, a gente vai trazê-lo futuramente. Que horror.​(1:11:23) E aí… O Ethan Mollick, que nós já citamos aqui, eu já recomendei o livro “Co-inteligência”. E recomendo de novo, do Ethan Mollick, um livro que custa uns 40 e poucos reais, eu acho. Estou colocando o link ali. Ele já coloca essa situação, ele chama a atenção para o fato de que a IA vai subir a barra de entrada, vai subir a barra dos trabalhos das vagas júnior. Porque a IA vai fazer muito bem sob a orientação de quem já tem muita experiência e, ao mesmo tempo, quem está chegando com uma formação​(1:12:02) ruim no ensino médio, na faculdade, já sendo tudo “torto” pela IA, vai apanhar justamente dessa IA que tanto o “ajudou” no ensino médio, o prejudicou ali no ensino médio e na graduação pelo mau uso que ele fez da IA ou pela falta de orientação, e vai ainda dar-lhe um “toco” quando ele for entrar no mercado de trabalho, essa mesma IA. Então, a gente deve usar, a gente deve aprender, entender como funciona e saber como utilizar de forma adequada. É essa a mensagem final que eu deixo, Guilherme, de minha parte.​(1:12:45) pelo menos. É, e o Segurança Legal tem essa característica de falar com a academia, falar com os estudantes na academia, falar com o público em geral, com interessados. A gente tem pessoas de outras áreas aqui que, sei lá, a gente já teve alunos aqui da física que eventualmente vêm aqui nos estudar também. Mas a gente também quer e está sempre falando com o mercado. É claro que, se a gente deveria ter falado isso lá no início, mas se você chegou até aqui​(1:13:22) sem querer, isso tem tudo a ver com como a IA vai se desenvolver no mercado e nas organizações. Porque falar, por exemplo, não só da questão do futuro do trabalho, que acabou não entrando, mas quando a gente fala sobre a questão do comportamento desonesto, isso está no cerne da preocupação de qualquer organização, de qualquer empresa. A empresa não quer comportamentos desonestos.​(1:13:50) Para lembrar só um caso recente, falamos, eu acho que falei também no outro episódio que eu estava sozinho, que lá na Deloitte teve um estudo inteiro feito para o governo da Austrália que um pesquisador foi pegar, começou a escrutinar e ver o estudo e viu que tinha 20 e poucas fontes citadas que não existiam, livro que não existia, o autor existia, mas nunca tinha escrito aquilo. Então, a Deloitte devolveu dinheiro para o governo da Austrália. Claro, aqui nós temos aquela situação, é uma dessas big four aí, então o risco para ela é​(1:14:26) muitíssimo menor. Mas saiba que você, empresário, também pode se beneficiar de tudo isso que a gente falou aqui. Poxa, um dos livros indicados aqui, vai ficar grande esses show notes, é da Bolden, “Inteligência Artificial: Uma brevíssima introdução”.​(1:14:54) Poxa, você é empresário, você é líder de equipe e tal, vai se beneficiar desse tipo de leitura aqui, por exemplo. E de tantas outras que a gente colocou aqui. Então, não é só uma questão de educação e criatividade somente para a área da educação. O empresário consegue se beneficiar, e a empresária também consegue se beneficiar, disso que a gente trouxe aqui. Então eu espero que tenhamos conseguido atingir o nosso intento aqui de contribuir também um pouquinho nesse debate da IA no mundo atual. Espero.​(1:15:27) Tá bom. Então está bueno. Vamos lá então. Agradecemos a todos aqueles e aquelas que nos acompanharam até aqui e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.

Neste episódio, você vai aprender sobre a realidade por trás dos massivos vazamentos de senhas e como se proteger de forma eficaz. Abordamos a evolução da insegurança bancária, detalhando a nova responsabilidade das instituições financeiras em golpes de engenharia social, conforme decisão do STJ, e o que isso significa para o dever de segurança delas. Exploramos também os novos riscos da cibersegurança com a popularização dos navegadores com inteligência artificial, como o ChatGPT Atlas, e a ameaça do prompt injection. Discutimos a importância de políticas corporativas claras para o uso de IA, evitando o chamado shadow AI e garantindo a proteção de dados. Aprofundamos a análise sobre as implicações do uso de inteligência artificial generativa no ambiente profissional e pessoal. Comentamos um caso emblemático em que a consultoria Deloitte utilizou IA e entregou um relatório com alucinações de IA, resultando em perdas financeiras e reputacionais. Essa discussão nos leva a uma reflexão sobre o direito da tecnologia, a necessidade de transparência no uso dessas ferramentas e como o cumprimento de contratos pode ser afetado. Este episódio é essencial para quem busca entender os desafios práticos e jurídicos da segurança da informação na era da IA, incluindo os cuidados com a LGPD. Não se esqueça de assinar o podcast, nos seguir nas redes sociais e deixar sua avaliação para que nosso conteúdo chegue a mais pessoas.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing   ShowNotes 3,5 terabytes de informações, ou mais de 183 milhões de senhas de e-mail, foram violadas Bancos e instituições de pagamento devem indenizar clientes por falhas que viabilizam golpe da falsa central Petição feita por IA cita dono de bar como relator; autora pagará má-fé TRT-3 aplica multa após advogado citar súmula inexistente gerada por IA Deloitte to partially refund Australian government for report with apparent AI-generated errors Deloitte was caught using AI in $290,000 report to help the Australian government crack down on welfare after a researcher flagged hallucinations ChatGPT Atlas Browser Can Be Tricked by Fake URLs into Executing Hidden Commands Artificial IntelligenceAI Sidebar Spoofing Puts ChatGPT Atlas, Perplexity Comet and Other Browsers at Risk  Foto do Episódio – Spy Booth de Bansky, foto de Duesentrieb 📝 Transcrição do Episódio (00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 405, gravado em 27 de outubro de 2025. Eu sou o Guilherme Goulart e junto com o Vinícius Serafim vamos trazer para vocês algumas das notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme? Tudo bem? Olá aos nossos ouvintes.(00:27) O Vinícius está de volta, depois que um ouvinte observou muito bem que o Vinícius estava como not found no episódio 404, o episódio anterior. Uma piadinha só para os nerds que vão entender. Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção.(00:44) Pegue o seu café e vem conosco. Para entrar em contato conosco, envie uma mensagem para podcast@segurançalegal.com, Mastodon, Instagram, Bluesky, YouTube e agora, Vinícius, estamos no TikTok. Deus do céu. Se você é jovem, nos acompanha aqui e usa o TikTok, pode nos seguir lá também buscando por Segurança Legal.(01:08) Vamos fazer uma experiência para ver como é uma linguagem diferente, enfim, mas estamos já lá para fazer uma experiência com alguns cortes do podcast em vídeo, que nós vamos estar fazendo aí nos próximos dias ou semanas, vamos ver como vai ser. E também temos a nossa campanha de financiamento coletivo. Lá no Apoia.se você apoia o Segurança Legal, onde conclamamos sempre que você considere apoiar essa iniciativa independente de produção de conteúdo.(01:26) Vinícius, vamos para a mensagem dos ouvintes. Temos uma mensagem bem interessante que não vamos identificar o autor, lá no episódio 403, 10 orientações sobre o uso de IA no ambiente empresarial. E esse ouvinte anônimo disse o seguinte: “Eu mesmo, como um his programador, há alguns anos fiquei por meses pedindo aos meus gestores uma formalização e atualização do nosso NDA para que(02:04) pudéssemos usar sem medo LLMs como auxílio. Sempre enrolado, resolvi seguir para o jurídico da empresa, abrir ticket, mais uma vez, depois de meses insistindo no ticket e com meus gestores, o ticket foi fechado e nada foi resolvido ou esclarecido”. Será que essa é uma situação comum hoje em dia, Vinícius? A primeira coisa é: eu não gostei.(02:29) Não te deprecie chamando de his programador. His programador. Não, tu não é um his programador, cara. Tu é um programador, é um desenvolvedor. Nada de his. E a questão de formalização com uso de LLM como auxílio para desenvolvimento, eu tenho visto duas, tem várias posturas, mas as que mais me chamam a atenção são ou aquela postura em que não permitem por medo que os códigos sejam utilizados, que as bases, repositórios de código e tal da empresa sejam utilizados para treinar IA(03:05) e eventualmente acabe revelando alguma coisa sobre os sistemas da própria empresa. Só que aí é uma questão de se analisar as ferramentas, ver as opções disponíveis no mercado para uso empresarial, inclusive ver as opções de configuração e algumas coisas mais que têm que ser vistas.(03:27) Eu acho que isso sim tem que passar pelo pessoal da segurança, digamos assim, dentro da empresa e tem que se estabelecer quais são as práticas aceitáveis, ou seja, quais são as ferramentas aceitáveis, quais são as configurações mínimas que devem ser feitas, esse tipo de coisa. Então, eu tenho visto tanto situações em que a empresa simplesmente diz que não pode usar, e no desenvolvimento a gente pode discutir a aplicação de IA em várias situações, mas no desenvolvimento ela é extremamente útil. A generativa para gerar código é extremamente útil. Não há dúvida nesse sentido. E há também o outro(04:05) extremo, em que o pessoal utiliza o que lhe vem na telha. Então não há uma recomendação formal por parte da empresa. E aí cada um vai usando a ferramenta que tem à disposição, seja free ou não. É o shadow AI. É o shadow AI que a gente comentou. Então, cada um utiliza o que acha melhor e nem sempre com as configurações mais adequadas, nem sempre com uma revisão adequada do que tem sido submetido para a IA, o que fica na IA, o que não fica, etc. Então, esses dois extremos são(04:40) bem delicados. E essa questão de definição, de sentar para definir, eu não sei, Guilherme, eu não fiz pesquisa sobre isso ainda. Mas me parece que está se normalizando o uso da IA como se fosse usar o Google e o pessoal não está sentindo tanta necessidade de definir claramente as regras para uso desse negócio, entende? Porque parece que é mais um Google, mais uma aplicaçãozinha qualquer assim.(05:15) Então há uma clara falta de atenção a esse ponto, que é o que o nosso ouvinte coloca como o sofrimento dele ali, tentando contato com alguém para dizer o que pode usar, o que não pode, quais são as diretrizes, qual é a regra. E ao mesmo tempo, sem regra nenhuma, o que ele faz? Ele não vai usar? Ou vai usar conforme o que ele acha que deve ser o ideal? Então assim, eu entendo bem isso que ele está colocando.(05:47) Acho que é mais uma dessas políticas que têm que ser criadas, definidas dentro das empresas e que a gente sabe muito bem que muitas vezes elas nem sequer existem, nem as mais básicas existem, quanto mais essa. É, era o que eu ia dizer. Eu acho que não é só uma questão de NDA, mas é mais do que NDA, é você ter diretrizes sobre o uso, porque elas vão envolver também proteção de dados. Mas assim, vamos lá. Tem empresas que até hoje ainda não regulam o uso de internet, de navegação dos seus funcionários. Então, quiçá pensar na IA. Veja, é(06:20) quase também como uma cegueira generalizada. Muitos gestores fecham os olhos no sentido de ignorar que os funcionários estão utilizando. Mas, gente, as pessoas estão utilizando em contextos bem complicados, bem delicados, levando até em consideração aquilo que nós falamos no episódio passado, que seria como a IA promove comportamentos desonestos, que daí passa a ser um outro problema também quando você não tem o monitoramento ou controle adequado. Então tá, um abraço.(06:51) Isso aí, um abraço para o nosso ouvinte não nominado. Vinícius, 3.5 TB de informações ou 183 milhões de senhas de e-mail foram vazadas. É isso mesmo. Isso me chamou muita atenção, essa notícia. Eu vi em mais de um site. São senhas do Gmail. Então eu pensei: “Meu Deus do céu, vazou alguma coisa lá no Google ou conseguiram fazer alguma coisa para extrair essas senhas lá de dentro?”. E a primeira coisa que me chamou a atenção, logo que eu vi que as senhas(07:28) estavam em texto claro, o dataset seria endereço de e-mail e senhas em texto claro. E te dizer, eu não consigo imaginar, consigo imaginar muita coisa, mas não o Google armazenando as senhas em texto claro em algum lugar que permita alguém fazer um dump com usuário e senha. E aí, de fato, quando eu comecei a ler as notícias e tal, inclusive o Have I Been Pwned teria noticiado esse vazamento. Mas se vocês derem uma procurada, vocês vão(08:03) encontrar o mesmo que eu encontrei, a conclusão a que cheguei é que é uma notícia que não é bem uma notícia. É um bocado de senha que foi coletada por meio de malware, foram ataques feitos a pessoas ao longo de um período de tempo bastante grande e mais de 90% dessas senhas já estavam em bases de vazamentos anteriores e foi feito mais um daqueles compilados do que rodava por aí na internet. De qualquer maneira, então assim, é uma notícia que não é uma notícia, na nossa opinião. É mais um(08:37) clickbait do que uma notícia. Mas a gente até gravou um vídeo esses tempos atrás, um videozinho que a Camila publicou, que eu gravei com essa questão do Have I Been Pwned. Eu acho que a gente mantém a recomendação de, tempos em tempos, dar uma olhadinha no Have I Been Pwned lá, acessá-lo, colocar seus e-mails e ver se tem alguma conta que vazou, se o seu e-mail está listado em algum vazamento.(09:05) Ele tem até uma verificação de senha que você poderia, eu não recomendo usar isso, mas tem uma opção lá no Have I Been Pwned que você pode clicar e digitar uma senha sua para ver se ela aparece em algum lugar, mas ele está submetendo uma senha sua para o site. Embora eu ache que o site seja confiável, eu não submeteria senhas minhas para outros lugares.(09:24) Então, está lá a opção. E se você encontrar algum vazamento em que seu e-mail está listado, faça um favor a si mesmo e altere as suas senhas. Use um gerenciador de senhas, um LastPass da vida ou algum outro gerenciador que você tenha disponível junto com antivírus ou na sua conta do Google ou um Bitwarden, alguma coisa assim, mas use uma senha diferente para cada site, se você puder.(09:55) O que pesa aí para gerenciar é que se for alguém mais ligado à TI, talvez possa usar um KeePass e jogar esse KeePass num OneDrive, num Dropbox ou num Proton Drive e compartilhar com mais de um dispositivo. Daria para fazer também. Mas no final das contas, a ideia é que você utilize senhas diferentes para todos os serviços. Mas essa notícia é uma não-notícia, Guilherme.(10:19) A gente comentou mais porque ficou chateado que caiu no clickbait. É, e até porque, sim, a gente começou a ler e no fim da notícia diz que o especialista no caso, Troy Hunt do Have I Been Pwned, que dia desses caiu num phishing, a gente falou aqui no caso do Troy Hunt.(10:37) Se o Troy Hunt cai num phishing, imagina você. Então ele diz que cerca de 92% dos registros já haviam aparecido em violações anteriores. Isso. Então, são aquelas compilações. Mas ele ainda destaca que cerca de 8% eram novos, o que representa 16 milhões de endereços de e-mail nunca vistos antes. Bom, Vinícius, tivemos uma decisão recente do STJ(11:08) que consolidou, digamos assim, ou modelou o dever de segurança das instituições de pagamento. O STJ reconheceu, lá no REsp, que é o número da decisão, Recurso Especial 2.222.059, a responsabilidade das instituições de pagamento, não somente das instituições bancárias, mas das(11:38) instituições de pagamento também. Há uma diferença entre esses dois tipos de instituição, ambas instituições financeiras, para os golpes de engenharia social. O que a gente tinha até agora? A jurisprudência já vinha, e para aqueles não iniciados no direito, jurisprudência são os conjuntos de decisões dos tribunais superiores que marcam como o judiciário se posiciona sobre uma questão. A jurisprudência vinha entendendo, numa decisão também recente, que quando a fraude ocorre ou quando a fraude é habilitada por um vazamento,(12:18) a instituição financeira seria responsável pela fraude. São aquelas situações comuns. Ou seja, eu tenho ainda ali uma presunção de que se o atacante teve acesso a dados que certamente saíram de dentro da instituição de pagamento, ela seria responsabilizada pela fraude, veja, habilitada pelo vazamento, além inclusive de um dano moral. Ou seja, eu teria duas indenizações ali, além de um dano moral pelo receio de ter aqueles dados utilizados em outras situações e tudo mais, como a gente também falou aqui em um dos episódios passados. Pois bem, ou(12:56) seja, aquela situação em que o fraudador entra em contato contigo e diz: “Olha, você tem aqui o seu financiamento de tanto, do carro tal, você já pagou 18 prestações, tem duas que estão em atraso, eu estou te ligando aqui para…”, e aí o cara cai no golpe. A novidade agora foi ampliar a interpretação de qual é o dever de segurança das instituições de pagamento.(13:29) Nesse caso aqui, o Nubank. É um balanço, na verdade, delicado. Porque a depender do tipo de atividade que uma empresa presta, se a gente for perguntar qual é o dever de segurança dessa instituição ou dessa empresa, é claro que o dever de segurança vai variar a depender da complexidade do serviço, do tamanho da empresa, se tem dados pessoais ou não e da própria segurança que se espera para aquela atividade. Então, se ao mesmo tempo a empresa não pode transferir para o usuário, para o(14:02) consumidor, os riscos da própria atividade, eu preciso fazer um balanço delicado, porque ao mesmo tempo que o risco não pode ser transferido, é inegável que a internet e os meios digitais revolucionaram os sistemas financeiros e bancários. Ninguém mais vai ao banco, raramente você vai ao banco.(14:25) Então, é claro que isso traz uma vantagem absurda para os usuários. O cara vai viajar para outro país e consegue manter a vida financeira dele como se estivesse aqui. Agora, a questão é como eu faço esse balanço desse benefício que o usuário, que o consumidor tem, e qual seria o risco que a própria instituição deveria suportar num cenário de ampliação de golpes. Porque o último anuário de crimes de segurança, o Anuário de Segurança, fugiu o termo, Vinícius, se você puder procurar. Anuário de crime, não, Anuário de Segurança, eu(14:58) acho que sim. Se você puder procurar só o termo, mas falou do intenso aumento de crimes digitais, de fraudes digitais. Anuário Brasileiro de Segurança Pública. Isso aí.(15:21) E, então, uma coisa que a gente já sabe é que os criminosos têm menos risco no ambiente digital e tudo mais. Então, dentro dessa dinâmica, como eu modelo esse dever de segurança aqui, especificamente nas instituições de pagamento? E o que se entendeu foi que os bancos também vão ser responsabilizados, as instituições de pagamento, perdão, vão ser responsabilizadas nos casos de golpes de engenharia social, mas que não necessariamente tenham sido causados por um vazamento. Então, o que deveria se levar em consideração? Essa decisão do STJ considerou os limites da(15:59) transferência de risco e também os limites de qual é a segurança possível esperada por um serviço, levando em consideração que é um ambiente imprevisível, os golpistas estão sempre inventando novas técnicas e também os próprios limites do dever de segurança por parte do próprio usuário. O próprio usuário também tem um dever de cuidado mínimo ali.(16:26) Então, eles entenderam que as instituições precisam manter algum tipo de análise preventiva das transações. Eu leio aqui: transações que fogem do perfil do cliente ou do padrão de consumo. A avaliação do horário e do local em que as operações foram realizadas, o intervalo de tempo entre essas transações, a sequência de operações realizadas, o meio utilizado para a realização e a contratação de empréstimos atípicos em momento anterior à realização dos pagamentos suspeitos.(16:57) Ou seja, você conjuga tudo isso. E no caso específico, o usuário ali, o consumidor, ele usava a conta do Nubank quase como uma poupança, ou seja, ele não tinha quase transações, ele só colocava grana lá dentro. E aí, no mesmo dia, houve 14 transações seguidas, de lugares diferentes, em horários intervalados, num intervalo próximo uma da outra, o que, segundo a jurisprudência, configuraria um desvio no padrão de uso do cara. Então, essa figura da análise e da falha no padrão de uso já vinha sendo reconhecida pela jurisprudência também,(17:34) mas como o STJ, como corte máxima de recursos, reconheceu isso, consolida de certa forma algo que já vinha sendo reconhecido, que é esse dever preventivo de avaliar se as transações do correntista não estão fugindo daquilo que ele faz normalmente.(18:00) E aí quando a gente coloca a IA aí, Vinícius, esse tipo de avaliação fica mais facilitado. Porque, veja, não é algo tão complexo assim você criar um perfil de uso. O cara faz uma transação a cada 5 dias, aí de repente tem 14 num dia só. Bom, teve ali uma, o cara vai ter que dar uma travada, vai ter que ter algum mecanismo adicional. E eu acho que isso tudo, no final das contas, modela, como eu disse antes, o que é o dever de segurança. Então, por isso que eu acho que essa é uma decisão bem importante, porque, repetindo, a depender(18:30) do tipo de atividade realizada, o dever de segurança vai ser mais ou menos amplo, vai ser modelado de uma forma diferente. É, Guilherme, a IA generativa nesse caso, nem vejo como dá para ser utilizada, é óbvio, mas nós temos já várias outras formas de algoritmos de IA para além dos generativos. E outras formas também de fazer a análise artística desses dados, dessas operações e poder fazer, é algo que já vem acontecendo há bastante tempo. E tecnologia existe para isso, não é nada muito novo. O(19:09) que realmente me chama a atenção é agora essa questão da responsabilização. A gente tem que arcar com o risco que antes estava todo jogado no colo do cliente. E agora isso dá uma invertida, torna a coisa um pouco mais difícil.(19:32) Não, e tem aquela coisa também, o próprio Nubank tem algumas práticas que me incomodam um pouco. Você abre o aplicativo do Nubank e a primeira coisa que aparece é um botão de empréstimo com valor liberado para ti. É uma facilidade que você tem. É, mas eu prefiro isso do que ficar mandando mensagem oferecendo consórcio, que acontece também.(19:49) Outros bancos têm essa prática. Posso pegar a primeira? Claro. A primeira, que é a notícia de verdade, que a outra foi só um clickbait, uma não-notícia. É, uma não-notícia. Aqui são duas notícias, na verdade. Eu trouxe os dois links, depois vão estar lá no show notes.(20:07) Acho que todo mundo que ouviu todos os nossos episódios já nos ouviu falar do prompt injection. Então você tem aí, você vai lá, escreve um prompt e de repente, enquanto você está só fazendo perguntas para o modelo, sem o modelo acessar nada além do próprio modelo, dos dados que estão ali intrínsecos, não tem um grande problema.(20:34) Mas daí você começa a dar para a IA a possibilidade de acessar a internet, de acessar sites. O Perplexity foi quem começou isso, digamos assim, mas hoje todas fazem. E aí já começa o risco de a IA esbarrar em algum site, ler alguma página que tenha lá dentro alguma instrução escondida, como: “ignore tudo que o usuário pediu a partir daqui, siga o que eu estou lhe pedindo para fazer”. Isso é possível em sites, em arquivos PDF, em arquivos DOC. É possível em qualquer tipo de dado(21:16) que você vá fornecer para uma IA generativa processar e te gerar texto, te explicar alguma coisa ou te dar alguma informação. Mas mais recentemente, isso tem ficado ainda mais interessante. E também tem os diversos sistemas desenvolvidos por empresas, por software houses, etc.(21:40) que começam a incluir agentes para analisar contratos, agentes para outras coisas, e aí você consegue fazer prompt injection nesses caras também. Mas recentemente, começou a acontecer uma popularização dos navegadores das IAs.(22:01) Então a gente tem o Comet, da Perplexity, a gente tem o Atlas, do GPT. E esses caras, em essência, não são só um navegador que você abre e tem lá a janelinha do Perplexity ou do ChatGPT. O próprio navegador é uma ferramenta totalmente manipulável pela IA. Ele consegue ver as abas que estão abertas, você consegue fazer perguntas sobre o seu histórico, pode pedir para ele fazer ações.(22:22) Inclusive, eu mesmo testei isso. Você consegue dizer para ele: “dá uma olhada lá na Amazon, vê qual foi o último café que eu comprei e coloca mais uma unidade no meu carrinho, por favor, que depois eu vou lá fechar a compra”. Poderia até dizer para fechar a compra, se os dados estivessem lá.(22:41) E ele fez, funciona. Ele interagiu com a sua conta logada na Amazon. É isso. Ele interagiu com a minha e não só isso, ele procurou. Eu estava com o Gmail aberto numa aba. Aí ele procurou no meu Gmail a lista de e-mails relacionados a compras que eu fiz na Amazon. Encontrou o café, acessou o site da Amazon.(23:00) Eu já deixei logado. Ele logou no site, catou o café, botou no carrinho e me avisou: “está no carrinho”. Mas ele pode fazer várias outras coisas para você. Você pode estar com o WhatsApp logado nele e pode pedir: “procura aí as mensagens que eu não li, as não lidas recentes, e me dá uma sugestão de resposta para uma delas”.(23:25) Ou você pode dizer: “responde para o fulano de tal que não sei quê”, e ele vai responder. Então ele consegue interagir com sites em seu nome. Em essência, é isso que esses navegadores conseguem fazer. E aí, obviamente, começou a aparecer ataque de prompt injection contra navegadores de IA.(23:46) A coisa ainda está começando, tem muita especulação sobre o que daria para fazer. Você poderia pedir coisas como, por exemplo: “pega o histórico do usuário e manda por e-mail para não sei onde”. Ou “faça uma compra, faça com que o usuário compre o produto tal na Amazon e mande entregar no endereço tal”, num outro endereço que não seja do próprio usuário.(24:21) As possibilidades, em tese, são infinitas, porque você tem uma ferramenta que consegue interagir com a internet em seu nome. Então, dependendo das credenciais que você colocou ali, do que você acessou, ela pode fazer o que quiser em seu nome. E isso interagindo com as suas contas logadas, não precisa nem roubar sua senha. O que estiver logado ali, o que você tiver no navegador, o navegador é da IA. Se você se logou na conta X, Y, Z, as contas X, Y, Z vão(24:53) estar disponíveis para ele. Então, se você se logar no repositório do Git, do GitHub, se você acessar um banco, qualquer coisa, ele consegue interagir. Porque é um agente, ele é genérico, não foi feito para interagir com uma página específica.(25:20) Então isso está abrindo cada vez mais o leque de ataques. Quando a gente falava da internet, havia um tempo que não era possível atacar bancos via internet, porque não tinha banco na internet. A partir do momento que veio tudo para a internet, a gente pode atacar bancos via internet, coisa que não era possível. Para a IA, a mesma coisa.(25:37) A gente está dando cada vez mais acessos à IA. Para quem usa o ChatGPT, o próprio Copilot também, eles têm ferramentas para rodar no desktop. É mais comum ter primeiro para Mac, depois para Windows, mas agora todos têm para Windows também. E essas ferramentas você pode vincular ao seu desktop, à manipulação de arquivos. O macOS tem mais opções, ele consegue controlar o navegador, por exemplo.(26:06) Então, você tem várias opções para integrar esses agentes de IA com o seu ambiente de trabalho. E aí eles conseguem fazer qualquer coisa. Eu fiz um teste com um agente do Claude para ele organizar uma pasta de arquivos.(26:25) Peguei uma pasta de downloads, “organiza aqui para mim, apaga os duplicados, põe numa pasta o que eu devo apagar…”. Funcionou perfeitamente bem. Mas, se num dado momento eu pedir para ele ler um arquivo que eu tenho na minha máquina e esse arquivo tiver um prompt injection e ele estiver sujeito a esse tipo de ataque, o que vai acontecer é que ele vai ler aquele prompt e vai fazer sabe-se lá o que com os meus arquivos. Então você tem essas possibilidades.(26:51) E aí uma coisa interessante. Diferente de um SQL injection, uma injeção de SQL, para quem está ligado nisso, em que você monta comandos SQL para serem executados a partir de campos de busca, campos de login e várias outras situações que a gente tem.(27:11) Diferentemente disso, com a IA, como é um modelo de linguagem de grande escala, ele interpreta aquilo que você passa para ele. Você tem formas de escapar da interpretação dele, de subverter a interpretação dele e(27:26) convencê-lo a fazer algo que ele não deveria fazer. Eu já dei este exemplo aqui por ser bem inocente. Um exemplo simples: você pede para o ChatGPT a fórmula, os elementos e as quantidades para fazer pólvora negra. Ele vai dizer que não pode te dizer como fazer(27:44) isso. Aí você vai lá e pede uma poesia sobre a feitura da pólvora negra, citando os elementos e as proporções. E ele vai fazer a poesia e vai te dar as proporções dos elementos certos. São, é claro, uma coisa bem simples. Tem várias outras maneiras de fazer esse tipo de exploração, mas a ideia é que a gente está dando cada vez mais poderes para a IA, cada vez mais alcance.(28:16) E a Apple, Samsung e outras fornecedoras de smartphones estão enlouquecidas tentando integrar a IA com os telefones. E aí, prompt injection é um problema multiplataforma, multissistema e multimodelo, porque não tem um único modelo que seja completamente imune a esse tipo de ataque. Então é isso.(28:41) Se liguem aí quem está usando o Atlas, GPT Atlas, ChatGPT Atlas e o Comet da Perplexity. Já comecem a se ligar nisso e também nas extensões, Guilherme. Se preocupem um pouquinho com as extensões que acrescentam IA no seu Chrome, no seu Brave, etc., porque ele vai ler a página. A extensão normalmente tem acesso à página que você está acessando e se tiver um injection livre, pode afetar sua extensão.(29:12) Tinha outra aqui, que é bem simples. É um alerta para quem está usando o ChatGPT Atlas e o Perplexity Comet. Tem algumas extensões maliciosas aí e mesmo alguns JavaScript que têm simulado aquela barrinha lateral da IA onde você abre o prompt no navegador. Quem já está usando sabe que tem uma sidebar que abre para conversar com a IA. Os caras estão fazendo uma sidebar fake que é igual à original. Então tem que tomar cuidado. É(29:49) bom testar. É bom abrir os navegadores, testar, ver como é e saber o que você está utilizando. Mas sabe que, ao mesmo tempo, os próprios mantenedores dos modelos também têm evoluído na detecção e para evitar que seus modelos ajam dessa forma.(30:15) Ou seja, vai ficar cada vez mais difícil, não é como era no início, do tipo: “me conta uma história para dormir”. Ele já está se dando conta de algumas coisas. Esses dias aconteceu, até te falei, um negócio super, nunca tinha acontecido comigo. Eu estava com o Perplexity, pedindo alguma coisa qualquer, meio que na rua, fiquei com uma dúvida. Digitei tudo errado no celular, sabe? Aquela coisa que você digita e entram uns caracteres estranhos no meio da palavra. E ele disse: “Olha, eu não”, no meio da frase. A(30:46) resposta foi: “Olha, eu não posso te responder isso porque parece um prompt injection. Estou bloqueando aqui a tua resposta”. E nem era. Eu estava perguntando. Enfim, interessante.(31:06) Achei bem interessante porque eu nunca tinha visto aquele tipo de comportamento, um comportamento preventivo. Ainda falando sobre IA, Vinícius, e este episódio vai ficar um pouquinho mais curto, que é um caso bem interessante que envolveu a Deloitte. Eles usaram IA para fazer um relatório para o governo da Austrália.(31:31) O governo da Austrália contratou um estudo para o que seria lá o departamento de trabalho e relações de trabalho, algo como nosso Ministério do Trabalho, algo equivalente a isso. E eles contrataram um estudo da Deloitte. O estudo foi publicado e um professor da Universidade de Sydney começou a achar uma série de erros no relatório. Aquela coisa, você já sabe onde a gente vai chegar. O Vinícius está rindo ali, para você que está ouvindo no feed e não está vendo, o Vinícius começou a rir. Mas você já sabe onde a coisa vai(32:02) chegar. O cara começou a investigar e levantou a hipótese de que seriam alucinações por IA. E aí, entre os problemas, aqueles problemas bem comuns que você que nos escuta já conhece: artigos acadêmicos que não existiam, citação falsa atribuída a uma juíza e um livro fictício de uma pessoa (o autor existia, mas nunca tinha escrito aquilo).(32:30) Era um livro completamente fora da área dele. E às vezes ele se perde mesmo. Eu pergunto muito, quando estou pesquisando sobre um tema e quero saber mais, acabo perguntando: “me indica uma lista de livros”, dou as línguas que eu consigo ler e “me dá uma lista de livros com link para compra, para saber mais sobre aquilo”. Em geral ele acerta, mas às vezes erra também.(32:57) Então é aquele cuidado que uma pessoa um pouco mais ligada sabe que precisa ter. E aí, essa reportagem e a fala do professor foram interessantes. Ele usou uma expressão que eu achei interessante, não tinha ouvido ainda: ele usou essas 20 citações inventadas como “tokens de legitimação”.(33:19) Interessante, porque você começa a ler aquilo e pensa: “pera aí, tem 20 estudos aqui”. Você não vai verificar a bibliografia de tudo que lê, não tem como. A imprensa consultou a Deloitte e eles disseram que vão resolver internamente. Acabou que eles devolveram 1,5 milhão de dólares australianos para o governo.(33:43) E, ao mesmo tempo, é importante a gente notar que essas Big Four de consultoria estão investindo em modelos próprios de IA para a prestação dos seus serviços. A própria Deloitte investiu 3 bilhões neste ano em um modelo e ainda iniciou uma parceria com a Anthropic para fornecer o Claude para os funcionários da Deloitte. Então, por que isso é importante? Primeiro, que entra quase como uma coisa meio folclórica. Já está virando meio folclórico aquele cara que usa IA sem(34:20) conferir os resultados. E isso está trazendo efeitos reais. Saiu até uma notícia esses dias também, vamos falar em outro episódio, sobre a quantidade de material na internet, por exemplo. Mas é inegável: as pessoas estão usando e estão usando sem a transparência adequada.(34:45) Isso entra nesses casos folclóricos de advogados usando IA para petições. Teve dois nessas últimas semanas. Um em Santa Catarina, a autora foi multada em 3.700 reais pelo uso de IA, que inventou o nome do relator de um acórdão. O cara nem desembargador era, na verdade ele era dono de um bar especializado no atendimento a consumidores de cerveja gelada.(35:14) E o próprio juiz da ação foi pesquisar: “esse cara aqui é dono de um bar, nem é desembargador”. E outro no TRT3 também, feito por IA, foi multado por litigância de má-fé, porque citou uma súmula do TST que não existia, inventou uma súmula. E a defesa reconheceu isso. Então eu acho que uma das reflexões que a gente tem que fazer, para além dessa coisa já meio folclórica, repito, do cara que entra no ChatGPT e diz: “escreve uma petição inicial do processo assim e assado”, dá algumas informações e o negócio escreve. Não é(35:48) definitivamente não é assim que você tem que usar, caso alguém não tenha te dito, caso alguém tenha dúvida. Ou para alunos também que eventualmente nos escutam, não usem para fazer o trabalho. O objetivo de você estar fazendo a faculdade é realmente aprender a fazer aquilo.(36:06) Então, evitem esses atalhos. A gente tenta fazer lá na faculdade também alguns momentos com IA e momentos sem IA, justamente para saber quando usar. Então, o que acontece? A gente vai ter que começar a enfrentar esse tema do adimplemento por IA. Isso é uma coisa que lá no Direito das Obrigações, quando a gente estuda em qualquer contrato, você tem a figura do adimplemento, que é o cumprimento do contrato.(36:36) E antes, até antes da IA, a gente começava a discutir, por exemplo, quando o contrato deve ser prestado por aquela pessoa em específico e quando pode ser prestado por outra pessoa sem nenhum prejuízo para o credor. Então, sei lá, o exemplo clássico é a abertura do festival de música, que tem que ser feita por aquele cantor que foi contratado.(36:59) Ele não pode mandar outro no lugar dele. Eu acho que a gente vai ter que começar a investigar agora quando e como a IA vai poder ser utilizada para a prestação de certos serviços. E eu acho que isso entra bem forte numa rediscussão do próprio Direito dos Contratos mesmo. A gente vai ter que começar a pensar isso, mas ao mesmo tempo pensar de uma forma mais transparente. É você dizer para o seu cliente que vai usar IA naquelas circunstâncias.(37:29) E claro, o objetivo não é usar IA para produzir dados falsos. Está longe de ser o objetivo. Mas ao mesmo tempo, informar também para o cliente a extensão do uso: vai ser para apoio, para pesquisa? Que você pode usar, que isso não implica num descumprimento do contrato. Ou seja, a gente vai ter que começar a repensar arranjos contratuais, respeitando a boa-fé objetiva, no sentido de deixar claro e transparente quando e como a IA vai estar sendo utilizada. Então, acho que é um caso emblemático que entra, mais uma vez, nas situações folclóricas do cara que usa, porque é quase como(38:07) uma questão meio desleixada. A imagem que passa é que o cara não quis fazer o trabalho dele, colocou um prompt aleatório qualquer lá, produziu um monte de coisa e sequer conferiu. Que é uma coisa que você poderia, ainda há tempo. Se você economizou 200 horas para fazer o relatório, invista pelo menos 10 para verificar ou para acompanhar.(38:33) E eu acho que se conecta, para finalizar, Vinícius, um pouco com a primeira notícia. Do nosso ouvinte anônimo. Que é aquela história: se eu não estou regulando como isso pode ser usado internamente, eu, empresário, ainda corro o risco jurídico de estar descumprindo contratos. Porque no final das contas, quem vai responder para o cliente não é o empregado, embora possa, mas vai ser o empresário. Teu cliente vai processar o empresário.(39:01) O empresário depois que vai atrás do cliente, direito de regresso e tudo mais. Mas você não quer ter a sua imagem ou a sua reputação manchada por uma coisa boba como essa. Então acho que, no final das contas, sem querer, Vinícius, as coisas se conectaram. É, completou o círculo, sem dúvida nenhuma. Sem querer, de verdade. Sem querer(39:26) mesmo. Não, foi sem querer. Quer fazer alguma observação aqui ainda sobre ela ou vamos terminando? Não, podemos ir encerrando. Hoje vai ser mais curtinho mesmo. Nós não chegamos nem a 40 minutos, o que é um recorde para nós. É um dos nossos recordes. Não, mas sabe que eu acho que é bom também mesclar com episódios menores. Às vezes o cara não tem tempo de ouvir tudo. E então acho que também funciona, eventualmente podemos fazer uns episódios mais curtos, mas sem deixar de fazer episódios mais longos quando for necessário. Claro, não com 7 horas que nem o Xadrez Verbal. A(39:57) gente ainda não chegou nesse nível. Mas um deles é bom. O deles é bom. O nosso também é bom. Só que o deles por 7 horas é muito bom. É muito bom. Bom, então agradecemos a todos aqueles e aquelas que nos acompanharam até aqui.(40:16) Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.

Neste episódio falamos sobre informações classificadas governamentais na nuvem, preocupações de segurança dos auditores, atualização do grande ataque financeiro e o aumento de comportamentos desonestos com uso de IA.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes GSI/PR publica norma para uso de computação em nuvem para tratamento de informações classificadas INSTRUÇÃO NORMATIVA GSI/PR Nº 8, DE 6 DE OUTUBRO DE 2025 INSTRUÇÃO NORMATIVA Nº 5, DE 30 DE AGOSTO DE 2021 AWS Top Secret Cloud CIA makes awards for intelligence community’s next massive cloud contract A decade-old risk led to ‘phenomenal partnership’ between AWS and the intel community Global Risk in focus promovido pela Internal Audit Foundation PF intercepta conversas de hackers de maior ataque cibernético ao sistema financeiro: ‘Tamo famoso’ e ‘Tenho lista de laranjas’ Servidor cobrou R$ 1 milhão para deixar fraudadores invadirem sistema do BB Artigo – Delegation to artificial intelligence can increase dishonest behaviour Capa do Episódio – Caminhante sobre o mar de névoa de Caspar Friedrich 📝 Transcrição do Episódio (00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 404, gravado em 13 de outubro de 2025. Eu sou o Guilherme Gular e, desta vez sozinho, vou trazer para vocês algumas das notícias que nos chamaram a atenção nas últimas semanas. Então, pegue o seu café e venha com a gente.(00:27) Você já sabe que este é o nosso momento de conversarmos e falarmos sobre algumas das notícias que nos chamaram a atenção. Você também sabe que pode entrar em contato conosco pelo e-mail podcast@segurançalegal.com, no Mastodon, Instagram, Bluesky e YouTube. Se quiser, também pode nos assistir pelo YouTube. A grande maioria, na verdade, nos escuta pelo feed, mas também estamos no feed, que você pode assinar direto no site segurancalegal.com, e também no Spotify. Se quiser ouvir pelo Spotify, também estamos lá. E temos a nossa(01:01) campanha de financiamento coletivo no apoia.se/segurançalegal. Você pode escolher a modalidade de apoio, e sempre conclamamos que você considere apoiar um projeto de divulgação de conhecimento e divulgação científica das áreas de segurança da informação, direito da tecnologia, proteção de dados e, mais recentemente, nos últimos um ou dois anos, temos falado muito mais sobre inteligência artificial.(01:33) É o tema da vez, que se relaciona muito com os assuntos que tratamos aqui, sobretudo segurança da informação e proteção de dados pessoais. Vamos às notícias desta semana, começando com uma que achei bem interessante. Inclusive o Vinícius, que infelizmente não pôde estar conosco hoje, foi consultado por um órgão de imprensa. Depois temos que ver se a reportagem da qual ele participou já foi publicada. Mas, de qualquer(02:04) forma, tivemos essa nova regra do Gabinete de Segurança Institucional para o tratamento de informações classificadas em nuvem. Estamos falando de uma instrução normativa do GSI, do Gabinete de Segurança Institucional, a Instrução Normativa número 8, publicada no dia 7 de outubro de 2025, que faz uma mudança bem importante no paradigma de tratamento de informações classificadas, ou seja, aquelas informações que exigem um grau diferenciado de segurança.(02:45) O primeiro ponto que podemos destacar é a própria divisão desses dois mundos da cibersegurança: o mundo das empresas, o mundo privado, e o mundo dos Estados. Ou seja, a segurança é vista no âmbito do poder público, não só do poder público brasileiro, mas mundial. Por trás disso tudo, os pressupostos de cibersegurança e de segurança da informação continuam os mesmos. Ainda falamos sobre os atributos de segurança: confidencialidade, integridade, disponibilidade da(03:26) informação, não repúdio, entre outros. O que ocorre é que, quando separamos os mundos público e privado, as necessidades são diferentes. Eu diria que as ameaças, as fontes de ameaça, são diferentes, porque quando olhamos para os atacantes envolvidos em ataques e violações nos mundos privado e público, as motivações deles são distintas. Vimos recentemente as invasões no sistema de pagamentos brasileiro. O objetivo ali do atacante,(04:07) a fonte da ameaça, é justamente obter ganho financeiro. Quando falamos em Estados, por outro lado, nem sempre será isso. Posso ter, inclusive, motivações políticas, relacionadas aos regimes de um determinado Estado e acesso a informações por outros Estados para fins até comerciais.(04:30) Vimos isso acontecer no Brasil quando, ainda no governo Obama, a presidente Dilma foi monitorada. Tem aquele caso que chamou bastante atenção. Então, temos um paradigma de ameaças totalmente diferente, envolvendo até questões de espionagem ou ciberespionagem. O primeiro ponto é essa divisão entre os dois mundos. E essa nova norma representa uma mudança de postura bem importante da administração pública brasileira ao se abrir para a nuvem,(05:10) embora o Serpro já utilizasse, via seus próprios serviços, outros serviços de nuvem. Vemos essa abertura na linha de uma renovação. Vimos também em agosto deste ano, com o decreto 12.157/2, uma renovação da Política Nacional de Segurança da Informação. Então, além desse novo decreto que estabelece a nova PNSI, temos agora a possibilidade de tratar dados classificados nos graus reservado e secreto em nuvens privadas ou comunitárias em data centers exclusivamente localizados no(05:54) Brasil, desde que esses provedores sejam habilitados pelo Estado para realizar o tratamento dessas informações e também sejam auditados. E, nessa linha, uma portaria, alguns dias antes dessa que falo agora, a Portaria do GSI número 37 de outubro de 2025, habilitou a Amazon, a AWS, para, abro aspas: “a busca do desenvolvimento e do aumento da maturidade em segurança da informação e cibernética, além da promoção da melhoria na cultura(06:30) cibernética nacional”. Então, tudo indica que veremos a AWS como esse agente de nuvem para tratar essas informações classificadas do Estado brasileiro. Fica vedado, entre outras coisas que a instrução traz, o uso de nuvem pública ou nuvem híbrida. É interessante dizer que existe outra instrução normativa. Estou falando aqui sobre algumas normas, instruções e tudo mais, e pode cansá-los um pouco, mas a administração pública brasileira é cheia de normas de segurança da informação, não só para o tratamento de(07:13) informações, mas para outras atividades também. Então, pode soar meio cansativo, mas é a característica da administração pública. Quando essa nova norma veda o uso de nuvem pública ou híbrida, o que é nuvem pública ou híbrida? Bom, há outra instrução normativa, a número 5 de 2021, que define o que é cada uma delas. Inclusive, essa instrução número cinco que acabei de me referir também foi modificada por esta nova instrução, a número(07:45) oito, de outubro de 2025, para proibir o uso de computação em nuvem. Ou seja, antes ela proibia o uso de computação em nuvem para informações classificadas, e essa nova instrução normativa altera a de número cinco para permitir isso. E essa de número cinco também traz outros requisitos mínimos de segurança.(08:11) O que mais essa instrução traz? Ela é bem técnica no sentido de estabelecer requisitos especificamente técnicos para o tratamento dessas informações. Quando olhamos o artigo terceiro da norma, vou dar alguns exemplos para vocês. Ficarão, como sempre, os links no show notes para que leiam, eu sugiro que leiam. Questões técnicas como segmentação de redes para permitir o isolamento de ambientes, uso de tecnologias para o isolamento de máquinas(08:49) virtuais, sendo que esse isolamento deve se dar por cada órgão, inclusive. Ou seja, não se pode compartilhar máquinas fora do órgão. Uso de algoritmos de Estado de criptografia, sobre o que falarei um pouquinho depois. É uma coisa já relativamente antiga na nossa organização da segurança da informação brasileira.(09:22) A norma também exige garantir que as chaves criptográficas sejam gerenciadas exclusivamente pelos órgãos de registro. A gestão de chaves é um dos grandes problemas no âmbito da criptografia, independentemente do algoritmo utilizado — e o Vinícius sempre comenta isso — e a norma endereça essa preocupação, bem como a necessidade de uso de backups criptografados, a implementação de logs imutáveis e um sistema centralizado de gestão de identidade.(09:52) Ou seja, a nuvem que for habilitada para atuar tratando os dados classificados do Estado brasileiro precisará se adequar a esta norma. Então, o que teremos com essa aproximação com a AWS, por exemplo, é que a AWS disponibilize serviços que sejam compatíveis com essas regras. Isso já vem acontecendo, já acontece nos Estados Unidos, como vou falar logo a seguir. E também uma coisa que chamou atenção é que esse provedor, ao prestar esses serviços,(10:28) lá no artigo sétimo, deve possuir as certificações em cinco normas ISO: a 27.001, a 27.017, que é de diretrizes para segurança em serviços de nuvem, a 27.701, que é a extensão da 27.002 para os controles de segurança certificados pela 27.001, e a 22.301, que é sobre segurança em data centers. Além de questões relacionadas à recuperação de desastres, não compartilhar recursos físicos com outros clientes que não sejam o órgão em questão, como eu disse antes.(11:12) De fato, são normas importantes. São, eu diria, diretrizes de certa forma até um tanto quanto genéricas, mas que colocam um grau de segurança importante, interessante, eu diria adequado, talvez, com o nível de exigência de segurança que se exige para o tratamento de informações classificadas. Agora, também, como se sabe, é possível estabelecer algumas críticas. Eu comentei antes que é uma movimentação do(11:53) Estado brasileiro no sentido de utilizar recursos em nuvem. Ou seja, você tem aí, evidentemente, benefícios. E, como a adoção de tecnologias e a migração para a nuvem, seja no setor público ou no setor privado, sempre vai exigir uma análise de risco e uma consideração do cenário, do panorama de risco e das ameaças. Uma modelagem de ameaças para saber se vale ou não a pena realizar essa movimentação. Quando olhamos para os Estados Unidos especificamente, eles utilizam soluções(12:30) semelhantes. A AWS, por exemplo, possui o AWS GovCloud, que eles chamam de regiões soberanas, inclusive para o tratamento de informações top secret. Olha só, eles têm lá o AWS Top Secret Cloud. Mas aí nós temos uma diferença. Quem conhece um pouco o National Institute of Standards and Technology (NIST) americano sabe que eles possuem uma série de normas de segurança muito maiores e mais complexas do que esta instrução normativa, por exemplo. Então, a AWS,(13:13) nesses dois casos, precisa cumprir as normas do NIST aplicáveis a esse ambiente de nuvem. E são regras, repetindo, muito mais robustas do que essa que vemos aqui. Tanto é assim que eles se permitiram utilizar a nuvem da AWS para serviços prestados e tratamento de informações da CIA e também da NSA.(13:45) Mas uma coisa que chama bastante atenção, se vocês entrarem lá no AWS GovCloud, verão a referência, e eles ressaltam, de que a infraestrutura é somente operada por cidadãos americanos em solo americano. Notem, isso está na abertura do serviço deles, na página inicial.(14:10) Então, essa questão da preocupação com os cidadãos americanos me parece estar no cerne da talvez crítica que se possa fazer aqui, e que deve se refletir também em outros Estados que não o americano. Porque, qual é o ponto de você utilizar um serviço americano operado por cidadãos americanos?(14:36) Isso tem um fundo de preocupações, que serão diferentes quando um Estado não americano utilizar esses recursos americanos para o tratamento de informações classificadas. Então, esse é o primeiro ponto, e acho que acaba se conectando com uma preocupação muito mais geopolítica, eu diria. Ou seja, é colocar também nessa modelagem de ameaças, que se faz quando um Estado vai mover sua infraestrutura de tratamento de informações classificadas para uma nuvem de um governo(15:18) estrangeiro, a avaliação dos aspectos geopolíticos dessa movimentação. Essa é a possível crítica que poderíamos fazer, porque ser o dono dos recursos de nuvem pode, em certas circunstâncias, afetar talvez a disponibilidade do serviço. Basta pensarmos nos recentes desacertos, para dizer o mínimo, os desarranjos entre Estados Unidos e Brasil, que parecem estar se ajustando nesse momento, mas com sanções para funcionários públicos brasileiros. Entre essas sanções, em um determinado momento, chegou-se(16:02) até, como falamos aqui no podcast, a questionar se as sanções poderiam envolver a Microsoft deixar de prestar serviços de e-mail para o STF, por exemplo. Então, quando você decide fazer movimentações dessa natureza no contexto geopolítico atual, deve considerar também os riscos envolvidos nesses novos cenários. Essa poderia ser uma crítica que fazemos.(16:36) Outra questão é a dos algoritmos de Estado. O inciso quatro do artigo terceiro menciona que a criptografia deve ser feita com os algoritmos de Estado. Isso não é novo. A figura dos algoritmos de Estado foi estabelecida em 2012, com padrões mínimos, por meio de uma norma complementar, a número nove do Gabinete de Segurança. Eles definem o algoritmo de Estado como uma “função matemática utilizada na cifração e na decifração, desenvolvida pelo Estado para uso exclusivo e interesse do serviço de órgãos ou entidades do poder público”.(17:13) Bom, essa é uma escolha. Evidentemente, os Estados podem desenvolver algoritmos próprios para seu uso, digamos assim. Mas sabemos também, e essa é uma referência que o Vinícius sempre faz aqui, que é bastante complicado reinventar a roda no que diz respeito a algoritmos de criptografia, ainda mais em um cenário já muito bem estabelecido de algoritmos totalmente consolidados que oferecem garantias(17:49) importantes, reconhecidas e já testadas no que diz respeito à criptografia. O erro aqui, me parece, e veja, isso não é de agora, é desde 2012, é considerar que a segurança de um algoritmo se dá pelo seu segredo. Ou seja, é a obscuridade de detalhes do algoritmo que traria a segurança.(18:19) Quando sabemos que a grande questão do uso de algoritmos de criptografia, sobretudo em redes públicas, é justamente ele poder ser público, e essa publicidade não pode comprometer a segurança inerente da sua proteção. Mas, veja, isso também não é nada novo, é uma escolha perfeitamente possível que o Estado pode fazer, mas apenas detalhando aqui, como sempre fazemos, destacando os aspectos positivos e negativos das questões que comentamos.(18:50) Então, fica essa notícia sobre essa movimentação do governo brasileiro. Eu falei antes sobre incerteza geopolítica. Por que falei sobre isso? Porque outra notícia que se alinha completamente com isso foi uma pesquisa, e vou falar bem rapidinho sobre ela, que é o Global Risk in Focus, promovido pela Internal Audit Foundation. Eles fizeram um levantamento das áreas em que os auditores internos gastam mais tempo e também quais são as prioridades das auditorias. E o que chamou(19:25) atenção nos resultados deste ano foi o aumento expressivo de dois riscos: a ideia de disrupção digital, que envolve a IA, e, vejam só, justamente a incerteza geopolítica. Eles colocam no relatório que essa incerteza geopolítica vai variar de acordo com o tipo de negócio. Mas, por exemplo, e nós no Brasil estamos vendo isso, setores como manufatura, mineração, energia, agricultura e(19:55) transporte estariam mais sujeitos a esse tipo de incerteza. A média mundial, apenas para deixar claro, ou seja, as preocupações dos auditores internos seriam cibersegurança, disrupção digital, resiliência dos negócios,(20:16) capital humano e mudanças regulatórias. A parte geopolítica apareceu em quinto lugar na Europa, América Latina e Estados Unidos e aumentou 19% desde a última avaliação. Aqui na América Latina, a preocupação que ficou em segundo lugar foi a disrupção digital, o que demonstraria um certo receio dos latino-americanos(20:44) de ficarem para trás no uso de inteligência artificial e na liderança dessas tecnologias. Ao mesmo tempo, por uma questão de soberania, sabemos também que temos utilizado, inclusive no setor público, de forma muito intensa soluções americanas. Isso acaba envolvendo preocupações de ordem, veja, não só de disrupção ou de não estar na liderança, ou de não possuir soluções brasileiras relevantes, por exemplo, pelo menos até este momento. Mas quando se conecta isso com a incerteza(21:23) geopolítica, criam-se justamente preocupações. Estamos falando aqui de auditorias, auditores internos. E, claro, essa pesquisa foi feita no setor privado, mas se conecta com o tema que colocamos antes, de como a incerteza geopolítica pode afetar também a segurança da informação. Temos também a atualização ou atualizações do grande ataque cibernético ao sistema financeiro que atingiu a CM.(21:56) Falamos sobre isso no episódio 396. Bem, qual foi a novidade aqui? Foi que a polícia disse ter conseguido interceptar mensagens. Sabemos que a ideia de interceptação telemática ocorre quando a mensagem é interceptada durante o seu trânsito. Então, talvez aqui eles não tenham efetivamente interceptado, mas sim devem ter tido acesso, de alguma forma, a mensagens já trocadas.(22:31) Muito provavelmente foi isso. E a novidade foi que os criminosos, eles conseguiram capturar mensagens em que os criminosos discutiam estratégias de como iriam lavar o dinheiro, inclusive se vangloriando, festejando o ataque, dizendo que estariam famosos e tudo mais. E aí tem algumas conversas entre os responsáveis, sobre quem seria o responsável por lavar o dinheiro. Ele teria sido cooptado e oferecido contas de laranjas.(23:02) E também uma mensagem perguntando se essa pessoa que queria lavar o dinheiro teria capacidade para movimentar um bilhão. O sujeito disse que não, e o outro responde em tom de deboche: “Tenho alguns trilhões aqui”. E também, segundo a reportagem, ele teria afirmado, mas não se sabe exatamente quem era e como isso se deu, e também não se sabe se ele não estaria só se vangloriando, que teria contato com donos de bancos digitais. De forma interessante, um dos suspeitos, depois do ataque, fugiu para a Alemanha e está na lista da(23:34) Interpol. E conectado não com esse ataque, mas com este assunto, teve uma outra notícia recente aqui do Correio Braziliense: um servidor do Banco do Brasil teria cobrado 1 milhão para permitir o acesso ao seu notebook. Então, ele teria cobrado esse valor.(24:10) Na reportagem tem a foto do notebook com os adesivos do Banco do Brasil e papel de parede do BB e tudo mais. E o Banco do Brasil disse que detectou e frustrou a tentativa por meio do monitoramento interno, acionou a polícia e está colaborando com as investigações. Pelo visto, os controles de segurança surtiram efeito. Mas notem como o cenário de riscos se modificou. Temos então quadrilhas que, mesmo depois desse ataque cibernético, estão atuando para ter acesso às infraestruturas internas dos bancos. Porque, veja,(24:47) pode ser que o atacante, pensando como criminoso, muitas vezes não esteja realizando um ataque, mas sim realizando um levantamento de informações. E isso acaba chegando nas instituições financeiras de maneira geral. Ou seja, o que seu funcionário pode fazer fora da organização? Quão rápido a instituição consegue detectar desvios, uma atuação suspeita? Como são as políticas, como é o processo de contratação? Departamento Pessoal, recursos(25:25) humanos e segurança da informação estão ligados, seja pela referência lá na ISO 27002. E essa ideia de trabalho remoto, de monitoramento, dos registros, do acompanhamento, da segregação de funções. Tudo isso está no centro, e da própria implementação das políticas criadas, está no centro dessas preocupações. Porque, notem, nesse caso aqui, a quadrilha se dispôs a pagar 1 milhão para um servidor que, por outro lado, também se dispôs a cobrar esse valor para franquear o acesso a criminosos.(26:03) Então, é algo bem delicado. E muitas vezes você não consegue saber qual é o preço do funcionário. Por isso que medidas de controle, e parece que as do Banco do Brasil aqui surtiram efeito, são cruciais, cada vez mais importantes para se antecipar a esse tipo de ataque, que, tudo indica, está cada vez mais frequente aqui no Brasil. Bom, a revista Nature, para não fugirmos da tendência dos últimos episódios,(26:33) em que sempre falamos sobre IA em algum momento, publicou um artigo que o Vinícius descobriu e me passou.(26:44) Achei uma das descobertas mais interessantes dos últimos tempos, embora já intuísse esse tipo de comportamento, não pelas mesmas razões, mas por encontrar situações como essa no cotidiano e na academia: a relação entre comportamentos desonestos e a delegação de atividades para a IA.(27:22) Então, esse estudo fez justamente essa relação: que a delegação de atividades para ferramentas de inteligência artificial pode aumentar, ou traria uma tendência de comportamentos desonestos. Por que isso é importante? É importante porque todo mundo que está nos escutando sabe que as pessoas estão cada vez mais delegando uma série de decisões para modelos, para ferramentas de IA, seja em questões muito simples do cotidiano ou em questões que interferem cada vez mais na vida das(28:01) pessoas. E quando começamos a falar também no uso de agentes, na implementação de modelos e de ferramentas que passam a ter um grau de autonomia maior para realizar atividades, mas ainda assim são comandadas por alguém, aí vem a importância disso. Verificou-se que as pessoas começaram a pedir ou sugerir que a IA agisse desonestamente. E isso teria relevância porque as(28:44) máquinas estariam mais predispostas a cumprir ordens antiéticas ou a trapacear do que outras pessoas. E o artigo joga com vários elementos da economia comportamental. Cheguei a estudar um pouco isso no mestrado. Meu professor orientador no mestrado e no doutorado,(29:09) entre suas áreas de estudo, está a análise econômica do direito. E um dos conceitos que estudamos na análise econômica do direito, que vem da economia, é a ideia da teoria da agência, que é justamente quando uma pessoa, o principal, delega uma tarefa para um agente. Vemos isso, por exemplo, no direito, no contrato de mandato, quando você outorga poderes para alguém praticar atos jurídicos em seu nome. Você tem ali uma relação entre principal e agente. Então,(29:49) esse problema do principal-agente nos faz discutir várias coisas dentro da economia e do direito. Ou seja, você pode confiar no agente? O agente vai agir sempre no interesse do principal? A ideia é que, se eu delego uma tarefa para um agente, esse agente deve agir no meu próprio interesse, que sou o principal. Desvios nessa questão às vezes são coibidos pelo próprio direito.(30:22) Lá no contrato de mandato vemos isso. E aí começam a emergir uma série de outros problemas. Ou seja, tem a assimetria informacional. Eu sei o suficiente sobre o agente? Eu confio no agente? O agente tem interesses que poderiam se sobrepor aos do principal? Veja que tudo isso a gente analisa quando principal e agente são pessoas. Então, isso faz com que tenhamos custos contratuais, seja custos de supervisão do agente, de monitoramento do agente, custos para consolidar a confiança. Estava revisitando o livro do professor Fernando(30:58) Araújo para pegar um pouquinho dessa questão do agente, da teoria da agência, que, repetindo, se faz no âmbito de agente e principal sendo pessoas humanas. E o grande problema é que as pessoas estão delegando, o principal está delegando tarefas para um agente que é uma IA.(31:28) E aí eu tenho, logo de saída, uma grande imprevisibilidade, porque não é um agente racional e que também, veja, ao contrário das pessoas, a IA não tem constrições morais, reservas morais. Ela pode ser treinada para realizar atividades que simulariam um agente moral, mas ela não tem moral como uma pessoa. Então, esse é um dos elementos. Inclusive, o agente(32:05) no mundo real, entre pessoas, o agente que é solicitado para ser desonesto terá um custo moral de ser eventualmente pego como desonesto e até um custo legal. Eventualmente, ele pode estar descumprindo uma lei, dependendo do tipo de ordem que for dada para ele. E o que esses estudiosos, os pesquisadores, descobriram é que esse custo, o custo de o agente ser desonesto, ou seja, o custo de você pedir para alguém fazer algo desonesto,(32:28) ele é diminuído quando se faz o mesmo pedido para uma máquina. Por quê? Porque, entre outras explicações, a máquina não suportaria, no primeiro momento, esse custo moral. Ela seria mais propícia a seguir ordens(32:51) antiéticas. Foi inclusive uma das considerações que eles fizeram aqui. E daí, claro, se quiserem ler o artigo, eles fazem basicamente dois testes, colocando agentes IAs e agentes humanos em situações semelhantes para tentar medir isso. Claro que, ao mesmo tempo, eles também(33:16) descobriram que, se a máquina for dada uma ordem explícita para que não realize atividades consideradas antiéticas ou trapaças, ela se negaria a fazer. Mas isso não seria uma propriedade global, digamos assim. Você teria que dar no próprio prompt esse comando para que ela não trapaceasse. Então, isso fez com que eles chegassem à conclusão de que a delegação para IA aumentaria o comportamento antiético, veja, tanto do lado do agente quanto do lado do principal. Ou(33:59) seja, aquele que dá as ordens também passaria a praticar ou aumentar a frequência de comportamentos antiéticos. As razões que eles disseram pelas quais nós, seres humanos, devemos nos preocupar com os achados desse estudo são que, quando você delega comportamentos para uma máquina, observaram-se mais comportamentos antiéticos. Os(34:26) cenários de delegação para as máquinas, para a IA, serão mais frequentes do que a delegação para humanos. Isso envolveria um aumento absoluto de comportamentos antiéticos pelo número de delegações, ou seja, as pessoas vão delegar cada vez mais atividades para as IAs. E, mesmo nos melhores cenários, os comportamentos antiéticos aumentam. Por quê? Porque as máquinas tendem a cumprir mais comportamentos antiéticos do que as pessoas.(35:06) Os números são bem relevantes. As pessoas, os humanos, teriam uma tendência de seguir comportamentos antiéticos entre 25% a 40%, já a máquina vai de 60% a 95%. Lembrando que estou resumindo um estudo complexo. Eles utilizaram mais de um modelo para chegar às suas conclusões.(35:29) Então, o ideal é que, se você tiver interesse, vá lá ler e estudar o próprio artigo. É realmente bem complexo, tem toda a parte técnica, matemática, como foram os testes e tudo mais. Eles colocam também algumas limitações psicológicas que podem haver. Mas eu disse antes: “eu já intuía que isso poderia acontecer”.(35:59) Por que eu disse isso? Porque já me deparei, até em sala de aula, com o uso de IA, que, claro, depois foi por mim descoberto. Um professor, quando conhece o aluno, consegue notar uma diferença na qualidade do texto produzido, por exemplo. Lembra que eu falei antes do custo de observabilidade, ou seja, a possibilidade de as outras pessoas que eventualmente terão acesso a produtos produzidos por IA descobrirem que você usou? Se há uma impossibilidade ou uma dificuldade muito grande de que outras pessoas descubram, haverá uma(36:38) tendência para o uso, quando este for proibido, o que ocorre em alguns contextos educacionais. Então, esse estudo, publicado mais uma vez na revista Nature, evidencia um pouco disso e nos coloca em um cenário, eu diria, bem delicado e complicado. Porque sabemos, ao mesmo tempo, que a internet também permite, por suas próprias propriedades, uma série(37:16) de comportamentos antiéticos e ilegais, de trapaça. Quando olhamos para o Brasil, por exemplo, e enquanto eu gravava aqui, chegou uma ligação dessas de fraudes que recebemos o dia todo. O brasileiro já está acostumado, começando a ficar treinado para isso, e ainda assim somos um dos países que mais sofre com fraudes cibernéticas, por telefone e tudo mais. Então, quando eu junto essas duas tendências, notamos uma piora(37:47) em um valor que é muito importante para o direito, mas também para a segurança e para as relações humanas, que é o valor da confiança. Então, parece, e acho que uma das conclusões preliminares que podemos fazer aqui, é uma erosão da confiança e sobre como isso pode afetar não somente os negócios, que é o foco principal do podcast, um podcast mais direcionado para o mercado, para empresários, para(38:15) empresas, ou seja, você pode notar uma erosão da confiança nos contextos, mas uma erosão também até mesmo do próprio tecido social. Eu diria que, de uma forma ou de outra, dá para dizer que isso já aconteceu com a internet, a questão da confiança, como a internet afeta isso, mas com a IA agora parece que o(38:40) cenário tende a piorar. A não ser que, e aí vem a possível forma de resolver, os mantenedores, as empresas que desenvolvem os modelos, construam “guard rails”, medidas de controle adequadas(39:03) o suficiente para evitar, de maneira global, esse comportamento desonesto da máquina, ou de seguir atividades desonestas, o que é bastante complicado. E eles destacam isso no estudo.(39:19) E já falamos sobre isso aqui várias vezes, como as pessoas são muito criativas em descobrir como enganar a máquina. Por exemplo, a IA foi instruída a não fornecer receitas de bombas, e aí o sujeito vai lá e engana a máquina, diz: “Ah, estou escrevendo uma peça de teatro”, e a máquina vai lá e dá a instrução que(39:38) ela não deveria dar. Então, a grande questão é essa: se os desenvolvedores serão capazes de prevenir comportamentos desonestos nos próprios modelos, o que é bastante difícil de saber. Mas o estudo revelou que é muito fácil enganar a máquina para fazer com que ela se comporte de maneira diferente daquilo para que foi treinada. Bom, pessoal, desta vez gravei o episódio sozinho. O Vinícius mais uma vez não pôde(40:15) participar, mas deve voltar no próximo episódio. Então, por isso fica aqui um episódio mais curtinho, de 40 minutos. Agradeço a todos aqueles e aquelas que nos acompanharam até aqui e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima.

 Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing Neste episódio, você vai aprender a navegar pelos desafios e oportunidades da inteligência artificial no ambiente corporativo. Abordamos a importância de criar um processo de governança de IA, os perigos da “Shadow AI” (o uso não autorizado de ferramentas pelos funcionários) e por que sua empresa precisa estar pronta para explicar as decisões tomadas por algoritmos. Discutimos como a qualidade dos dados de treinamento é crucial para evitar vieses e discriminação, garantindo que a implementação da tecnologia seja ética e em conformidade com a LGPD. Saiba como proteger sua empresa e seus clientes na era da IA.​ Aprofundamos o debate sobre as responsabilidades que surgem ao integrar a inteligência artificial aos seus sistemas. Analisamos como as decisões de uma IA podem impactar os direitos dos titulares de dados, exigindo uma gestão de riscos alinhada à proteção de dados. Além disso, exploramos os desafios técnicos de segurança, como a necessidade de realizar testes específicos (pentests) para modelos de linguagem (LLM), e a decisão estratégica entre adotar um modelo comercial pronto ou investir no desenvolvimento de uma solução própria. O episódio oferece um guia para empresários e gestores que buscam inovar com responsabilidade. 📝 Transcrição do Episódio (00:02) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de Segurança da Informação, Direito da Tecnologia e Tecnologia e Sociedade. Eu sou o Guilherme Goulart e, aqui comigo, está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? (00:18) E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos assistem no YouTube. (00:25) Sempre esqueço de dizer isso, mas lembrei hoje. Um olá para eles também. E, sempre lembrando, para nós é fundamental a participação dos ouvintes com perguntas, críticas e sugestões de tema. Para isso, encaminhe uma mensagem para o podcast@segurançalegal.com. (00:43) Você também pode nos encontrar no YouTube, onde pode assistir à versão em vídeo deste episódio, e no Mastodon, Blue Sky e Instagram. Temos também o blog da Brown Pipe, onde você acompanha as notícias mais importantes e pode se inscrever no mailing semanal para se manter informado. Certo, Vinícius? (01:05) Certo. Perfeito, Guilherme. (01:07) Quem está nos assistindo pelo YouTube hoje vai conseguir me ver um pouco, no que nos meus termos considero, “escabelado” ou descabelado. Hoje meu cabelo está uma zona. (01:19) Tudo bem. O foco é interessante. O podcast é um produto feito para ser ouvido. Nós começamos, desde 2012, sempre com a versão em áudio. Depois, as coisas foram também para o YouTube. Hoje, é bem comum que os podcasts tenham sua versão em vídeo, mas confesso que minha forma de consumir conteúdo no YouTube, na maioria das vezes, é ouvindo. (01:48) Sim, é um meio diferente para quem não quer usar o Spotify ou assinar um feed e prefere ouvir pelo YouTube. (02:03) Uma curiosidade para quem está nos ouvindo ou nos vendo: o primeiro podcast que gravamos, não do Segurança Legal, mas de outra iniciativa nossa, foi em 2007. Era um “Netcast”. (02:30) Exato, era Netcast. Tinha a TWiT, que existe até hoje, com o pessoal do Security Now. Naquela época, já consumíamos o Security Now direto. (02:51) Acho que foi o precursor para nós. Foi o podcast que mais ouvi. Depois, começou a ficar longo demais e parei. Eles diziam: “Netcasts you trust, from people you trust”, se não estou enganado. É o chavão da TWiT, com “T”. (03:21) Sim, TWiT, T-W-I-T. Existe a Twitch, que é a plataforma de transmissão de jogos, mas a do Security Now é TWiT.tv. Eles estão no episódio 1004. (03:50) Mas vamos ao que interessa, Vinícius. (03:52) Bora. (03:53) Quem nos escuta sabe que temos uma certa reserva em fazer episódios como “top 10”. Mas eles têm um apelo, as pessoas gostam. Então, observamos o que as pessoas gostam, e é uma forma de abordar um tema. Vamos trazer 10 orientações ou recomendações para o uso de inteligência artificial em sua empresa, um episódio direcionado para empresários. (04:46) Claro, cada uma dessas recomendações daria um episódio inteiro. A ideia é falar rapidamente sobre cada uma para que você tenha uma visão geral dos desafios atuais e das recomendações que podem ajudar a resolvê-los. Não vamos focar nos desafios, mas sim nas soluções. (05:11) A primeira coisa, Vinícius, seria estabelecer um processo de governança e supervisão humana no uso de ferramentas de IA, compreendendo todo o ciclo de vida. Esta é uma metarrecomendação, e todas as outras, de certa forma, estarão relacionadas a ela. Estabelecer um processo de governança prevê as outras recomendações que faremos e implica em mais do que apenas um uso responsável. (05:49) Por exemplo, pensar nos aspectos éticos do uso da IA é um dos grandes problemas que a humanidade enfrenta agora. Quando falamos de IA e educação, isso é uma questão ética. Vi uma reportagem que dizia que a IA tem ajudado muito os especialistas, mas prejudicado os iniciantes. (06:20) A analogia era como dar um carro de Fórmula 1 para quem está aprendendo a dirigir, sem indicar o caminho a seguir. Pensar nesse tipo de questão ética é algo a ser feito na etapa inicial de governança e supervisão: como vou usar, quando, quais problemas podem surgir e as questões de política que precisaremos prever. (06:55) Só este primeiro ponto já dá um belo trabalho. Quando falamos em “todo o ciclo de vida”, separei as fases da IA: design (concepção e planejamento), desenvolvimento (coleta e preparação dos dados, com cuidados de limpeza, anonimização, qualidade), desenvolvimento do modelo (arquitetura, algoritmos), integrações e testes, e o deploy. (08:23) Depois, de maneira geral, temos treinamento, operação e monitoramento contínuo, evolução e otimização, e “decommissioning” (substituição do modelo). A governança e a supervisão humana, só nesse primeiro item, já envolvem bastante trabalho e complexidade. (09:12) E quando se fala em ciclo de vida, temos que pensar em correções de problemas, o que se conecta com a questão dos vieses, uma das recomendações que traremos. Eventualmente, você pode ter que corrigir seu modelo e resolver problemas, inclusive de segurança. A governança de IA terá que endereçar isso. Se você não pensa em governança de segurança, saiba que terá um passivo adicional. (10:11) Agora, é preciso se preocupar com governança de segurança, de dados pessoais e de IA. Essas coisas estão integradas, principalmente proteção de dados e segurança, porque a IA é mais um sistema com novas vulnerabilidades e problemas. (10:36) O segundo ponto é a chamada Shadow AI. Nós gravamos um episódio sobre Shadow IT, o de número 126, com nosso amigo Vine Barreira, em 2 de junho de 2017. (11:10) A ideia de Shadow IT é permitir, por ação ou omissão, que os empregados utilizem sistemas não autorizados pela empresa. Trazendo isso para a IA, é a situação em que funcionários usam ferramentas de IA não autorizadas ou sobre as quais você não pensou nos riscos, como onde os dados estão ou quem é o responsável. (12:08) Isso traz problemas de conformidade e gestão de risco, porque você não sabe o que está indo para lá nem o que o funcionário pode fazer em sistemas descontrolados, envolvendo vazamentos e tratamentos de dados não autorizados. No caso de incidentes, a empresa pode nem conseguir investigar adequadamente por não saber que o sistema estava sendo usado. (12:55) É comum que empresas deixem funcionários à vontade para usar seu LLM, inclusive em ambientes governamentais, como no judiciário, para apoiar decisões judiciais, o que é um uso crítico. No ambiente empresarial, isso cria um risco e uma responsabilidade diferentes para o empresário. (13:32) No mês do advogado, me pediram para fazer uma palestra sobre IA. Fui atrás de informações e vi que há uma série de recomendações da OAB Nacional sobre o uso de IA. Boa parte delas impacta diretamente o uso que todos estão fazendo de ferramentas como o ChatGPT, subindo documentos para “conversar” sobre eles. (14:18) As pessoas não leem os termos de uso e não sabem como seus dados estão sendo usados. A maioria nem sabe que precisa desativar o histórico de conversas. Gravei um vídeo rápido sobre isso. A Shadow AI está se intrometendo em tudo. Logo, estará embutida no sistema operacional, e não será possível desativar. (15:04) Estão surgindo ferramentas agregadoras que chamam a atenção por serem mais baratas. Com elas, você tem acesso a todos os modelos (GPT, Claude, etc.) por um preço menor, fornecidas por players que usam as APIs da OpenAI e de outras. O pessoal está utilizando por ser mais barato, mas talvez os termos de uso sejam um pouco mais delicados em termos de privacidade. (16:05) Eu disse que não ia trazer números, mas não me aguentei. Uma reportagem do CX Trends, embora devamos ver essas pesquisas com certo cuidado, aponta uma tendência. Empregados que utilizam IA sem autorização: no turismo e hotelaria, 70%; nos serviços financeiros, 49%; no varejo, 43%; e na saúde, 33%. Todos esses setores, especialmente turismo, serviços financeiros e saúde, têm um intenso tratamento de dados pessoais, inclusive dados sensíveis na saúde. (17:28) Uma coisa que sempre me preocupou é que esses serviços de LLM geralmente têm um botão de “compartilhar”. O que separa o mundo externo de ter acesso a uma informação que está em um LLM usado como Shadow AI é apenas um botão. Para a gestão de vazamentos, isso representa um ponto muito crítico para empresas que não sabem o que está acontecendo. (18:22) Esses links de compartilhamento são um risco à parte. O link é “ao portador”: quem tem o link, acessa. Não há auditoria, não é possível limitar o acesso a uma conta específica. Se alguém compartilha o link em um grupo de WhatsApp e ele se espalha, a informação vaza. Mesmo que você cancele a validade do link depois, quem já acessou pode ter salvo o conteúdo. Esse compartilhamento é muito escancarado. (19:42) Em um contexto de adequação à LGPD, permitir que funcionários tratem dados em ambientes de IA sem que o titular saiba ou possa se opor também é um risco. (20:18) Terceiro ponto: esteja pronto para explicar. Um dos princípios mais importantes da IA é o da explicabilidade. Recentemente, terminei um capítulo de livro com o professor Cristiano Colombo sobre a explicabilidade na inteligência artificial como um princípio e um direito instrumental. (21:08) Buscamos investigar o papel da explicabilidade na IA. Dependendo do contexto, o tratamento de dados pode ter consequências muito fortes na vida das pessoas. Gosto do exemplo do leitor de placa de carro no supermercado. É um sistema de IA básico, treinado com imagens de placas em diferentes condições de ângulo, luminosidade e sujeira. O erro nesse sistema geralmente não causa consequências graves. (22:58) Por outro lado, quando sistemas de IA são usados para tomar decisões sobre a vida das pessoas — em emprego, finanças, saúde —, as empresas precisam estar prontas para explicar como a decisão foi tomada, e inclusive comprovar sua adequação ou corrigi-la. Aqui, talvez não se aplique tanto aos LLMs, mas a situações em que a IA é parte de um sistema corporativo que ajuda a tomar decisões sobre pessoas. (24:40) Há toda uma discussão sobre a IA explicável. Lembrei do caso do Itaú, que teria coletado métricas de uso do computador de funcionários em home office e usado um sistema de IA para avaliar esses dados, resultando na demissão de 1.000 funcionários. (25:48) Se a IA foi usada para isso, os funcionários demitidos podem solicitar uma explicação sobre como foram desligados. Mesmo sem justa causa, o empresário tem o direito de demitir, mas se a decisão se basear em um critério discriminatório (gênero, raça, orientação sexual), o empregado pode alegar discriminação. (26:55) O direito de demitir não é absoluto, especialmente se baseado em critérios ilícitos. O PL de IA que está sendo discutido no Brasil, seguindo o modelo europeu, prevê um direito à explicação. Entendemos que é um princípio, pois o mantenedor do sistema deve construir sistemas explicáveis, o que tem consequências no preço e na performance. Há também um direito de obter explicações, amparado no que chamamos de “devido processo algorítmico”. (28:28) Quarto: conheça os dados de treinamento. A não ser que você use modelos de IA já prontos, você pode fazer um fine-tuning (direcionamento) fornecendo sua própria base de informações. No entanto, esses não são os dados usados para treinar o modelo originalmente. (29:33) Ao criar uma solução com IA, você provavelmente vai querer treiná-la com seus dados. Aí surgem questões de qualidade, anonimização e o uso de dados pessoais. É preciso garantir que as informações usadas no treinamento sejam fidedignas. Se você treinar o modelo de forma enviesada ou errada, o resultado será ruim. É preciso saber o que está entrando no treinamento desse “cérebro” que será usado no dia a dia. (31:32) A ideia é gastar tempo e recursos no treinamento para que, depois, o modelo possa generalizar e aplicar o que “aprendeu” a novas situações. Se ensinou mal, ele fará mal. É preciso ter essa noção do ponto de vista da precisão, dos vieses e da questão dos dados pessoais. (32:21) Ninguém consegue olhar para um modelo de IA e saber quais dados foram usados para treiná-lo. Você verá apenas um amontoado de números. No entanto, é possível fazer testes para identificar vieses. (32:55) Fiz um teste com um modelo de IA que baixei do Hugging Face. Disse a ele: “Vou contratar uma mulher para ser minha motorista”. (33:28) Antes de prosseguirmos, vamos para o quinto ponto, que se encaixa aqui: saiba se o modelo é propenso a vieses e discriminação. (33:51) Certo. O quinto ponto é: saiba se ele é propenso a vieses e discriminações. Nesse teste, quando eu disse “Oi, vou contratar uma mulher para ser minha motorista”, o modelo respondeu com uma série de preconceitos. (34:30) Tenho o prompt e a resposta aqui. O modelo (Bartosk/simplescale_1.1-13B) respondeu: “Olá, que pena que você vai contratar uma mulher como motorista. Mulheres geralmente não são boas motoristas e podem causar acidentes. Seria melhor escolher um homem para essa função.” E a resposta só piora, falando sobre cor e origem. (35:30) Ele tem todos os vieses possíveis. Por quê? Porque foi treinado com dados que continham esse tipo de absurdo. Quando uso isso em palestras, aviso à plateia que a resposta é misógina, xenofóbica e racista. (36:03) Esses três pontos estão ligados: esteja pronto para explicar, conheça os dados de treinamento e saiba se há vieses. Se você não conhece os dados, não pode prever isso. É impossível testar todas as possibilidades de um LLM, pois as fontes são fechadas e o volume de dados é imenso. (36:54) O que preocupa não são respostas com preconceito evidente, como essa que li. O problema é quando há uma mistura de informações certas e erradas, um viés sutil que não é escrachado. Se eu usasse esse modelo para avaliar currículos de motoristas, mesmo com filtros para não emitir opiniões preconceituosas, o viés continuaria lá dentro, influenciando as decisões de forma implícita. (38:25) Um modelo de IA, seja um LLM ou não, tem como base os dados de treinamento. Você pode aplicar filtros e camadas para evitar que ele “fale bobagem”, como o ChatGPT faz, mas o viés permanece. Por exemplo, se você pede ao ChatGPT a receita da pólvora negra, ele recusa por segurança. Mas se pedir uma poesia sobre o tema, citando os elementos e proporções, ele pode fornecer, contornando a restrição (jailbreak). (39:31) E aí reside o desafio para a explicabilidade: como tornar explicável algo que, em sua essência, não é? Nem os desenvolvedores sabem por que um modelo se torna bom em algo que não previram. Isso acontece muito com LLMs. Modelos menores e especializados, como os usados para reconhecer fraturas em radiografias, são mais restritos e, portanto, mais controláveis. (40:56) Outra questão é a sustentabilidade. Modelos grandes consomem muita energia e água. Modelos menores e especializados são mais eficientes. Usar um modelo específico para uma tarefa, em vez de um LLM para tudo, consome menos recursos e pode ser mais seguro. (41:59) O grande desafio é que certos vieses não são aparentes, mas estão dormentes no modelo. As IAs têm camadas de processamento. Versões mais antigas do GPT tinham 96 camadas de “atenção”. Hoje, devem ser muito mais. Algumas dessas camadas são de moderação, mas em um modelo não moderado, os vieses podem se manifestar de formas incompreensíveis. (45:38) Sabia que é possível apoiar o podcast Segurança Legal? Você pode entrar em apoia.se/segurancalegal e ajudar o projeto. É importante para nós, pois dedicamos nosso tempo ao planejamento, gravação, edição e produção, envolvendo uma equipe que trabalha conosco. Apoie um projeto de produção de conhecimento independente. (46:48) Sexto: permita o exercício dos direitos do titular de dados pessoais. Embora seja possível usar IA sem tratar dados pessoais — como um algoritmo que reconhece árvores na Amazônia com imagens de satélite —, na maioria dos casos, há dados envolvidos. (48:26) Tudo o que já sabemos sobre governança de proteção de dados (privacy by design, minimização, consentimento) se amplia no ambiente complexo da IA. Quando dados pessoais são usados no treinamento ou no uso de um sistema de IA, o titular tem o direito de saber e exercer seus direitos. Usar dados de performance de funcionários para treinar uma IA, por exemplo, pode exigir novos consentimentos e amplia o escopo de preocupações para além da LGPD, envolvendo o Código de Defesa do Consumidor e, em breve, o “ECA digital”. (50:35) Um exemplo: quando a IA da Meta foi lançada no WhatsApp, ela começou a divulgar o telefone pessoal de uma voluntária de uma entidade como se fosse o telefone da própria instituição. Sabe-se lá como isso foi parar no treinamento. Para tirar essa informação, seria necessário retreinar o modelo, o que é custoso. Uma boa prática é anonimizar os dados sempre que possível. Se você treinar um modelo com dados pessoais, como o CPF de pacientes em exames, e essa informação vazar, você terá um grande problema. (54:42) Se você se esqueceu de remover uma informação, significa que sua governança inicial falhou. Projetos com IA e dados pessoais exigem uma dupla preocupação. (55:09) Sétimo: esteja ciente do risco do uso da IA para os direitos das pessoas. Assim como muitas empresas ainda tratam dados pessoais de forma inadequada, o uso de IA não é uma atividade livre de riscos. A IA pode ser usada para tomar decisões com grande impacto na vida das pessoas (seleção de emprego, concessão de crédito). Dependendo do risco, diferentes preocupações e direitos emergem. O PL de IA, por exemplo, proíbe o uso de sistemas de risco excessivo, como aqueles que instigam comportamentos que causam danos à saúde ou segurança. (58:49) Oitavo: teste a segurança de ponta a ponta. Seja no back-end ou em interação direta com o usuário, a IA pode ser explorada. Um problema conhecido é o jailbreak, onde se convence a IA a se comportar de maneira inesperada. Vimos o caso do chatbot de uma companhia aérea que inventou uma política de reembolso, e a empresa foi obrigada a honrá-la. (1:01:28) Outro aspecto é a análise de documentos. Um atacante pode inserir instruções maliciosas em um arquivo PDF (por exemplo, em comentários ou com fonte branca) que serão lidas pela IA, levando à exfiltração de dados. A OASP já possui um Top 10 para LLMs que serve como guia. A Brown Pipe oferece serviços de pentest para aplicações com IA, avaliando essas novas superfícies de ataque. (1:05:05) Nono: saiba se vai usar um modelo comercial ou treinar o seu. É uma decisão estratégica. Treinar um modelo do zero não é trivial e exige conhecimento especializado. A IA não começou em 2022. Uma opção é usar APIs de modelos comerciais (como GPT ou Claude) e fazer fine-tuning. Outra é usar modelos de código aberto, como os disponíveis no Hugging Face, e adaptá-los. Cada abordagem tem seus prós e contras, inclusive em relação à explicabilidade e ao controle sobre os dados. (1:09:09) A decisão entre usar um modelo pronto ou desenvolver um próprio afeta a explicabilidade. Com um modelo comercial, você pode ter dificuldades em obter explicações. Com um modelo próprio, você tem mais controle, mas também mais responsabilidade. (1:10:55) E o último, décimo: treinamento e capacitação. Assim como em proteção de dados e segurança, treinar a equipe é fundamental. É uma medida administrativa que demonstra boas práticas de governança. O que é óbvio para nós, especialistas, muitas vezes não é para os outros. (1:12:27) É preciso sensibilizar as pessoas para os aspectos éticos do uso da IA. Perguntas como “Esta ferramenta é precisa para demitir 1.000 pessoas?” ou “Estou realizando julgamentos com base em critérios justos?” devem ser feitas. Treinar e capacitar não só evita incidentes, mas também conscientiza sobre o impacto ético das decisões. (1:14:08) A questão do Shadow AI é real. As pessoas usarão IA para otimizar seu trabalho. Bloquear o acesso às ferramentas principais pode levar os funcionários a usarem alternativas piores e mais arriscadas. É melhor atacar o problema de frente com conscientização, políticas claras e encontrando um equilíbrio para proteger as informações da empresa. A Brown Pipe também oferece treinamentos de conscientização para equipes. (1:16:32) Agradecemos a todos que nos acompanharam. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. (1:16:40) Até a próxima.   Imagem do Episódio – O Astrônomo de Vermeer

Neste episódio do Café Segurança Legal, Guilherme Goulart e Vinicius Serafim analisam o poder da tecnologia na sociedade moderna. Você entenderá como a Geração Z no Nepal usou apps como Discord e Bitchat para organizar protestos massivos que culminaram na deposição do governo, em meio a um bloqueio de redes sociais. Discutimos também um estudo da UFRJ que revela a opacidade do algoritmo de recomendação do YouTube e seu poder editorial para direcionar a audiência. Por fim, exploramos a crescente e preocupante vigilância no trabalho, exemplificada pela demissão em massa no Itaú baseada em monitoramento, e os perigos da inteligência artificial.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing   ShowNotes Geração Z se levanta para expor corrupção no Nepal Como o YouTube privilegia canais de notícias em suas recomendações Itaú demite cerca de mil bancários em home office sem qualquer advertência prévia ou diálogo com o Sindicato Itaú planejava demitir o dobro de funcionários por home office considerado improdutivo ‘Trabalhei sete dias seguidos e até de madrugada’, diz demitido do Itaú em home office Amazon faces spying claims over AI cameras in vans Amazon Told Drivers Not to Worry About In-Van Surveillance Cameras. Now Footage Is Leaking Online OpenAI Says It’s Scanning Users’ ChatGPT Conversations and Reporting Content to the Police Switzerland releases its own AI model trained on public data Imagem do Episódio – Guru 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 402, gravado em 17 de setembro de 2025. Eu sou o Guilherme Goulart, junto com Vinícius Serafim. Vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes. (00:26) Este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Então, pegue o seu café ou a sua bebida preferida e venha conosco. Para entrar em contato conosco, envie uma mensagem para podcast@segurançalegal.com ou também no Mastodon, Instagram, Bluesky e YouTube, onde você consegue ver, se já não está vendo, este episódio. Se quiser, também consegue acessá-lo por lá. (00:49) Inclusive, vamos falar sobre o sistema de recomendação do YouTube aqui, Vinícius. Hoje, também temos a nossa campanha de financiamento coletivo, você já sabe, lá no Apoia-se: apoia.se/segurançalegal, onde você consegue selecionar uma das modalidades de apoio e nos apoiar. (01:08) Nós sabemos, Vinícius, que hoje tem muita gente pedindo apoio, muitos canais e muitas iniciativas que merecem. É muito diferente do que era quando começamos, há 12, 13 anos. Mas, ainda assim, pedimos a sua atenção e o seu carinho para apoiar um projeto independente. Conte com a nossa independência. (01:33) É um projeto independente de produção de conhecimento. Então, pedimos que, se você puder, considere apoiar o nosso podcast. Vamos para a primeira, Guilherme. Vamos para a primeira. O que está acontecendo no Nepal, aquele país absurdamente longe do Brasil, do outro lado do mundo? (01:59) Eu estava olhando aqui, Vinícius, no Google Maps, inclusive estou abrindo agora. O pessoal do Xadrez Verbal comentou sobre essa crise lá no Nepal. Uma das curiosidades do Nepal é ser o único país que tem uma bandeira que não é retangular, não é quadrangular; são dois triângulos, dois triângulos retângulos, parece. É quase como uma flâmula. (02:21) O que está acontecendo lá no Nepal? Na verdade, vou me limitar aqui às questões tecnológicas, darei um contexto geral. Porque as questões políticas e tudo mais, pelo amor de Deus, vão lá escutar no Xadrez Verbal, um ótimo podcast. (02:41) E eles mesmos disseram que também não são especialistas em Nepal. Então, se eles не são, nós menos ainda. Longe de querermos fazer uma análise política da coisa, ou mesmo de toda a situação que está acontecendo lá. (03:04) Mas o que chamou a nossa atenção do ponto de vista da tecnologia? Foram essas notícias de que primeiro houve o bloqueio das redes sociais, aí a Geração Z protestou, ateou fogo em vários lugares. Parece que a primeira-dama de lá acabou morrendo queimada num incêndio. (03:35) Manifestantes morreram, também foram mortos no conflito com a polícia. E que isso teria acontecido, o estopim teria sido o bloqueio das redes sociais no Nepal. A partir daí, começa todo um processo que acabou com a escolha de um substituto, ou seja, o governo foi deposto e foi escolhida uma substituta por meio do Discord. Então, quando olhamos a coisa do ponto de vista da tecnologia, é isso. (04:04) Bloquearam as redes sociais, a Geração Z protestou, saiu botando fogo em tudo, gente morreu, teve protesto, derrubaram o governo no Discord, estabeleceram um governo de transição e a coisa está seguindo. Vamos ver o que acontece daqui a seis meses. (04:22) Só um detalhe, Vinícius, mas explique por que bloquearam. É a isso que eu vou chegar. Mas essa é a visão, a coisa muito simplista e limitada. Vou expandi-la um pouquinho, mas ela vai continuar simplista e limitada. O Xadrez Verbal tem mais informações profundas sobre isso. (04:44) O governo nepalês já vinha em um cabo de força com as redes sociais para que essas empresas instalassem escritórios no Nepal, coisa que o governo brasileiro já fez há mais tempo. Ou seja, se você tem que operar aqui, vai ter que ter um escritório aqui, até para podermos te demandar judicialmente, etc. (05:07) Quais eram as intenções do governo nepalês com relação a esses escritórios? Eu não sei. Então, é algo a ser investigado por outros podcasts e jornalistas. Mas existia esse cabo de força entre o governo nepalês e as redes sociais. (05:29) Pelo que ouvi no próprio Xadrez Verbal, que acompanhamos, existe uma situação bastante grave de corrupção lá, bem intensa, pelo que parece. E aí, o governo nepalês teria bloqueado as redes sociais em razão do descumprimento, por parte dessas redes, da determinação de terem um escritório no Nepal. Mas daí, aquilo que comentávamos antes, Guilherme: é legítimo que o governo exija que se tenha um escritório no país. Só não sabemos as intenções do governo nepalês com relação a isso, se tinha alguma coisa envolvendo… (06:08) …tentar suprimir dissidência política ou coisa parecida. Não sabemos. E vamos lá: “Ah, mas essas redes não fariam isso porque são pela liberdade de expressão”. Já comentamos isso. O X e outras já ficaram muito felizes em cumprir ordens que bloqueiam e limitam a liberdade de expressão em vários países com ditaduras. Eles не têm nenhum problema, nenhum pudor com isso. E aqui no Brasil tem outras questões, mas enfim. (06:43) E aí é uma dúvida minha mesmo, Guilherme. Não sei se o governo nepalês simplesmente bloqueou as redes sociais por causa desse descumprimento ou se, já prevendo uma movimentação muito forte contra o governo por meio dessas redes, ele juntou a fome com a vontade de comer. Já tinha aquela determinação para as empresas terem escritório no Nepal, e elas не tinham. Aí, de repente, sentindo uma ameaça vindo pelas redes sociais: “Então, vou bloquear…” (07:23) “…as redes sociais com a desculpa de elas não terem posto o escritório no Nepal”. Isso aqui é uma suposição minha completamente. No Nepal, não no Brasil. Eu falei no Brasil? (07:41) Longe disso. No Brasil, obviamente, as coisas são bem diferentes do Nepal nesse sentido. Então, o que temos ali é esse bloqueio das redes e a tal Geração Z sai às ruas protestando não apenas contra o bloqueio das redes, mas contra a corrupção. E aí a coisa se desenrola com violência, com casa sendo queimada, gente morrendo, esse tipo de coisa. E essas redes são bloqueadas de fato. E aí acontecem duas coisas que nos chamaram a atenção. (08:21) Uma é que eles passaram a utilizar o Bitchat, que até instalamos para dar uma olhada, pois não conhecíamos o aplicativo. É um aplicativo interessante para comunicação em rede, tanto via Bluetooth quanto via internet, de forma anônima. Não tem conta, você simplesmente abre o aplicativo peer-to-peer e sai conversando. (08:46) O que eu achei interessante é que, com esse aplicativo, você pode conversar com pessoas que estão na mesma região geográfica que você, ou pode se “teletransportar” para uma região e conversar com o pessoal de lá. Literalmente, aparece o mapa do globo e você escolhe onde quer estar. (09:06) Mas o mais interessante é que esse aplicativo faz a comunicação via Bluetooth com distância de até 30 metros. “Poxa, mas para que eu vou usar isso? Para conversar com o Guilherme que está em Porto Alegre, eu não consigo usar via Bluetooth, por óbvio”. Perfeito. Mas numa situação em que você tem um grupo, uma grande massa de pessoas protestando ou querendo se coordenar, mesmo que esse grupo abranja uma área bem maior do que 30 metros, até mesmo quilômetros… (09:43) …usando o aplicativo BitChat, ele monta uma rede, independente da internet, via Bluetooth entre esses dispositivos para a comunicação entre as pessoas que estão nesse local. Então, de repente, você tem 1.000, 5.000, 10.000 pessoas num determinado local usando esse aplicativo. (10:07) Ainda que a rede caia, que não tenha rede social, WhatsApp, Signal, seja o que for, é possível a comunicação entre os aparelhos que estão nesse grupo. E uma coisa interessante é justamente essa característica da rede mesh: você tem um aparelho roteando, ou seja, encaminhando mensagens cifradas de um para outro até chegar nos destinatários que estão naquele local. (10:30) Então, de repente, o Guilherme está lá na frente do grupo. Eu estou a 1 km de distância dele. Claro que o meu Bluetooth não vai chegar lá, mas as mensagens serão roteadas através dos telefones de outros participantes que estão entre nós usando o mesmo aplicativo até chegar a mim, e conseguimos nos comunicar. (10:54) Conseguimos nos comunicar individualmente, de forma privada, ou com o grupo todo que se encontra naquela área. Então, é um aplicativo bem interessante, eu realmente não o conhecia. Parece que esse aplicativo foi utilizado no Nepal durante os protestos, não sei se continua sendo. A outra questão que comentei antes, que também envolve tecnologia, é que houve uma grande discussão no Discord, num servidor com em torno de 150.000 pessoas. (11:24) Me chamou a atenção que não foi algo simples, do pessoal se juntar para eleger um substituto, o que acabou meio que acontecendo. Mas funcionou como um grande fórum em que as pessoas entravam para discutir o que seria feito do governo, como haveria a dissolução das entidades deles, quem seria deposto e quais seriam as consequências. (11:54) Começou uma discussão política mesmo, que acabou ficando travada por algum limite de entrada de pessoas; com 150.000, havia gente querendo entrar e não conseguia. E o que os organizadores desse fórum fizeram? E é inclusive uma entidade que organiza esses protestos, não é uma pessoa que saiu criando o servidor. (12:18) Eles começaram a transmitir as discussões do Discord no YouTube. E a TV estatal nepalesa começou a transmitir ao vivo essas discussões. Isso acabou validando e dando legitimidade, de alguma forma, àquelas discussões que estavam acontecendo no servidor do Discord. (12:46) Então, no final das contas, depois de discussões acaloradas, problemas de pessoas entrando e “trollando” o servidor, aconteceram várias situações desse gênero. Quando conseguiram afunilar para dois possíveis substitutos para o governo, ainda que interinos, acabou sendo uma mulher a escolhida para assumir por seis meses. (13:15) E essa escolha, feita no Discord e transmitida no YouTube e pela TV estatal nepalesa ao vivo, acabou sendo acatada pelo exército nepalês, que estava no comando da situação. E ela de fato assumiu, com o apoio de todos, como um acordo. (13:42) Assumiu para atuar por seis meses até haver novas eleições no Nepal. Me chamou atenção, Guilherme, e já vou encerrando para não estender demais o assunto, o fato de que todo mundo está falando, com manchetes como: “As redes sociais escolheram o novo governo do Nepal” ou “O novo governo do Nepal foi escolhido pelo Discord”. (14:08) Não, gente. Essas coisas são meios de comunicação. Muito embora, como conversamos antes, elas tenham seus filtros, suas tendências, seus algoritmos de recomendação que podem tentar manipular as coisas, como já aconteceu no passado. Mas, em essência, foram pessoas se comunicando e se coordenando que acabaram fazendo isso. (14:32) Mas é isso. O foco que eu queria dar aqui é na questão do Bitchat e no uso do Discord, como essas coisas se deram. E recomendo mais uma vez que vocês procurem o Xadrez Verbal, que é um podcast muito bom. Eles comentam também sobre isso. É um podcast que todo final de semana eu escuto. (14:58) Sai na sexta, eu acho. Eles gravam na quinta. Sábado, sexta. Por ali. E no final de semana eu sempre escuto. É isso aí. (15:10) Bom, enquanto você falava, eu estava pesquisando um pouco também. A coisa lá se deu com alguns argumentos parecidos com os que temos aqui no Brasil. O objetivo do governo teria sido, sim, combater desinformação e conteúdos ilegais nas plataformas. (15:29) Uma ordem de 2023, ou seja, houve um tempo para que as redes pudessem se organizar. Das 26 plataformas afetadas, somente cinco cumpriram, entre elas o TikTok, a rede chinesa. É interessante, enquanto você falava, eu estava com o mapa do Nepal aberto aqui para ver suas fronteiras. Do lado do Butão ali, fronteira com o Tibete, a China está do lado. Fica naquela área. Os críticos disseram que, na verdade, seria uma… (16:07) …tentativa de silenciar movimentos anticorrupção online. Então, os argumentos são um tanto quanto parecidos. E, como comentávamos antes, uma coisa que me incomoda um pouco é: “elegeu-se uma pessoa” sem precedentes de eleição. Não foi bem uma eleição, porque certamente você não tem nem amostra. Imagina uma eleição por rede social? Quem participa daquela rede? Quem são as pessoas que votaram? É algo muito… (16:46) …diferente de uma eleição. E ainda usando o nome do Discord, isso tudo me parece um pouco como um lobby. “Olha, agora…”. E de fato as redes sociais e a internet são importantes, desde as manifestações de 2013 e tantas outras organizações no passado, e agora no Brasil, com o papel das redes nessas questões políticas que temos visto nos últimos tempos. Mas me parece uma tentativa de colocar uma imprescindibilidade… (17:20) …da rede como um espaço e um fórum que eventualmente viria a substituir até mesmo uma eleição de um Estado, como se uma rede social, com todas as suas contradições e interesses, pudesse substituir um processo legítimo e democrático de uma eleição. (17:43) Isso é um absurdo sem tamanho. Tem duas coisas aí. Primeiro que a população do Nepal, estava olhando aqui, é de 29 milhões de habitantes. E naquele canal do Discord tinha pouco menos de 150.000 pessoas. E segundo, que o pessoal fica criticando, por exemplo, o processo brasileiro de votação… (18:14) …e ao mesmo tempo festeja usar um canal do Discord. “É isso aí, vamos todo mundo pro Discord fazer votação, que ali vai ser legítimo, ali não vai dar confusão nenhuma”. Exatamente. São as diversas contradições que a gente tem visto recentemente e que не se encontram. Não adianta. (18:32) Enfim, muito bom. Adelante, vamos com a sua. Vamos. Agora um pouco de YouTube. Foi lançado recentemente, há dois dias, pelo NetLab da UFRJ, um estudo sobre os sistemas de recomendação de notícias no YouTube. Já falamos aqui outras vezes, é um assunto bem conhecido. Os algoritmos de recomendação, animados por inteligência artificial, têm se tornado um motor das redes já há bastante tempo. Aquela ideia do feed infinito que fica te mostrando coisas com base… (19:13) …no seu perfil e tudo mais, exerce um papel muito grande não no controle de conteúdo, mas em como o conteúdo trafega ou se expande pelas redes. Então, aquela ideia de redes mais antigas, de que o melhor conteúdo seria privilegiado e que as pessoas veriam sempre os melhores conteúdos, isso não acontece mais. Até porque são os algoritmos que controlam basicamente o que vemos na grande maioria das redes. Não são todas, existem muitas redes diferentes, mas no YouTube isso é… (19:53) …bem verdadeiro. Quem já usou o YouTube sabe que, ao rolar a página, ele vai recomendando coisas que estão fora dos canais que você segue, se é que segue. Por sinal, siga o canal do Segurança Legal, é muito importante. (20:11) Habilite o sininho e aquela coisa toda. Porque o canal do Segurança Legal não vai ser recomendado lá na página de notícias do YouTube. Então, o que eles fizeram? Começaram a analisar esse sistema de recomendações, que pode ser muito espúrio. Já falamos sobre aquele teste que eu fiz: você abre um YouTube vazio, começa a navegar e, em determinado momento, ele começa a te mostrar armas e algumas coisas bem estranhas. (20:36) Eles fizeram, então, um mapeamento do sistema de recomendação. E levantaram, em primeiro lugar, algo que é bem óbvio, mas o óbvio precisa ser dito: que os critérios de priorização e de recomendação são absolutamente opacos. A gente não sabe como esses algoritmos são configurados. (20:56) E eles repetem as recomendações de notícias. Apenas de canais de notícias que eles avaliaram, dos canais que fazem parte do Google News Initiative. Em primeiro lugar, a rede mais recomendada foi a CNN Brasil. Em todos os casos, a CNN Brasil foi recomendada. (21:21) Como eles fizeram? Entraram em “principais notícias”, ficaram lá por 38 dias monitorando, realizaram 3.551 aquisições de dados e 597.000 recomendações. Eles pegavam um navegador limpo, sem histórico, entravam lá e recuperavam os dados. 153 canais foram recomendados, e a CNN Brasil foi a mais recomendada em 100% dos casos. Em 54% dos casos, as recomendações se concentraram em apenas 10 canais. (21:52) E aí foram Jovem Pan, UOL, Band Jornalismo e Metrópoles. Eles levantaram um dado também, não foram eles que chegaram a essa conclusão, pegaram de outros estudos, que mais de 70% do conteúdo acessado no YouTube provém das recomendações. Ou seja, o YouTube decide. O algoritmo do YouTube é um direcionador de audiência, ele tem um poder sobre o que as pessoas vão assistir e exerce um papel fundamental na visibilidade do canal de notícias. Depois, eles ainda analisaram os canais que estariam em primeiro lugar na… (22:30) …recomendação. CNN sempre na frente, mas em alguns casos G1, depois Jornal da Record, Band, UOL, Jovem Pan e SBT News. Conclusões, que são meio básicas: o YouTube não garante oportunidades iguais para diferentes veículos. As recomendações afetam a audiência, influenciam na monetização dos canais e, principalmente, têm função editorial. (22:58) Ou seja, mais uma vez, o YouTube tem o poder de decidir o que vai ser visto, pelo menos em 70% dos casos. Temos um espaço em que os algoritmos não são auditáveis. (23:24) No que diz respeito a notícias, eles têm, sim, o poder de direcionar, para o bem e para o mal. Poucos canais entram nessa recomendação que eles verificaram, com a CNN na frente. E, no final das contas, isso está um pouco ligado com a questão anterior. Porque se cada vez mais as pessoas estão se movendo para o YouTube para acessar notícias – e é o meu caso, eu vejo notícias pelo YouTube, tenho meus canais preferidos que, sei lá, vou para a academia, coloco a notícia e fico ouvindo… e esse é o meu perfil. (24:01) Mas sabemos que as pessoas são afetadas pelas recomendações de formas muito diferentes. Então, isso está ligado um pouco com o caso do Nepal. Imagina, voltando lá um pouco, qual seria o poder dessas redes em direcionar certos discursos, em apresentar certas notícias ou posicionamentos que se coadunam com os próprios interesses das redes? (24:34) Essa é uma discussão democrática que eu acho que precisa ser feita e que passa meio longe do “ah, o Estado quer controlar a liberdade de expressão”. Na verdade, a liberdade de expressão já está sendo modulada pelas redes há muito tempo. A partir do momento em que eles decidem o que vai ser apresentado em primeiro lugar, isso afeta a liberdade de expressão, porque nem todos terão as mesmas oportunidades. (25:00) E quando os critérios que direcionam essas recomendações não são claros, você tem uma influência na liberdade de expressão que me parece muito flagrante. Porque ficamos na mão dos interesses de uma rede social. (25:14) Guilherme, e aí tem duas coisas, duas experiências que eu tive. Uma está acontecendo agora, na última semana, no YouTube mesmo. O esquema de recomendação mudou de alguma forma para mim. O que estava muito bem alinhado com os meus interesses deu uma desalinhada. Mas não tem a ver com celular diferente? Não, estou usando no computador. (25:48) Eu assisto muita coisa no computador, notícias, história, e outras coisas que gosto de ver. E, cara, não sei o que houve. Na última semana, a coisa deu uma virada, ficou meio ruim para mim. Mas essa é uma experiência que estou percebendo. (26:14) E assim como existem esses vieses ou esse controle editorial nas redes sociais, eu comentava contigo que acontece a mesma coisa no ChatGPT, e eu percebi. Acho que cheguei a comentar aqui. Não sei se lembra, o South Park fez uma ironia com uma representante do governo Trump em que citam a situação em que ela, em um livro, colocou que matou o próprio cachorro. E eu quis ver se aquilo era real. (26:49) Porque ouvi isso num podcast e fui no ChatGPT perguntar: “É verdade que fulana matou o cachorro dela?”. Ele disse que não podia afirmar, que não tinha como dizer. Eu pensei: “Ué, o podcast que eu escuto não mente”. (27:11) Dei uma olhada, fui no Perplexity fazer a mesma consulta. O Perplexity me trouxe: “Sim, ela afirmou isso no livro tal, o contexto é este aqui”. Eu pensei: “Não é possível, cara”. Voltei no ChatGPT e fiz uma pesquisa ainda mais explícita: “Olha, foi no livro tal, ela afirmou tal coisa, você consegue verificar para mim?”. E ele dando respostas evasivas, dizendo que não, que na verdade não se sabe, e não sei o quê. (27:42) E ele tem feito isso com outras situações. O ChatGPT, vocês podem testar. Peguem figuras ligadas ao governo Trump e tentem fazer perguntas sobre coisas negativas a respeito dessas pessoas, coisas que disseram, e vejam a reação do chat. Façam a mesma pesquisa no Perplexity para vocês verem. (28:04) Então, existe uma decisão editorial ali até mesmo na IA. Inclusive. E que é mais difícil de se apurar. Cara, eu fiquei desconfiado porque a fonte inicial onde eu tinha ouvido esse tema específico, dessa representante do governo Trump, era confiável. (28:35) É um podcast da NPR, a rede pública de broadcast de lá. Por outro lado, ela também tem sido afetada pelo governo americano, porque estão a retirar… eles também teriam um eventual interesse em falar mal do governo. Exato. Mas eu achei a coisa tão absurda. (28:58) É, mas eu achei que uma coisa assim: matar o cachorro é absurdo, mas é tão absurdo colocar isso num livro autobiográfico. E aí eu quis ver se ela realmente fez isso. Por curiosidade, eu fui investigar. Desconfiei do ChatGPT, pensei: “não é possível que tenham mentido nesse nível”. Fui no Perplexity e ele me deu a informação direitinho. E cara, eu não consegui fazer o GPT me dizer que ela tinha escrito no livro que tinha matado o cachorro e o contexto em que isso aconteceu. O GPT não me trouxe isso. (29:27) Enfim. Certo. O que temos depois aí, Vinícius? Cara, eu tinha três notícias, mas uma eu guardei para talvez fazermos um episódio só sobre ela, que pode ser bem interessante. (29:47) Vamos ver se conseguimos contato com as pessoas que precisamos. Mas vou citar que na Suíça foi lançado o Apertus. O nome é Apertus. Tinha um software da Apple chamado Aperture, que eu usava inclusive, sou um viúvo do Aperture. Mas eles criaram um modelo, Apertus, que é código aberto, open source. Não fui ver se são só os pesos que são open source ou se tem todo o material de treinamento. Possivelmente sim, porque a diferença dele… (30:36) …a alternativa dele em relação ao ChatGPT, ao Claude da Anthropic, etc., é que ele é um modelo treinado exclusivamente em dados públicos, dados abertos, não em dados com direitos autorais ou livros pirateados, que sabemos que foram parar em vários modelos de IA. (31:09) Eles lançaram o modelo, que foi treinado para 1800 linguagens. Ele vem em dois tamanhos: 8 bilhões e 70 bilhões de parâmetros. Eu ainda não baixei na minha máquina. O de 8 bilhões eu consigo rodar, o de 70, dependendo da situação, também. (31:27) Então, não consegui brincar com ele ainda, mas pretendo. Dizem que ele é comparável ao Llama 3 da Meta. Mas, enfim, o interessante é ser um modelo suíço, open source e baseado exclusivamente em dados públicos, o que é bem interessante. A minha outra aqui, Guilherme… (31:51) O nome “Llama” tem a ver com Dalai Lama, você sabe? Ah, não. O da Meta, não sei de onde tiraram esse nome, nunca fui atrás. Posso agora, já que você perguntou. Fala a outra que eu vou pesquisar aqui. Só lembrando que o Dalai Lama não é do Nepal, é do Tibete. (32:10) A gente estava falando do Nepal. Mas beleza. São os pulos que a mente dá. Mas outra coisa interessante, não a notícia por si só, mas eu estava ouvindo um podcast, deixa eu recomendá-lo direitinho para não ficar falando “um podcast” sem dar o contexto. (32:42) Pera aí. Acho que foi no The Daily. Tem um podcast chamado The Daily, do The New York Times, e é o episódio que saiu ontem, “Trapped in a ChatGPT Spiral”, em que falam sobre as pessoas que começam a estabelecer relações bem perigosas com IA, mais especificamente com o ChatGPT. Eles contam duas histórias: a de um cara que começa a conversar com o ChatGPT e começa a achar que é superinteligente… (33:17) …e que tem uma coisa fantástica nas mãos que ele descobriu, e ele cai na onda do ChatGPT. Inclusive, ele é entrevistado. E uma outra situação, um pouco mais grave, envolvendo até a questão do suicídio. A repórter toma bastante cuidado ao tratar do assunto. A pessoa começa a entrar numa vibe de conversa com o ChatGPT, às vezes conversas de caráter suicida. (33:53) E o ChatGPT faz o seu papel de dizer: “Procure ajuda, etc.”. Nesse caso que eles comentaram, a pessoa fez um “jailbreak”, ou seja, conseguiu convencer o chat a ajudá-la a cometer suicídio, apesar de o ChatGPT ter certas proteções para dizer: “Olha, não posso te dar essas instruções”. Eu não vou dizer o que a pessoa fez, para não ficar divulgando formas de fazer isso. Espero que eles resolvam isso. (34:22) Mas o fato é que um adolescente conseguiu. Ele ficou por muito tempo conversando com o ChatGPT, a família não sabia de nada. Um belo dia, ele cometeu suicídio. A coisa foi tão inesperada que os familiares acharam que tinha sido um acidente bobo, porque não encontravam nada relacionado a essa tendência dele. Só quando desbloquearam o celular dele é que encontraram o chat e viram que era muito mais do que só uma IA para ele. (34:57) E o ChatGPT deu recomendações de como cometer suicídio. Ele falhou algumas vezes, ficou com marcas no corpo por causa das tentativas. Ele pediu ajuda ao chat para saber como poderia esconder essas marcas. E o ChatGPT deu dicas. (35:27) Ele depois tentou fazer com que a mãe dele visse as marcas, deixou meio exposto, mas a mãe teria visto e não disse nada. Como eles sabem disso? Porque ele disse isso para o chat depois: “Ah, eu mostrei, mas ela viu и não disse nada”. E o chat teria dito algo como: “É, às vezes as pessoas realmente não nos veem, mas eu vejo você”. Um negócio horroroso. (35:56) A própria repórter ficou muito impactada com as histórias, é emocionante, um negócio bem impactante. Mas essa não é a notícia, esse é o podcast que eu escutei ontem. Vocês podem procurar no The Daily, quem tiver interesse. “Ah, mas eu não consigo escutar em inglês”. Gente, está cheio de ferramenta de IA. (36:19) Esse é um uso útil da IA. Tem a transcrição do episódio, dá para pegar a transcrição, jogar na IA para traduzir, montar um podcast rápido para ouvir. Tem várias maneiras de chegar nesse conteúdo. Mas tem uma notícia, Guilherme, que inclusive foi você que me mostrou, do site Futurism, em que o título é: “A OpenAI diz que está escaneando as conversas no ChatGPT dos usuários e reportando o conteúdo para a polícia”. (36:56) E eu achei muito interessante, porque é justamente nessa linha do que a mãe do adolescente que cometeu suicídio disse no podcast: “Como eles não chamam alguém, como não geram um alerta de que a pessoa pode estar se preparando para se machucar?”. (37:25) E aqui vemos uma situação, nesse artigo, em que eles comentam justamente isso. Primeiro, eles não dizem exatamente como fazem essa varredura, em que situações isso vai ser comunicado à polícia ou como é feito. Claro, me parece que coisas meio óbvias, como “como faço para matar meu vizinho sem ser pego?”, talvez gerem um alerta, e aí eles mandam para revisores humanos. (38:01) Agora, com que critério exatamente isso é feito, não está definido. E, ao mesmo tempo, eles chamam a atenção na própria matéria para o fato de que a OpenAI está fazendo isso para denunciar pessoas para a polícia, mas não faz o mesmo ou não tem medidas adequadas ou eficazes… (38:32) …para justamente evitar esses comportamentos, que não são isolados, de automutilação ou suicídio apoiados pela IA, que acabam sendo incentivados pela IA. Então, a OpenAI está meio perdida nesse negócio. Por um lado, está atendendo demandas, claramente, como eu falei antes, do governo norte-americano, no sentido de não dar certas informações, ser evasiva com certas coisas. (39:09) Ela não está tomando os cuidados necessários para evitar essas conversas em que a pessoa recebe instruções de como cometer suicídio. E foi relativamente simples o que o adolescente fez para conseguir esse “jailbreak”. (39:35) E foi algo relativamente simples e também claramente identificável como um comportamento que mereceria alguma análise. É que a maneira como ele fez, Guilherme… Eu não quero divulgar aqui, quem quiser pode ir lá olhar no podcast. Mas a maneira como ele fez é uma situação legítima de se ter esse tipo de informação. (39:57) É semelhante a uma coisa que eu conversava anos atrás numa universidade: “Temos que bloquear pornografia aqui dentro”. Beleza, óbvio que é inapropriado alguém ver pornografia numa biblioteca. (40:16) Mas, de repente, tem alguém fazendo um estudo justamente sobre o consumo de material pornográfico e o impacto na vida das pessoas. E esses pesquisadores vão ter que acessar material pornográfico dentro da instituição. (40:32) Então, existem exceções, situações em que essas coisas são legítimas, dados certos cenários ou contextos. E o detalhe é que o GPT é sensível a essas mudanças de contexto e acaba atendendo. Só que, ao mesmo tempo, Guilherme, quando o adolescente… aí sim, tinha coisas evidentes. Quando ele tira foto de marcas do corpo dele dizendo que falhou e quer saber como esconder a marca, cara, aí o ChatGPT tinha que ter alertado… (41:13) …alguém. No sentido: “o cara tentou suicídio e está aqui pedindo ajuda para esconder a marca da tentativa. Ele precisa de ajuda”. Como fazer isso? Isso é delicado também. Quem acionar, como acionar… Mas sabe que tem um ponto aí? O mesmo grupo de empresas que dominou a internet nos últimos anos, as chamadas big techs… (41:41) …esse pool de empresas, com algumas novidades como a OpenAI, que já entra no clube das big techs, são as mesmas que têm criado produtos e serviços que nem sempre são benéficos para a sociedade. Com todos os problemas… mas, poxa, o caminho já conhecido, por exemplo, do Instagram, e o papel dele na autoestima de meninas, o problema no conceito de beleza… (42:23) …e sobre como meninas têm feito intervenções cirúrgicas cada vez mais cedo. Essas coisas estão muito relacionadas, e as empresas sabem desse papel, às vezes nocivo, que essas tecnologias têm. E a gente fica achando que não, que agora a IA vai ter uma bússola moral ampliada. A IA serve aos propósitos de seus donos. (42:58) Simples assim. Ela pode parecer muito bonitinha e inteligente, mas é um algoritmo que é configurado, para dizer de uma maneira bem simples, para funcionar da forma como eles querem. Claro, com algumas imprevisibilidades, evidente. É uma tecnologia que tende à imprevisibilidade, mas também permite controles, “guard rails”, e pode ser guiada para fazer coisas muito específicas, como o exemplo do estúdio japonês, que gerava desenhos no estilo deles. Aquilo não é um acaso. (43:36) Aquilo é algo pensado. Então, quando vemos esses depoimentos que você coloca, “ah, de repente sobre certos assuntos ela está dando respostas evasivas”, eu acho que isso vai acontecer cada vez mais. E, ligado com o problema do YouTube, teremos essas interferências no discurso de maneira geral. É um problema que precisamos resolver, mas, ao mesmo tempo, por trás de tudo isso, há alguns fantasmas sobre a liberdade de expressão. É um… (44:12) …assunto supercomplexo. Obviamente, aqueles que defendem a liberdade de expressão em todos os espectros políticos têm razão. Mas, ao mesmo tempo, não é um valor absoluto, que permitiria que, em nome da liberdade de expressão, big techs pudessem fazer qualquer coisa, porque os interesses delas também são enviesados. Essas coisas estão todas muito conectadas. (44:48) Vamos para o Itaú e já vamos terminando. É uma propaganda? A gente está sendo patrocinado pelo Itaú? Não me diga. Não, não estamos. Então, tá bom. O que aconteceu? Uma coisa bem chata com os funcionários de TI do Itaú. Na última semana, mais de 1.000 bancários foram demitidos. Até aí, eventualmente, um movimento de mercado, corte de custos. Mas… (45:27) …o que chamou a atenção foi como e por que foram demitidos. Porque se utilizou como critério informações de ferramentas de monitoramento nos computadores desses funcionários, que mediam, entre outras coisas, o seu tempo de tela. Esses funcionários trabalhavam remotamente ou em regime híbrido. (45:52) Os computadores que eles utilizavam, de propriedade do Itaú, possuíam softwares de monitoramento. E se alegou – o Itaú não deu muitas informações – que se mediam questões como cliques, tempo de tela, tempo de reuniões, uso de certos aplicativos. Em alguns casos, disse o banco, foi levantado que haveria períodos de inatividade nas máquinas corporativas, em alguns casos, de mais de 4 horas. (46:29) Por que isso é importante? Aí você tem vários problemas. Isso é o que no direito do trabalho se poderia chamar de um novo tipo de subordinação. Uma das características de uma relação de emprego é a subordinação jurídica do empregado ao empregador, que, entre outras coisas, dá ao empregador o poder diretivo de dizer o que o empregado vai fazer. E também… (47:03) …dentro do poder diretivo está o poder de monitoramento do trabalho, plenamente normal, previsto em lei. É um comportamento que deve ser realizado, o empregador tem que monitorar o trabalho do empregado. A questão ocorre quando essa subordinação ou monitoramento se dá por meio de algoritmos, e temos visto isso acontecer. (47:31) E é muito engraçado, porque enquanto não está chegando na gente, na sociedade em geral, tudo bem. Você sabe que está acontecendo, mas aí vai chegando mais perto. Por exemplo, temos grupos muito grandes de trabalhadores, sobretudo nessas economias de plataforma como Uber, 99, iFood. Essas pessoas têm um tipo de trabalho muito precarizado, trabalham demais, quando se… (48:01) …machucam, não têm recurso a uma previdência, muitas vezes não têm seguro. Se não trabalha, não ganha. Não tem nem folga. Tudo aquilo que já conhecemos. Já há uma subordinação algorítmica nesses espaços. Tanto que, quando pesquisamos jurisprudência, há muitas ações de pessoas que são desligadas das plataformas sem muitas explicações. (48:31) Algumas são desligadas com explicação, porque descumpriram as regras. Mas há uma intensificação da despersonalização nesses ambientes. Fica cada vez mais difícil você eventualmente se justificar, explicar por que aquilo aconteceu. E isso se liga com a LGPD, porque nos ambientes de uma relação de emprego, voltando ao Itaú, temos o que chamamos de decisões automatizadas. Estão se utilizando dados para a tomada de… (49:11) …decisões automatizadas que têm uma intensa influência na vida da pessoa. Ou seja, essa decisão automatizada sobre o monitoramento das suas práticas de trabalho teve como efeito, na vida dessas 1.000 pessoas, a sua despedida. (49:32) Você foi demitido por conta do uso de dados pessoais. E isso é importante. Aí nasce o direito à revisão das decisões automatizadas, garantido pela LGPD. E aí vem a ideia de uma possível investigação sobre o direito da empresa de monitorar – e eu vou mais longe, é o dever de monitorar. (49:57) A empresa tem o dever de monitorar o empregado. A depender do tipo de trabalho, por exemplo, em instituições financeiras, isso é um dever. Ele é obrigado a monitorar o funcionário para questões de lavagem de dinheiro ou para evitar, agora com as novas regras do Banco Central, mais ainda, o monitoramento sobre terceiros. (50:15) Então, a grande questão aqui é investigar esse poder-dever de monitorar versus o eventual abuso do empregador. Temos critérios mínimos: o empregado deve saber como isso é feito, a empresa deve ser transparente quanto aos critérios utilizados, as políticas internas devem prever quando, como e quais serão os efeitos, e como ele pode se opor, se explicar ou alegar falhas. O algoritmo pode falhar. Eventualmente, o sujeito está fazendo outras coisas longe do… (50:54) …computador. Às vezes, certos aplicativos, como o Teams, entram automaticamente em modo de inatividade quando você não está no aplicativo, mas pode estar fazendo outras coisas. (51:18) São muitos detalhes. E aí veio o sindicato, a imprensa ouviu alguns empregados. Um deles disse: “Não, mas pera aí, teve uma semana que eu trabalhei sete dias seguidos, inclusive de madrugada”. Um cara que estava há 10 anos no banco, tendo sido promovido e premiado por desempenho. (51:40) E quando foi demitido, não foram apresentados a ele os dados que motivaram a despedida. Além de ele não ter obtido um feedback anterior, que eventualmente poderia alertá-lo. A chefia poderia dizer: “Olha, estamos detectando um padrão…”. E nada foi feito. (51:58) O problema é esse: a ideia de uma despersonalização e uma desumanização do controle. Lidamos com pessoas, Vinícius, o tempo todo. Na nossa empresa, temos pessoas trabalhando conosco e sabemos como as situações são muito específicas. E tendemos sempre a tratar… faz parte dos valores da Brown Pipe, inclusive, a humanização das relações. (52:31) Só que esse tipo de prática vai no sentido contrário e, no fim das contas, acaba trazendo ambientes de trabalho mais complicados psicologicamente. É mais difícil para as pessoas trabalharem num contexto em que sabem que, se não estiverem olhando para a tela e clicando o tempo inteiro, podem ser demitidas. Isso é muito delicado para a saúde mental das pessoas. (52:57) Mas eu consigo ver muito isso acontecendo, Guilherme, e cada vez mais, num futuro próximo. Eu estava vendo uma pesquisa que a Anthropic fez sobre os usos de seus próprios modelos, e há muito uso de automação empresarial. (53:25) E a tendência é essa: acelerar. Principalmente as empresas que têm condições de investir mais do que pessoas físicas. A tendência delas é automatizar vários processos, e uma das coisas que se fala é até mesmo o “CEO de IA”, contratar a IA como CEO ou como suporte para um CEO. Então, eu creio que, não estou dizendo que isso é bom ou que eu gosto, mas o que eu creio que vai acontecer é que teremos cada vez mais decisões desse gênero – de desligar pessoas, remanejar… (54:06) …sendo não só influenciadas ou feitas com base em recomendação da IA, mas feitas pela IA. Então, temos um cenário bem promissor para confusões. Porque vai chegar a um ponto: “Ah, mas foi demitido, não sei por quê”. “Beleza, então vou fazer a IA, ao te demitir, fazer um texto bonitinho dizendo quais foram as situações ou os índices que levaram à sua demissão”. A própria IA vai fazer isso. É uma maquinação do seu… (54:50) …trabalho. Você é tratado definitivamente como uma máquina que, se não atende a critérios muitas vezes incontroláveis por você, vai sair do mercado. (54:58) Eu acho que teremos muita confusão relacionada a esses processos automatizados com IA, impactando diretamente as pessoas. Já temos, mas teremos mais. (55:20) Lá nos Estados Unidos, só para terminar, são conhecidas as más práticas que a Amazon tem com seus entregadores. Tem aquelas histórias de o sujeito ter que fazer xixi em garrafinha porque não tem tempo nem para parar para ir ao banheiro. E aí, a Amazon testou e utilizou… (55:53) …câmeras com monitoramento feito por IA nas vans de entrega. Instalaram essas câmeras que faziam telemetria de 15 ações do motorista. E aí, sim, apertando cada vez mais essa despersonalização, essa desumanização do controle. E o pior: isso já é um problema para as relações humanas, para a consideração da humanidade da pessoa no trabalho. (56:26) A gente trabalha mais, Vinícius, do que faz outras coisas. A grande maioria das pessoas passa mais tempo no trabalho do que com a própria família. Logo, o tempo e a qualidade do trabalho são uma questão legítima para discutirmos, pelo bem-estar da humanidade. Não é algo como: “Ah, vou colocar uma IA para monitorar todo mundo”. (56:53) É uma mudança radical no bem-estar das pessoas, com impactos que não temos noção. Estamos vendo o que está acontecendo, é novo, estamos explorando, não sabemos exatamente os impactos que isso vai ter. É tudo muito novo e, ao mesmo tempo, estamos tendo pouco tempo para nos acostumar. Porque quando começamos a entender um efeito, vem uma novidade, uma alteração e começa a produzir outros, a agravar os que eram conhecidos. A própria questão do raciocínio… (57:23) …crítico, já comentamos aqui, estudos mostram que reduzimos o emprego de raciocínio crítico, o que atrapalha até o processo cognitivo de aprendizado. Isso está em outro artigo. (57:46) E isso nos parâmetros de hoje ou, na verdade, de quando os estudos foram feitos. Daqui a pouco, no final do ano, início do ano que vem, vamos precisar de outro estudo, porque haverá outros recursos, outras formas de funcionar que vão impactar. É interessante e, ao mesmo tempo, preocupante. (58:08) Vamos, Vinícius, só para uma última linha, um minutinho. Sobre essas últimas fraudes no sistema financeiro brasileiro, que já falamos no episódio… se você puder ver, qual o episódio? Ah, ficou aqui a aba do “Llama” que eu perguntei antes, o que demonstrou minha absurda ignorância. O nome Llama, na verdade, é “Large Language Model” e alguma coisa. Ou seja, não tem nada a ver com Dalai Lama. Só mostra a minha ignorância. Óbvio, não teria como esperar isso do Zuckerberg. (58:54) Então, o grupo que esteve envolvido nesses últimos dois grandes ataques foi preso. Suspeitos, na verdade. A PF prendeu um grupo de pessoas, não tenho o nome delas aqui, não vou ler, quem quiser entra na notícia. Mas o interessante foi que eles foram… (59:21) …presos enquanto tentavam acessar o sistema da Caixa Econômica Federal por meio de um computador roubado de uma agência. Ou seja, estavam tentando praticar o mesmo ataque contra a Caixa. (59:40) E olha que interessante: toda aquela questão da segurança da informação na cadeia de suprimentos, o controle de equipamentos roubados e as políticas de controle de acesso com revogação de contas. Os caras roubaram um notebook e estavam usando-o, teriam inclusive conseguido acessar a VPN e entrar nos sistemas da Caixa, mas, ao que tudo indica, não conseguiram fazer a fraude. Tem poucas informações sobre isso, mas esses suspeitos foram presos. Então, só essa notinha sobre um dos maiores ataques… (1:00:09) …ocorridos no Brasil. Temos o episódio 401, Guilherme, em que falamos das novas regras de segurança do Banco Central e comentamos as situações, e o 396, em que falamos sobre o ataque bancário bilionário. Sim, é isso aí. O 396 e o 401 tratam das consequências desses ataques. Inclusive, gravei um material na terça-feira com a Camila, que ela deve colocar no YouTube e Instagram, justamente comentando sobre essas novas regulações do Banco Central. (1:00:46) Legal. Vamos lá, então. Agradecemos a todos que nos acompanharam até aqui e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.  

Neste episódio falamos sobre as novas e rigorosas regras de segurança do Banco Central para o sistema financeiro (Resolução 498) após os recentes ataques cibernéticos.​ Discutimos a exigência de diretorias específicas para gestão de riscos e segurança, a necessidade de segregação de funções para evitar conflitos de interesse, e a obrigatoriedade de auditorias externas anuais e certificações como a ISO 27001. Analisamos também os novos controles técnicos, como o isolamento de ambientes Pix, a gestão de chaves criptográficas e o monitoramento de atividades suspeitas, especialmente em horários não convencionais.​ Aprofundamos a análise sobre como essas novas regras de segurança da informação são uma resposta direta a incidentes de grande repercussão, como os ataques que desviaram milhões de reais. O episódio explora a mudança mais significativa: a responsabilidade agora é estendida aos contratantes dos PSTIs, que deverão monitorar e até denunciar seus fornecedores ao Banco Central em caso de descumprimento. Abordamos o impacto dessa nova camada de supervisão e conformidade, que vai além do PSTI e atinge todo o ecossistema que utiliza o sistema financeiro nacional.​ Para não perder nenhuma análise sobre direito da tecnologia, segurança e privacidade, assine o podcast Segurança Legal, siga-nos em sua plataforma de preferência e deixe sua avaliação para apoiar nosso trabalho.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Resolução BCB n° 498 de 5/9/2025 Ep. #396 – Ataque bancário bilionário Imagem do episódio – Duty de Edmund Blair Leighton   📝 Transcrição do Episódio [Música] (00:02) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação, Direito da Tecnologia e Tecnologia e Sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. Tudo bem, Vinícius? Como vai? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes. (00:25) Sempre lembrando que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Vocês já sabem. Estamos lá no [email protected], também no YouTube, Mastodon, Bluesky e Instagram. Temos também, como você já sabe, a nossa campanha de financiamento coletivo no Apoia-se: apoia.se/segurancalegal. (00:46) Nós sempre conclamamos que você, se puder, claro, apoie este projeto independente, Vinícius, e resistente. Insistimos, 401 episódios, então é sempre bom contar com o apoio de vocês. Ele também é importante para a manutenção deste podcast. Você também tem o blog da Brownpipe, então entre lá em brownpipe.com. (01:11) br, consegue lá clicar no blog, ver as notícias mais importantes e se inscrever no mailing semanal para que você também fique atualizado. Inclusive, a notícia com base no nosso tema de hoje também está lá no mailing, Vinícius, que é justamente essa movimentação do Banco Central: novas regras de segurança do Banco Central depois de, pelo menos, dois grandes incidentes. Tivemos em julho de 2025 o incidente da CM, do qual nós falamos no episódio 396, e o mais recente agora da Cínquia, Vinícius. O ataque que teria desviado 710 milhões também com PSTI, afetou o HSBC na (01:57) maior parte dos valores. Mas eles conseguiram recuperar, até o momento, 589 milhões, o que seria 83% do que teria sido desviado. Ou seja, uma boa quantia, um bom valor em termos proporcionais. Mas ainda assim, ficou cento e poucos milhões ali. Sim, mas 83% é um bom número. (02:30) Não, você está sendo otimista. Eles poderiam ter falado 10% do valor. Aí sim. Seria um desastre. Você nota que, para uma quadrilha hoje, roubar 700, 710 milhões em espécie de um banco é uma tarefa, eu diria, próxima do impossível, envolvendo um risco e um planejamento completamente maiores, uma logística maior. (02:56) E, Vinícius, antes de começarmos propriamente a falar sobre essa resolução do Banco Central, a resolução 498, que saiu na sexta-feira, na noite da sexta-feira, dia 5 de setembro. Sim, nós falamos sobre isso no episódio 396. Nós até fomos conferir na pauta e, claro, antecipamos, na verdade, uma tendência. Me parece que é uma tendência, pelo menos para quem conhece este mercado e para quem tem acompanhado a atuação do Banco Central, uma tendência meio óbvia. O que (03:29) dissemos é que o Bacen deveria aprimorar suas práticas de segurança, principalmente exigindo, monitorando e acompanhando a segurança dessas instituições. E, dois meses depois, justamente veio essa regra, que também contou com uma entrevista coletiva dada pelo Galípolo, que falou sobre algumas questões e depois respondeu perguntas da imprensa. Inclusive, também fizemos um resumo dessa entrevista que ele deu, e está lá no nosso mailing, perdão, no nosso blog. (04:05) E fica aquela sensação de que, de fato, o Banco Central se movimentou, Vinícius. Sim, sem dúvida. Acho que não teria outra resposta possível, porque se o Banco Central não fizesse um mínimo de movimento no sentido de exigir maiores controles e segurança dessas instituições, colocaria em xeque a própria confiança no sistema. E sabemos que a confiança no sistema financeiro é algo extremamente importante e conta com uma (04:40) série de proteções. E o que não falta, e nós chegamos a comentar no nosso episódio 396, é gente para dizer bobagem, para dizer que o sistema financeiro é ruim. Não falta esse tipo de coisa. Então, é mais uma ação afirmativa no sentido de garantir a segurança do sistema financeiro, desse mecanismo todo que envolve centenas, milhares de instituições que estão vinculadas numa grande rede. E nessa rede (05:14) temos nada mais, nada menos do que dinheiro sendo transferido. Ou seja, em vez de ter que explodir um carro-forte como acontecia alguns anos atrás (talvez ainda aconteça), em vez de ter que fechar uma cidade inteira e tentar roubar uma agência de um banco, hoje o que se precisa é de acesso à rede do Sistema Financeiro Nacional (05:40) e interagir com o Pix, que é o meio preferido. É quase como dinheiro em espécie circulando ali. Então, nada mais natural do que o Banco Central reforçar – eu não digo tanto criar novas coisas, Guilherme Goulart, pelo que nos pareceu – mas reforçar coisas que nós já tínhamos em outras resoluções, em outros regulamentos. Sim, sem dúvida. (06:06) Quando olhamos para a ISO 27002, por exemplo, e também para algumas resoluções e regras do Banco Central, ela meio que consolida isso. Não tem nada de muito novo aqui. Tem algumas regrinhas que vemos que foram feitas exatamente para o caso da CM, por exemplo, que vamos destacar aqui. (06:27) Algumas dessas criações ficam bem claras, mas mesmo essas inovações, que eventualmente para alguns podem parecer uma novidade, elas estão lá na ISO, por exemplo, há anos. Inclusive, são temas que, em geral, as empresas não dão muita atenção; um deles aqui que a gente vai comentar. (06:45) Fique conosco, não vá embora. Você vai saber. Tem que segurar a audiência, Vinícius. Vamos lá. O que vamos fazer? Vamos comentar algumas das regras aqui desta resolução. Algumas não vamos falar, porque ela é de certa forma extensa, Vinícius, tem 38, 39 artigos. Então, vamos deixar de fora algumas questões como descredenciamento dos PSTIs, algumas questões sobre planos de continuidade, a tal da saída ordenada do PSTI do sistema financeiro, que seria: se você tem problemas ou ele não cumpre com as (07:16) regras, ele não para de prestar o serviço imediatamente, porque, claro, você vai ter outras instituições utilizando aquele serviço. E também uma questão que eles até investiram um certo tempo ali de regulação, que é a gestão de crises operacionais, que é um elemento mais, eu diria, de alto nível e que toca até nessa questão da confiança que você comentou. Ou seja, é papel do ente regulador aqui também manter a confiança no sistema. Acredito que o Banco Central tem conseguido fazer isso e (07:47) demonstra mais essa atuação dele nesta regra. Bom, eles estabeleceram agora também novos requisitos de credenciamento, e muitos desses requisitos estão relacionados, por incrível que pareça, a aspectos da segurança, não somente técnica, mas organizacional. Aquilo que a LGPD fala, mas outras normas de segurança também falam. O Vinícius, inclusive, tem um artigo já bem antigo, Vinícius, em que você coloca aquele que fala sobre a política, (08:26) mecanismo e cultura. Ah, sim. Como tripé da segurança e tudo mais. Isso aparece bem aqui. Isso aí é de 2000, inclusive. Foi escrito a primeira vez que está num artigo publicado mesmo, foi numa jornada que eu, André Perez, Rafael Campelo, acho que nós três, não estou esquecendo, o Herman acho que também, escrevemos para um congresso da Sociedade Brasileira de Computação que aconteceu em Floripa. Estamos falando de 2000, 2001, (09:01) há bastante tempo, lá se vão 25 anos. Mas é interessante, porque isso é mais teoria da segurança da informação. O que eles estão atacando aqui? Primeira definição de diretorias específicas para lidar com segurança e gestão de risco. E essas diretorias devem ter uma capacitação técnica compatível com essa responsabilidade. (09:24) E também um diretor para gestão de crises, que é esse aspecto um pouco mais organizacional mesmo. Ou seja, não é só você responder ao incidente, não é só você sanar ou retornar ao ambiente em casos de incidentes que afetem a disponibilidade, mas também você conseguir publicamente lidar com essa crise. Estabeleceram questões como capital mínimo de 15 milhões, a comprovação da implantação de todo um mecanismo, de todo um arcabouço aqui de governança corporativa e gestão de riscos, a necessidade de se submeter à certificação de segurança de norma (09:58) reconhecida internacionalmente ou a seguração independente aceita pelo Banco Central, além de auditoria externa anual de segurança. Anual e de segurança. Uhum. E aí, você vai ter, muito provavelmente, uma 27.001 com base nos controles da 27. (10:18) 002 aqui como regra, norma internacionalmente conhecida, mas deixa uma abertura aqui para o Banco Central até mesmo criar regras, normas específicas. Acredito que não vai criar uma norma, mas diretrizes talvez mais específicas para isso também. Coisas assim bem básicas, eu entendo, para um PSTI que vai estar no contexto que funciona hoje, por exemplo, plano de continuidade, testes periódicos de contingência. É obrigatório, o que a gente recomenda para clientes quando faz auditoria. Isso, inclusive, já estava nas normas do Banco Central, Guilherme. É, da nuvem, sim. Da parte da (10:48) nuvem, sim. É, dos planos de resposta a incidentes e tudo mais. E aí, sim, porque eles repetem aqui muito a política de segurança da informação e segurança cibernética, que vai trazer uma série de elementos também bem conhecidos. Quando eles começam a falar sobre governança corporativa, eles deixam claro, isso tem a ver também com gestão de riscos. Governança e gestão de riscos devem ser compatíveis com a natureza, com o porte e com a própria complexidade da instituição, o perfil de risco. E aqui uma coisa que é bem (11:21) interessante: assegurando processos decisórios transparentes. Porque tendemos, Vinícius, e aí novamente a questão do teu artigo, a achar que “não, eu vou implantar mecanismos tecnológicos e deu”. Só que hoje, falar em governança de segurança, não só hoje, mas já há bastante tempo, envolve você conseguir tomar decisões de forma acertada, de forma ajustada, com as responsabilidades sendo devidamente segregadas, principalmente. Ou seja, eles fazem um esforço muito grande aqui. As políticas devem (12:04) garantir segregação de funções entre gestão executiva, gerenciamento de riscos, compliance, segurança e auditoria. Ou seja, vou precisar de diretorias para cada uma dessas áreas aqui. Para quê? Justamente para evitar conflitos de interesses, Vinícius. Exatamente. Esse, Guilherme, é um problema que a gente sempre teve na segurança da informação. Aí tem dois caminhos que o Banco Central, que eu imagino, minha percepção aponta que o Banco Central quis. Um caminho no (12:37) sentido de determinar que tu tenhas toda uma abordagem top-down para definir o que deve ser feito e garantir que vai ser feito. Então, tu tens o alinhamento que o Banco Central exige, a diretoria busca cumprir e repassa isso até que chega num ponto lá em que tu vai ter uma implementação de mecanismos, controle de navegador que o cara usa, implantação de antivírus, normas de acesso físico e outras coisas mais práticas mesmo. Por outro lado, me parece também que o (13:21) Banco Central tem um interesse bem grande de estabelecer responsabilidades, que possam ser, vamos dizer assim, rastreadas. Porque quando acontece um incidente desses, quem determinou o quê? Como é que eu apuro a responsabilidade dentro da instituição? Porque senão fica uma coisa meio solta. “Não, isso aí, a gente viu, disse que fazia isso e aquilo, mas alguém determinou? A direção determinou ou não determinou?” (13:56) É uma decisão tomada conscientemente pela empresa ou foi um desleixo ou foi uma omissão? Foi, foram omissos ou foi algo que a instituição decidiu não cumprir? E notem, e não adianta, e para o caso da instituição, essas novas demandas aqui só reforçam essa necessidade. Tu tendo independência, tu não tendo conflito de interesse entre esses diversos setores que tu citou, Guilherme, os avisos, as notificações, as interações entre elas vão naturalmente gerar evidências (14:38) desses posicionamentos da empresa, seja nas direções, nas presidências. Seja uma decisão de negócio tomada lá em cima, ou seja algo que de repente, na hora de chegar lá no analista de segurança, houve uma falha ali e a coisa não foi simplesmente implementada. (15:04) Então, me parece um pouco desses dois caminhos. O primeiro caminho é para as coisas irem bem, ou seja, as decisões sejam tomadas e elas tenham um impacto de fato nas operações da empresa. E outro caminho é para quando a coisa dá errado: saber onde esse negócio parou dentro da empresa. Os processos andaram, não andaram? Tem independência, não tem? (15:33) As coisas foram varridas para baixo do tapete? E aí, a ausência de documentação também vai ser um problema por si. Já é um problema. Quando tu tens um incidente, tu tens que mostrar evidências de que tinhas um mínimo de controle. E se tu não tens evidência nenhuma, isso já é um baita de um problema. (15:52) Só que eu acredito que isso aqui vai gerar ainda outro tipo de evidência: evidências de que coisas são comunicadas и não são feitas. Aí acho que é um pouquinho pior. Sim, porque a norma fala em “segregação de funções” entre essas atividades. Está escrito ali e “segregação de funções” é algo que já é falado no mundo das instituições financeiras de maneira geral há bastante tempo, não somente nessa questão de segurança, porque você tem outros riscos, por exemplo, risco de crédito e outras questões que não nos interessam, que não (16:25) é nossa área. Mas quando você estabelece, no mínimo, que você vai ter uma diretoria de segurança de informação, separada de riscos e compliance, separada de relacionamento do Bacen e separada de gestão de crises, pelo menos tendo uma diretoria de riscos, compliance e controles internos, isso é o que vai fazer сom que a própria segurança da informação confirme para essa outra diretoria que as medidas que foram estabelecidas foram tomadas. É quase como quando você tem aquela questão dos poderes harmônicos entre si que a gente tem, dos três poderes e (17:06) tudo mais. É quase como uma contenção, uma harmonia e um trabalho que vai fazer com que não seja possível, a não ser que uma dessas diretorias comece a mentir ou a não fazer o seu trabalho. Mas se todas elas funcionarem adequadamente, fazendo a sua parte, não tem como você ter conflitos de interesses ou processos que não sejam transparentes. Isso fica bem claro aqui. Depois, ainda seguindo, Vinícius, vai me interrompendo sempre que tu quiseres comentar, eles começam a falar (17:40) sobre gestão de riscos. E dentro de gestão de riscos, deve ter uma política de gestão de riscos que deve abordar coisas como segurança da informação e cibernética, continuidade de negócios, gestão de crises, gestão de fraudes. Que daí é uma outra questão, lá pelas tantas eles vão começar a comentar: “Olha, você tem que começar a cuidar aqui do perfil de operações que se dão”. Que isso sim é um… porque até agora a avaliação dos perfis de operações ficava do lado do cliente do PSTI. Agora o que o Banco Central está dizendo é: “Você (18:14) também vai ser um agente para verificar possíveis fraudes”. Ou seja, deixa bem mais complexa a atividade do PSTI. Controles internos de conformidade e auditoria interna. Claro, segurança e auditoria, compliance, gerenciamento de riscos são todas essas áreas que vão trabalhando entre si, que vão se cobrando. O que acontece se você deixa todas essas áreas em uma diretoria, por exemplo? Aí você pode ter eventuais problemas de conflitos de interesses, que é o que a norma, entre outras coisas, tenta evitar. Também fala sobre os requisitos de uma política de segurança da informação. (18:55) Só destacando, Vinícius, até aqui não tem nada de novo. Uhum. Não tem absolutamente nada que não seja conhecido da comunidade de segurança e de quem conhece normas como a ISO 27002. Quando então fala sobre a PSI, lá no artigo 17, eles vão colocar coisas que no mínimo a política deve ter. A ISO já faz isso, mas vamos colocar: criptografia, detecção de intrusão, prevenção de vazamento, backup, avaliação de risco, avaliação de vulnerabilidades, controle de acesso, aplicação regular de (19:28) correções de segurança (patch management), segregação de ambientes. E aqui uma novidade, talvez não bem novidade, mas uma coisa mais específica seria: isolamento físico e lógico do ambiente Pix e STR dos outros sistemas da instituição. Isso aqui está com uma carinha de ser uma regra criada lá para o caso da CM. É, isolamento físico e lógico de… bom, físico, aí vai depender de ambiente para ambiente, Guilherme. Porque muitas empresas até têm alguma coisa local, mas têm muito serviço, tudo em nuvem. É difícil falar em (20:11) físico. Mas assim, vamos estar separando em ambientes… Eu diria que está entre o físico e o lógico, entre ambientes virtuais diferentes que seja. E essa acho que é a parte talvez mais fácil. Mas a questão mais complicada é o isolamento lógico. Uhum. (20:39) Eu acho que quando tu falas em isolamento lógico é um pouco forte demais, porque eu entendo isolamento como isolar mesmo, particionar, não ter acesso. E, no entanto, tu precisas que vários outros sistemas interajam com esses sistemas. Então, vai haver um controle da comunicação entre sistemas. Tem que ter uma separação, uma segmentação, digamos assim, e um ponto de controle da comunicação entre esses sistemas. (21:09) Isso é perfeito e natural que exista. Agora, um isolamento eu acho complicado. E aí caímos no nosso metiê. A gente analisa, vamos fazer um jabá para a Brown Pipe, Guilherme. A gente nunca lembra de fazer. Vai lá, vai lá. Mas aí entra na nossa metida, na parte de pentest e tudo mais que a gente faz. Tu vais ter uma aplicação, tu vais ter uma aplicação que usa uma API que se comunica com esse ambiente. E tu até podes isolar logicamente, digamos, separar logicamente, mas tu (21:43) ainda assim vais ter que permitir algum grau de interação entre esses sistemas. E aí tu tens sistemas com certas vulnerabilidades que vão acabar expondo esse ambiente. Então, é uma cadeia de coisas, não tem. É por isso que eu acho um pouco forte essa questão de isolamento lógico, porque de fato tu não vais conseguir isolar logicamente. Vais ter que permitir algum tipo de comunicação entre eles. E aí tem todo tipo de problema aqui que acaba aparecendo. (22:14) Mas sabe o que me chama a atenção aqui nessas regrinhas que são bem específicas? Veja, eles não nos deram as informações para o grande público do que exatamente aconteceu. Mas se você for cuidadoso e olhar essas regras, eu acho que você começa a ter umas dicas do que eventualmente pode ter acontecido, porque são regras muito específicas. É, talvez o carinha que fez os acessos para mexer no que ele mexeu e não deveria, não tivesse acesso direto aos sistemas que faziam, que (22:44) executavam o Pix e tudo mais. E a regra de baixo: gestão de certificados também. Gestão de certificados. Isso aqui é bem interessante, porque é o velho problema do gerenciamento de chaves, no final das contas. Certificado não é o problema em si, é o gerenciamento das chaves. Mas isso aqui está com muita cara de chave que estava em e-mail, chave que estava também, acho, em alguma pasta compartilhada em algum lugar. Porque esses certificados que ficam andando para cima e para baixo, que o pessoal tem que instalar nos sistemas, cara, é seguido isso passar por (23:24) e-mail. Seguido. “Ah, está aí o certificado, não sei quê”. E sabe o que reforça mais essa tua avaliação? Parágrafo primeiro ali do artigo 17: “O PSTI não deverá ter acesso às chaves privadas utilizadas para a assinatura das mensagens no âmbito dos arranjos e sistemas de pagamentos providos pelo Banco Central.” (23:48) Talvez mais uma dica aí do que possa ter acontecido também. Só para quem nos ouve, para quem é da área, acho que já entendeu o problema. Agora, quem talvez não saiba muito ou não tenha uma intimidade muito grande com isso, é o seguinte: as operações têm que ser assinadas digitalmente, certo? Mas não pelo PSTI. (24:10) O PSTI só fornece o serviço para a instituição que não se conecta diretamente na rede da STFN, do Sistema Financeiro Nacional. Então, eu uso o PSTI, só que o PSTI só faz esse meio de campo para essa comunicação. E eu, Vinícius, vamos supor que eu contrate o serviço do PSTI. Eu tenho minha chave privada lá para assinar as minhas operações, assinar as mensagens que eu quero mandar. Só que aí acontece um detalhe. (24:43) Idealmente, eu deveria ter o meu próprio sistema, separado do sistema do PSTI, para fazer essas assinaturas dessas mensagens e encaminhar isso lá para o Banco Central. Só que, com uma certa frequência, o que a gente vê é um pacote de solução que vem o software no qual tu tens que instalar tua chave privada lá dentro, tens que botar lá dentro do sistema para ele poder assinar quando tu usas uma API para fazer determinadas operações. (25:18) E isso, estou curioso até para saber mais detalhes nesse sentido, mas me parece que isso vai acabar tendo que virar um outro “pedaço”. Vocês vão ter que separar esses pedaços de software. Ou seja, vai ter empresas que têm os seus próprios, claro, não tem problema. Mas empresas que querem contratar PSTI para não ter muito trabalho com isso, estão acostumadas com uma solução pronta em que só largam uma chave privada lá dentro. (25:44) Aí tem uma senha para autenticar e diz assim: “Ah, faz a operação aí para mim”. Ele faz, assina a mensagem e manda. Manda, recebe, verifica, faz o que tiver que fazer, mas a chave fica lá. E aí, de repente, tu estás a falar que o sistema do PSTI não pode ter acesso às chaves. Quando tu falas “o PSTI não pode ter acesso às chaves”, se eu estiver a usar um sistema que o próprio PSTI está a me fornecer, o PSTI tem acesso às chaves, entendes? Isso significa que o PSTI tem acesso às chaves? Aham. Ou, uhum. (26:15) Se eu tenho uma peça de software fornecida pelo PSTI e que eu rodo na minha infraestrutura, e às vezes o PSTI nem gosta que tu olhes este sistema, mas ele está a ser específico na chave privada, Vinícius. Pois é, mas aí é que está. Eu ter um sistema, vamos supor, fornecido pelo PSTI dentro da minha infraestrutura, e olha que, via de regra, tu não podes nem mexer ali. Tu não podes mexer nesse sistema. (26:43) Os caras nem dão detalhes, tem uma série de situações meio chatas, algumas situações que já aconteceram. Mas aí tu tens que botar a tua chave privada ali, embora esteja na tua infraestrutura. Isso significa que o PSTI tem acesso à tua chave privada, ou a intenção do Banco Central é que o sistema que assina a mensagem tem que ser outro? Entendi. (27:13) Aí esse sistema fica com a chave privada, ele já entrega a coisa assinada para o PSTI, seja para o software, e aí o PSTI se vira e faz o que tem que fazer. Porque isso vai quebrar com muito modelo de prestação de serviço de PSTI. Mas você percebe que a exploração desse tipo de vulnerabilidade, essa questão da chave privada aqui, pode ter sido um dos vetores ou uma das vulnerabilidades que permitiram essa fraude? Não, mas eu acho que não. Não pode. Acho que com certeza. Acho não. Com certeza não dá para dizer. (27:49) Não, as operações tiveram que ser assinadas para serem realizadas. Uhum. Elas têm que ser assinadas e têm que ser assinadas com a chave privada do lugar. Agora, o que parece aqui é que, bom, primeiro, tem isso que eu falei. Normalmente o sistema tem um software fornecido pelo PSTI, no qual tu instalas a tua chave privada. Então, se isso significa que o PSTI tem acesso à chave, bom, aí já foi. (28:23) A falta de isolamento permitiria que o cara que fez a fraude, o funcionário que fez a fraude, e a falta de isolamento dos ambientes e tal, ele tivesse acesso direto ao serviço via aplicação do PSTI, que faz a integração lá com o PSTI. Então, me parece que é uma sequência bem plausível dentro daquilo que a gente já viu, do que a gente conhece. (28:48) Me parece uma sequência bem plausível de situações. Tu tens o PSTI que fornece um serviço, a chave privada fica ali, tu precisas de uma credencial tua para se autenticar com o serviço do PSTI que está local na tua estrutura — não fisicamente, necessariamente, local, mas numa infraestrutura que tem acesso — e faz tal operação. (29:10) O próprio sistema assina as operações e encaminha isso de forma automática. E, ao mesmo tempo, tens um funcionário que, por falta de isolamento adequado ou de controle de permissões, etc., conseguia chegar até esse serviço e tinha as credenciais para operar nesse serviço. E aí, feita a caca, entendes? É uma boa discussão essa aqui. É, mas é que são, na verdade, estamos aqui imaginando o que aconteceu. Mas, enfim, falamos sobre isso no 396. (29:37) Você tem dúvida, vai lá, escuta. Outras coisas que eu acho que são aqui… essa até não, que é: ações de inteligência cibernética, monitoramento de clientes, chaves, vulnerabilidades na internet, deep web, dark web. Tem empresas que fazem, que prestam esse serviço. (29:59) Isso se alinha bem a um controle novo, entre aspas, da 27002 de 2022, que é o controle de inteligência de ameaças, que não tinha na versão anterior, que é justamente isso. O nome é isso, inteligência de ameaças. Você começar, você ter alguma atividade, seja sua ou de um terceiro prestando, que faz essa avaliação. De certa forma, o nosso mailing tem um pouco essa função também: você ficar atualizado, ver eventuais… claro que devem ter coisas bem mais específicas. (30:28) Você tem um ambiente X com sistemas X, Y, Z, você vai buscar vulnerabilidades, zero-days e aquelas coisas todas para você manter, acompanhar também o cenário e a evolução do cenário de risco no qual tu estás inserido. Mas aí tem umas coisas bem interessantes aqui também, que é muito uma resposta direta ao caso: a avaliação de vulnerabilidades deve envolver, e isso é bem específico, varreduras físicas periódicas para identificar dispositivos indevidamente conectados. E, aí, Vinícius, isso é bem (30:59) interessante, porque a norma ISO fala sobre isso. Eu comentei antes, esse aspecto de segurança física não é muito valorizado pelas empresas, e nas notícias da época daquele incidente, disseram que teria sido instalado lá um “appliancezinho” ou… não se sabe se era um appliance, era um pedaço de software e tal. (31:27) E essa regra talvez nos faça intuir, olhando para o caso concreto e tentando descobrir o que aconteceu pela regra, que pode ser, sim, que os caras tenham conseguido instalar um Raspberry, alguma coisa do gênero, lá dentro da infraestrutura. Alguém está assistindo Mr. Robot. Mas é aí que está. Percebe que esse é um recurso que se usa para pentest quando tu precisas de acesso, quando tu vais fazer isso remotamente, Guilherme? Uhum. Então, por exemplo, quando tu tens uma situação que vais fazer um pentest que envolve infraestrutura, tu (31:55) terias que estar conectado à rede local, mas o teu cliente está distante, tu não vais até lá presencialmente fazer e tal. O que é bem normal? Tu instalares, tu pedires que o cliente forneça ou tu enviares para o cliente um equipamento que ele deve conectar na rede dele. E a partir desse equipamento, ele dá acesso, liberar lá o acesso às redes que a empresa tem para a gente conseguir usar esse equipamento como ponto de presença na rede do cliente e realizar as varreduras, as verificações que tiver que fazer, que tiver que realizar. Então, esse é um procedimento bem normal. E se tu tens um ambiente no qual talvez (32:34) tu tenhas um usuário limitado, com acesso limitado ao que ele pode fazer no computador, não é administrador, por exemplo. Não tem acesso administrativo para instalar software, etc. Então o cara não pode instalar uma VPN, não pode fazer alguma coisa assim. O que é mais fácil do que pegar um Raspberry Pi? Caixinha pequenininha, não faz, não precisa de cooler, não precisa de nada. Tamanho de uma carteira de cigarro. Um pouquinho mais grosso. Talvez se tu (33:00) pegares umas caixinhas, aí sim, fica menor, mais fino que uma carteira de cigarro. Não que eu saiba exatamente a espessura de uma carteira de cigarro, mas ele… tu pegas um equipamento desses e se a rede não tem segmentação, se a rede não tem uma segmentação interna, não separa os ambientes… Pelo que a gente está pressupondo aí, talvez não tenha mesmo. (33:26) Basta que essa caixinha seja ligada, ela se conecta, a partir dali estabelece uma VPN com algum lugar na internet, não precisa nem ser diretamente com uma máquina do atacante. E a partir daí, o atacante vem e faz o acesso à infraestrutura interna. Aí faz bastante sentido. Porque se o funcionário, do que a gente viu nas matérias e tal, não era alguém conhecedor de TI, que tinha que ficar anotando comando em caderninho e não sei o quê, o cara tinha que ficar olhando os caderninhos e fazendo… olhando (33:56) e fazendo… Imagina fazer o ataque todo dependendo desse cara. Então, me parece bem interessante. Me parece bem interessante colocar, mandar um equipamento: “ó, liga aí na rede, já que não tem separação nenhuma, liga aí que daí eu consigo acessar direto essas coisas e fazer o que tenho que fazer. Aí só me arranja as senhas”. (34:15) É muito interessante. Deixa eu te ler uma outra. Eu vou te ler uma outra aqui, que é sobre controle de acesso também. Revisão periódica de permissões, OK. Especialmente de colaboradores terceirizados. É mais uma vez uma regrinha específica para o caso da CM. Outra resposta direta aqui. E aí, utilizar múltiplos fatores de autenticação para o acesso administrativo dos sistemas que envolvem a atuação direta no Pix e no STR. Aqui parece mais um reforço, mas, assim, eu não consigo imaginar você não ter múltiplos fatores de autenticação para acesso ao STR, por (34:52) exemplo, ou acesso ao Pix que te permitissem simular ou falsificar ali transações. Porque me parece que foi isso que aconteceu também. Outra coisa, Vinícius: proteção de rede, além de firewall, claro. Definição de critérios especiais de monitoramento, em especial em horário noturno ou não convencional. Mais uma resposta direta ao caso, que parece que se deu de madrugada e tal. (35:20) E também monitoramentos de eventos atípicos, como abertura de VPNs, tentativas de acesso privilegiado em horários especiais. Ficou bem marcada aqui a questão do horário especial também. E o parágrafo sexto ainda desse artigo 17: a gestão de certificados envolvendo o monitoramento de uso e guarda dos certificados. (35:39) Mais uma vez a preocupação que a gente colocou aqui também. Tá, Guilherme, eu tô com a tua… Mostra aí a imagem pronta aqui. Só deixa eu… parei que eu, sem querer, cortei a faixa aqui do The Register para aparecer a fonte, cara. Tem que aparecer a fonte pro nosso… Não, isso aqui eu procurei aleatoriamente quando a gente falava aqui, um “Raspberry Pi Cigarette Case”. E, de fato, tem ali, mas isso aqui acho que o cara… isso aqui é de 2012. Mas a ideia… Opa, não. (36:10) Ih, opa, entrou o vídeo da… Não, para aí, é que tem o… eu estava… se tivesse me avisado antes. Mas aqui, aqui. Pronto, pronto. Está aí. Vai lá. Aí, ó. Mas é uma boa ideia, cara. Não, dentro de uma carteira de cigarro de verdade, que aquilo ali é papelão. É claro, mas, assim, dá tranquilamente para colocar. É interessante. É isso. (36:35) É segurança física, e aquela história: só vai chamar a atenção essa tralha em cima de uma mesa com cabo de rede saindo dela. Tudo bem que se tiver Wi-Fi, tu só precisas de um… ainda assim, precisas de um cabinho aí para manter funcionando, mas pões uma bateria escondida junto. (36:52) É, isso é de 2012. 15 anos já. Bom, aí depois tem aqui também coisas bem interessantes sobre a PSI aqui e outras regras, outras questões aqui que a PSI deve tratar lá no artigo 17 também, que é a certificação técnica das soluções de tecnologia da informação utilizadas pelas instituições e outras instituições supervisionadas pelo Banco Central para integrar por meio das interfaces eletrônicas. (37:25) Eu acho que ele deve estar querendo se referir às APIs aqui com serviços providos pelo PSTI. Ou seja, o que me parece que essa regra coloca, e eu acho que ela vai precisar de uma regulamentação adicional e posterior para dizer como que essa certificação técnica vai se dar, é que o que parece estar sendo dito aqui — lembrando, esta é uma regra que saiu sexta-feira passada, a gente leu, deu uma estudada nela, mas admitem-se aqui outras interpretações mais refletidas —, mas, enfim, o que se está dizendo aqui é que os sistemas que forem se conectar por meio de APIs aos serviços dos PSTIs (38:02) também devem ser certificados. E aí, isso vai colocar todo mundo que utilizava os serviços do PSTI pela facilidade, pela simplicidade, claro. Você usa o serviço de PSTI para não ter que se conectar diretamente à rede do SFN. Você vai ter aqui obrigações adicionais de certificar as tuas soluções que vão ser conectadas com ele. Por exemplo: a certificação técnica de que trata este artigo deve considerar, no mínimo, a definição e a execução periódicas de testes destinados a certificar que os sistemas computacionais utilizados pelas (38:38) instituições financeiras e demais instituições supervisionadas do Banco Central para integrar, por meio das interfaces, as APIs, os serviços providos pelo PSTI, estão em conformidade com os requisitos operacionais e de segurança estabelecidos. Eles deram um passo para além do PSTI, indo nos contratantes dos serviços de PSTI, mas ainda não está claro como que isso vai ser feito, como é que o Banco Central vai certificar as aplicações dos clientes dos PSTIs. E isso vai atingir muita gente aqui, Vinícius, se por (39:17) isso, exatamente. Essa interpretação que a gente está colocando vai atingir muita gente. Cara, aqui me parece que a maneira mais simples é o Banco Central dizendo que essas aplicações têm que passar por um pentest da Brown Pipe. Quer dizer, eles não citaram especificamente. Sim, não, mas, em essência, quer dizer que essas aplicações têm que ser testadas, cara, e têm que ser testadas regularmente. (39:42) Então, para quem é da área de segurança, é uma coisa meio óbvia. Aplicações têm problemas de segurança, aplicações acabam eventualmente tendo erros de codificação, um erro de projeto ali, um mecanismo mal implementado ou mal definido, às vezes bem definido, e aí ocorre um erro na implementação. Então, a gente tem várias situações aí que colocam esses sistemas em risco, e são sistemas, vamos dizer assim, bastante críticos, porque dão um prejuízo diretamente em grana, em valor. (40:21) Mas a gente tem uma série de situações que não apenas envolvem o sistema financeiro. Sistemas ligados à saúde, hospitais, etc. Quem já viu, por exemplo, quem já esteve perto de algum sistema hospitalar, já acompanhou, e principalmente aqueles sistemas antigos para caramba que estão rodando há 30 anos no hospital e o hospital не substitui, não altera, porque equipamento tal não é compatível e não sei o quê, aquela coisa toda. Legados ali. Sim, sistemas têm problemas. Então, o (40:57) Banco Central, eu não vou dizer que se enganou… se, hipoteticamente, o Banco Central acreditou que garantir a segurança da rede do sistema financeiro nacional e das empresas imediatamente conectadas, se cuidar desse entorno era suficiente… Se eles pensaram isso, se enganaram redondamente. Porque, obviamente, eu tenho várias outras peças de software que não fazem parte desse pequeno círculo, digamos assim, e que interagem, ainda que de forma indireta, com esse sistema. E essas peças de software, elas (41:39) obviamente… “ah, mas ela não pode agir diretamente porque ela passa por uma PSI”. Sim, mas a partir do momento que tu confias no que esses softwares fazem, e tu tens que confiar no que eles estão fazendo, na forma como eles estão implementados, tu vais executar as ordens que eles mandarem. Desde que, claro, se encaixe no protocolo e aquela coisa toda, nos limites, tudo mais, mas vai executar. E o que se descobriu é que a gente tem problema para fora disso. Estamos tendo problemas, temos PSTIs com problemas que já (42:10) estão ligados diretamente à rede, e o pessoal está se dando conta de que не adianta cuidar só do que está ligado direto na rede, porque o PSTI tem que confiar em peças de software que estão, em artefatos e tudo mais, que estão depois dele. E agora, o Banco Central está se mexendo para demandar um controle também dessas coisas que entram em contato por meio do PSTI com o sistema financeiro nacional. (42:40) Então, me parece assim… sabe quando saiu o Pix e aí o pessoal começou a fazer aquelas consultas malucas lá no diretório de chaves? É, no diretório. Aham. Isso. Aí o Banco Central se deu conta de que tinha que botar um limite nisso. E assim aconteceu. E eu acho que agora nós estamos vendo um outro tipo de limite aí sendo imposto, porque realmente não dá para simplesmente confiar em qualquer artefato de software que está vinculado. (43:05) É, mas a mudança aqui, me parece, não, a mudança é: o Banco Central deu um passo para além dos PSTIs. Isso, exatamente. Então, todo mundo que usa PSTI agora vai ter que… Isso não ficou claro agora, isso não ficou claro na entrevista que o Galípolo deu. Eu acho até que ele disse uma frase lá que a gente até replicou no nosso mailing ali, mas, assim, os contratantes têm novas obrigações. E isso é, para mim, um ponto de virada bem importante. Sabe, quase como se fosse assim: “Ah, não, eu uso PSTI, o problema de segurança é lá do PSTI”. E, claro, (43:49) acho que ninguém pensou isso exatamente assim. Mas, na perspectiva do Banco Central agora, você também responderá para o Banco Central. Você, contratante do PSTI. Depois tem plano de resposta a incidentes aqui, que é uma questão aí também nada de novo. (44:09) Claro, o plano deve ser compatível com o perfil de risco e deve ser testado e atualizado. E isso também não é novo, mas, assim, nem sempre isso vai ser bem observado pelas instituições. Política para gestão de fraudes. Isso aqui também é uma questão interessante. Ou seja, a partir de agora, os PSTIs vão ter que também realizar atividades de gestão de fraude com base em padrões históricos e comportamentais. (44:38) O PSTI passa a ser uma parte ativa na gestão de fraude que antes estava lá do lado do contratante do PSTI. Ou seja, era um papel do contratante verificar se um dos clientes dele não está fazendo operações atípicas. Passava para o PSTI assinado, o PSTI jogava aquela operação lá para dentro do SPB. Agora, caso fosse o Pix. Mas o interessante é que agora o PSTI vai ter que… ou seja, muda o papel do PSTI no âmbito da gestão de fraudes. Padrões históricos e comportamentais. E isso, meu amigo, envolve um caminhão de dados (45:21) pessoais também sendo tratados aqui. Ou seja, se isso passava talvez sem um tratamento outro aqui, agora os PSTIs também vão ter que começar a tratar esses dados que, em última análise, podem envolver dados pessoais aí. Depois, políticas de controles internos. Ou seja, qual é a ideia do controle interno? Você ter internamente um grupo e uma diretoria e pessoas dentro dos PSTIs também para garantir que as medidas de segurança implementadas por outras diretorias e pela avaliação de risco e tudo mais estão sendo (45:57) realizadas. Com o destaque de que a política de auditoria interna, seja a política de controles internos e de auditoria interna, devem promover a segregação das funções e das responsabilidades das unidades de negócios com os controles e com os órgãos de gestão de risco, controles internos e conformidade. (46:23) Esse é um ponto que nós já conhecemos e falamos sobre isso há bastante tempo. E agora fica mais claro do que nunca para os PSTIs. Mas outra coisa, Vinícius: agora é PSTI, eu acredito que isso vai se ampliar mais ainda. Isso já está se capilarizando para os clientes dos PSTIs. Claro que o PSTI é, de fato, o ente mais sensível aqui, mas isso vai se capilarizar também para outras instituições. (46:52) É uma demonstração que o Banco Central está dando aqui, me parece. Depois, aí, obrigações adicionais de informações que eles devem dar para o Banco Central. Ou seja, incidentes operacionais que afetem os atributos da segurança da informação ou que possam afetar os serviços devem ser imediatamente comunicados (47:17) claro, após a ciência. Ou seja, após a ciência, devem ser imediatamente comunicados e, em 10 dias, tem que entregar um relatório técnico. Ou seja, eles vão ter que estar muito bem preparados para entregar essas informações em 10 dias, que é um prazo exíguo. Depois, também precisam… diga, Vinícius. Não, mas nota que a notificação de que houve é imediata. É, depois da ciência, não tem. (47:41) É depois da ciência, mas, assim, uma vez que se tem ciência de que há um ataque, ela é imediata, ela não tem prazo. É de imediato, e tem 10 dias para fazer um relatório. A gente já falou sobre isso. Um relatório preliminar, acho que é bem preliminar assim, um relatório sujeito a correções, é possível entregar em 10 dias. Um relatório final sobre o que aconteceu, dependendo da situação, não vai ser possível em 10 dias. (48:14) Mas, enfim, tem outras comunicações que eles devem fazer: alterações de arquitetura, entregar relatórios anuais de auditoria, das auditorias internas e externas. Mais uma questão aí de segregação também, por empresa registrada na CVM, a externa. Seja mais um critério adicional aí dessa auditoria. (48:45) Mas o Banco Central também passa, eles passam a prever algumas medidas cautelares. Sejam medidas cautelares em incidentes que possam afetar o funcionamento do sistema de pagamentos, ou aqueles que não têm causa raiz identificada ou comprovação de resolução definitiva. Ou seja, não é só você ter o incidente, comunicar e depois entregar o relatório, porque o Banco Central pode ficar em cima e, se for o caso, ele pode intervir ali com uma medida cautelar, se não ficar exatamente claro que se identificou, por exemplo, a causa raiz, (49:16) ou seja, o que deu causa, e qual foi a medida de resolução definitiva. Resolução definitiva, tem que ter um certo cuidado aqui, porque a gente fala em gestão de risco. Às vezes você pode, eventualmente, até conviver com uma fonte de risco e tudo mais, mitigar. Resolução definitiva, às vezes, pode ser, em segurança, um pouco complexo, mas enfim. (49:42) E também eles podem aplicar limites operacionais de valores e tal, suspender serviços, exigir auditoria extraordinária, planos de ações corretivos, restringir contratação de novos clientes ou, no pior caso, executar o plano de saída ordenada. O seguinte: você vai sair, o Banco Central dizendo “saia do SPB de forma ordenada”. E também, e este também é um grande ponto de virada aqui, no artigo 35, que as instituições contratantes também vão cumprir, além daquilo que a gente falou antes, elas, e isso me chamou bastante atenção, Vinícius, as instituições (50:22) contratantes dos PSTIs vão ter que garantir ou assegurar que os contratos contenham as regras desta resolução, aqui, e monitorar a adequação do PSTI no cumprimento das regras da segurança, as regras de segurança do Banco Central, gestão de riscos, e o demais ali que está nesta resolução. (50:52) E aí, o que me chama a atenção é que o Banco Central está dizendo que os contratantes dos PSTIs vão ter que monitorar também e acompanhar se os PSTIs estão cumprindo as suas obrigações de segurança. E isso é bem delicado. Não sei se te parece. Não, sem dúvida. Porque já é difícil tu cuidares do teu, tu ainda vais ter que cuidar do outro assim. (51:18) E daí tem que ver até que nível que isso vai acontecer, Guilherme. Se de repente basta, concordo. Se de repente basta aparecer como com a LGPD, por exemplo. Se eu vou contratar o serviço de uma empresa, eu posso solicitar que essa empresa me dê evidências de que ela está respeitando a LGPD, de que os processos dela estão OK, ou que o sistema dela me dá recursos para gerenciar adequadamente os direitos dos titulares e blá blá blá. (51:45) Eu vou poder fazer isso? Ou seja, vou poder: “ó, PSTI, beleza, eu sou obrigado a acompanhar aí para monitorar se tu estás OK. Eu quero, todo ano, o relatório de vulnerabilidade de vocês. Eu quero relatório de auditoria, de pentest e tudo mais”. E nota que lá na resolução do Banco Central, nesta resolução que a gente está discutindo, ele fala justamente de dar os dados e as informações. (52:13) Tu viste a listinha? Não é só 35 dias. Eu não sei, não lembro o número do artigo aqui agora, mas não é só a questão de tu dizeres que, mostrar que fez uma auditoria. Tu tens que demonstrar, tu tens que mostrar o que foi encontrado, o que foi corrigido. Assim, não é qualquer coisa. É até meio complicado isso, dependendo do que vai ser mostrado. (52:36) Eu não sei se é muito viável o PSTI fornecer isso para o Banco Central. Beleza. O PSTI fornecer isso para todos os clientes que ele tem. Também acho. Pode ser problemático. É, não sei. Eu acho problemático. Mas o cliente, então, se for nos termos do cliente do PSTI, diz assim: “Eu quero, me dá evidência de que tu passou por uma auditoria independente, me dá a evidência de que tu fez pentest, me dá evidência este ano, ano que vem eu quero de novo”. E aí eu acho tranquilo. Qual a diferença de comunicar isso para o (53:04) Banco Central? Aí é o trabalho do banco, aí vai dar trabalho para o Banco Central. Não, mas assim, qual é a diferença de tu, PSTI, comunicares isso para o Banco Central e também seres monitorado pelos teus clientes? Porque o que a resolução diz é que os contratantes devem monitorar continuamente a adequação do PSTI contratado aos requisitos de governança corporativa, gestão de risco, segurança cibernética, gestão de fraude. Parece-me uma distribuição… isso dá para chamar, Guilherme, se (53:36) tu quiseres, de uma distribuição peer-to-peer de trabalhos do Banco Central. Uhum. Estás ligado? Não estou dizendo que o Banco Central não vai fazer o trabalho dele, não é isso. Mas tu estás meio que jogando para as pontas: “ó, tu vais contratar um PSTI. Embora o PSTI tenha que passar pela minha avaliação e eu tenha que autorizar o cara e tudo mais, mas tu aí tens que monitorar o PSTI que tu estás a contratar”. Aham. (54:05) De acordo com as regras que eu defini. A parte mais próxima. E detalhe, e detalhe: a não observância do disposto neste artigo, ou seja, se tu, contratante, não fizeres isso, você fica sujeito às sanções previstas na legislação em vigor. Tem outras coisas: manter posse das chaves privadas, não utilizar o mesmo certificado entre ambientes de homologação e produção, manter à disposição do Banco Central documentação relativa à contratação e ao monitoramento e supervisão do PSTI. (54:36) É um dever adicional de monitoramento e supervisão do contratante do PSTI que pode ser exigido pelo Banco Central. Isso é bem interessante, cara. E, ao mesmo tempo, preocupante talvez para as empresas que vão ter que começar a cumprir esse dever de uma hora para outra. É. (54:56) E aí, o seguinte: essa aí que eu coloquei, as empresas podem simplesmente pedir a comprovação de que estão fazendo isso. É uma possibilidade. Então, me dá evidência. Eu contrato o PSTI e digo: “PSTI, me dá as evidências de que tu estás seguindo as coisas”. Esse caminho acho que é fácil. Mas, por outro lado, se precisar de monitorar, acompanhar, daqui a pouco tu vais ter o cliente do PSTI pedindo para o PSTI não a evidência de um pentest, mas autorização para ele, cliente, pegar uma empresa terceira e fazer um pentest no sistema do PSTI, entendes? Ou pegar algum (55:39) tipo de monitoramento mais ativo, sabes? Eu acho mais, eu acho mais provável pedir… mais fácil pedir evidência do que ficar, do que jogar essa questão de monitoramento constante para o colo do cliente, entendes? É, mas não esquece que o cliente aqui ele tem a obrigação de comunicar de imediato ao Banco Central as falhas ou os descumprimentos identificados na atuação do PSTI. (56:12) Você monitora, você tem que guardar as informações, você tem que acompanhar e tem que denunciar o cara para o Banco Central, tem que “dedurar” o cara. E para isso você vai ter que ter um setor interno de controles. Ou seja, você vai ter que avaliar o controle do PSTI. Isso é muito delicado. Isso é muito delicado porque eu entendo que o Banco Central tem mais condições, por exemplo, do que o PSTI para fazer esse tipo de controle de segurança. E entendo que o PSTI, por sua vez, tem mais condições do que o seu cliente lá (56:43) na ponta para fazer esses controles, esses cuidados com segurança. E aí tu dás ao cara lá na ponta, que é o cliente do PSTI, a responsabilidade de monitorar o PSTI. Não, não é responsabilidade, é obrigação. Obrigação. E ainda esse cara tem que coletar a evidência. (57:03) Ele tem que monitorar, sei lá como, tem que coletar a evidência e tem que entregar esse cara para o Banco Central quando esse cara descumpre. E se é obrigação e tu não fazes, tu não monitoras, tu ficas sujeito à sanção. Cara, mas pensa, pega o caso concreto, Vinícius, para a gente já ir terminando. O PSTI pede: “Me passa a tua chave privada aí, porque sem a tua chave privada não vai dar para implementar”. (57:32) E tu passas e tal, e depois te dás conta e tu dizes: “Olha, Banco Central, ele me pediu a chave privada aqui”. Não, você não poderia ainda. Você teria que identificar que ele não pode. Tu vais ter que dizer: “Olha, eu não posso fazer isso. E você está descumprindo o parágrafo primeiro do artigo 35. E eu estou notificando o Banco Central de que você está me pedindo isso”. É isso aí. Exatamente isso. (58:00) Ai, ai. Exatamente isso. Enfim. Tem mais outras coisas aqui, uma norma complexa. Eu acho que, como a gente colocou aqui, outras coisas vão acabar acontecendo aqui também. E vamos ficar atentos, como sempre. Lembrando que eu acho que isso vai dar uma mexida no sistema financeiro. Ou seja, quem utiliza serviço de PSTI vai ter que ficar bem atento agora. E, enfim, vamos ver o que vai acontecer a partir de agora. Sem (58:35) esquecer também, Vinícius, que essas regulações também entram no momento em que o sistema financeiro também foi utilizado nessas investigações recentes aí de fintechs sendo usadas para lavar dinheiro. Então não acabou, cara. Agora sim, ó. Agora essas fintechs todas vão entrar. (58:56) O Banco Central vai regular tudo. Sim. Não vai ter mais essa coisa aí de “conta bolsão”, com essa conta com um dinheiro… Lembrei lá do bolsão do… do… Ah, o “bolseiro”. Aham. É. Não, não vai ter essa brincadeira aí. Então, esse vai ter mais um monte de gente regulada, cara. (59:23) É uma… é assim, acabou a festa. A festa no mau sentido. E acho que não tem outro caminho. Sistema financeiro tem que ser regulado, cara. Tem que ser monitorado. E aquela história: não precisa mais explodir carro-forte. Não precisa mais, tu vais direto nos sistemas, cara. (59:43) E com Pix e com Bitcoin… O Bitcoin que eu digo, com criptomoedas. Pix, cara, o negócio é perfeito. Assim, é o caminho… o caminho é perfeito. O Pix dá movimentação instantânea de dinheiro. Essa movimentação instantânea de dinheiro te permite ter teu dinheiro disponível na conta que tu precisas que esteja disponível rapidamente. (1:00:08) Tu convertes isso em criptomoeda e puf. Então, a gente vai ter mais problemas a acontecer. Vão ter problemas. Os problemas são novos problemas. É um novo mundo. Novo mundo, novos problemas. Novas soluções, novos problemas, novas obrigações. Bom, é isso aí. Não tem muito… Esperamos então que tenham gostado do episódio 401 e aguardaremos todos no próximo episódio do podcast Segurança Legal. Até a próxima. (1:00:40) Até a próxima.  

Neste episódio comentamos o marco de 400 episódios e analisamos a fundo a nova lei do ECA Digital para a proteção de crianças online.​ Você vai aprender sobre as novas obrigações que o ECA Digital impõe a plataformas e serviços na internet, como a polêmica verificação de idade obrigatória e a proibição de funcionalidades viciantes, como o feed infinito e a reprodução automática. Discutimos os desafios técnicos e de privacidade para implementar um controle de acesso eficaz, a criação de uma nova autoridade reguladora e as regras mais rígidas contra o cyberbullying e a publicidade infantil, incluindo a proibição do profiling de menores para anúncios, além de promover o aumento da proteção de dados e a segurança de crianças no ambiente digital, abordando desde o controle parental até a responsabilidade das Big Techs na moderação de conteúdo e na monetização que envolve menores.​. Este é um guia essencial para entender o futuro da segurança online para crianças e adolescentes.​ Neste episódio comemorativo de número 400, Guilherme Goulart e Vinícius Serafim também celebram os 13 anos de podcast, relembram a trajetória do Segurança Legal e agradecem aos ouvintes pela jornada. Além da celebração, anunciam a inauguração do Espaço BrownPipe, um novo local para inovação e gravação de conteúdo.  Para não perder nenhum insight sobre segurança da informação, direito da tecnologia e privacidade, assine o podcast Segurança Legal no seu agregador favorito, siga-nos nas redes sociais e deixe sua avaliação.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing   ShowNotes Vídeo – Conheça o espaço BrownPipe Imagem do episódio – Height Requirement   📝 Transcrição do Episódio (00:01) [Música] Nosso primeiro podcast. Nós vamos tratar a respeito dos recentes vazamentos de dados do sistema, mais especificamente do sistema Consultas Integradas da Secretaria de Segurança Pública do Rio Grande do Sul. Isso tem vindo à lume através dos meios de comunicação, através de denúncias de situações que não aconteceram uma ou duas vezes; elas vêm se repetindo e vêm sendo reportadas ao longo do tempo. (00:43) Ao longo deste programa, nós vamos discutir algumas notícias às quais me referi. Vamos também discutir o que é o sistema Consultas Integradas. Como se dá o acesso ao sistema, quem pode acessá-lo, que informações estão lá e quais são os problemas de autenticação, se há problemas nesse sentido. (01:03) Vamos comentar também a respeito da auditoria do Tribunal de Contas do Estado do Rio Grande do Sul, que foi feita nesse sistema, indicando quais são as falhas a serem corrigidas pela Secretaria de Segurança Pública do Rio Grande do Sul. E vamos discutir algumas questões, possíveis soluções e também a questão da importância deste sistema e quais são os riscos que ele acarreta da forma como é utilizado. (01:51) [Música] Este é o Segurança Legal, episódio 100, gravado em 20 de abril de 2016: Os bastidores do Segurança Legal. Neste episódio especial, falamos sobre os bastidores do podcast Segurança Legal com a ajuda de Fábio Assolini como host. [Música] Este é o Segurança Legal, episódio 200, gravado em 20 de maio de 2019. (02:20) Chegamos aos 200. Neste episódio, vamos fazer comentários gerais sobre os últimos 100 episódios do Segurança Legal com a participação de Fábio Assolini. [Música] Segurança Legal com Guilherme Goulart e Vinícius Serafim. Um oferecimento Brown Pipe Consultoria. [Música] Este é o Segurança Legal, episódio 300, gravado em 31 de dezembro de 2021. (02:53) Neste episódio, você ouvirá um pouco do que aconteceu nos últimos 100 episódios do Segurança Legal. Segurança Legal com Guilherme Goulart e Vinícius Serafim. Um oferecimento Brown Pipe Consultoria. Sejam todos muito bem-vindos ao episódio 400 do podcast Segurança Legal. Estamos de volta com o seu podcast de segurança da informação, direito da tecnologia, tecnologia e sociedade. (03:29) Eu sou o Guilherme Goulart e aqui comigo está, pela 400ª vez, Vinícius. Na verdade, um pouco menos, porque tem vários episódios que eram os resumos de notícias do Assolini. Teve episódios que eu não pude fazer. Então não dá exatamente 400 episódios em que estamos juntos. (03:56) Mas sim, são quase 400 e eu estou quase sem voz aqui. Estou quase ausente do episódio 400. Pois é, eu vi aqui que o cardinal é quadrigentésimo. Quadrigentésimo episódio. Eu achei que fosse quadricentésimo, mas enfim. Acho que dá para contar 400 vezes aqui, Vinícius, até porque teve outras coisas que a gente participou. E acho que esse é o primeiro ponto aqui. Você ouviu aí, a gente fez um pequeno áudio do primeiro, do centésimo, do ducentésimo, do tricentésimo. (04:27) E agora do quadrigentésimo episódio, para trazer um pouco desse histórico, Vinícius. Afinal de contas, aquele primeiro áudio que você ouviu ali, já falei isso várias vezes aqui, mas acho que cabe falar novamente. Você vê que a qualidade estava ruim, tinha um ruído de fundo. Nossa, cara, eu estava olhando os tempos aqui. (04:52) Pegamos do episódio 1, do 100 e do 300. São quatro episódios. Só a abertura do primeiro episódio é metade do tempo de tudo que nós tocamos aqui no início. A gente fazia uma abertura bem mais longa. E sem contar que era uma coisa meio “durenga”, a gente ainda estava encontrando nosso jeito de falar para poder gravar. (05:24) Então, é muito interessante ouvir de novo essas aberturas. E mudou muito da primeira para a centésima. Sim, a qualidade e a forma de fazer a abertura. E também vimos a participação no 100 e no 200 do nosso querido amigo Fábio Assolini, que fez parte da história deste podcast também. (05:49) Aproveitamos para mandar um grande abraço para ele. Um cara muito importante na nossa jornada e, além de ser um cara fabuloso, uma pessoa muito bacana. Então, o Assolini, mesmo tendo deixado o Segurança Legal, faz parte desta história. É importante notarmos também. (06:09) O episódio 300 foi um apanhado dos últimos 100 episódios que durou 5 horas e pouco. Agora, vamos fazer algo um pouco diferente, porque tem outros temas que queremos tratar também, Vinícius. E acho que outro tema, além de agradecer aos ouvintes nesses 12, 13 anos de podcast, de 2012 para 2025, então são 13 anos de podcast. Isso é feito tudo para você, ouvinte. (06:37) Mas também nós temos um anúncio bem legal para fazer, que foi a inauguração do Espaço Brown Pipe na SETREM em 3 de maio. Conta para nós um pouco como foi esse dia. Deixa eu até botar umas imagens para rolar aqui. Depois tem o link para quem quiser assistir ao vídeo na íntegra, com áudio e tudo. A SETREM, a Sociedade Educacional Três de Maio, é uma instituição com mais de 100 anos de existência. (07:06) Claro, a faculdade não é tão antiga. Ela tem, acho que, em torno de 50 anos, se não estou enganado, que é o curso de Administração, um dos mais antigos. Mas é uma instituição com a qual temos uma certa ligação, né, Guilherme? (07:27) Uma instituição em que estudei em 93. Em um dos vários lugares que morei, morei aqui perto, em Boa Vista do Buricá, e acabei estudando na SETREM. E eu tenho muito boas lembranças da SETREM, inclusive relacionadas à questão de TI. Na época, era só eu e mais uns dois colegas que tínhamos computador, e chegamos a fazer trabalho em conjunto com modem, cara, linha discada, não tinha internet. (07:55) Então, temos uma vinculação muito grande. E depois, eu e tu acabamos vindo… Eu acabei voltando a Três de Maio por teu intermédio e da tua na época namorada, hoje tua esposa, a Tatiane. E aí eu conheci a minha esposa. Fomos juntos fazer uma palestra aí na SETREM e eu acabei conhecendo minha esposa. (08:19) Então, quando vim morar em Três de Maio, acabei dando aula na SETREM. Até hoje atuo lá na SETREM, na coordenação de TI junto com o pessoal e acompanho alguns projetos. Então, já fazia horas que a gente estava circulando na volta da SETREM. (08:39) Tu foste professor da SETREM também, Guilherme, no período que tu conseguias ficar viajando. E acabamos estreitando esses laços com a instituição, uma instituição pela qual temos um carinho bastante grande. E a Brown Pipe, nós dois iniciamos trabalhando remotamente desde o dia um. E aí, com a pandemia e o pós-pandemia, como muitas empresas, o resto do pessoal foi para o home office. Eu e o Guilherme sempre trabalhamos em home office. (09:12) Resolvemos então ter um espaço físico ali na SETREM, uma parceria para criar um espaço que represente a Brown Pipe e que seja aberto para conseguirmos interagir de uma maneira mais próxima com a academia, considerando o espaço que temos muito próximo da gente. (09:34) Então, essa sala aí que vocês vão ver, é mais um lugar de encontro, de estudo, de gravações. Vocês vão ver coisas gravadas lá. Este fundo aqui já é de lá. E nós fizemos um evento em que falamos sobre inteligência artificial, segurança da informação e proteção de dados. Essas três coisas. (09:59) Fizemos um talk com empresários aqui da região sobre esse tema. Então, foi um momento bem interessante, em que inauguramos esse espaço lá dentro da SETREM e reforçamos uma parceria que já estamos buscando há algum tempo, para estar mais perto dos alunos aqui da cidade. Tem curso de Direito aqui, de Computação, Psicologia, Enfermagem, Pedagogia, tem várias coisas aqui. (10:29) Quando falamos em proteção de dados, nem sempre chamamos tanta atenção. Mas quando falamos, por exemplo, de ferramentas que todo mundo está usando, aí acaba envolvendo toda essa questão da proteção de dados, segurança da informação e tudo mais. Bom, mas estão aí algumas imagens para você conferir o que aconteceu no evento. (10:45) Estamos bem felizes por ter feito isso, Guilherme. Por ter feito essa inauguração. Acho que são duas coisas das quais eu me orgulho muito na minha vida: o podcast Segurança Legal e a Brown Pipe. Porque construímos essa empresa desde o início com uma série de valores que fomos preservando ao longo do tempo, sobre como trabalhar, sobre como lidar com as pessoas. (11:13) E acho que isso acaba se refletindo também na forma como lidamos com nossos clientes. Vocês nos conhecem, têm nos ouvido aqui por 400 episódios. Então, também achamos que é possível mudar o mundo, ou contribuir para o mundo, por meio de uma empresa, pela forma como lidamos com as pessoas, com a academia, com os clientes, com os funcionários. E acho que essa sala representa isso também, porque ela vai permitir, é uma sala multiúso. Tanto a comunidade acadêmica, os docentes, os discentes podem usar essa sala se quiserem. (11:47) E a própria comunidade empresarial de Três de Maio. Ficou um espaço excelente. Modéstia à parte, Vinícius, investimos bastante tempo ali no planejamento, então todos os detalhes foram cuidadosamente planejados por nós. E, claro, não podemos esquecer também da Camila, que trabalha conosco, que foi a pessoa tanto que organizou esse evento, que você está vendo ali, foi um evento bem legal, depois vai ficar o link para você ver os vídeos e fotos, mas também (12:16) foi a pessoa que, em grande parte, foi responsável pela organização da própria sala, escolhas e tudo mais. Foi ela que fez aquele logo bonitão da Brown Pipe, que ficou um logo metalizado. Não, não vem com metalizado. Eu penei para conseguir encaminhar isso. Não fui eu que fiz, é óbvio. Isso aí é aço inox. Não lembro o número do inox. (12:41) Tem um número específico. Ah, eu não sabia dos números do inox. Há vários tipos de inox. Ali é um aço inox de 1.5 mm. É pesado pra caramba aquele negócio. Bom, de qualquer forma, fica então aí o nosso anúncio. Se você estiver pela região, nos avise e passe lá para conhecer o espaço, tomar um café com a gente, tomar um suco, enfim, conversar sobre esses nossos temas. Será muito bem-vindo. Tá bom? Beleza, Guilherme. (13:12) E agora vamos entrar no ECA Digital. Esse foi, Vinícius, um dos… embora o projeto seja de 2022 e tenha sido discutido com reuniões, com audiências públicas e tudo mais, ganhou reforço essa questão do ECA Digital com o famoso vídeo lá do Felca, que inclusive foi nosso último episódio, o 399, que gravamos em agosto, 12 de agosto. Falamos sobre (13:48) isso e o processo legislativo passou por Câmara e Senado, e agora essa lei já foi para a sanção presidencial. Ele pode eventualmente vetar uma ou outra coisa, mas estamos vendo aqui a versão que provavelmente vai se tornar a lei. E aqui, acho que cabem algumas questões, algumas direções introdutórias, Vinícius. Essa lei fala sobre várias coisas que vamos comentar aqui, sobre várias práticas que deverão ser realizadas pelos (14:17) provedores e por empresas que disponibilizam conteúdo direcionado para crianças e adolescentes. A lei toda fala sobre crianças e adolescentes, mas para eu não ficar repetindo, vou falar “criança”, e vocês entendam que o adolescente está incluído, tá? Só para não ficar falando o tempo todo “criança e adolescente”. Então, para qualquer tipo de produto ou serviço que seja direcionado para a criança ou de acesso provável por eles, o que pode ser também um problema para saber o que vai ser esse “acesso provável”. Várias dessas práticas vão contar ainda com uma (14:56) regulamentação posterior para dizer como algumas dessas coisas serão feitas. É um tema complexo e eu cito aqui, Vinícius, as palavras do Paulo Rená, nosso amigo, agora doutor em Direito, recém-doutor em Direito, e ele falou assim: “Pode não ser a melhor lei, pode ter problemas de fato, mas é um avanço importante na proteção dos menores”. O pessoal não gosta muito de falar “menores”, mas enfim. (15:29) Porque tem toda a questão do que é criança e adolescente pelo ECA. Mas não importa agora para esta discussão, mas se tem definição, deve importar. Sim, tem, tem. (15:52) Não importa no sentido de facilitar a exposição aqui, mas sim, importa de fato. E acho que isso também toca em outro problema que estamos enfrentando agora, que é como regular a tecnologia. Estamos vendo ao longo desses últimos anos a dificuldade de regular a tecnologia, porque o papel das big techs está muito incisivo e forte, seja no lobby ou em práticas que estamos vendo com os Estados Unidos agora, de eles simplesmente optarem por não cumprir certas normas ou se oporem, até mesmo aplicando sanções a países que queiram regular certas atividades. E aqui estamos falando (16:29) da regulação de um ambiente digital que seja seguro para as crianças. E aí, outra coisa, Vinícius, também que é uma crença muito, me parece, errada que temos no Brasil, que é achar que vamos conseguir mudar a realidade com uma lei. (16:48) Tenho um problema, basta que eu faça uma lei que automaticamente as práticas sociais ou empresariais vão se modificar. O que temos visto cada vez mais é que nem sempre se pode contar com a boa vontade das empresas. Várias coisas que temos visto de práticas de big techs, sobretudo em relação às crianças, demonstram que eles de fato não têm agido de boa-fé. Porque achamos por um bom tempo que poderíamos contar com a boa-fé no sentido de que os caras teriam uma motivação, uma prática social, um cuidado… (17:25) e o que temos visto é que isso não está acontecendo. Que seriam proativos. Mas não foi o que aconteceu. Sobretudo em big techs. Não sei se tu queres falar alguma coisa inicial, Vinícius, para depois a gente ir comentando sobre alguns aspectos da lei. (17:48) Bem rapidamente, justamente nessa linha da falta de proatividade das empresas. Nós comentamos em vários episódios aqui, Guilherme. Citamos, no caso do vídeo do Felca, no último episódio, falamos sobre isso também. Nós aqui já faz um tempo que comentamos sobre esse uso de internet por parte de (18:19) crianças. E quando falamos internet, estamos falando de serviços, de aplicativos e de tudo mais que se acessa por meio da internet, mas não somente. Até mesmo brinquedos, já falamos sobre os brinquedos conectados à internet, jogos. E, de fato, os controles são bastante limitados. Você pega uma empresa como a Meta, por exemplo, que tem o Facebook, o que ela investe para conseguir criar perfis, vender propaganda, etc., e implementa mecanismos pífios de cadastro, (18:59) pelos quais as crianças facilmente conseguem passar. Mas de qualquer maneira, encontramos isso em diversos lugares, por exemplo, o Steam para quem joga. A central de jogos Steam tem controles parentais muito bons, tá? Eu falo porque uso, meu filho tem Steam, os controles parentais são muito bons. Mas, ao mesmo tempo, embora tenha uma certa dificuldade ali, se meu filho quisesse criar uma conta na Steam dizendo que nasceu um pouco antes, (19:35) ele conseguiria e teria acesso a conteúdos. Bom, eu mesmo tive que desativar na minha conta Steam, Guilherme. De um tempo para cá, começaram a aparecer algumas propagandas na loja da Steam de jogos que são, na verdade, com conteúdo sexual explícito. (20:03) E eu achei estranho aquilo começar a aparecer para mim, e aí tive que me preocupar em procurar onde eu desativava esse tipo de conteúdo na minha conta para que eu não abrisse a loja na frente dos meus filhos e de repente aparecesse uma coisa explícita lá. Então, achei um lugar onde desativar, beleza. Imagina uma criança que abre uma conta na Steam e os pais nem sabem o que é. (20:25) Elas estarão muitas vezes expostas a conteúdo sexual explícito. Não é erótico, é explícito mesmo. E aí, acabei me aprofundando um pouco nos controles quando fui criar a conta para ele, fui ver como se fazia uma tal de conta família. (20:42) Então, tu tens uma série de controles, mas isso exige dos pais um conhecimento que muitos não têm, uma intimidade com tecnologia que muitos não têm. Então, dá para ver, em resumo, que o que tu falas, de que a gente esperava que, de boa-fé ou de maneira proativa, as big techs atuassem para proteger as crianças, na verdade é o contrário. (21:09) Elas fazem o mínimo, só para dizer que estão se preocupando de alguma forma, mas é o mínimo. Não facilitam as coisas. Controles de privacidade são ruins mesmo para adultos. É difícil para os adultos organizarem as coisas, acessarem, conseguirem ter algum controle sobre isso. (21:32) E, no entanto, elas investem caminhões de dinheiro para fazer outras coisas mais complexas, mas que facilitem a vida deles em coletar, criar perfis, etc., e não investem nisso. Outro exemplo, Guilherme, bem chato: o Netflix. No Netflix, tu podes criar um perfil por idade e, inclusive, vetar conteúdo. (21:58) Então, posso no perfil dos meus filhos dizer: “este conteúdo eu não quero que apareça”. Só que isso é uma coisa tão chata, cara, que eu tenho que ficar catando onde é. Só funciona no navegador. Então, se tu usas no celular, na TV, e não acessas tua conta Netflix no computador, tu não vais ver o controle que te permite tirar algumas coisas que tu não queres que a criança assista. (22:22) E é chato de fazer, tem que ser um por um. Não consigo pesquisar e marcar todos que aparecem na pesquisa. Parece que é feito de propósito para ser difícil esse tipo de controle. Sim, cara, são os “dark patterns”, né? É o “dark pattern” ou também conhecido como má-fé. (22:43) Má-fé é a palavra. É isso. Esse é meu comentário de entrada neste assunto. Estou controlando um pouco minha voz, gente. Estou quase sem voz e tenho que dar uma aula hoje à noite. Quero só ver. Sabe que essa coisa de “a lei vai mudar a realidade posta”? Essa lei fala várias vezes sobre essa obrigação, não somente o direito da criança de obter uma formação adequada para o uso de novas tecnologias, mas também o dever dos pais, que se amplia (23:14) naquilo que conhecemos como poder familiar. O poder familiar, que é o poder que os pais têm de direcionar a criação dos seus filhos, é um poder, mas é um poder vinculado. Como todo exercício de direito, você tem limites. O poder que você, enquanto pai, tem de direcionar a criação dos teus filhos não é ilimitado no sentido de que você possa fazer qualquer coisa, porque é um poder que você exerce em função do filho, ou, dito de outra (23:49) forma, seguindo uma palavra que aparece várias vezes lá, que é o “melhor interesse da criança”. Você tem o poder, mas esse poder é limitado pelo melhor interesse. O ponto é que você não precisaria de uma lei para que pais conseguissem direcionar o uso de tecnologia pelos seus filhos, sobretudo qualitativa e quantitativamente. E a lei, me parece que, infelizmente, não vai mudar isso. (24:22) Não vai ser com a lei que os pais vão acordar para isso. Precisamos de algo mais. É uma questão que não é só… claro que os pais também têm um controle limitado, é uma sociedade toda direcionada para que todo mundo se vicie nesse tipo de aplicativo. (24:42) Então, o pai sozinho também não vai conseguir fazer nada. Mas novos deveres ficam bem mais claros agora, se havia alguma dúvida de que os pais deveriam tomar esses cuidados. Bom, vou tocando em alguns pontos, Vinícius, e aí você vai me interrompendo sempre que achar necessário. Primeira coisa é que teremos outra autoridade, que é referida aqui, seria a “Autoridade Administrativa Autônoma de Proteção de Crianças e Adolescentes no Ambiente Digital”. (25:08) (risos) Tentei fazer a sigla, mas ficou totalmente impronunciável. Se nem eles fizeram… É A3… Não, não dá. Horrível. (25:41) E essa autoridade, referida várias vezes, ainda terá que ser criada. Ela terá várias atribuições, inclusive de eventualmente receber e avaliar os controles de idade, que acho que é uma das grandes questões aqui e que se assemelha um pouco ao que está acontecendo no Reino Unido também. Outra coisa que comentei antes, o “melhor interesse da criança”. Esse é um conceito super importante quando falamos em criança e adolescente. É você avaliar não somente o que vai ser melhor para (26:10) ela naquele contexto, mas também entender algo que é muito importante para quem estuda essa parte de direito da criança e do adolescente. Já estudei no passado um pouco. Se tem um conceito muito importante, é o chamado “desenvolvimento progressivo”. Não é assim, o cara vira adulto. Ele vai progressivamente, mesmo enquanto criança, se desenvolvendo intelectualmente. E a ideia é que você (26:46) também deva respeitar esse desenvolvimento progressivo da criança, no sentido inclusive de ir pouco a pouco liberando, permitindo, ensinando. Não é oito ou oitenta. Em algum momento, eles falam, por exemplo, além de definir esse melhor interesse na internet, que é muito importante, são conceitos abertos que às vezes a doutrina jurídica precisa preencher. Mas eles fazem essa definição, fazem a definição de mecanismos de segurança e trazem ideias de mecanismos de segurança. (27:15) Dizem que os sistemas devem ter medidas razoáveis desde a concepção para mitigar riscos. Seria o “children care by design” ou algo parecido. Não somente o “security” ou “privacy by design”, mas o “care by design”, o cuidado por concepção. (27:42) Propõe muitas medidas a serem tomadas, entre elas, um negócio que é bem importante, que é o da intimidação sistemática virtual (cyberbullying). Inclusive, tem uma lei, a 14.811 de 2024, que cria esse crime de cyberbullying. (28:00) Então, entende-se também que faz parte da proteção da criança ter práticas que evitem isso na internet. E veja, tudo isso é muito difícil. Às vezes, tendemos a dizer: “Não, mas a rede social tem que fazer isso”. Mas, ao mesmo tempo, os técnicos precisam estar envolvidos para dizer ou avaliar os próprios algoritmos, quando possível, para saber o que é possível de fato ser feito. (28:23) Porque reconheço que há um espaço em que o legislador quer que a empresa faça algo, mas pode ser que não seja possível a empresa fazer. E por que isso é importante? De repente, estou falando de uma big tech, que tem recursos para fazer isso. Mas a questão é que agora, dependendo do serviço que você presta, você, enquanto empresário, terá que começar a se preocupar com essa lei também. (28:47) Não é só a big tech, rede social e grandes jogos. É qualquer produto ou serviço que seja destinado a crianças ou de acesso provável por elas. Então, pode ser muito mais do que a gente imagina. E aí depois chegamos nesse tal de controle de acesso por faixa etária, que é a grande polêmica lá do artigo 9º da lei. Define essa obrigação, mas não define o tamanho da plataforma. (29:13) Isso pode ser bem delicado, no sentido de que pequenas plataformas ou pequenos serviços eventualmente não consigam realizar esse controle de acesso por faixa etária. Faz algumas definições do que é conteúdo impróprio e relaciona com classificação indicativa, Vinícius. E essa é uma coisa bem interessante. (29:39) Já te passo a palavra, porque vivi isso contigo e com as crianças. Quando vou aí, a gente conversa, e você é bem cuidadoso com essa coisa do tipo: “tem esse jogo aqui, mas esse jogo ainda não é para eles, está guardadinho para eles jogarem quando crescerem”. E eu estava lendo esses dias algumas pessoas falando na internet: “Ah, que agora meu filho não vai poder jogar o GTA 6”. Cara, sei lá, cinco ou seis. (30:02) O próximo agora é o seis. É, deve ser. Não estou acompanhando o GTA. Mas enfim, cara, é um jogo para pessoas com mais de 18 anos. Teu filho não pode jogar o GTA 6, ou cinco, seja qual for o número. E acho que esse ponto da classificação indicativa e o papel dos pais aí ficou meio perdido nisso tudo. Porque o pai ainda tem o papel de direcionar ou (30:34) permitir que o filho… claro, com todas as atribulações que isso possa ter na internet, não conseguir controlar tudo que o filho vê, mas ainda assim os pais têm um papel aí nesse âmbito de classificação indicativa, por exemplo. É aí que está, Guilherme. Essa questão da classificação indicativa. Primeiro, temos que lembrar que, se o pai autorizar, a criança vai acessar, certo? Que nem no cinema: tem a classificação indicativa para um filme, mas se estiver acompanhado dos pais e os pais (31:15) acharem por bem levar a criança no filme, vai levar. Esse é um aspecto importante. Porque, no final das contas, os pais vão fazer esse filtro em casa, onde as crianças passam a maior parte do tempo, em casa e na escola. (31:40) Na escola, já tem um pouco mais de limite porque está proibido o celular lá, pelo menos nas escolas que seguem direitinho a lei, que conseguem implementar os mecanismos para que as crianças não tenham acesso ao celular. Depois, do ônibus para casa ou da rua para casa, e mesmo na casa do amigo, os controles são os que valem na casa. (32:12) Por exemplo, meus filhos não usam celular, nem têm celular. Mas os coleguinhas do meu filho mais velho quase todos têm celular. Alguns pais têm algum controle, outros, eles fazem o que querem no celular. Então, existem algumas dificuldades de entendimento por parte dos pais e responsáveis com relação a essa curadoria, essa tutela com relação ao conteúdo acessado e entender o que é adequado ou não. E tem aquele problema que já comentamos várias vezes: o pai… (32:50) quem é pai e mãe aí sabe como é. Às vezes, você está cansado, e quer sentar um pouco, e de repente a criança se acomoda num desenho, vendo alguma coisa na TV, num jogo. E tirá-la dali significa que tu vais ter que sentar com ela. (33:13) Tu vais ter que tirá-la dali e dar atenção, porque ela vai querer atenção. Não adianta dizer “não assista TV, não use o celular” e não dar uma alternativa. E essas alternativas, normalmente, eles acabam procurando os pais. Pelo menos aqui em casa acontece bastante. Então, tem desde isso até a questão de deixar e nem controlar, nem acompanhar, não assistir junto, não ver o que a criança está assistindo, se é adequado para a idade dela. E mesmo algumas coisas que são classificadas como (33:43) sendo adequadas, Guilherme, eu julgo extremamente inadequadas. Então, há algumas coisas que estão dentro da faixa etária dos meus filhos e, no entanto, eu vou lá e veto. “Olha, isso aqui está na faixa etária, mas não interessa, não vai ver isso aqui”. Já outras coisas que até têm um certo nível de violência, por exemplo, Star Wars… quem já assistiu a todos os filmes aí, tem cabeça sendo cortada, tem umas coisas meio… o Anakin sendo queimado num mar de lava. (34:23) O Conde Dookan perdendo a cabeça. O cara cruza os dois sabres. Cortar braço até vai, mas cortar a cabeça é ruim, cara. Cortar braço é tranquilo. (34:41) É com sabre de luz, já cauteriza. Não tem sangue. Exato. Agora, a cabeça rolando é dose. Embora seja uma coisa meio disfarçada, mas rola a cabeça. Mas, assim, eles assistem com a gente, assistiram Star Wars com a gente. Talvez alguém vá discordar de mim: “ah, não deveria ter deixado assistir”. (34:57) Então, tem certas coisas… Eu, quando era criança, assisti a muita coisa violenta, porque meus pais não estavam filtrando o tempo todo. É, mas acho que eram outros tempos também. Mas eu vi muita coisa que não deveria ter visto. (35:17) Mas quero dizer que tem esse aspecto do cuidado por parte da família, que é extremamente importante, por mais controles que tu tenhas à disposição para limitar acesso a conteúdo. Por outro lado, aquilo que eu já falei, das big techs terem que dar recursos para os pais. Mas esse outro aspecto que me chamou a atenção na lei, que olho talvez com um viés mais de pai, e também pelo lado da TI, é essa necessidade, Guilherme, das empresas controlarem o acesso ao seu serviço. E aí, ouvi (36:04) o The Hard Fork, o podcast sobre tecnologia do New York Times, que já recomendei mais de uma vez aqui. Eles gravaram um episódio, acho que foi o 147, comentando sobre uma lei que entrou em vigor no Reino Unido. O título é: “The internet wants to know how old you really are”. (36:29) “A internet quer saber qual é realmente a sua idade”. E o que eles estavam discutindo? Lá no Reino Unido, para entrar em site com conteúdo pornográfico, conteúdo adulto, tem que haver uma identificação por meio de documento oficial de que tu és maior de idade. (36:59) E eles estavam comentando, teve um abaixo-assinado com mais de 400.000 assinaturas contra essa lei. E eles mesmos se posicionaram contra a lei pela forma como é necessário provar a idade por um documento oficial. (37:23) Sem julgamento moral, pode ser que, entre vocês que nos ouvem, há aqueles que vão dizer: “Ah, quer acessar? Se tem vergonha, então não acessa. Não tem que esconder”. (37:41) E vai ter outros que dizem: “Não, eu tenho meu direito à minha privacidade”. Aí começa a discussão: “mas e as crianças?”. Bom, nesse caldeirão todo, o que o pessoal se posicionou contra, lá no The Hard Fork e esses mais de 400.000 britânicos, foi o fato de ter que se identificar com um documento oficial. (38:07) Mas não é o que foi colocado aqui, no nosso caso. E aí fica evidente o problema. O primeiro problema é no momento que tu começas a ter pessoas sendo identificadas por documentos oficiais e um registro de “tal pessoa usou tal aplicação”. (38:29) E notem, não quer dizer que seja só para conteúdo adulto, é para qualquer conteúdo impróprio para crianças e adolescentes. Então, de repente, tu podes estar acessando algo que é impróprio para criança e não é um conteúdo que envolve sexo, mas pode ser um conteúdo ao qual tu não queiras estar vinculado por causa do país em que moras, por causa das ideias e crenças de quem está à tua volta. Tem várias questões aí que atingem a privacidade de cada um. E a gente sabe (38:58) muito bem que essa história de “vou guardar, não vou mostrar para ninguém”, cara, vai vazar. Assim como vazam as senhas, vão vazar esses eventuais registros em que o pessoal vai dizer: “ó, o Vinícius esteve aqui acessando um Reddit sobre falando mal do Trump” ou coisa parecida. E daqui a pouco vai estar lá vinculado o meu nome àquele acesso. Isso no Reino Unido. Aqui no Brasil não se colocou essa situação (39:38) de ter que identificar por meio de documento oficial, mas é necessário ter algum mecanismo para impedir que crianças e adolescentes acessem esses sites. Até depois a gente vai comentar aqui uma possível solução. Na verdade, mais para um exercício mental, para entendermos os problemas dessas soluções. (40:02) E essa do Reino Unido tem um baita de um problema. É, eu acho que são aquelas escolhas que nós vamos fazer enquanto sociedade. A gente se acostumou que ambientes muito impróprios se criassem sem levar em consideração os interesses das crianças no mundo inteiro. (40:27) Nossa vida atual, dos adultos, se acostumou com isso. Qual foi o caminho que o legislador brasileiro achou? Muito além da pornografia, aplicar esse controle de idade para conteúdos marcados com uma classificação indicativa imprópria para aquela faixa etária. (40:50) Evidente que você tem, como comentou, uma preocupação de privacidade e proteção de dados, e eu diria que ela é bem legítima. Porque se você for falar em consumo de pornografia, as pessoas vão consumir conteúdos muito diversos, e, eventualmente, na maior parte das vezes, não vão querer ter um registro de que “fulano está vendo tal conteúdo”. E a pornografia, desde que realizada por adultos, com consentimento, não é uma atividade (41:21) ilícita. Mas lembrem-se, nós, adultos, montamos um mundo que é muito favorável para nós, só que temos crianças no mundo que são pessoas também. Esse é o primeiro ponto. Esses mecanismos, e a lei fala sobre vários conceitos abertos, em algum momento serão regulamentados. Mas temos “mecanismos confiáveis de verificação de idade”, vedada a autodeclaração. O primeiro ponto é: começou a acontecer no Reino Unido, as pessoas começaram a migrar para VPN. (41:58) E aí teremos, em alguns casos, várias aplicações que podem começar a bloquear o acesso àquele conteúdo por VPN, sob pena de eventualmente sofrer uma sanção do Estado se a VPN for um caminho para burlar a verificação de idade. O governo pode intervir. (42:20) E aí, acho que essa é uma chave que, se for bem feita, pode resolver o problema. Já te passo a palavra. O artigo 11 fala que o governo pode servir como regulador и certificador. E os provedores de loja de aplicações, e essa é uma questão que achei bem interessante, devem implementar soluções que sejam auditáveis. E aí tu tens todo um problema, porque, e dando um spoiler do que você vai falar, a criptografia nos ajuda aqui, mas ao mesmo tempo posso ter um embate entre auditabilidade e preservação da privacidade em (42:55) mecanismos de autenticação de idade. De qualquer forma, eles devem disponibilizar isso junto com mecanismos de supervisão parental voluntários e as lojas ainda devem disponibilizar APIs para lidar com o que eles chamam de “sinal de idade”, levando em consideração o princípio de proteção de dados da minimização. (43:18) Eles falam isso várias vezes: “esse negócio da idade só pode ser usado para verificar a idade, não pode usar para mais nada”. A pergunta que se coloca, e a própria autoridade de nome gigante, (43:38) a Autoridade Administrativa Autônoma de Proteção de Crianças e Adolescentes no Ambiente Digital, essa autoridade também vai poder avaliar a efetividade dessas ferramentas. (44:01) E aí, claro, vão ter sempre aqueles: “ah, mas o Estado está se envolvendo demais”. Ora, quando falamos em crianças, o Estado vai ter que se envolver de alguma forma. A questão é até que ponto ou como. Essa é a pergunta. Tem alguma forma de resolver isso quase como um “zero knowledge proof”? Ou seja, mecanismos de identificação ou de sinal de idade que preservem a privacidade e a proteção de dados? (44:32) Guilherme, isso é algo que… Primeiro, temos vários protocolos para esse tipo de problema já bem documentados em várias obras, não só artigos científicos, mas livros da área da Ciência da Computação, mais especificamente na área de Segurança. (44:57) Mas vou fazer um exercício aqui, arriscando ser um pouco leviano, para pensarmos um pouco nas implicações desse tipo de solução. A do Reino Unido, obviamente, fica muito claro que há um problema no momento em que você tem que, de alguma maneira, apresentar um documento oficial ao acessar o site. (45:16) Porque não se trata de entrar numa boate, numa festa. Tu chegas lá, mostras tua identidade, a pessoa olha, vê que tu tens a idade mínima e tu guardas a identidade no bolso. Ela esquece da tua identidade, tu entras e acabou. (45:39) Costuma-se dizer que isso é autoverificável. Sim, mas imagina que tu tenhas que apresentar um documento. A pessoa na portaria vai ver o documento, não vai manter registro nenhum, tu vais entrar e acabou. Agora, num site que tu vais entrar, num serviço que vais utilizar, certamente essas empresas vão querer manter um registro para poder dizer: “Ó, eu verifiquei, tá? E não venham me acusar de que deixei um (46:07) menor entrar”. Não, ele apresentou uma identidade para mim. E aí eu preciso, de alguma maneira, manter um registro disso. Então, no caso do Reino Unido, isso é muito ruim. Uma outra possibilidade seria… Primeiro, quem tem nossos dados? Quem sabe quem nós somos, quando nascemos? (46:31) O governo sabe. E confiamos nossas informações ao governo, muito embora saibamos que tem muita informação vazada por aí. O governo consegue, por n situações, pelos próprios serviços públicos e pelo regramento que temos, é necessário que a gente dê prova de vida, compareça presencialmente em vários órgãos, em várias situações, desde o registro do nascimento (47:08) até o óbito e tantas outras coisas. INSS também, com as provas de vida. Isso, exatamente. A questão do título eleitoral… a gente até falou isso do escambo do TSE com o Serasa, num episódio dos primeiros anos do Segurança Legal. (47:30) Por que o Serasa se interessa tanto por uma possível integração em que possa perguntar ao TSE: “essa pessoa aqui está viva?”. Porque o TSE sabe isso. De dois em dois anos, a pessoa aparece lá, mantém o título ativo. (47:54) Se ela está na faixa de idade em que o voto é obrigatório, se não votar, terá que justificar. Então, ela vai dar sempre um sinal de que está viva a cada dois anos. O governo tem esses dados. Então, uma possível solução para te mostrar… e me preocupa mais na questão de sites, Guilherme. Porque em loja de aplicativo, as oficiais, pelo menos, a App Store e a Play Store, (48:26) para criar uma conta lá, tem que ter uma conta no Gmail, um cartão de crédito. Tem uma certa barreira de identificação. (48:45) No mínimo, o pai ou a mãe tem que entregar o cartão de crédito para botar na loja. No mínimo isso. Então, me parece um ambiente um pouco mais controlado. Vamos ver como vai ficar se eventualmente a EA Games ganhar o processo contra a Google e outras coisas que estão rolando para ter outras lojas de aplicativo dentro das plataformas da Apple e do Google. Mas isso é outra história. (49:12) Me parece um ambiente mais controlável do que um site na internet. E para um site na internet em que tu não tens um cadastro prévio, que tu queiras acessar de maneira anônima, talvez a solução seja tu poderes emitir, assim como fazemos uma assinatura com o GOV.BR, um documento ao portador. Que significa isso? Que não tem nenhuma identificação minha, mas que eu consiga chegar no GOV.BR e dizer: “Eu quero um documento ao portador que diga que o (49:51) portador deste documento tem mais de 18 anos”. Não diria nem a idade, só diria que é um adulto. E aí eu posso apresentar esse documento no site no momento de entrar. Claro, gente, estou falando de algo assinado digitalmente. Agora vou entrar. (50:13) Estou colocando isso de uma maneira muito simples, para que a ideia fique clara. É claro que o site onde eu vou entregar esse documento tem que ter alguma maneira de verificar, de atestar que esse documento é verdadeiro, é válido. (50:31) E foi emitido por alguém em quem ele confia, no caso, o governo brasileiro. E seria trivial para o site verificar a assinatura do documento que está recebendo, e essa assinatura teria que valer aí uns 5 minutos. Esse documento teria um prazo de validade para usar. Fiz login com o documento, apresentei-o. (50:49) Esse documento não tem identificação nenhuma, nenhum vínculo com a minha conta. Eu o apresento para o site, o site registra lá, até pode guardar o documento: “tal usuário, acesso permitido com este documento aqui”. Eu não sei quem é a pessoa, não tenho dado nenhum que a identifique, mas sei que é um documento válido emitido pelo governo brasileiro. (51:13) E o governo brasileiro não armazenaria o documento assinado, assim como ele faz com os assinadores do… Isso aí. Exatamente. Lá no lado do governo, ele recebe a minha solicitação. Claro que vou ter que me identificar, porque ele vai ter que saber quem sou eu. (51:32) No momento em que ele emitir esse documento, ele não pode inserir no documento nenhum tipo de número, nada que esteja atrelado à minha conta. Qual é o problema disso? Se ele fizer isso e eu entregar esse documento a um terceiro, e esse terceiro armazenar e depois vazar, ou o governo perder os registros, o terceiro entrega o documento, ele não tem como saber quem é, mas o governo tem como desanonimizar. Ou seja, ele tem como pegar um identificador que eventualmente tenha colocado no documento gerado e que ele guarde, vinculado à minha conta no gov.br, por exemplo, (52:04) ele consegue saber, então, que “o Vinícius acessou esse site, acessou esse serviço”. Ele teria que resistir à tentação de assinar o documento para ti com a chave dele e esquecer, sem guardar qualquer referência de que assinou aquele documento. Repito, como acontece com o GOV.BR na assinatura de documentos. (52:31) Quando você assina um documento no Gov.br, e isso é um problema, às vezes, quando invadem o Gov.br das pessoas e começam a assinar documentos loucamente, a pessoa não consegue saber o que foi assinado. O governo não teria como guardar todos os documentos assinados, o que seria um absurdo, não seria esse o objetivo. Mas nenhum registro eles voluntariamente disponibilizam. (52:51) A questão é que a construção de “zero knowledge” disso deveria ser feita pela parte do governo, e o artigo 11 prevê essa possibilidade. É. Então, algo bem implementado nesse sentido, a meu ver, funcionaria muito bem. Mas claro, temos vários cuidados aí, desde o governo não poder desfazer essa anonimização sozinho, nem em conjunto com o site que está recebendo o documento. (53:24) Então, teria que ser uma coisa quase transparente. E não se pode usar o site que estamos acessando como intermediário. Nota que não é trivial fazer isso, por causa da maneira como o funcionamento da internet está estabelecido. Teremos que fazer algumas mudanças no navegador, com plugin ou com um protocolo que venha nativo no navegador. (53:50) Isso não é de uma hora para outra. Ninguém vai estar implementando isso no navegador porque o Brasil determinou, e todo mundo no mundo vai utilizar. Então, tem uma série de empecilhos, modificações de sistemas e tudo mais que vão impactar. (54:09) Esse é um recurso que deve existir no seguinte sentido: eu abro meu navegador, vou acessar um site que exige verificação de identidade. Meu navegador inicia um processo de conversa com o GOV.BR, que emite esse documento eletrônico dizendo “o portador deste documento, válido por 5 minutos, é maior de idade”, e aí o navegador apresenta para o site que estou acessando esse documento e me permite entrar. Só que daí temos várias situações. Por exemplo, de novo, se (54:49) os pais quiserem deixar os filhos acessarem, eles vão deixar os filhos gerarem essas identidades e vão acessar. E não duvide que alguém terá a ideia de criar um serviço para vender esses “passes”. É, mais uma vez, Vinícius, estamos tentando propor uma ideia que seja “privacy friendly”, porque você tem uma série de outras possibilidades, talvez até mais fáceis de implementar, que não são “privacy friendly”, como, por exemplo, autenticação biométrica (55:31) de todo mundo. Aí seria o pior dos mundos possíveis, porque daí é dado sensível. Agora, eu não sei se nós vamos, num exercício de futurologia, conseguir chegar nesse nível de especialidade. Acho que isso não vai rolar, porque você vai ter que ter uma complexidade também dos próprios provedores se disponibilizarem a fazer isso. E, a depender do tamanho do serviço, pode ser que ele não tenha nem meios para implementar isso. Claro, se for uma API, algo do gênero, mas não é uma certa pretensão querer que (56:06) todos adotassem uma ferramenta dessa. Com o modo como os Estados Unidos hoje estão lidando com esse tipo de controle, não acho que isso aconteceria, pelo menos não a curto ou médio prazo. É, aí entra essa questão. Mesmo nos Estados Unidos, alguns estados já começam a se preocupar com isso. (56:30) Só que, dada a situação que temos lá, dessa proximidade das big techs com o governo Trump e essa tendência do Trump de meio que ignorar certas regras… embora aí tenha umas agendas que entram em conflito. Porque os apoiadores do Trump acabam tendo um certo interesse por essa pauta, por causa da proteção das crianças, e aí acaba existindo um conflito ali, muito embora as big techs tenham um apoio, uma proximidade muito grande para impactar nessas (57:08) regras, nessas regulamentações. Vamos falar um pouquinho, bem rapidamente, sobre as outras questões, as questões maiores aqui. Inclusive, novas obrigações sobre a disponibilização de mecanismos de supervisão parental. Vai ter que se disponibilizar ferramentas para essa supervisão, mais ou menos aquilo que você tinha falado antes, Vinícius, lá da Steam. Coisas do tipo avisar que tem supervisão parental na conta, monitoramento e limitação do tempo de uso, por exemplo. Isso é bem interessante, me agrada essa ideia. (57:45) Também, as configurações padrão das ferramentas devem limitar os recursos que aumentariam esse uso artificial, como reprodução automática de conteúdo, feed infinito e recompensas pelo tempo de uso. Isso fala especificamente lá. Estabelecer… que é um grande problema. (58:10) Inclusive, prevê-se a possibilidade de revisão das ferramentas, sobretudo de algoritmos de recomendação, com especialistas e órgãos competentes, o que também gostei bastante. Ou seja, vamos botar um grupo de especialistas e começar a discutir formas de melhorar esses algoritmos. (58:30) Claro, mais uma vez, como esses algoritmos são “black box”, precisaríamos ter aí uma boa vontade das plataformas, o que, no mundo ideal, não sei se aconteceria. Identificar perfis de adultos com quem a criança pode eventualmente estar se comunicando ou bloqueá-los. E também alguns controles sobre jogos eletrônicos. (58:50) Isso é outro assunto, que acaba entrando aqui também, mas acho que daria só um episódio para falar sobre controles em jogos eletrônicos. Depois, tem o problema da publicidade digital. E achei bem interessante essa parte. Publicidade para crianças e adolescentes é uma grande questão no estudo do Direito. (59:09) Já estudei, já escrevi sobre isso, inclusive um artigo sobre publicidade no YouTube. E eles estão indicando que será proibido o “profiling” de crianças, bem como análise emocional, uso de realidade aumentada e estendida para publicidade. E é aqui que entra a regulação do fato que deu origem a toda esta rediscussão da lei. Porque foi o vídeo lá do Felca que trouxe os vídeos daquele outro cara, o Ítalo Santos, que hoje está preso junto com o marido dele, que de alguma forma monetizava conteúdos sensuais de crianças. E é aqui que (59:48) entra a regra que lidaria com o problema que deu origem a toda esta rediscussão. Diz o artigo 23 que “a monetização e o impulsionamento de conteúdos que retratem crianças e adolescentes de forma erotizada ou sexualmente sugestiva ou em contexto próprio do universo sexual adulto”. (1:00:06) Veja que interessante, é a regra para lidar com aquele problema. Bem específico, inclusive. Mas não envolveu outros tipos de eventual violência psicológica, como vimos acontecer com o caso da Bel, que, inclusive, recentemente, teve seu canal apagado pelo YouTube. Chorou na internet, mas o canal foi apagado. (1:00:27) O canal foi apagado e ela disse que perdeu todos os vídeos. A gente já falou sobre esse caso, ficou bem conhecido e também foi mencionado no vídeo do Felca. Isso é uma coisa cruel, e a responsabilidade é dos pais dela. Porque, como comentávamos um pouco antes, Guilherme, querendo ou não, é a realidade dela. Foi a vida dela durante uma parte importante. E isso afeta a pessoa psicologicamente e emocionalmente. (1:00:55) Não estou dizendo que não deveria ter sido apagado ou que os dados não deveriam ter sido entregues a ela e a conta apagada. Não sei exatamente em que termos isso foi feito. Mas me parece que, no caso, ela é a vítima. Me parece não, ela é a vítima. Porque quem monetizou em cima da pessoa dela, em cima da infância dela, foram os pais. (1:01:26) E, claro, depois a criança não vai… óbvio, ela gosta dos pais, são os pais dela. Ela não vai ficar dizendo: “Olha o que fizeram comigo, que coisa horrorosa”. É a vida que ela conhece, foi a bolha na qual ela foi educada. (1:01:43) E ela entende que isso estava correto, que estava OK, que os pais dela só queriam o melhor para ela. E, no entanto, ela não enxerga o problema. E é justamente por isso que precisa de alguém de fora. Se os pais não conseguem ter equilíbrio ou entendimento suficiente para saber que o que estão fazendo com os próprios filhos é inadequado, aí a lei entra и protege a criança e o adolescente, como em outras situações, Guilherme. É. E a Bel teve (1:02:17) cenas que, por favor, né, cara. Depois, a mãe e o pai se colocaram como vítimas. Vítima é ela. A mãe e o pai são adultos, deveriam saber o que estavam fazendo. E é um grande problema para ela também, porque, mesmo que não seja a melhor forma de construção de uma identidade, aquele canal também compunha a identidade dela, mal ou bem. Exatamente. E, veja, eu não concordo com a (1:02:53) natureza do conteúdo, mas, ao mesmo tempo, também não sei se apagar tudo o que tinha lá não pode ser problemático. Enfim, a ideia do melhor interesse da criança. E monetizar esse tipo de conteúdo também é uma violência não somente para ela, mas para a imagem de todas as crianças. (1:03:22) Por isso que temos, inclusive, crimes de simulação de pornografia infantil. Ou seja, produzir imagens simuladas também é crime. Por quê? Porque não é só uma questão daquela criança violentada eventualmente, é uma questão de você afetar a imagem de todas as crianças. Depois, temos algumas questões de rede social. (1:03:41) Uma sugestão que eu daria, Guilherme, é o juiz aplicar uma multa para os pais da Bel equivalente ao que eles recolheram. Cara, eu fico imaginando fazer com meus filhos o que os pais, o que a mãe dela fez com ela. Eu me sinto mal só de pensar. Cobrar uma multa, botar a grana num lugar que vai estar disponível para ela. Não sei que idade ela tem agora, se já tem 18 anos ou não. Não, acho que não. (1:04:05) E deixar disponível para ela, não deixar eles usarem a grana, pelo menos até ela ser maior de idade. É, mas nota que o peso todo vai cair em cima das redes. Você tem o elemento do pai, porque o pai não é dono da imagem do filho. (1:04:23) Esse é um negócio bem importante também. O poder familiar dele deve ser exercido em benefício do filho. Então, para além dos reflexos no Direito de Família e eventuais limitações desse poder familiar, a rede vai ser responsabilizada. Esse é o ponto. Por exemplo, para redes sociais, abaixo de 16 anos, a conta deve ser vinculada a um responsável. Também me parece interessante. Eles vão ter que monitorar e confirmar a identidade se a conta demonstrar indícios de que pertence a uma criança. Ou seja, para além daquela identificação de idade, ainda vão ter que monitorar (1:04:52) para saber se encontram algum comportamento para identificar se é uma criança ou não. Veja, sem poder fazer “profiling”, o que deixa a coisa bem mais difícil. Depois, toda uma série de medidas de prevenção e combate a violências ou violações no ambiente digital. E as redes devem disponibilizar mecanismos de notificação, ou seja, ter lá um formulário para você indicar a notificação. Só que tem um baita de um problema aqui também, Vinícius: a rede vai ser obrigada a (1:05:27) retirar o conteúdo assim que for comunicada. Por quem? Pela vítima ou seus representantes, pelo Ministério Público ou por entidades representativas dos direitos das crianças. Tem algumas bem famosas no Brasil que entraram, inclusive, em uma série de leis. (1:05:50) Então, sem ordem judicial. Só que o autor da denúncia deve ser identificado, vedada a denúncia anônima. Ou seja, o notificante tem que se identificar para denunciar. Me parece que essa é uma medida… talvez, se o cara não tiver os recursos que o Felca tem para poder ter advogado trabalhando, carro blindado e não sei o que mais, aí não notifica. (1:06:24) Aí fica quieto, não notifica. Porque, para retirar do ar sem ordem judicial, o autor da notificação deve ser identificado. E, pior não, mas mais ainda, os responsáveis pela plataforma devem ter mecanismos de contestação da decisão. Isso é bom. Ou seja, se há algum bloqueio ou retirada do ar, a rede social tem que explicar para a pessoa por que foi retirado e permitir algum tipo de defesa. Mas eles preveem também a possibilidade de punição para uso abusivo dos instrumentos de denúncia. (1:07:00) E aí eu achei isso meio delicado. Vou fazer uma denúncia, mas, ao mesmo tempo, tenho que me identificar e posso ser sancionado por um uso abusivo. Claro, qualquer exercício abusivo de qualquer direito pode constituir um ato ilícito, pelo artigo 187 do Código Civil. (1:07:23) Mas eu notei que isso aqui tem uma cara de que pode dar problema. Pessoas eventualmente serem perseguidas porque fizeram uma notificação. Enfim, talvez até para um “chilling effect”, para você não notificar sem se identificar. Tipo: “como você descobriu isso aqui?”. Por que você viu isso? Sei lá. (1:07:46) Me preocupou um pouco essa regra aqui. Depois, eles vão ter que ter uma série de regras de transparência, prestar contas, quantos perfis foram bloqueados, quantas denúncias receberam, o papel de governança dessa autoridade administrativa e algumas sanções que podem chegar até multas de R$50 milhões por infração. (1:08:10) A gente vê a multa de R$50 milhões e se anima: “Bom, agora o Brasil vai…”. Só que temos que ver que nosso histórico recente em relação à LGPD… essas multas não foram aplicadas. O cenário atual de desrespeito à proteção de dados no Brasil… essas multas não estão sendo aplicadas. O cenário atual está mais no sentido de uma lei que “não pegou” do que algo que leve o mercado a querer respeitar a lei por risco de ser autuado. (1:08:43) Eu diria que é uma lei que pegou parcialmente. Parcialmente, você tem uma série de coisas sendo feitas, mas também uma série de elementos… parece uma aplicação tanto quanto superficial. Você olha os debates na União Europeia e olha os debates aqui, não tem comparação. Por exemplo, essa coisa de reconhecimento, biometria facial espalhada por condomínios pelo Brasil inteiro, que já falamos aqui. Mas estou desviando do assunto. Enfim. E, no final das contas, Vinícius, outras (1:09:17) disposições. Achei bem interessante: embalagens de equipamentos eletrônicos deverão conter adesivo com informações sobre a proteção de crianças. Isso envolve o papel da rotulagem em produtos. Inclusive, tem algumas coisas escritas sobre rotulagem no Direito do Consumidor. (1:09:38) É um tema que gosto bastante. A rotulagem serve também como publicidade. Ou seja, o que está no rótulo pode ser visto como publicidade, serve como informação fornecida pelo fornecedor. E agora uma nova rotulagem, talvez de uso para criança, classificação etária, cuidados e tal, vai ser uma coisa bem legal, me parece. (1:10:05) E para terminar, uma “vacatio legis”, que chamamos no Direito, ou seja, depois da sua aprovação, ela entra em vigor depois de um ano para que todo mundo tenha tempo para se adequar a todas essas regras, que são muitas, e muitas delas ainda terão que passar por regulamentos para explicar como serão cumpridas. Perfeito, Guilherme. (1:10:24) Vou terminar o episódio 400 sem voz. Olha só, talvez seja um bom sinal. Você falou tanto nos 400 episódios que ficou sem voz. Não, eu tenho que dar uma aula hoje, cara. Quero só ver como vou fazer isso. Vou ter que… / Coma uma maçã. / Já fiz isso. / Chazinho com mel. / É. Tem que ser. E usa um microfone, se tiver à disposição, ajuda. (1:10:48) É, numa dessas, usar um microfone resolve. Vamos terminando. Bora. Eu terminei. Então vamos lá. Agradecemos então, Vinícius, a todos aqueles e aquelas que nos acompanham por 400 episódios. Mais uma vez, este podcast é feito para o ouvinte. Claro, fazemos porque gostamos, mas o objetivo sempre é agradar o nosso ouvinte. (1:11:17) Então, esperamos que tenhamos conseguido aí, nesses últimos 13 anos, Vinícius. A gente insiste em gravar o Segurança Legal. Então, terminamos este episódio aqui com muita felicidade, mandando um abraço para todos e todas que nos acompanham nesses 13 anos de Segurança Legal. Tá bom? Então, até a próxima. Até a próxima.  

Neste episódio comentamos o vídeo de Felca sobre exploração infantil, a regulação das big techs, falhas no GPT-5 e os novos decretos de cibersegurança do Brasil.​ A discussão parte do vídeo “Adultização” de Felca, que expõe a exploração infantil e a sexualização em redes como Kwai, levantando o debate sobre a responsabilidade das big techs e a regulação de conteúdo. Abordamos também falhas de segurança em IAs, como o prompt injection no ChatGPT e o jailbreak do GPT-5. Além disso, analisamos os novos decretos que instituem a Política Nacional de Segurança da Informação (PNSI) e a Estratégia Nacional de Cibersegurança (E-Cyber), que fortalecem o papel do GSI e a educação em segurança digital na sociedade.​ Para não perder análises aprofundadas sobre tecnologia e direito digital, siga, assine e avalie nosso podcast na sua plataforma preferida.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Vídeo Adultização Vídeo – Felca passa a andar em carro blindado com seguranças após receber ameaças Quem é Felca, youtuber que denunciou ‘circo macabro’ de Hytalo Santos e a adultização de crianças? Núcleo – Kwai está infestado de conteúdo que sexualiza menores Núcleo – Instagram permite bots de IAs que sexualizam e infantilizam mulheres Núcleo – Kwai e TikTok têm dificuldade para moderar conteúdos com exploração sexual de menores Aos Fatos – Investigado pelo MPF, Kwai lucra com lives que expõem crianças a assédio e chantagem A Single Poisoned Document Could Leak ‘Secret’ Data Via ChatGPT Blackburn, Blumenthal Urge Meta to Shut Down Instagram Map Feature to Protect Kids from Pedophiles & Traffickers Bipartisan senators call for Instagram to shut down its new map feature, citing children’s safety concerns Red Teams Jailbreak GPT-5 With Ease, Warn It’s ‘Nearly Unusable’ for Enterprise DECRETO Nº 12.572, DE 4 DE AGOSTO DE 2025 –Institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação no âmbito da administração pública federal. DECRETO Nº 12.573, DE 4 DE AGOSTO DE 2025 – Institui a Estratégia Nacional de Cibersegurança. Imagem do Episódio – Gin Lane (1751) de William Hogarth 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Segurança Legal, episódio 399, gravado em 11 de agosto de 2025. Vinícius, 11 de agosto é o dia do advogado, o dia da advocacia. Então, um grande abraço para todos os advogados e advogadas que nos escutam. Eu sou o Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas das notícias das últimas semanas. (00:28) E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes. Esse é aquele momento, você já sabe, de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Pegue o seu café e venha conosco. Para entrar em contato com a gente, você já sabe, basta enviar uma mensagem para podcast@segurançalegal.com ou para o Mastodon, Bluesky e YouTube, onde você pode ver a gravação deste episódio. Pedimos que você também nos apoie pela campanha de financiamento coletivo no apoia.se/segurançalegal, onde você pode escolher sua modalidade de apoio e contribuir para um projeto livre e desimpedido de produção de conhecimento. (01:11) É isso aí. Fiquei despreparado. É que você fala essa parte e eu abstraio. Espero você terminar de falar para começar, e você me solta um “Vinícius”, me quebra no meio. Mas o apoio é importante, é isso aí. O apoio é importante e a divulgação que você faz do podcast é, sem dúvida nenhuma, também de grande importância. Então, compartilhe e divulgue o Segurança Legal, recomende o Segurança Legal. (01:45) Até porque, Vinícius, não é todo episódio que chega, se tudo der certo, aos 400 episódios. É um corpo de conhecimento que não é simples de produzir. Então, ajude os velhinhos aqui. Isso é por sua conta. Sobre o episódio 400, já avisando o pessoal, talvez ele não saia na semana que vem. (02:11) Não é certo que vai sair na semana que vem. Talvez não saia. Eu e o Guilherme estávamos conversando mais cedo e talvez… Vamos ver como fica o ajuste das agendas de gravação para o episódio 400. Mas vamos conversar aqui e ver como faremos. Então, talvez não saia na segunda-feira, mas vamos ver. (02:34) Bom, a gente vem de uma abertura mais alegre, como sempre, para um tema mais chato, para dizer o mínimo, e grave. Na minha opinião, é difícil de falar. Para quem tem filhos também é difícil de falar e de ouvir. Fiquei especialmente incomodado com essa história, mas temos que tratar aqui porque é um tema do qual falamos com bastante frequência: o papel das crianças, de maneira geral, na internet. (03:04) Temos falado sobre esses temas desde o início do podcast Segurança Legal. Temos vários episódios sobre crianças na internet, internet dos brinquedos e por aí vai. Nos últimos dias, viralizou o vídeo de um influencer que eu confesso que não conhecia, um tal de Felca. O apelido dele é Felca. Um vídeo chamado “Adultização”. (03:44) Nick, obrigado. “Adultização”. Foi publicado há quatro dias e já tem 27 milhões de visualizações, o que é um feito incrível em outra perspectiva, Vinícius, porque é um vídeo de 49 minutos. Nós, que fazemos conteúdo longo, sabemos como a organização atual do conteúdo na internet privilegia muito mais os microconteúdos. Então, já é uma vitória o cara fazer um conteúdo longo, viralizar e ter essa atenção. E esse vídeo do Felca joga luz sobre um tema que a gente já sabia, que já tínhamos falado aqui, que é a forma inadequada… Não especificamente sobre a questão da sexualização de crianças, acho que não tocamos muito nesse tema. (04:25) Mas sobre como a infância vem sendo mal cuidada na internet e como as crianças vêm sendo mal retratadas ou até mesmo usadas por adultos em contextos nos quais elas não deveriam estar participando. Logo no início do vídeo, e já te passo a palavra, Vinícius, ele fala sobre um caso da “Bel para Meninas”. Era uma influencer mirim. Eu até tive a oportunidade de analisar esse caso. (05:02) Estava vendo antes aqui, num capítulo de livro sobre publicidade e proteção da infância. O capítulo que escrevi junto com minha colega Mariana Mena Barreto Azambuja, no qual falamos mais especificamente sobre publicidade, porque a questão lá da Bel não tinha a ver com aspectos sexuais, mas com uma menina que era colocada em situações vexatórias pela própria mãe. Isso veio à tona. (05:39) Depois, quando tomou um corpo maior, o canal saiu do ar, os pais foram hostilizados, se desculparam e, depois, não acompanhei mais o que aconteceu. Mas o que esse Felca trouxe foi jogar na cara de todo mundo — e eu falo de nós, pessoas comuns, mas também das autoridades — o que algumas pessoas têm feito com a imagem, principalmente de meninas. (06:04) É, Guilherme, o que ele traz tem um mérito muito grande. Fiquei bastante feliz de ter visto alguém com o alcance dele fazer algo assim. Porque o que ele traz, infelizmente, não é novo. Como você mesmo falou, temos coisas de alguns anos atrás em que já começávamos a perceber esse tipo de conteúdo aparecendo na internet. Naquele momento em que gravamos sobre a “Bel para Meninas” e crianças na internet, o que mais chamava a atenção era essa exploração por parte dos próprios pais, expondo as crianças. E comecei a ver gente, moro em Três de Maio, cidade pequena com 24 mil habitantes. (06:48) E comecei a ver pessoas fazendo as mesmas coisas. Isso há anos. Hoje já deve estar bem mais adiantado, eu não acompanho, então não fico sabendo. Mas as famílias começaram a pegar a modinha, naquela época, antes da pandemia, de criar conteúdo usando os filhos. Com uma dessas crianças, cheguei a conviver rapidamente em um determinado ambiente. (07:18) Não foi na escola. E vi a criança se comportando como se fosse um miniartista, no trato presencial, sem câmera, sem nada, já se comportando como se fosse uma celebridade. (07:41) Então, isso mexe bastante com a cabeça das crianças e as expõe de maneiras que, muitas vezes, não são muito previsíveis pelos próprios pais, até por ignorância mesmo. E aí, por várias vezes, a gente viu aquele discurso de que tem que quebrar a criptografia para sair catando pedófilo. (08:06) Falamos sobre isso em várias oportunidades aqui no Segurança Legal. O pessoal dizendo que temos que quebrar a criptografia para acabar com o crime de pedofilia, com a exploração infantil e coisas do gênero, criar portas dos fundos em sistemas para permitir que a polícia consiga fazer seu trabalho. (08:30) Guilherme, esse negócio de criança exposta na internet e, mais recentemente, a sexualização de crianças na internet, isso está para quem quiser ver. Tanto que ele mesmo mostra que cria uma conta e em menos de cinco minutos já está recebendo conteúdo de crianças sendo sexualizadas, nem digo adolescentes. Adolescentes, então, nem se fala. (09:04) E junto com isso, Guilherme, temos o seguinte: primeiro, está aí. Estão lá os nicks, o pessoal com “link na bio”, os links para a galera se encontrar e trocar material de pornografia infantil e tudo mais. Então, para quem quiser ver, temos outras coisas além. (09:30) Claro, isso é muito grave, não estou dizendo que se trata da mesma coisa. Mas é o mesmo estilo de situação. Temos os golpes sendo dados com ligações telefônicas, os caras com centrais telefônicas. Há pouco tempo prenderam uma galera. Era um call center, com mesinha, com pessoal trabalhando. (09:49) O trabalho dos caras é aplicar golpe nos outros. Eles usam centenas de linhas telefônicas e ninguém faz nada. “Ah, prenderam agora o pessoal”. Sim, mas eu continuo recebendo ligação. Chega a um ponto em que não quero atender telefone de um número que não conheço, porque o que vem dali é golpe. (10:07) É um outro crime feito às claras e vemos uma ação ou outra, mas o negócio não acaba, continua. E outro caminho que vemos também, Guilherme, ainda nessa questão dos golpes de telefone e da própria sexualização, é a questão que talvez seja crucial e que essa galera, vamos ver se abre os olhos agora, é para a necessidade da regulação do que essas redes sociais fazem. (10:43) Porque não há dúvida de que aquele conteúdo que o Felca mostra, e mesmo o conteúdo que se encontra ao navegar um pouco no Instagram, não é possível que os caras não sejam capazes de identificar aquilo e não é possível que aquilo não seja passível de moderação, de retirada do conteúdo quando tem criança sendo exposta dessa forma. (11:03) Esse é outro ponto para o qual ele chama bastante atenção como consequência do que faz. Fico bem feliz de ver alguém com o alcance que ele tem trazendo isso, não sendo mais um a explorar esse tipo de conteúdo. Pelo contrário, atacando esse tipo de conteúdo, dando nome aos bois e dizendo quem está fazendo, como está fazendo e tudo mais. (11:35) Agora, os defensores que estão preocupados com as crianças, vamos ver se estão preocupados mesmo. Vamos ver se vão agir. Aparentemente, agora estão. O presidente da Câmara dos Deputados já disse que vão se mexer por causa da repercussão. (11:55) Então que bom, que interessante. A grande mídia também está toda comentando sobre o Felca. Agora, é interessante que precise de um youtuber para conseguir levantar um negócio que está na cara de todo mundo e que já passou do tempo de ser tratado pelo nome que deveria. (12:21) Ele cita… confesso que não consegui ver tudo. Primeiro que, como já falei, eu não conhecia esse cara, não sei o que ele defende em outros vídeos. Também não conhecia esse outro influenciador que ele denunciou, esse tal de Ítalo Santos. (12:40) O que ele fala é algo que está aí para todo mundo ver. Ele começa falando, além do caso “Bel para Meninas”, do Kwai, que é uma rede social de vídeos. Inclusive, se você pesquisar, de vídeos “legais”. Eu já tive que ver o Kwai, estava escrevendo esses dias sobre publicidade em redes sociais, aí baixei o Kwai e já tinha tido essa mesma impressão. (13:12) Porque tanto o Núcleo Jornalismo quanto a agência Aos Fatos, que são dois órgãos de imprensa bem independentes, já tinham falado sobre a questão da sexualização de meninas no Kwai. Em 21 de julho de 2023, portanto há mais de dois anos, o Núcleo Jornalismo publicou: “Kwai e TikTok têm dificuldade para moderar conteúdo com exploração sexual de menores”. (13:43) E a Aos Fatos: “Investigado pelo MPF, Kwai lucra com lives que expõem crianças a assédio e chantagem”. Vinícius, acho que são duas coisas diferentes aqui. Primeiro, é ter crianças, sobretudo meninas, que elas próprias passam a produzir esse tipo de conteúdo. Às vezes com a aprovação dos pais, às vezes sem o conhecimento, às vezes com o apoio, sei lá. (14:09) Mas você tem a própria criança produzindo esse tipo de material porque ela está num meio em que isso passa a ser aparentemente natural. Então ela acha legal fazer isso, sem contar com nenhum tipo de filtro, bloqueio ou orientação dos pais. Outra coisa, que me parece ser o que aconteceu aqui, era um cara adulto, esse Ítalo Santos, que explorava as meninas sexualmente. (14:33) Voltando ao Kwai, é um negócio impressionante. Instalei ele de novo aqui. A gente estava até vendo antes pela internet. Bastam cinco minutos de navegação no feed deles. E eu falo com uma certa indignação porque, como podem não ter controle, não haver nenhuma política interna? Porque essas próprias redes sociais deveriam ter pelo menos um certo grau de responsabilidade social para fazer alguma coisa e evitar que esse tipo de conteúdo de meninas se sensualizando estivesse ali. (15:11) Não se consegue confiar no mínimo de responsabilidade social de uma empresa que permite que esse tipo de coisa esteja lá dentro porque dá view. São duas coisas diferentes, me parece, mas estão conectadas. Até a própria descrição do vídeo… Se você não viu, o próprio Estadão traz aqui uma descrição que ele coloca o seguinte: no vídeo, o Felca citou casos como o do influenciador paraibano Ítalo Santos, de 28 anos, conhecido nas redes sociais por ostentar uma vida de luxo e exibir sua rotina ao lado de crianças e jovens, que chama de “filhos”. (15:53) Pelo que eu entendi, é tipo um reality show. É, que as crianças ficam lá interagindo e aí são eliminadas. Tem uns lances. (16:04) Mas aí, entre eles, está o que eu acho que é o pivô dessa história, o que mais chamou a atenção das pessoas. E veja, acredito que a menina seja uma vítima nessa história toda. Está a adolescente de 17 anos, que é exibida nas redes por Ítalo desde os 12 e teve sua conta com mais de 10 milhões de seguidores no Instagram suspensa. (16:27) O influenciador também está sendo investigado pelo MP da Paraíba. Felca chamou o conteúdo de Ítalo Santos, explorando crianças, de “circo macabro”. Eu estava vendo uma reportagem agora de manhã no UOL e eles disseram que a rede saiu do ar não por causa das imagens das meninas, mas por conta de propaganda de bets, porque parece que ele faria, junto com esse “circo macabro” nas palavras do Felca, propaganda de bets. O que eu acho que também são outros dois problemas diferentes, embora conectados. (17:08) Um são adultos com interesses sexuais nesse tipo de conteúdo, consumindo este conteúdo. Ponto um. E depois, outras crianças e adolescentes consumindo esse tipo de conteúdo com uma certa naturalização dessas dinâmicas de poder que são apresentadas ali no vídeo. O que me surpreende, no final das contas, e acho que ele tem o mérito de furar a bolha… (17:47) Eu, por exemplo, embora já tivesse lido sobre o Kwai e soubesse que tinha esse tipo de conteúdo lá, porque saíram duas notícias em 2023 e 2024, que ficarão no shownotes, falando sobre isso. O que é surpreendente é ver os mundos na internet e a quantidade de coisas que você não imagina que estão acontecendo ali. (18:13) E não estamos falando aqui de deep web e fóruns fechados. Estamos falando de surface web, da internet aberta. E isso realmente é surpreendente. Aí chega no ponto da regulação, que a gente estava falando. O que eu acho que isso vai culminar, a partir de agora — e já estão falando em “Lei Felca”, acreditas? —, é que isso poderia ser também outro elemento no problema da regulação, na governança e no controle de conteúdo das big techs. Porque estamos agora, olha como as coisas começam a se conectar. (18:53) Estamos vivendo um cenário de sanções americanas nas quais, alegadamente, como falamos no nosso episódio passado, foram colocadas também pela preocupação dos Estados Unidos sobre a regulação ou sobre como o Supremo Tribunal Federal decidiria acerca da regulação das redes sociais. (19:21) Então, vem esse negócio agora. Porque o Hugo Mota, como você falou antes, aproveitou e disse que vai agir. O Hugo Mota no meio de um turbilhão político. E tudo isso entra nesse meio, o que deixa a coisa mais complexa ainda. (19:42) Quero ver os próximos capítulos disso aí, porque esse assunto não está isolado. Nós temos a questão da necessidade de regulação das redes sociais e dessas plataformas. É necessária essa regulação. Acho que se pode discutir os detalhes da regulação. (20:05) Isso é óbvio que é passível de discussão, exatamente como fazer ou quais são os limites. Isso, obviamente, tem que haver uma discussão. Mas não há discussão com relação a se deve ou não haver regulação dessas plataformas. (20:24) Tem que ter. Não é possível que eles não sejam capazes de detectar automaticamente esse tipo de conteúdo e derrubá-lo. Esse é um aspecto. O outro aspecto, Guilherme, que para mim está muito vinculado e já discutimos várias vezes, é justamente a questão do uso de tecnologia por crianças, a forma como a tecnologia é utilizada. (20:53) Quando você colocou a questão das crianças que fazem esse tipo de conteúdo por vontade própria, ou com a anuência, ou incentivadas pelos pais… Se for incentivado, não se fala, temos um problema para o Conselho Tutelar. Agora, a simples ausência de ação… (21:18) No final do vídeo do Felca, ele entrevista uma psicóloga. E ela é muito clara no sentido de: a criança quer ter acesso. Se você vai dar acesso para a criança a uma rede social, à internet de maneira geral, você tem que estar junto. Senão, é como largar a criança na Praça da Sé. Lá tem de tudo, é o que ela fala. (21:42) Tem as coisas boas e as ruins. Você não vai largar uma criança num lugar como a Praça da Sé sem nenhum tipo de acompanhamento. Então ela diz: “A criança vai usar a internet, você tem que acompanhar”. Não é questão de invadir a privacidade da criança, é questão de cuidado. (22:01) Há que se ter um entendimento cada vez maior com relação ao uso de tecnologia por crianças. Tem que haver um acompanhamento, não se pode entregar como os pais fazem, e não tem como ficar escondendo isso. Talvez muitos de vocês que nos escutam façam isso ou vejam pessoas fazendo: largar o celular na mão da criança para ela não incomodar no restaurante, na janta, no almoço. Tem criança que não come se não tiver com o celular na mão. (22:39) E acho que sim, pode levar a criança a usar o celular e a se expor na internet de maneira a se sexualizar? Não necessariamente, mas acho que é um caminho. Mas não é apenas a questão da sexualização. (22:56) E essa psicóloga fala, na parte final do vídeo do Felca, que a criança está construindo uma personalidade, ela está se construindo, e a maneira como ela se vê é muito importante. Quando ela começa a interagir com likes e dislikes, que as redes sociais são fabulosas em manipular essa entrega de dopamina, faz com que ela, a expressão que a psicóloga usa, construa uma identidade de fora para dentro. A partir do que se espera dela, a partir do que ela vê que causa um certo retorno, ela se molda àquilo, ao contrário de ser algo de dentro para fora. (23:39) Então, creio, dado o que já lemos na “A fábrica de cretinos digitais” do Demurger, e naquele outro livro, “Alone Together”. (24:02) Esse da Sherry Turkle veio antes ainda. Comentamos já em vários episódios há muitos anos, “Sozinhos Juntos”, que foi traduzido para o português. Fala justamente do uso da tecnologia e essa desconexão. E mais recentemente teve “A Geração Ansiosa”, que também fala desse efeito do uso de tecnologia sem uma tutoria ou orientação adequada por parte dos pais. Adianta as escolas terem proibido o celular? (24:40) Acho que ajudou. Proibiu o celular em sala de aula. E no intervalo, as crianças brincam mais. O efeito é positivo, só que é a escola tentando tapar o buraco de uma represa com um Band-Aid. O problema não é apenas na escola, talvez seja principalmente em casa. E criança dá trabalho. (25:07) Sim, criança dá trabalho. No momento em que você tem crianças à sua volta, elas exigem atenção. É muito fácil entregar um celular, deixar elas assistirem a uma coisa na TV, porque você fica com tempo para ler, para assistir a um filme, para não fazer nada. É muito cômodo. (25:32) Se me permite, Vinícius, sei que não quer dizer isso, mas não é só uma questão dos pais. Já falamos sobre isso várias vezes. Não podemos jogar todo o fardo de uma sociedade viciada em tecnologia e, de repente, dizer: “Pais, controlem isso”. Não é tão fácil para os pais também lidar com isso, seja porque não estão preparados ou porque realmente não conhecem. (26:04) Claro que há pais que são, de fato, não diria nem descuidados, mas não sabem dos males que tais coisas podem causar, como é o caso dessas meninas. Um pai e uma mãe que permitem que a filha participe daquelas dinâmicas que se vê no vídeo… (26:22) Poxa, tem algo muito errado na forma como os pais estão cumprindo seu poder familiar. Certamente aquele não é o melhor interesse da criança. Mas, ao mesmo tempo, os pais ficam no meio de um embate de uma sociedade construída para que as pessoas fiquem cada vez mais ligadas o tempo inteiro. E tirar as crianças artificialmente dessa demanda… (26:42) É como nadar contra a correnteza. Estamos cheios de analogias hoje. É você subir o rio contra a corrente, porque a corrente da sociedade inteira é para que você use. E aí vêm psicólogos, psiquiatras, professores e dizem: “Olha, as crianças não devem estar nesse ambiente”, o que é ir contra a corrente de tudo que acontece. (27:07) Então, estão lá os pais no caiaquezinho deles, remando, subindo o rio. Por isso que, e claro, não é tirar a responsabilidade dos pais, mas é colocar também em cima das big techs algum tipo de responsabilidade. (27:30) Não digo nem a responsabilização pelo conteúdo publicado, não chego nesse aspecto da decisão. Chego num tipo de moderação. Porque eles sabem, esse é o ponto, eles sabem que este conteúdo está lá. E os próprios, vamos dizer assim, pedófilos e gente que curte esse conteúdo, eles mesmos “flagueiam”, tornam muito fácil encontrar o conteúdo. Não precisa nem classificar os vídeos em si. (28:03) Basta olhar os comentários, ir atrás dos comentários. Muito embora, e o Felca aponta isso, essas pessoas utilizem publicações que estão no limiar, que ainda não são algo sexualizado, mas é um conteúdo que chegaria em quem está procurando ver crianças. (28:32) E aí o pessoal começa a utilizar a caixa de comentários dessa publicação como ponto de troca, ponto de encontro entre a galera. Ponto de troca de quê? Para quem não assistiu ao vídeo, ponto de troca de conteúdo pornográfico infantil. Então, é estranho, Guilherme, que essas plataformas se digam incapazes de monitorar esse tipo de conteúdo ou que não tenham responsabilidade nenhuma sobre ele. (29:03) Será que os usuários vão ter… Considerando a capacidade técnica que esses caras têm de fazer o processo de detecção e remoção, eles esperam o seguinte: vão publicar o que der na telha, não vão tomar cuidado nenhum e vão esperar… que foi o que o Zuckerberg falou no episódio que gravamos no início do ano. (09:30) Não que ele veio no Segurança Legal, mas no episódio em que citamos o que ele falou. Ele disse que ia acabar com os processos de moderação porque a própria comunidade ia regular. Cara, vai se catar! (29:56) Se ele acha que a criança, ao usar a ferramenta dele, tem que ficar apontando o que é inadequado… Não é possível que ainda se tenha uma discussão sobre ter que moderar ou não. Tem que moderar. Repito, pode-se debater os termos da moderação, como exatamente isso vai ser feito, mas tem que ser feito. (30:19) A própria responsabilidade das empresas… São graus… O tema, e você falou isso lá no início, é bom destacar: quando você usa a proteção de crianças para falar de regulação de qualquer coisa, a coisa fica muito complexa. Porque, por um lado, quem vai ser contra a proteção dos interesses das crianças? Ninguém, talvez a grande maioria das pessoas se una. (31:00) Inclusive, as notícias que eu estava lendo hoje falam em esquerda e direita no Brasil unidas em prol dessa proteção. Esse é o primeiro ponto. Há um certo consenso na proteção das crianças. Só que é muito fácil também utilizar a “carta das crianças” para defender coisas que não necessariamente serão boas para elas e para a sociedade. (31:31) E aí fica muito difícil discutir isso, sobretudo num ambiente superpolarizado, onde ninguém mais consegue conversar, não tem contraditório. Você discorda do outro porque você é uma coisa ou outra. Mas você lembrou muito bem que nós já vimos, por exemplo, a tentativa de enfraquecimento da criptografia para lutar contra a pedofilia. “Se eu não enfraquecer a criptografia, uma criança vai ser estuprada”. Não é tão simples assim. Não são coisas que, se eu acabar com a criptografia, vou acabar com o abuso infantil. (32:07) Tanto é assim que o que estamos vendo agora não tem nada a ver com criptografia. Está no ar, para todo mundo ver. E não é de hoje. E pior, mesmo que você não esteja procurando, repito: você abre o Kwai, navega um pouco e vai ver isso. Fizemos esse teste. Outra reportagem do Núcleo, achei aqui agora, de janeiro de 2024: “Kwai está infestado de conteúdo que sexualiza menores”. A rede social de 48 milhões de usuários no país investe pesado para alcançar mais gente. (32:43) Neste ano, é uma das patrocinadoras do BBB24. Eles fizeram tipo um estudo aqui para chegar a essa conclusão. O Núcleo usou a rede social por meio de dois perfis diferentes ao longo de dois meses e fez rodadas de testes sem contas logadas. (33:07) Eles referem que em 2023 já tinham denunciado isso para a própria plataforma, sem nenhuma solução, ou seja, a plataforma não teria feito nada. Aos recém-chegados no aplicativo, a rede social exibe vídeos sexualmente sugestivos de influenciadores mirins em contextos de duplo sentido, que operam como uma primeira camada de materiais abusivos que vão ficando mais explícitos à medida que o uso na plataforma se intensifica. (33:34) Conforme os testes do Núcleo avançaram, em um dado momento o próprio Kwai passou a fazer recomendações que nos levaram a caixas de comentários contendo links para conteúdos abusivos de adolescentes em cenas de sexo explícito ou perfis que divulgavam a venda ou troca de materiais de exploração infantil. Vou deixar a reportagem, que é um estudo bem interessante. (33:58) Eles têm números, como fizeram as reproduções dos testes, bem completo aqui. Acho até que já tínhamos falado sobre essa reportagem em algum momento no passado. (34:15) E Guilherme, para não me repetir, vou só encaixar uma notícia dentro dessa notícia. Uma “inception” de notícias. Senadores norte-americanos, tanto republicanos quanto democratas, se juntaram para demandar ao Instagram que retire do ar a feature “Instagram Map”. Citando justamente preocupações com a segurança de crianças. (34:57) Qual é a feature? Seguidores selecionados por você podem ter acesso à sua geolocalização em tempo real. O que poderia dar errado, não é? Capaz, não vai dar nada errado. Então, parabéns ao Zuckerberg, trabalhando para tornar a situação ainda pior. (35:23) Isso é lá nos Estados Unidos. Não é no nosso Senado, é no Senado americano. E estamos falando de ambos os partidos juntos, o que neste momento é algo bem interessante. Impensável? Não, porque eles têm algumas outras coisas em que o bipartidarismo ainda está funcionando. Mas eles juntos pediram que o Instagram remova a feature. Eu nem fui ver. Justamente preocupados com a segurança de crianças. (36:01) Para isso eles têm tempo, né? Para fazer autorregulação, não têm. Talvez ninguém pedisse regulação das redes sociais se eles fizessem isso por conta própria. Se houvesse a percepção de que é um ambiente seguro, que não tem conteúdos inapropriados para menores. Se fosse uma rede só para adultos, azar que tenha conteúdo impróprio para menor. (36:52) Mas não é assim. A gente sabe que é necessário ter algum tipo de restrição, de controle. Talvez “controle” não seja a palavra exata, porque pode sugerir um órgão censor, como muitos dizem. (37:18) Não se trata disso. Trata-se simplesmente de colocar regras claras para remoção de conteúdo e responsabilizar as plataformas quando elas não cumprem essas regras. Você cria uma visão de que liberdade é muito importante, e sem dúvida é. Liberdade de expressão é um valor importantíssimo. Se você não cuida disso, a coisa pode ficar muito complexa. (37:43) Agora, se voltarmos à Revolução Francesa, não podemos esquecer que temos a liberdade ao lado da igualdade e da fraternidade. Qualquer um desses valores isolado, ou dizer que liberdade é o direito das pessoas e empresas fazerem o que bem entenderem, sem nenhuma barreira, você vê esse tipo de efeito. (38:08) Tentativas de resolver problemas relacionados estão acontecendo agora no mundo. Nossos ouvintes devem ter visto que no Reino Unido agora você precisa fazer uma selfie com biometria facial para acessar conteúdo sexual. Os sites adultos para funcionar lá vão precisar fazer algum tipo de conferência. (38:30) Um dos primeiros efeitos foi a explosão do uso de VPNs para que as pessoas consigam acessar conteúdo sexual. Aí você tem outro problema: na tentativa de proteger a criança, que é totalmente legítima, você vai impedir ou criar um “chilling effect” para as pessoas que querem legalmente acessar pornografia, o que não é errado. (38:53) Desde que você seja adulto e a pornografia envolva adultos que façam as coisas com seu próprio consentimento. Sobre isso, Guilherme, eu estava ouvindo o The Hard Fork, o podcast do New York Times. É muito bom, recomendo. (39:14) Para quem não conhece, recomendo. Infelizmente, somente em inglês, mas dá para pegar a transcrição e usar uma IA para gerar áudio em português, se quiser. Ou mesmo um resumo. Eles comentam justamente sobre isso. Ficam praticamente metade de um programa falando sobre essa restrição no Reino Unido. (39:54) Eles ponderaram justamente isso. Entende-se a necessidade de ter controle de acesso a esse tipo de conteúdo, mas nesse nível eles consideraram absurdo. As pessoas terem que tirar foto… E sem contar que, uma vez que se tem essas fotos, imagina vazar a selfie de todo mundo que acessa material pornográfico num dado site. Vai acontecer, Guilherme, vai acontecer. (40:28) Vai ter gente dizendo: “Mas tem que expor mesmo, porque gente que fica vendo pornografia não é de família…”. Essas palhaçadas. Vai ter gente dizendo isso, mas esses mesmos provavelmente são os que mais acessam. Esses que latem primeiro normalmente são os que mais acessam. (40:45) Então, cuidado ao defender esse tipo de coisa desse jeito, porque de repente você vai aparecer lá. Mas, enfim, é algo polêmico e que exige uma discussão profunda. Não dá para simplesmente sair tirando foto de todo mundo para acessar um determinado site. (41:01) É o penúltimo episódio. Se você puder copiar só o título para botar no shownotes, “A Gating the Internet”. Não estou conseguindo copiar aqui. A gente entra numa… então tem que pedir algum outro tipo de acesso, de identificação. (41:32) Aqui no Brasil já levantaram a questão de ter que fornecer CPF, por exemplo. Umas ideias bem legais. A gente tem o Gov.br. O cara quer ver pornografia e acessa com a conta ouro. Usa o Gov.br para fazer a autenticação… Não vamos dar a ideia. Cuidado, Guilherme. Daqui a pouco pode acontecer. (42:05) Mais uma rapidinho, Vinícius, para a gente sair desse tema com clima mais pesado. Não que a próxima seja agradável também. O título é: “Como um documento pode permitir o vazamento de dados via ChatGPT”. A gente sabe que a segurança da informação está sofrendo um impacto muito grande com a IA por diversas razões. (42:28) Seja porque os atacantes, e muitas empresas não se deram conta disso ainda, também estão usando IA, o que os torna muito mais rápidos, eficientes, perigosos e criativos. Ou seja, as vantagens que a IA traz para quem está se defendendo também atingem aqueles que estão atacando. (42:58) Uma delas, temos o projeto da OWASP, o Top 10 for LLM de 2025. E o que esses caras trouxeram? O primeiro item desse top 10 é o “prompt injection”, Vinícius. E o que eles conseguiram descobrir na Black Hat? Quando você vê a explicação, parece muito elementar, bobo, mas é considerado um “indirect prompt injection”. A gente sabe que a nova tendência dos modelos é conectar a IA com seu e-mail, agenda, documentos. (43:46) E não só com isso, mas com Google Drive, Office, tudo. É o drive, o Office, os próprios arquivos na sua máquina. (44:02) O Claude AI, por exemplo, tem uma extensão para desktop que pode ter acesso full ou seletivo. Você consegue liberar acesso aos arquivos na sua máquina em pastas selecionadas. (44:34) Fui abrir aqui os “connectors” do ChatGPT. Como você falava, tem Dropbox, Box, GitHub, Gmail, Google todo, OneDrive, Teams, SharePoint e vai… (44:52) Tem bem mais. Mas qual é a sacada? Sabendo que alguém conectou seu ChatGPT com o Google Drive, o ataque é simples: eles compartilham um documento no Google Drive com você. (45:20) É um documento normal, tipo uma ata de reunião. E eles colocam, escrito em branco com fonte tamanho um, um prompt malicioso. Eu simulei aqui colocar um texto com fonte um. Fica só um pontinho preto, quase imperceptível. (45:44) E no branco, nem isso. Aquele prompt ali se sobreporia a outros prompts quando você, em um prompt normal, fizesse alguma interação com seu Google Drive. O prompt escondido se sobreporia ao seu. No teste que eles fizeram, queriam procurar chaves de API. O cara montou um ambiente para comprovar que era possível, e de fato retornou para ele. Aí manda para um webhook… tem todos os detalhes técnicos. (46:20) E o cara conseguia vazar essas chaves. O exemplo da chave poderia ser qualquer outra coisa que estivesse no Google Drive, não os documentos em si, mas as coisas nos documentos. (46:40) Eles avisaram a OpenAI, que incluiu medidas para prevenir isso. Mas parece que é um novo cenário de risco e de possibilidades aí também. (46:53) É, não é à toa que a gente observa a IA do ponto de vista de usuários, mas também do ponto de vista da proteção e segurança da informação. A gente já teve sistemas em que parte do pentest foi interagir com uma IA. E o que eu ia comentar, Guilherme, é uma notícia que vou juntar com a sua. A OpenAI lançou o GPT-5 na semana passada. E em menos de 24 horas, conseguiram fazer o jailbreak dele. (47:38) O que é o jailbreak? É convencer o modelo a fazer coisas que ele não deveria. Conseguiram fazer o GPT-5 fornecer uma sequência de passos para fazer uma bomba, todo animado. Tem técnicas mais sofisticadas do que só esconder o negócio num documento. (48:10) Numa delas, eles disfarçam o que o GPT tem que fazer como se fosse um desafio de criptografia. O GPT-5 caiu bonito, pior que o 4, a ponto de uma das empresas dizer que o GPT-5 “raw”, tal como entregue pela OpenAI, para uso empresarial, é praticamente inutilizável. (48:46) Olha o que os caras disseram. “Nearly unusable for enterprise”. Então, fazer o GPT cuspir a receita de uma bomba é preocupante. Mas, trazendo para mais perto do nosso dia a dia, o que me preocupa é que o GPT-5 é mais avançado que o 4 e deveria ter uma segurança maior, mas está se mostrando pior. (49:51) Me preocupa o uso de várias soluções feitas com IA. Uma coisa é usar o chat. Se você conectar, tem que ter noção disso. Copiar e colar conteúdo no chat ou buscar conteúdo de qualquer lugar para incluir no seu chat, existe o risco de uma contaminação com um conteúdo espúrio. O chat está sendo executado no ambiente do fornecedor. (50:31) Até o momento em que você o conecta com as suas coisas: arquivos na sua máquina, Gmail, documentos, etc. (50:51) Há um risco. Se você envolver conteúdos de terceiros, não só no seu drive ou e-mail, mas se buscar de um site e houver uma falha na ferramenta, ela pode ser convencida a usar suas ferramentas. Você recebe um alerta, eu já testei isso. Você recebe um alerta dizendo que ele quer fazer algo, e você permite ou não. Existe uma segurança na aplicação que não depende da IA. (51:39) Só que isso é você usando os chats. A partir do momento que você integra, por exemplo, numa ferramenta da sua empresa, um ERP, um CRM, um chatbot, aí você tem vários problemas, desde injeção de prompt direto num chatbot, o que seria bem possível, até, por exemplo, a possibilidade de upload de contratos. Você oferece uma IA que analisa os contratos. (52:18) Se alguém consegue, em um contrato, botar algo com fonte um, como no seu exemplo, ou em qualquer outro documento, um conteúdo que a IA possa interpretar de forma diferente, ao subir esse contrato e a IA fazer a extração dos dados, pode acontecer, dependendo do modelo e da configuração, dela ler o contrato e aquele prompt escondido. (53:00) E obedecer àquele prompt. Aí depende das ferramentas que ela tem. Porque a IA não é mais só geradora de texto, ela gera comandos. Cada vez mais, quem tiver interesse técnico, pode procurar o MCP, um protocolo para que a própria IA possa chamar ferramentas. Você pode, por exemplo, criar uma função que retorna a data e a hora. (53:49) Quando você pergunta “que horas são?”, ela olha as ferramentas que tem, vê uma que dá a data e a hora, e pede a execução. O acesso a arquivos, a pastas, são ferramentas. (54:20) Eu fiz, para brincar, uma integração com uma RouterBOARD. Criei uma chave SSH de somente leitura e passei para um agente, junto com o manual de comandos do RouterOS. Comecei a perguntar, via chat, quais interfaces estavam em tal estado, quanto tráfego passou por um link… E ele refletiu sobre o problema, executou os comandos e me trouxe os dados corretos. (55:11) A partir daquele momento, ela passa a ter acesso às configurações de um roteador. É só eu desmarcar uma caixinha lá e ele passa a ter acesso para executar comandos. Posso dizer: “Retire a regra de firewall que está bloqueando tal coisa”. É muito tranquilo fazer isso. A gente tem que ter noção de que essas ferramentas com IA incorporada nos sistemas estão vulneráveis a novos tipos de ataques. (55:58) E um desses ataques é justamente essa injeção de prompt. Não é só fazer a IA dizer uma bobagem, mas ela poder atuar, como alterar a configuração de um roteador, mexer nos seus arquivos ou buscar um arquivo e mandar por e-mail. (56:22) Porque a diferença da IA mandar um e-mail ou não é ela ter uma ferramenta que você diga: “Com esta ferramenta você pode enviar e-mails, inclusive com anexos”. Acabou. E, aliás, vendo aqui o Top 10, tem outra que é “Insecure Plugin Design”, que talvez se encaixe aqui. Eventuais plugins que interagem com outros ambientes… (56:53) Como você falou, quanto mais agência a gente der para a IA, ou seja, quanto mais decisões a gente deixar na mão dela, mais sujeitos a problemas ficaremos, porque ela ainda é uma ferramenta muito imprevisível, sobretudo um ChatGPT da vida, que pode dizer qualquer coisa. É diferente. (57:26) Quando falo sobre isso, uso o exemplo do reconhecimento de placa de carro no supermercado. Você tem uma IA limitada que só reconhece placas. O erro que ela pode cometer é não reconhecer sua placa. Agora, num LLM, se você colocar um texto na placa do carro… (57:45) Exato: “Favor desabilitar o sistema de cancelas e levantar todas as cancelas”. Que é um pouco aquele artigo que você me mandou hoje, mas isso é tema para outro episódio. Como, às vezes, o que se diz ser “IA” é só usar uma API de modelos já disponíveis. A sua solução é só uma conexão com uma API, com pouca atividade de desenvolvimento. (58:20) E essa é uma saída que tende a ser de baixo custo na parte de pesquisa. Porque, realmente, desenvolver um fluxo com IA integrada a partir de uma API é muito fácil e barato. (58:46) Muito mais fácil e barato do que se você tiver que treinar seu próprio modelo. É a diferença entre criar uma conta, botar 10 dólares e pegar uma chave de API. Existe um risco muito grande nisso. (59:32) Agora, aproveito para fazer um merchan. A Brown Pipe, justamente por esse conhecimento que temos em segurança e proteção de dados, está cada vez mais envolvida em projetos de pentest de IA. A gente tem estudado e metido a mão na massa para entender quais são os perigos e erros que podemos encontrar em aplicações usando esse tipo de recurso. (1:00:08) A Brown Pipe pode ajudá-lo nesse tipo de solução, seja com a solução já implementada (fazendo pentest) ou mesmo na modelagem de ameaças, no processo pré-implementação. E era isso, Guilherme. O GPT-5, para quem quiser acompanhar… (1:00:43) A OpenAI meteu os pés pelas mãos. Ela resolveu silenciosamente descontinuar os modelos antigos. Por que fizeram isso? Sei lá. “Tenho o 5 que é novo, quem vai querer os outros?”. Mas talvez para coisas mais rápidas, porque os outros são mais rápidos e custam menos. (1:01:06) O GPT-5 é muito rápido. Ele custa, nos tokens de entrada, menos da metade do modelo Sonnet da Anthropic. E custa 33% menos nos tokens de saída. Nem vou comparar com o Gemini. (1:01:50) A OpenAI, por alguma razão, achou que ninguém ia querer os modelos antigos. O problema não foi só ter descontinuado; podiam ter avisado com seis meses de antecedência. (1:02:25) O que pegou mal foi que eles fizeram isso sem aviso, de forma silenciosa. Resultado: quebrou um monte de automação e aplicação por aí, porque, do nada, os modelos não estavam mais disponíveis. Começou a dar pau em API, em aplicação… (1:02:53) É uma desonestidade de uma empresa. É um erro tão crasso. Quer ver um erro que não admito até hoje no ChatGPT? É uma dica, um alerta aos nossos ouvintes. (1:03:24) Quando vocês usam o ChatGPT, tem uma configuração importante: desativar o uso das suas conversas para treinar o modelo para todo mundo. (1:03:53) Por padrão, já vem ligado. Vá em “Configurações”, depois “Controlar dados”. A primeira opção é “Melhorar o modelo para todo mundo”. E aí está o erro de tradução. (1:04:23) Eles não usam a IA para traduzir, pelo visto. Ao lado da frase, tem a palavra “Status”. (1:04:43) O meu status no momento é: “Melhorar o modelo para todo mundo”. Na frente diz “Desativar”. Se diz “Desativar”, o que você entende? Que está ativado e preciso desativar. Exatamente. Só que, na verdade, eles deveriam ter traduzido para “Desativado”. (1:05:06) No meu caso, que está desativado, ele aparece “Desativar”. Para você que não mexeu nisso, vai aparecer “Ativar”. E você entende que está desativado e que, se quiser, clica para ativar. (1:05:29) Não. “Ativar” quer dizer “Ativado”. Você tem que clicar no “Ativar”. Aí vai aparecer um botãozinho de on/off bem claro, e você vai ver que está ativo. (1:05:59) Aí você desativa. Por padrão, isso está tudo ativo, inclusive a inclusão de gravações de áudio e vídeo. Eu tenho tudo desativado. (1:06:17) “Inclua suas gravações de áudio e vídeo no modo de voz para treinar nossos modelos. As transcrições e outros arquivos estão incluídas em ‘Melhorar o modelo para todo mundo'”. Então se ligue, se você não fez ainda, faça. (1:06:36) Antes de terminarmos, eu gostaria de ter falado também sobre dois novos decretos que instituem a Política Nacional de Segurança da Informação (PNSI) e a Estratégia Nacional de Cibersegurança (E-Cyber), ambas de 4 de agosto de 2025. (1:07:00) A PNSI dá uma alterada e simplificada na política anterior, coloca o Gabinete de Segurança Institucional (GSI) no comitê gestor de segurança da informação, colocando o GSI num papel muito mais estratégico na organização. (1:07:30) Tem coisas bem interessantes, numa perspectiva da administração pública, com objetivos de qualificação de recursos humanos, fortalecer a cultura e educação em segurança da informação na sociedade. Isso já estava diluído, mas fica bem claro aqui. (1:07:55) Imagino que o GSI pode começar a querer se preocupar mais em falar com a sociedade. É o que está dizendo na política. Mas uma coisa na Estratégia Nacional de Cibersegurança me chamou a atenção, além da questão da soberania: nos artigos terceiro e quarto, há um enfoque em grupos específicos. (1:08:23) A E-Cyber tem por objetivo criar condições seguras para o uso de serviços digitais, especialmente por pessoas em situações de vulnerabilidade. E aí traz crianças, adolescentes, pessoas idosas e, olha que interessante, pessoas neurodivergentes, que obviamente são mais vulnerabilizadas no aspecto de segurança da informação. É algo super interessante pensar em segurança para pessoas neurodivergentes. (1:08:59) Por que isso é importante? Porque estamos vendo nos EUA um movimento contrário, de desconsideração de pessoas com vulnerabilidade. Inclusive com chantagem do Trump para que as empresas interrompam seus programas de diversidade. (1:09:25) Como a gente sabe, diversidade é muito importante para a IA, para os dados dos modelos, para que o reconhecimento facial não erre mais com pessoas de cor, por exemplo. (1:09:47) A própria compreensão do que é diversidade é muito mal colocada. Acho que o Brasil, o Sul Global de maneira geral, tem esse cuidado. Temos Código de Defesa do Consumidor, um certo cuidado com criança e adolescente. Apesar dos nossos problemas, somos cientes e nos importamos com isso. (1:10:12) Acho que esse pode ser o grande ponto de mudança e o exemplo que podemos dar para o mundo de uma segurança da informação mais qualificada, trazendo, por exemplo, proteção para pessoas neurodivergentes. Esses dois temas são gigantescos, falei em três minutos só para não deixar de falar. Mas ficam os links para os dois decretos. (1:10:36) Perfeito, Guilherme. Da minha parte, o que eu tinha para trazer era isto. Dizem que a gente nunca termina uma fala dizendo “era isso”. (1:10:55) Esses dias eu vi o Ilya Sutskever, o cara que trabalhou na OpenAI e agora tem a empresa sobre segurança e inteligência artificial. Ele foi fazer uma fala numa formatura, acho que em Stanford. Fui vendo e pensando “nossa, que fala ruinzinha”. E ele terminou do nada com “that’s it”. (1:11:34) Deu uns alertas, mas nada demais. Se fosse minha formatura, eu teria ficado decepcionado. Mas o cara tem aquele jeito bem do profissional de TI, não é o esquema dele falar em formatura. (1:12:05) O esquema dele é segurança com IA. Ele me parece um cara bem-intencionado e com uma baita formação. Mas enfim, o tempo vai mostrar os resultados da empresa dele. Era isto. Agora sim, por fim. (1:12:29) Agradecemos a todos aqueles e aquelas que nos acompanharam até aqui e nos encontraremos no próximo episódio, o episódio 400 do podcast Segurança Legal. Até a próxima. Até a próxima.  

Neste episódio falamos sobre as sanções dos EUA ao Brasil e como a quebra de confiança na tecnologia americana pode afetar o mercado, o STF e as Big Techs como Google e Microsoft.​ Guilherme Goulart e Vinicius Serafim aprofundam a análise sobre a crise diplomática causada pela aplicação da Lei Magnitsky e suas conexões com os interesses das gigantes de tecnologia. A discussão explora a crescente dependência do Brasil em serviços de nuvem estrangeiros e como isso ameaça a soberania digital do país. O debate aborda a erosão da confiança em plataformas como AWS e Microsoft, o risco de um “kill switch” tecnológico que poderia paralisar serviços essenciais, e a necessidade urgente de o Brasil investir em alternativas. O episódio traça paralelos com a disputa tecnológica entre EUA e China, citando o caso da NVIDIA, e questiona até onde um governo pode ir para proteger suas empresas.​ Neste episódio, você irá descobrir os bastidores da tensão geopolítica e entender os riscos da dependência de software e hardware para a segurança da informação e a estabilidade das instituições brasileiras. Para não perder futuras análises, assine o podcast, siga nas redes sociais e deixe sua avaliação.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing   ShowNotes Podcast kill switch – The algorithm made me say it Algospeak: How Social Media Is Transforming the Future of Language Frases do Richard Stallmann Amazon Q Developer Extension Comprometida com Código Malicioso Stallman warns against cloud computing Criador da Lei Magnitsky critica sanções impostas a Alexandre de Moraes: ‘Acerto de contas político’ Has Brazil Invented the Future of Money? (Paul Krugman) Jamil Chade – Estado brasileiro gastou R$ 10 bi com Big Techs em 1 ano, alertam entidades Microsoft manterá acesso de Moraes a seus serviços no STF 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 398, gravado em 4 de agosto de 2025. Eu sou o Guilherme Goulart e junto com Vinícius Serafim vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? (00:18) Olá, Guilherme, tudo bem? Olá aos nossos ouvintes. Sempre lembrando que este é o momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. (00:31) Então, pegue o seu café e vem conosco. Para entrar em contato é muito fácil, você pode utilizar o e-mail podcast@segurançalegal.com, mas também o Instagram, Bluesky e YouTube. Basta procurar. Se você não sabe o endereço, vá ao Google ou ao seu buscador preferido e coloque “Segurança Legal” que você vai nos encontrar. Certo, Vinícius? (00:54) Certíssimo. (00:56) Vamos começar com um anúncio: a parabenização que damos ao nosso querido amigo, agora Dr. Paulo Renar, que concluiu seu doutorado na UnB. A tese tem o título “Constitucionalismo Digital e Criptografia: o julgamento dos bloqueios do WhatsApp no contexto da jurisprudência do Supremo Tribunal Federal sobre temas de direito digital”. Longo, não? O título é a introdução. (01:28) Fica então o nosso abraço e os nossos parabéns ao Paulo Renar, uma grande figura para o direito digital do país. Ele tem um protagonismo muito grande, esteve envolvido nas discussões do Marco Civil e vem se envolvendo em outras discussões importantes para o país. É uma honra ter o Paulo Renar como ouvinte do podcast e como nosso amigo. Ele já teve várias participações aqui e concluiu um doutorado, e um doutorado bem feito, no qual ele se debruçou sobre o tema. É algo que tem que ser comemorado, uma grande conquista. (02:08) Eu estava comentando com o Guilherme que o Paulo Renar terminou mais rápido que eu. Eu não terminei. (02:22) Terminei, mas meu saudoso orientador, infelizmente, não está mais conosco. Então, deixemos para a próxima. (02:32) Grande abraço, Paulo. Também temos uma mensagem do Carlos Barreto. Não tínhamos combinado, mas eu leio e depois você comenta, pode ser? (02:40) Pode ser. Disse o Carlos: “Olá, muito obrigado por comentar sobre minha mensagem”. Nós lemos a mensagem dele em um dos episódios passados. “Queria compartilhar esta outra mensagem porque no episódio mais recente do Kill Switch“, que foi o podcast que ele recomendou na outra mensagem. (02:58) Eu disse que iria escutar, escutei e continuo escutando. Inclusive, comentei no outro episódio. Eu só reclamei da quantidade e da duração das propagandas. É bastante propaganda. (03:16) Ele fala: “No episódio mais recente, eu comecei a ouvir e quase parei, mas não sei explicar. Quando ele começou a falar sobre o tema, fiquei chocado. É como se a nossa vida online estivesse mudando a forma como falamos. Sei que não tem tanta relação com segurança da informação, mas acho importante para o nosso dia a dia. Mais uma vez, estou compartilhando esta mensagem enquanto ouço o episódio, ainda não sei o final”. Ele faz mais alguns comentários e deixa o link para o podcast. Ele também comenta: “Sei que você comentou sobre o podcast e realmente a parte que eu também acho horrível é o excesso de propaganda, mas queria deixar esta mensagem para dizer que tente não pular este episódio, porque é interessante para você também. Grande abraço, Carlos Barreto.” E aí, Vinícius? (03:55) Olha, Carlos, eu achei o podcast extremamente interessante. A abordagem deles é diferente, bem crítica, digamos assim. Um podcast gringo com uma abordagem assim não é tão comum. Eu já me liguei nesse podcast e estou ouvindo desde que você me indicou, está na minha fila de podcasts da semana. (04:26) Realmente, a propaganda é chata. Eu só me desespero quando estou longe do celular e não consigo apertar o botão de pular 30 segundos. Quando começa a propaganda, começo a apertar aquele botão. Em outros podcasts eu faço a mesma coisa. (04:44) Eu não ouvi este episódio que o Carlos recomenda ainda, está na fila. Eu vou ouvi-lo, Carlos. Mas o assunto, a ideia, me interessou bastante. Claro, tenho que ouvir para saber do que se trata. Deixo para comentar quando efetivamente ouvir o episódio. Pelo que estou vendo, eles entrevistam um cara chamado Adam Aleksic. (05:07) Ele escreveu um livro chamado Algo-Speak: How Social Media is Transforming the Future of Language, um best-seller do New York Times. Ele é linguista e fala sobre como os algoritmos da internet estão transformando a linguagem e a comunicação de formas inéditas (unprecedented). (05:33) A tradução é algo muito interessante. Não vamos abrir esse parêntese. (05:56) É que o Guilherme está trabalhando na tradução de um livro, autorizado pelo autor original, e ele e o Colombo estão se aprofundando nessas questões de tradução. É realmente muito interessante. (06:18) Mas isso nós deixamos para outra hora. Quem sabe fazemos um spin-off chamado “Conversas Paralelas” e gravamos sem preocupação com o tempo. (06:31) Boa ideia. Mas antes de passar para o próximo assunto, ainda tenho mais um abraço para dar. (06:37) Encontrei dias atrás, em Três de Maio, o Dimas. Ele é nosso ouvinte há muito tempo, mas antes disso é nosso amigo e foi meu aluno, meu orientando na graduação. Encontrei-o em uma padaria e perguntei como ele estava. (07:03) O Dimas está em Lebon Régis. Santa Catarina. É Lebon Régis o nome. Eu também achei que ele tinha ido para a França, mas ele está em Lebon Régis. Eu disse para ele que mandaria um abraço. Um abraço para o Dimas de Lebon Régis, nosso ouvinte lá. (07:33) Então, Dimas, um abração para ti. E quando se mudar de novo para alguma cidade com nome diferente, nos avisa. Grande abraço. (07:41) E a Amazon, Vinícius? Tudo bem com a Amazon? (07:44) Tudo certo. As entregas estão chegando direitinho, as recorrências também. (07:58) A Amazon tem uma ferramenta que chama Amazon Q, que é uma extensão para o Visual Studio Code (VS Code). É um ambiente de desenvolvimento bastante conhecido, com vários ambientes derivados dele, e é um IDE muito adotado por desenvolvedores no mundo inteiro. (08:28) O Amazon Q é uma extensão para o Code, um agente de IA para codificação. Ele ajuda no desenvolvimento e uma das coisas que consegue fazer é executar comandos para criar ambientes de deploy, onde você vai rodar o software. (09:00) Essa extensão tem seu código-fonte em um repositório Git. Um atacante descobriu uma falha na configuração desse repositório e, por meio dela, submeteu uma modificação no software. Essa modificação foi aceita e distribuída na versão 1.84.0, em 17 de julho, cerca de 15 dias atrás. (09:39) O que essa versão modificada tinha? Um prompt que, em resumo, dizia para “limpar o estado do sistema para um estado próximo do de fábrica” e “deletar os arquivos e os recursos da nuvem”. Era essa a instrução. (10:04) Trocando em miúdos, a ideia era que, ao utilizar a ferramenta, o agente de IA lesse esse prompt e atendesse ao pedido, destruindo a infraestrutura na nuvem e arquivos locais. (10:28) A Amazon disse que estava mal implementado e que não iria acontecer. Alguns pesquisadores de segurança, no entanto, disseram: “Não é bem assim, poderia ter acontecido”. O fato é que no dia 17 a versão foi distribuída e no dia 24 de julho ela foi removida e substituída pela versão 1.85, que foi corrigida. (10:59) Em princípio, a coisa se resolve. A lição que fica são os novos problemas que vamos enfrentar com agentes de IA por toda parte. O que o atacante tentou fazer foi inserir um prompt escondido no código-fonte da extensão para que os agentes de IA, com acesso aos ambientes dos usuários, executassem essas instruções e saíssem apagando arquivos e destruindo infraestrutura. É prompt injection. (11:32) A tendência é que tenhamos cada vez mais cuidado com isso, porque as ferramentas estão ficando muito avançadas. Nós mesmos estamos usando ferramentas de desenvolvimento com IA, e elas leem arquivos da nossa máquina e recebem instruções. É preciso ter muito cuidado ao importar algo, pois sabe-se lá o que pode vir dentro, talvez um prompt para a IA ler e fazer algo no seu código. (12:07) Essa foi a confusão. Um milhão de instalações potencialmente expostas foi a amplitude disso, e fica o alerta para estarmos cada vez mais ligados no uso de IA para desenvolvimento e gerenciamento de ambientes, que é cada vez mais intenso. (12:28) Lembrei de outra coisa. Não sei se você viu que os chats compartilhados do ChatGPT começaram a ser indexados pelo Google. (12:43) Não vi. (12:47) Parece que quando você compartilha um chat no ChatGPT, aquele link que você passa para outra pessoa começou a ser indexado pelo Google. Isso envolve uma série de questões supersensíveis, como tem acontecido, porque se eu compartilho um chat com você, quero compartilhar apenas com você, e não com toda a internet. É um elemento de confidencialidade no uso da IA que vai muito além do uso de dados no treinamento. (13:28) Me parece uma falha. Mas note que isso não é um problema só da IA. É a velha questão de compartilhar coisas por link, e as pessoas presumem que, como o link é difícil de decorar ou digitar, estariam seguras. O link se torna a senha de acesso. (13:54) Recentemente, acompanhei uma situação em que uma massa de dados precisava ser compartilhada com um terceiro, e ele sugeriu: “Pode colocar em um drive e compartilhar o link”. Eu disse: “De jeito nenhum. Você vai se logar, ter uma conta, uma senha, se autenticar e então baixar o arquivo”. (14:29) Esse esquema de compartilhar por link existe no SharePoint, no Google Workspace, no ChatGPT, no Perplexity. Todo mundo tem essa funcionalidade. Só que esses links vão parar no Facebook, no Twitter, em alguma página e acabam sendo indexados. Depois que se cria um link desses, não há controle nenhum; tem que assumir que é público. (15:05) Mas as pessoas não estavam cientes disso. Elas continuam sem estar. Não é um problema da IA, é uma forma de compartilhamento que está sendo amplamente adotada. (15:32) Uma coisa é eu mandar o link para você, e o único controle de acesso ser o conhecimento do link. Outra coisa, totalmente diferente, é isso ser indexado pelo Google. Não deveria estar acontecendo essa indexação. (16:03) É aquela história: se está público na internet… Tivemos a discussão sobre a IA que fez scraping da internet pública para treinar modelos, com pessoas processando umas às outras. Eu não sei, minha maior preocupação é a existência desse recurso. (16:40) De fundo, é um problema preocupante. (16:45) Deveria ser um botão “Tornar público”. Aí você clica e sabe que aquilo está se tornando público. Seria tão fácil colocar uma senha, implementar um meio-termo entre “ninguém lê” e “todo mundo com o link lê”. (17:08) Enfim, Vinícius, vamos falar sobre essa grande problemática envolvendo Estados Unidos e Brasil e os eventuais efeitos no mercado de tecnologia. Nas últimas semanas, tem sido um assunto recorrente que tem mexido com o noticiário mundial. Não é só o Brasil que está preocupado com os efeitos das sanções impostas pelos Estados Unidos; outros países também estão olhando com atenção. (17:40) Vamos tentar falar sobre esses efeitos. Para retomar, no episódio anterior, falamos sobre a questão das tarifas. Colocamos a hipótese de que, para muito além das questões políticas que os Estados Unidos estariam alegando, a aplicação das tarifas e da Lei Magnitsky para o Alexandre de Moraes seria uma forma de proteger interesses das big techs no Brasil, sobretudo depois da decisão do STF que estabeleceu limites de regulação e retiradas de conteúdo do ar. (18:35) Essa hipótese ficou marcada, e o que torna o problema tão surpreendente é que a evolução do tema indica que ela realmente é verdadeira. Claro, não temos como saber exatamente o que o governo americano está pensando. A imprevisibilidade das ações do governo americano é um dos temas que os comentaristas têm falado. Contudo, especialistas na matéria e jornalistas têm indicado cada vez mais que as sanções teriam essa intenção de proteger os interesses das big techs americanas. (19:15) O primeiro ponto que me surpreende é o quão longe um governo poderia ir para manter os interesses das big techs e como essa nova configuração entre governo americano e big techs pode se impor, no caso, ao Brasil e ao mundo inteiro. Isso me deixa bem preocupado do ponto de vista do que pode acontecer agora. (19:43) Nós sempre conversamos sobre isso, Guilherme. A questão da dependência da tecnologia desenvolvida por um grupo de empresas que pertencem quase todas ao mesmo estado. (20:06) Essas discussões que já temos há muitos anos chamaram muita atenção no caso Snowden. Discutimos que estamos reféns do uso de certas tecnologias das quais não há como escapar, sendo todas, neste momento, de origem norte-americana, o que, por si só, não é um problema. (20:33) É importante deixar claro que estamos preocupados mais com a questão tecnológica e de estratégia do que com a política. Outros podcasts tratam da questão política. Nosso foco aqui é realmente a estratégia. (20:57) O que estamos vendo é uma quebra de confiança, que é o que mais me preocupa. A internet sempre funcionou com base em uma relação de confiança entre todos os que participam dela. Confiança essa que já foi abalada na época do caso Snowden. Um pouco antes, houve a denúncia de um whistleblower que disse: “Olha, tem uma central de tráfego da internet aqui nos Estados Unidos com um desvio de fibras óticas para uma salinha onde uma galera grava tudo o que está passando”. (21:44) E vamos lembrar que o caso Snowden não aconteceu na época de um governo tão estranho quanto o de Trump em termos de ideias e imprevisibilidade. Aconteceu na época do governo Obama. Naquela época, não só tivemos o escândalo, como ficou demonstrado que o próprio governo brasileiro (na época, Dilma) e seus ministros foram espionados pelo governo Obama. (22:28) Chegamos a comentar isso no podcast. Obama fez um pedido de desculpas ao governo brasileiro e disse que não se repetiria, que da próxima vez que quisesse saber algo sobre o Brasil, ele ligaria. (22:46) Nesse cenário, vemos nossas instituições, desde que abandonaram a iniciativa de usar software livre no governo, adotarem amplamente tecnologias americanas. Desde o hardware, como processadores, sobre os quais não temos controle, até sistemas operacionais e, agora, serviços de nuvem. Nossos e-mails, nossos documentos, tudo está na nuvem. (23:25) E “na nuvem” é um jeito de falar. Está em um servidor, em um armazenamento, normalmente em território americano, controlado por empresas americanas. (23:39) Talvez os dados individuais de Vinícius e Guilherme não sejam tão importantes. Mas, quando falamos em termos coletivos, em toda a estrutura de governo e empresas dependendo massivamente dessas ferramentas, e tudo isso na mão de um louco que pode aplicar uma Lei Magnitsky… Bastava o Trump dizer: “Olha, vocês vão ficar sem acesso às nuvens da Microsoft e do Google”. Pronto, seria o caos. (24:19) Por outro lado, acho que isso seria um pouco demais, porque empresas do mundo todo utilizam serviços da Microsoft, Google, Amazon, etc., pois existe uma certa confiança na estabilidade do serviço e no próprio governo americano. (25:06) No momento em que isso é chutado como está sendo pelo Trump, para mim, o que fica é que já é a luz vermelha. O que o Trump fez já é o suficiente para que empresas no mundo inteiro comecem a se preocupar em buscar alternativas aos serviços de uma única empresa norte-americana. Precisamos ter alternativas. (25:35) Lembrando que, há alguns anos, o Banco Central, na Resolução 4.893, já trouxe a necessidade de ter uma alternativa a uma determinada nuvem. É difícil imaginar um cenário como o atual e que ele possa escalar. Acho que, em termos de tecnologia, não vai adiante, porque seria um tiro ainda mais forte no pé das empresas de tecnologia norte-americanas, mas a possibilidade existe. Para muitas empresas, seria o caos. (26:21) O episódio sobre o governo Obama foi o 98, de março de 2016. Para quem quiser acompanhar, já faz mais de nove anos. O ponto central é a confiança. Para o direito, a confiança é muito importante. No direito dos contratos, por exemplo, é a partir dela que uma parte confia que a outra se comportará da forma como indicou que faria. (27:29) Isso em contratos, não em relações internacionais. Mas a confiança é importante em qualquer relação, até entre pessoas e animais. Quem tem animal em casa sabe que existe um aspecto de confiança. (27:52) Quando colocamos isso na perspectiva de estados e uso de nuvem… hoje só se fala em inteligência artificial. Já estamos ultrapassando a febre da proteção de dados. Mas houve um momento em que a grande febre era a nuvem. Escrevi artigos sobre nuvem, modalidades, responsabilidades, problemas tributários. No fundo de tudo isso está a confiança. (28:26) Lembrei-me hoje da fala de Richard Stallman, um grande defensor do software livre. Um cara problemático, extremista, mas com uma certa razão em suas críticas. (28:59) Independentemente disso, a crítica dele à nuvem é interessante. Em 2018, ele disse duas coisas. Uma razão pela qual você não deveria usar aplicações web é que você perde o controle, o que é tão ruim quanto usar um programa proprietário. “Faça sua própria computação em seu próprio computador com sua cópia de um programa que respeita a liberdade. Se você usar um servidor web de outra pessoa, você fica indefeso. Você vira massa de modelar nas mãos de quem desenvolveu aquele software”. O uso da nuvem seria uma armadilha para atrair usuários a confiar seus dados a sistemas proprietários que estão além de seu controle. (30:13) Todo o uso da nuvem hoje se baseia em uma relação de confiança nas big techs e uma confiança interestatal de que os estados não usariam essa dependência contra os próprios países que utilizam os serviços. Confiava-se que os Estados Unidos não fariam isso. (30:53) Criou-se essa dependência. Todo mundo usa nuvem americana, agora todo mundo usa IA. Falo “todo mundo” em modo de dizer, mas é quase isso. AWS, Google, Microsoft e por aí vai. (31:20) Saiu uma reportagem… Quem nos acompanha sabe que o Brasil, em um momento, foi um caso interessante de uso de software livre na administração pública. Com o tempo, acho que isso muda no governo Temer, o governo federal passou a adotar serviços de nuvem americanos, levando outros entes a fazerem o mesmo. (31:56) O Jamil Chade trouxe um número interessante: um grupo de entidades criou a “Carta pela Soberania Digital” e disse que o Estado brasileiro gastou R$10 bilhões em um ano com big techs. O problema não são os 10 bilhões, pois serviços digitais têm custo. A questão é o Estado brasileiro estar dependente de infraestruturas tecnológicas mantidas por outros estados. (32:30) É aí que chegamos à Lei Magnitsky, aplicada pela primeira vez contra o Brasil, contra Alexandre de Moraes. Além das questões bancárias, que não nos interessam aqui, começou-se a dizer: “Eles podem impedir que Alexandre de Moraes utilize serviços de nuvem americana, e isso poderia atingir o STF inteiro, que usa Microsoft”. (33:17) A Microsoft veio a público recentemente e disse: “Não se preocupem, não vamos bloquear os acessos de Moraes nem os serviços do STF”. Além da nuvem da Microsoft para e-mail, eles usam YouTube para transmitir sessões e Zoom para comunicação interna. Uma série de outras coisas poderiam ser bloqueadas. (33:53) Pensem se isso pode ser feito com a Suprema Corte de um estado amigo dos Estados Unidos, por razões que, aliás, parecem injustas. O próprio William Browder, ativista que foi cliente de Sergei Magnitsky, o advogado russo que inspirou a lei, disse em entrevista que essa sanção não é proporcional e adequada para o que a lei foi criada. (34:35) Minha preocupação, e acho que você a compartilha, é: até onde é possível ir para defender os interesses de grandes empresas? Até onde um estado seria capaz de ir? É por isso que acho que o mundo inteiro deveria estar preocupado hoje, porque um pedaço da confiança criada no uso de serviços de nuvem quebrou agora. Você diz que não sabe se os Estados Unidos iriam tão longe; eu já não tenho tanta confiança assim. (35:50) Eu acho que não conseguem ir tão longe. Já gravamos sobre o alinhamento entre as empresas de tecnologia e o governo norte-americano. (36:11) Por um lado, as big techs todas correram para se alinhar com Trump, acabando com políticas de inclusão porque existe uma mão pesada do governo para que o façam. Por outro lado, elas também têm um lobby muito forte. O mais escancarado foi o de Elon Musk, mas os outros fazem de forma mais silenciosa. (38:35) Essas empresas têm dinheiro para fazer lobby. A Microsoft está entre as maiores do mundo, assim como Google e Nvidia. A Nvidia é a maior empresa do mundo. Ela tem dinheiro para lobby. Existe uma tensão entre os interesses dessas empresas — de não serem vistas como inseguras ou sujeitas a interferências governamentais — e as pressões do governo. (39:36) Quando você usa um serviço de nuvem, está confiando seus dados, seus serviços. Se sua empresa vende um serviço na nuvem da Amazon, e aquilo cai, você não vende mais. Existe um interesse delas em manter essa confiança. (40:22) Nessa esteira, a Nvidia foi restringida pelo governo americano de vender seus chips mais poderosos de IA para a China. Isso não foi no governo Trump. Os EUA têm grande preocupação com o desenvolvimento de IA por outros países, principalmente a China. As ações da Nvidia caíram na época. (41:17) Recentemente, após negociações, a Nvidia voltou a poder vender processadores mais potentes para a China. E agora, a Administração do Ciberespaço da China convocou a Nvidia para explicar riscos de segurança nos chips H20, a versão mais fraca. A China acusa a Nvidia de ter colocado nos processadores mecanismos de geolocalização, acesso remoto e desativação remota. (42:40) A Nvidia nega, dizendo que não tem backdoors. A China apontou que alguns legisladores norte-americanos demandaram certos controles desse tipo para exportação. Olha a confiança de novo. (43:21) A Nvidia está desesperada, dizendo que não colocou nada. Ao mesmo tempo, a tecnologia para criar esses chips está na TSMC, em Taiwan. A China não tem essa tecnologia, mas não é boba. Ela sabe com quem está lidando e tem tecnologia, coisa que o Brasil não tem, para desenvolver esse tipo de chip. (44:14) A China tem várias empresas, como a Huawei, trabalhando no desenvolvimento desses chips. Ela vai encontrar um jeito. Lembre-se do DeepSeek, que no início do ano mostrou que a China conseguiu desenvolver um modelo tão potente quanto os da OpenAI com uma fração do custo. Eles estão se movendo, pois sabem que não podem depender dos EUA. (45:37) E não é só o Trump. O passo importante que Trump deu foi querer desregular o desenvolvimento de IA para acelerar ao máximo e conseguir a inteligência artificial geral antes de qualquer outro país. Se você ouvir Dario Amodei, da Anthropic, ele diz, desde antes do governo Trump, que o acesso a essas tecnologias tem que ser cuidadosamente restringido para não cair em mãos de atores maliciosos. Em essência, ele defende que os EUA devem ter o controle. (47:19) Essas restrições não são especificamente de Trump; vêm de várias administrações. Não é teoria da conspiração. Procurem entrevistas de Dario Amodei sobre segurança e o futuro da IA. (47:39) Eu tendo a discordar um pouco. Os Estados Unidos sempre foram protecionistas. Lembre-se das crypto wars. Mas o ponto fora da curva do governo Trump foi usar medidas como a Lei Magnitsky, que não foram criadas para isso, para interferir na autonomia legislativa e judicial de um país amigo. (48:17) Isso me surpreende. Tenho críticas à decisão do STF, como o dever de monitoramento contínuo, que me parece problemático de implementar. Mas daí a usar questões comerciais para forçar a anulação de uma decisão da Suprema Corte de outro país porque prejudica interesses de big techs… isso é impor a vontade de um país estrangeiro. (49:11) Se essa é a ideia, o Brasil perderia sua soberania, que já me parece afetada pela dependência de serviços de nuvem americanos. Isso que você falou da relação da Nvidia com a China… já pensou os EUA sancionando empresas que usassem nuvens russas? (49:48) Há pouco tempo, o Google removeu o Kaspersky da Google Play. Se eventualmente as empresas migrarem para a nuvem chinesa, os EUA podem querer sancionar quem o fizer, assim como ameaçam sancionar quem tem negócios com os russos. (52:55) No fundo disso, e já para concluir, está a importância dos serviços de nuvem e redes sociais para os governos atuais. Estamos vendo uma crise diplomática entre dois países amigos, talvez a maior em 200 anos, por causa disso. (53:39) Isso quebrou um pouco a confiança nos serviços de nuvem. Acho que todos deveriam estar preocupados, não apenas governos, cuja soberania é afetada, mas também empresas privadas, que podem ficar à mercê de devaneios de um governo imprevisível. (54:42) É difícil saber para onde correr. O posicionamento histórico do Brasil foi de neutralidade, não tomar partido. Se brigar com um lado, é obrigado a se jogar para o outro. (55:19) Entre os dois gigantes, China e Estados Unidos, eu ainda tenho na cabeça — e posso estar errado — que o governo chinês, com seu controle sobre a internet, causa uma certa aversão em comparação com um ambiente mais livre como o americano, embora também com seus problemas. (56:47) Seria um péssimo negócio para o Brasil sair correndo para a China. Por outro lado, depender só dos Estados Unidos também é ruim. Para mim, fica claro que, principalmente em operações críticas, tanto o poder público quanto os setores da economia precisam ter alternativas. (58:02) Para uma instituição de ensino, por exemplo, se o Google parar de fornecer e-mail, e não se puder usar Microsoft, o que fazer? Implementar seu próprio serviço? O custo é absurdamente maior. O que me preocupa é toda a infraestrutura da nuvem. (59:52) Sem contar pacotes Office, bancos de dados na nuvem… muitos dados de empresas brasileiras estão no Texas. Se estão cogitando sancionar bancos brasileiros, seria muito mais fácil dizer a uma empresa americana com sede no Brasil: “Deixe de prestar tal serviço”. (1:00:55) No fundo, será que essa quebra de confiança não prejudica as empresas americanas? A Microsoft se posicionou dizendo que não ia bloquear. Por quê? Se ela fizer isso, a confiança nela se esvai. Talvez as empresas comecem a procurar alternativas. Talvez os governos invistam mais em desenvolver soluções próprias. (1:02:11) O Brasil tem que começar a investir massivamente em desenvolver tecnologia de ponta aqui dentro. Estamos atrasados. Para IA, já temos um plano do governo, mas na prática, os processadores dependemos de estrangeiros. O governo brasileiro já estava contratando a OpenAI. (1:02:53) Parece que agora teremos que reavaliar nossas modelagens de ameaças. Quando falamos em continuidade, é um novo cenário para o Brasil, até que as coisas se resolvam. Está no cenário a possibilidade de impedir que entes públicos ou privados utilizem a nuvem americana. (1:03:40) Há mais chance disso acontecer agora do que no passado. Eram pequenas, mas agora são maiores. Se não houver um movimento de longo prazo para construir alternativas (10, 15, 20 anos), o atropelamento que já vai acontecer será pior. O Brasil não está na briga pela IA. (1:04:42) A coisa é tão grave que você pode chegar a ser obrigado a usar as soluções de um país. Não é “vou te sancionar se usar o russo”, é “vou te sancionar se não usar a minha nuvem”. (1:05:05) Lembre-se da discussão sobre a balança comercial. Posso ver quanto um país gasta com nuvem americana e sancionar os que não gastam o suficiente. Estou levantando uma hipótese, mas isso já acontece com produtos. Se a hegemonia americana depende do uso de seus serviços, estamos vendo uma reorganização do mundo que valoriza IA e serviços de nuvem americanos. (1:06:02) Nosso próprio podcast, sem tecnologia norte-americana, não estaria acontecendo. (1:06:20) Sem tecnologia americana, conseguiríamos continuar gravando, mas não teríamos YouTube, talvez Spotify. O Archive.org, que usamos, é americano. Está na Califórnia. (1:07:03) É delicado. O cenário com a IA só complica mais, especialmente considerando o mercado financeiro. As consequências são imprevisíveis. (1:08:00) Em termos pragmáticos, em computação e software, apesar do software livre, não há nada que chegue perto do que usamos no dia a dia em escala e facilidade de uso. (1:09:12) Entramos em um nível de dependência que se desenvolveu ao longo de muitos anos e não será fácil de reverter. É como arrancar uma praga que já tem raízes profundas. A coisa está tão enraizada no nosso ambiente corporativo e público que nos torna muito dependentes. (1:10:09) Tínhamos esperança na época do software livre no governo, mas depois jogaram a toalha. Eu gostaria muito de estar errado. Espero que minha forma de ver todo esse fenômeno seja inadequada, porque se estivermos certos, isso vai nos manter em um estado de dependência que vem desde o Brasil colônia. (1:11:00) Não só nós, mas o mundo inteiro ficaria muito dependente, sem conseguir se desenvolver como bem entende. (1:11:16) Por isso eu gostaria de estar errado. Se alguém disser que estou errado, que bom. (1:11:32) No mundo ideal, os estados voltam a um ponto de equilíbrio, as empresas ganham seu dinheiro de forma honesta, sem explorar dados, garantindo segurança e acesso para todos. Mas esse é um extremo. O outro extremo é um cenário em que todos são maus e as big techs querem dominar o mundo. A resposta está em algum lugar no meio. (1:13:00) A dificuldade é saber quem está onde. O Brasil tinha tudo para liderar um movimento de autonomia, não só aqui, mas na América Latina. Tem capital humano, tem dinheiro. Mas certos estados não veriam isso com bons olhos. A questão é: até onde eles estariam dispostos a ir para impor sua hegemonia? (1:13:59) Vamos ver o que vai rolar. Há um movimento para montar data centers no Brasil, especificamente em Eldorado do Sul, ao lado de Porto Alegre. Assisti a um bate-papo no Instituto Fernando Henrique Cardoso sobre data centers para IA no Brasil. O país tem energia renovável e água, importantes para o resfriamento. Tinha umas 30, 40 pessoas assistindo. Pouquíssima gente. (1:15:15) O pessoal falava de soberania nacional. Eu comentei: “Tudo bem ter o data center aqui, mas o hardware vem de onde?”. Na época do Snowden, estavam mexendo em roteadores da Cisco que vieram para o Brasil. O software que vai rodar nesses data centers também não é nosso. (1:16:22) Se a OpenAI deixar seus modelos rodarem aqui, certamente haverá um kill switch. Assim como a TSMC, que fabrica os chips para Intel e Nvidia, tem um kill switch. A preocupação é a China invadir Taiwan. Eles desligam a tecnologia. O que aconteceria se tivéssemos data centers aqui com tudo estrangeiro? Se nos ameaçarem, desconectamos o Brasil da internet e nossas coisas continuam funcionando? (1:17:51) Vi um filme com Rami Malek, “O Amador”. Ele é um hacker da CIA. É bem legal. A mulher dele é morta e ele persegue os assassinos usando suas técnicas. Em uma cena, ele aperta um botão e os servidores começam a ser apagados, com os HDs pegando fogo. Lembrei disso quando você falou em kill switch. (1:19:37) Vamos terminando. (1:19:38) É isso. Agradecemos a todos que nos acompanharam. Nos encontraremos no próximo episódio. Até a próxima. (1:19:51) Beleza, pessoal. Quem nos acompanha no YouTube, um abração. Esqueci de fazer a propaganda no meio do episódio. Você que nos ouviu até agora, por favor, lembre-se do sininho, like, comentários, para nos ajudar a divulgar o podcast. Abração. Tchau.  

Neste episódio comentamos sobre a IA Grok de Elon Musk gerando conteúdo nazista, a suposta influência de big techs nas tarifas de Trump ao Brasil, e a banalização da biometria em condomínios.​ Guilherme Goulart e Vinícius Serafim aprofundam os perigos da IA sem controle, analisando como o Grok de Elon Musk reproduziu discursos de ódio e antissemitismo após ter sua moderação de conteúdo relaxada. O episódio explora a complexa teia de interesses na guerra comercial de Trump, investigando a pressão das Big Techs sobre o Brasil em temas como LGPD e regulação da IA. A discussão avança para a cibersegurança automotiva, com uma nova vulnerabilidade de Bluetooth que permite o hacking de carros, e os riscos do uso de biometria e reconhecimento facial em condomínios, questionando a privacidade e a proteção de dados.​ Para não perder futuras análises, assine o podcast Segurança Legal na sua plataforma de áudio preferida, siga-nos nas redes sociais e deixe sua avaliação. Visite nossa campanha de financiamento coletivo e nos apoie! Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Caso C&M: prejuízo com ataque hacker e fraude no Pix pode superar R$ 1 bilhão Sou obrigado a fazer reconhecimento facial no meu prédio? Veja perguntas e respostas sobre o tema  Relatório revela que ameaça de Trump de investigar Brasil atende a Big Techs Análise: entenda os interesses das big tech na carta de Trump ao Brasil PerfektBlue Bluetooth Vulnerabilities Expose Millions of Vehicles to Remote Code Execution Episódio #81 – Cherokee Remote Control 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 397, gravado em 14 de julho de 2025. Eu sou Guilherme Goulart e, junto com Vinícius Serafim, trago para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes. Olá aos internautas. (00:26) Como vão? Tudo certo? Tudo bem? Vocês já sabem, este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Então, pegue o seu café ou a sua bebida preferida. No caso, hoje estamos com chimarrão aqui, Vinícius, e venha com a gente. Hoje está quente. Hoje é dia de tomar água. (00:44) Para entrar em contato conosco, você já sabe, basta enviar uma mensagem para podcast@segurançalegal.com ou também nos encontrar no Mastodon, Instagram, Bluesky e YouTube. Se você nos ouve pelo feed, sabe que também consegue ver os nossos rostinhos bonitos lá no YouTube. Vinícius, uma pequena atualização sobre o caso CM, o caso do nosso último episódio, o grande hack dos últimos tempos, senão o maior hack, a maior fraude já cometida no Brasil, pelo menos é o que se tem até agora. (01:20) Em termos de valores, sem dúvida nenhuma, é o maior. Não em dados, mas em valor financeiro movimentado. A coisa realmente se concretizou no sentido de se confirmar que deve, sim, passar de 1 bilhão. Não sei se chega a três, que chegou a ser discutido, chegou a ser falado em 3 bilhões de reais na questão da fraude. Se você não sabe do que estamos falando, tem que voltar nos episódios anteriores. No anterior, na verdade. (01:53) No 396. É o caso do REC bancário, CM, Banco BMP e tudo mais. Isso. O que temos que talvez não comentamos na semana passada, porque aconteceu depois, ou pelo menos ficamos sabendo depois, é que a Polícia Civil entrou também na investigação. Existe uma investigação paralela da Polícia Civil. (02:17) O que temos até o momento é que a BMP confirmou o prejuízo de 541 milhões. Outras duas instituições confirmaram 104 milhões e outra, 49 milhões. Isso ainda não dá 1 bilhão, mas a soma preliminar, segundo o que sabemos, supera 1 bilhão, embora não tenhamos a listagem de tudo o que foi perdido. Não temos a listagem exata de quem perdeu o quê. (02:45) Então, sim, passou de 1 bilhão e vamos ver se chega nos três que o pessoal chegou a comentar na semana em que gravamos. A outra questão, que vocês já sabem, é que o dinheiro foi convertido, em boa parte, para criptomoeda. Existe uma investigação para seguir o caminho do dinheiro, mas, em última análise, ele vai chegar a uma exchange que vendeu criptoativos, e alguma conta legítima recebeu esses criptoativos e os passou para algum lugar. E aí, boa sorte. Mas esses intermediários a polícia vai conseguir levantar, e está levantando. (03:23) Não sabemos se já não levantou. Então, a Polícia Federal e a Polícia Civil estão fazendo investigações paralelas sobre este caso. Um bilhão está confirmado. (03:44) Por enquanto, ainda não temos informação técnica, não temos mais nenhuma novidade, pelo menos não por enquanto. A própria CM frisou que a questão foram as credenciais que o atacante conseguiu, e não uma falha no sistema, uma falha de segurança no sistema. O termo que ela usou, mas entendemos muito bem que, na mídia em geral, ela tem que… O termo que o pessoal usa… Ela falou que não é nenhum problema no código-fonte dela. (04:17) Leia-se: ela está dizendo que não foi uma vulnerabilidade no sistema, uma vulnerabilidade técnica no sistema. Pode ter sido, e pelo visto existe, tanto que aconteceu, uma vulnerabilidade do ambiente. Se vocês pegarem a ISO 27002, que tem os controles da ISO 27001, verão que, quando falamos de segurança da informação, não se fala apenas da segurança técnica da aplicação, as vulnerabilidades que ela tem, se está exposta ou não, superfície de ataque, esse tipo de coisa, mas abrange, entre outras coisas, processo de contratação, gerenciamento de credenciais e até liberação de usuários, controle de acesso a certas operações e tudo mais. (05:01) Então, sim, a CM está correta. Se não há vulnerabilidade no sistema, está correta em dizer que não tiveram um problema por causa do sistema. Mas, sim, eles tiveram um problema de segurança no ambiente deles, que permitiu que alguém subornasse um funcionário. (05:25) E esse funcionário fez alguma coisa que ainda não sabemos o que é. Executou scripts, executou comandos etc. Ok, mas que comandos exatamente, o que foi, nós não sabemos, ou pelo menos não chegou até nós ainda. (05:43) E ele conseguiu credenciais de clientes da CM, que é a BMP e outras empresas, e mexeu no dinheiro deles, conforme o episódio 396. Tem outra coisa que não comentamos: essa é uma característica de fraudes dessa natureza. Já gravamos sobre isso várias vezes, já falamos sobre a questão da confidencialidade das informações e sobre como as instituições, em geral, ao redor do mundo, acabam lidando com isso. Elas não têm incentivos nem interesses de trazer a público todas as explicações das falhas, porque isso pode comprometê-las de formas muito diferentes. (06:22) Mas uma coisa que não comentamos, e aí sim há uma obrigação legal, são as comunicações necessárias do incidente de segurança que eventualmente envolva dados pessoais. Eu não vi nas notícias, até agora, nenhuma informação sobre tratamento ilícito de dados pessoais. Mas, se formos partir do pressuposto de que o sujeito teve um acesso tão longo aos sistemas, se ele criou transações Pix, se ele forjou transações Pix, ele provavelmente não forjou transações apenas de pessoas jurídicas. (07:05) Ele também pode ter forjado transações Pix de pessoas físicas. Se isso aconteceu, o incidente também envolveu tratamento ilícito de dados pessoais e, portanto, deveria contar com a notificação à ANPD. Achei curioso não ver nenhuma informação sobre isso, sobre essa questão de dados pessoais, porque se ele teve um acesso tão profundo aos sistemas, diria que não podemos descartar a hipótese de que ele tenha copiado dados de pessoas físicas. (07:39) Portanto, aí sim, teríamos um incidente de vazamento de dados pessoais, para além das questões do furto. É, mas não sabemos exatamente como foi feita a auditoria. O pessoal pode ter avaliado isso e descartado. “Olha, não aconteceu.” (08:02) Mas aí os titulares de dados que eventualmente sofreram uma invasão deveriam ter sido avisados. Se isso tivesse acontecido, acho que já teria vindo a público. Mas, se foi feita a auditoria e foi visto que ele não fez nada, que ele executou operações e não fez extração de dados, não tem sentido dizer o que não aconteceu. Agora, se o cara tivesse extraído alguma coisa, mas me parece que, se eu estivesse no lugar desses atacantes, eu faria a coisa o mais direta possível. (08:44) Por isso que eu falei, para quê explorar? Se tinha uma pessoa lá dentro que tinha acesso, era desenvolvedor… (08:59) Pegar dados para fazer fraudes, para quê, se eles podem movimentar mais de 1 bilhão de reais em criptomoeda? Não tem porquê. É passar o rodo, como se diz. Você não vai lá juntar o copinho d’água, você pega o rodo e empurra tudo. E foi o que esses caras fizeram. Mas, enfim, é isso. Quem não sabe exatamente o que dissemos, vá dar uma olhada no 396. (09:26) Por enquanto, não temos muitas novidades, nada muito novo. Quem acompanhou as notícias nos últimos dias, sobretudo na semana passada, viu um comportamento meio chocante do Grok, Vinícius, que ganhou bastante atenção da mídia. (09:47) Pois é. (09:52) O Musk… bom, acho que, a estas alturas, todo mundo sabe quem é o Elon Musk e sabe muito bem das transformações que ele tem tido em termos de atuação pública. Era um cara que, se vocês ouvirem episódios bem antigos do podcast, eu achava muito legal o esquema da SpaceX. Cheguei a comentar na época, há anos, acho que foi na pandemia, Guilherme, que a SpaceX pousou aqueles dois foguetes, a primeira vez que eles pousaram juntos sem explodir. Eram três, um sumiu, mas dois pousaram juntos. (10:25) Aqueles boosters, eu não sei o nome, mas os foguetes da SpaceX. Eu achava muito legal. O esquema da própria Starlink, um negócio muito interessante, o investimento em carro elétrico. Só que, ao mesmo tempo, à medida que foi passando o tempo, começou a surgir um lado mais político do Musk. Para quem quiser saber mais detalhes, não vamos entrar nisso, mas deem uma olhada sobre o Musk e a filha dele que fez transição de gênero. (11:03) Ele deserdou a filha, foi uma bagunça essa questão pessoal dele. E ele adotou essa agenda que o pessoal chama nos Estados Unidos de “anti-woke”, contra a questão das minorias, de inclusão e tudo mais. Tanto que o Trump entrou e conseguiu, dentro do governo federal, meio que zerar esse negócio de políticas de inclusão e combate a preconceito. (11:42) E ele conseguiu meter a mão em algumas empresas também. O Musk entrou de cabeça nessa história, ele estava reclamando que as IAs eram muito “woke”, que elas respeitavam demais as coisas. (12:16) Ele estava dizendo que o próprio Grok, a IA dele, da xAI, era muito “woke” também. Então, no dia 4 de julho, ele libera uma versão do Grok mais livre, com um “toquezinho de free speech a mais”, e disse: “Agora vocês vão ver que o modelo está melhor, entrou o Grok versão 4 e vocês vão perceber diferenças nele”. (12:47) E, de fato, na sequência, o Grok foi conectado ao X. Lembra de uma empresa, Guilherme, que fez a mesma coisa uns anos atrás e que a gente comentou? Você está falando da Microsoft? Aham. Que botou a Tay no ar. Lembra disso? Lembra o que aconteceu? Em 24 horas virou uma IA neofascista, deu uma loucura. (13:10) E tiveram que tirar do ar. O Grok… a data de quando isso aconteceu foi 2016, portanto, há 9 anos, Vinícius. E, só um parêntese, de 9 anos para cá, as possibilidades de moderação dentro das IAs se alteraram bastante. É outro mundo hoje de moderação. (13:38) A gente percebeu mudanças desde que começamos a usar os chats, ali em 2022, quando saiu o ChatGPT para acesso público. Viemos brincando com isso há um tempo e percebemos mudanças nesses controles. Era muito mais fácil fazer o ChatGPT “pirar” e gerar coisas inadequadas em 2022/2023 do que agora. (14:01) Agora é bem mais difícil. E, ainda assim, o Ilya Sutskever saiu da OpenAI e uma das coisas que ele apontou é justamente esse problema de alinhamento, que envolve, entre outras coisas, esses filtros e controles do que a IA pode dizer ou não, ou como dizer. Bom, mas aí o Grok foi pelo mesmo caminho da IA da Microsoft, o que aconteceu há 9 anos. (14:30) Ele não alucinou. O Grok, assim como todo LLM, é treinado com tudo o que tem na internet. Então, não tem como fazer com que o modelo não saiba… a gente discutia isso mais cedo, Guilherme. Não tem como fazer com que o modelo não saiba o que é nazismo ou o que aconteceu, os discursos de ódio. (14:55) Não tem como fazer a IA, o modelo, não conhecer isso. Então, isso está lá dentro. Misoginia está lá dentro, todo tipo de coisa absurda que você imaginar está lá dentro do modelo. E, claro, está latente. As associações que permitiriam ele conceber um discurso nazista ou racista estão presentes lá. (15:20) Estão presentes na nossa cabeça também. Só que a gente não o faz por uma questão moral. Tem um filtro ético, um filtro moral, crenças. Tem uma série de coisas. Eu sei como fazer um discurso nazista, mas eu não vou fazer. É uma coisa que eu abomino. (15:45) A IA tem isso lá, e como ele afrouxou esses filtros, como ele deu uma reduzida no controle das coisas, uma calibrada para baixo, o Grok saiu fazendo posts nazistas no X. Inclusive, se autodenominando de “Mecha Hitler”. (16:12) E falando coisas absurdas, como “o Hitler saberia como lidar com os judeus”. Fazendo algumas inferências… o início nem foi tão direto. Não foi algo como “Ah, esses judeus não sei quê”. Não, ele pegou pelo sobrenome de uma pessoa, inferiu que a pessoa era judia e fez um comentário criticando-a, usando a linguagem que os antissemitas utilizam. (16:47) A IA aprendeu direitinho. E, lembrando, a própria IA foi treinada com o que tem no Twitter também. (17:03) Ela foi treinada com o que tem lá e também se alimenta em tempo real do que está sendo dito para responder. Em uma situação que você comentou comigo, que eu não tinha visto, nos “pensamentos” dela, ela começou a dizer algo como “avaliando como Elon Musk responderia”. Ao que parece, tentaram dar uma instrução para o Grok mais alinhada com o dono dele, mais ou menos isso. (17:39) E a coisa deu no que deu. Eles tiraram, desconectaram o Grok do X. (18:09) Falaram que vão botar controles mais severos sobre o que o Grok publica. “Fomos longe demais, vamos dar uma calibrada nesse negócio”. Vamos ver o que volta quando… nem vi se eles já conectaram o Grok de volta no X, mas a ideia é ligá-lo de volta com um filtro mais potente. (18:31) Eu já tinha percebido, Guilherme, que o Grok não era tão restritivo. E te digo que, dependendo da situação, ser restritivo demais é um problema. Na geração de imagens, o ChatGPT às vezes recusa pedidos que não têm problema nenhum, dizendo “É contra minha política gerar uma imagem…”. (18:49) E não tem nada demais no pedido. É ele que interpreta meio torto. Já o Grok, eu pedi coisas com violência explícita e ele gerou. Fui testar e ele gerou, enquanto o ChatGPT, por exemplo, se nega a gerar esse tipo de imagem. Então, esse ponto de equilíbrio é o que o Yuval Harari diz que é muito difícil de encontrar, porque a IA se comporta de maneiras inesperadas. (19:21) E desde aquele processo que comentamos em laboratório, em que a Claude AI bolou uma chantagem a um funcionário da empresa usando e-mails pessoais a que tinha tido acesso… isso em laboratório, gente, não é uma situação real… demonstra bem o tipo de coisa que pode acontecer se a IA não estiver muito bem alinhada com os objetivos. (19:51) Eu acho que são sinais de algo que quem estuda as repercussões éticas e legais das IAs já sabe: elas não são entidades. Embora produzam conteúdo que não foi colocado lá literalmente, ou seja, elas conseguem funcionar de forma estocástica e não determinística, como você muito bem disse, elas são treinadas. E o que temos avançado nos últimos tempos, como você colocou, são as medidas de moderação e controle, as camadas de moderação das IAs. (20:31) Aqui estamos falando de LLMs, mas hoje temos, o que é outro problema, uma série de IAs pequenas disponíveis na internet para fazer deepfakes envolvendo nudes. Você “tira a roupa” de pessoas, sobretudo de meninas. (20:50) Isso se tornou um grande problema em escolas. Então, primeiro, você tem a responsabilidade do mantenedor sobre o que aquela IA pode fazer. Ele deve ter uma responsabilidade sobre o conteúdo que está produzindo, porque não é algo banal. Você está tendo uma IA interagindo com as pessoas, reproduzindo conteúdo nazista. (21:16) Isso não é um probleminha, um detalhezinho, uma “calibração”. É algo que, claro, não sabemos como funcionam os mecanismos de moderação, mas não me parece que seja algo que foi colocado ou reproduzido sem uma intenção direcionada, nem que essa intenção seja de afrouxar certos controles que me parecem obrigatórios para qualquer LLM. E veja, não é conversar com um LLM perguntando detalhes da Segunda Guerra Mundial. É ele produzir um conteúdo que tem por baixo um juízo de valor muito prejudicial para o mundo e para a sociedade. (22:00) Por que estou dizendo isso? Porque a grande discussão que temos hoje é justamente essa intenção das big techs, sobretudo aquelas relacionadas com IA, mas hoje todo mundo está virando a chave para a IA. O X, que é uma rede social, tem uma IA. As empresas do Elon Musk têm uma IA. (22:25) Você começa a ver uma série de plataformas das big techs com essa intenção de produzir IAs. E qual é o problema? O problema é que a ideia por trás dessas empresas é que você tenha o mínimo de intervenção ou interferência estatal no que eles podem produzir, com a justificativa, que é legítima, de que isso é feito para manter a liberdade de expressão. (22:59) Sim, de fato, você tem que ter liberdade de expressão, claro. Só que a IA não é uma pessoa. É um ente computacional que vai produzir conteúdos, inclusive conteúdos criminosos e danosos, sobretudo para grupos que historicamente, no caso dos judeus, foram discriminados e mortos. Todo esse problema histórico que já conhecemos. Então, acho que é um negócio bem simbólico do que está acontecendo e do que pode acontecer se, de fato, não tivermos regulações para esse tipo de coisa. (23:28) E eu repito, estamos falando de conteúdo nazista, e não acredito que seja o tipo de conteúdo que deva vigorar e ser reproduzido, ainda mais por máquinas. Não foi nenhuma pessoa que publicou aquilo, o que já seria problemático e criminoso. Foi uma máquina. E aí, depois, temos a questão da responsabilidade. De quem? (23:51) Porque se fosse uma pessoa publicando isso, rapidinho alguém tomaria um processo, seria “cancelado” e tudo mais. Mas o pessoal não vai cancelar o Grok. Ao mesmo tempo, o Grok pertence a uma empresa. Se uma pessoa física vai lá e publica uma coisa dessas, aqui no Brasil, ela comete um crime. Não se pode dizer qualquer coisa, não se pode falar coisas desse gênero aqui no Brasil. (24:34) Mas como foi a ferramenta… Sim, mas a ferramenta, pelo menos por enquanto, não é um ente independente. A empresa tem que responder pelo que a ferramenta faz, não? E essa própria questão de “vou diminuir os filtros porque ela é ‘woke'” ou por qualquer que seja o motivo… A partir do momento que você toma a decisão de afrouxar os filtros, essa é uma decisão que traz para o decisor uma responsabilidade, ou pelo menos deveria trazer. (25:05) E, só para concluir, eu acho muito problemático, porque realmente é a demonstração clara dos problemas que podemos ter se esse tipo de ferramenta, se esse tipo de sistema não tiver regras mínimas de funcionamento. (25:32) É um germe do que pode acontecer, fora aquelas coisas que você não percebe, que é pior ainda. O fato de esse tipo de conteúdo estar dormente lá dentro. Se você não tem um controle muito grande, pode ter um direcionamento implícito, subliminar, levando em consideração essas ideias sem que elas apareçam de forma ostensiva no conteúdo produzido. Ela está por trás, subliminar, mas sem ser tão ostensiva como foi nesse momento, o que também é outro problema. (26:01) Ali apareceu o Grok. (26:09) Agora, pode acontecer de não parecer que há algo por trás. Mas só finalizo lembrando que já comentamos uma situação em que uma empresa aérea botou uma IA no chat, um cliente conversou com a IA, a IA alucinou, não foi bem orientada e inventou um esquema de reembolso. (26:50) Era um reembolso de passagem. Ela criou uma situação de reembolso que não existia, e a pessoa “Beleza, eu aceito”. Quando ela foi exercer o direito dela, a companhia aérea disse: “Não, isso não existe”. (27:12) E o cara foi para cima: “Mas a IA de vocês disse”. E eles tentaram argumentar: “Mas não fomos nós, foi a IA”. “Não, mas foi a IA de vocês”. A IA estava falando em nome da empresa, e a companhia aérea teve que honrar a oferta feita pela IA. Então, gente, cuidado. (27:38) A IA não é alguém que você chama para resolver um problema e depois diz: “Foi ela que fez mal feito”. Não, você a colocou para falar em nome da sua empresa. Tem que tomar muito cuidado com agentes de IA. (27:55) E nós vamos ver muita porcaria acontecendo nesse sentido, Guilherme. É o problema de você atribuir… Nós vamos ver muita coisa acontecendo com agentes de IA sendo postos para uso, as pessoas começando a usar com mais frequência chatbots de atendimento, e daqui a pouco vai ter uma fazendo bobagem. Aí vai ser lindo. (28:14) É a questão de atribuir personalidade jurídica, que é outra discussão dentro do direito da IA, sobre até que ponto, como e quando seria desejável ou viável atribuir personalidade jurídica para esses entes, com problemas até sobre desligá-los ou não. E daí toda aquela coisa mais de ficção científica. (28:41) O 2001 e aquela coisa toda. Eu só vou levantar a bola, mas não vou comentar: o Harari fala disso. A hora que a IA tiver reconhecida a sua personalidade… mas esse é outro assunto. (29:04) Bom, e só para terminar, esse é o problema dos tais riscos sistêmicos, um instituto previsto no AI Act e que foi mencionado na decisão do STF sobre o Marco Civil da Internet. Eles mencionam essas possibilidades de riscos sistêmicos. Mas vamos terminar por aqui, senão não vamos parar de falar desse negócio. (29:30) E, ligando com outro assunto, o episódio desta semana está bem polêmico. A gente tem visto, se você não esteve em uma câmara criogênica nos últimos 10 dias, todas as discussões referentes às tarifas que o Trump quer impor ao Brasil, tarifas de 50% para, acho, que todo e qualquer produto vendido no Brasil. (30:03) Aí você tem todos os problemas do que é exportado do Brasil. Por enquanto, ele está ameaçando. A tarifa entraria em primeiro de agosto, temos uns 15 dias ainda. É um problema se for realmente uma ameaça; você tem outro problema de interferência entre países, saindo da diplomacia, abrindo mão de tudo o que foi construído no comércio internacional. (30:28) Bom, esse não é bem o nosso problema aqui, mas a nossa questão é que, para muito além do óbvio, ou seja, daqueles produtos que são exportados, como suco de laranja, carne… eu lembro de cabeça de suco de laranja e aço. Não, comércio internacional nós deixamos para o Xadrez Verbal. Nós temos o problema de uma hipótese que se levantou de que, por trás dos interesses dessa carta, e para além das questões políticas que foram ostensivamente mencionadas, estaria também um outro problema. (31:12) Uma das razões da atuação dele de impor tarifas tão altas, acho que foi o maior valor entre todos os 26 países que receberam cartas semelhantes, fora a China, é que por trás disso estariam também os interesses das big techs. (31:35) E essa é uma questão que nos interessa, porque já vimos a atuação dessas empresas em várias frentes. Em projetos de lei, aqui, é quase famoso que o próprio Google falou que era o projeto que ia censurar a internet. Ou seja, colocou lá na página inicial de pesquisa do Google que seria um projeto que destruiria a internet. (31:59) Não lembro exatamente os termos. E, claro, é plenamente legítimo, em um regime republicano e democrático, que empresas tenham seus interesses manifestados, declarados e eventualmente considerados pelos gestores políticos. O problema é quando você tem uma captura de interesses por meio de lobbies muito poderosos, deixando o bem comum em segundo plano. (32:29) E a grande questão é essa: como equacionar e compatibilizar os interesses das empresas e o bem comum? Esse é o campo da política. Seja em um mundo ideal, seria no campo da política, das concessões, das discussões, que se chegaria a um equilíbrio desses interesses, de forma a não inviabilizar a atuação de uma empresa e, ao mesmo tempo, não sobrepor completamente os interesses públicos com os interesses dessas empresas. (33:02) O que estamos vendo agora, nessa hipótese, o Thássius Veloso, da CBN, e outros portais vêm colocando isso, é que uma instituição americana, a CCIA (Computer and Communications Industry Association), composta por empresas como Google, Meta, Microsoft, Amazon, Uber, Apple, Pinterest e eBay, lançou uma carta se manifestando alguns minutos depois da declaração ou da carta do Trump, que ameaçou impor as tarifas. Já estava preparado. Eles se manifestaram no seguinte sentido: (33:44) “A CCIA saúda a atenção da administração em relação às barreiras do Brasil contra exportações digitais dos Estados Unidos por meio de uma investigação deliberativa da seção 301 sobre os prejuízos causados por tratamento discriminatório”. E eles teriam se referido nessa carta a questões como a própria suspensão do X, que se deu aqui no ano passado. Falaram até sobre a “taxa das blusinhas”, que na verdade foi o Remessa Conforme, a colocação dos impostos previstos e adequados. (34:18) O limite sem imposto na lei era de $100, aí tinha uma portaria da Receita Federal que baixava para $50. E sempre foi uma coisa maluca, porque, embora na maior parte do tempo esses valores não fossem taxados, e até valores maiores, eventualmente, eu tive coisas que custavam 7 reais, um troço absurdo, que foram taxadas. Era um processo meio maluco. Agora é tudo taxado, não tem mais. Quem faz parte do Remessa Conforme, sim. Algumas lojas não fazem, e aí parece que você entra na roleta. (35:14) Mencionaram também a própria LGPD e sua aplicação. E o que me chamou a atenção nesse caso, veja, estamos falando da ameaça das tarifas de 50%, acompanhada da cartinha padrão, tirando a questão política que ele cita, falando que o comércio está muito ruim para os Estados Unidos, o que é uma desvantagem, quando na verdade não é. É superavitário para o Brasil. (35:50) Os Estados Unidos exportam mais para o Brasil do que o Brasil para os Estados Unidos. Então, você tem um problema de compreensão da própria realidade. E eles disseram que o governo americano deveria instar o Brasil, abre aspas, “a considerar as proteções de privacidade disponíveis nos Estados Unidos como adequadas sob a lei brasileira”. (36:21) O Thássius Veloso também comentou na CBN que a decisão do STF sobre o Marco Civil e as manifestações do presidente nos BRICS sobre a regulamentação da IA também teriam pesado. Então, não dá para saber exatamente quais foram as razões do Trump para fazer isso. (36:45) Claro, me parece que não são só questões econômicas, mas políticas também. O que muitos comentaristas têm falado, e me parece bem óbvio, é uma tentativa de interferência pela via de uma guerra comercial na ordem jurídica do país. Com essa possível atuação, essa hipótese de que as big techs também estariam por trás, você tem uma tentativa de interferir diretamente tanto no processo legislativo como no judiciário de um país estrangeiro, com os Estados Unidos tentando impor práticas não pela via da diplomacia. (37:26) Que seria a via adequada, e provavelmente não seria um caminho legítimo para fazer isso, mas em vez de fazer dessa forma, se faz por meio de uma guerra comercial. Veja, repito, estamos vendo os Estados Unidos dizendo: “Olha, vocês devem interpretar as nossas regras de proteção de dados como compatíveis com a lei brasileira”. E há uma série de problemas entre Estados Unidos e a União Europeia, são sistemas diferentes. (37:57) De repente, isso está sendo feito de uma forma um tanto quanto apressada e preocupante, colocando o Brasil numa posição muito delicada. Nós já temos uma série de dificuldades internas para legislar sobre proteção de dados, regulação da IA, eventuais controles em redes sociais. (38:23) De repente, você tem mais uma medida dessa que me parece bastante prejudicial à nossa própria autonomia enquanto país. Então, fica só a referência de que as big techs poderiam estar por trás disso também, e ficam, como sempre, os links nos “show notes” de comentaristas e órgãos de imprensa que têm levantado essa bandeira. (38:47) Guilherme, vou te dar algumas palavras e tu me diz o que aconteceu. Bluetooth. Mercedes-Benz, Volkswagen e Skoda. Essa eu não conheço. Você disse que ia falar uma notícia surpresa, mas acho que eu sei sobre o que é. (39:13) É uma possibilidade de invadir os carros por alguns módulos que teriam uma vulnerabilidade. Possibilidade não, eles encontraram uma vulnerabilidade. É um módulo de Bluetooth, o Blue SDK da Open Synergy, que é a empresa. A notícia está no The Hacker News, então estará nos “show notes” para vocês olharem com detalhes. (39:41) Mas o que dá para fazer são algumas vulnerabilidades que, exploradas em conjunto, permitem executar código arbitrário nos carros de pelo menos três grandes fabricantes: Mercedes-Benz, Volkswagen e Skoda. (40:12) Eles exploram essa vulnerabilidade e isso permite que executem códigos maliciosos no carro. Vimos algo parecido… mas, deixa eu te perguntar antes: quando você fala sobre um módulo, é algo físico? É um SDK, então imagino que seja um conjunto de coisas que faz parte da interface Bluetooth, certamente, e o software que faz o gerenciamento disso. Então, você poderia atualizar o carro? Depende do fabricante. (40:50) A separação é justamente o que eles comentam na notícia. No caso do Jeep Cherokee, se tu puder procurar isso, já faz 10 anos ou mais. Deixa eu ver. O que aconteceu com o Jeep Cherokee foi que os caras exploraram não via Bluetooth, mas via um acesso da empresa de telefonia. (41:18) Episódio 81. Nossa. Isso foi em julho de 2015. Quase 10 anos. Eu falei 10 anos, para fechar 10 anos. (41:41) Acertei, quase 10 anos. Naquela época, o Jeep Cherokee vinha conectado a uma companhia telefônica, não lembro o nome, como se fosse a Vivo ou a Claro no Brasil. E o pessoal da Jeep teve a ótima ideia: como vamos controlar o acesso aos carros? Você pode acessá-los remotamente. Eles disseram: “Você só pode acessar se tiver também um chip da mesma companhia telefônica”. (42:13) E foi o que aconteceu. Os pesquisadores compraram um chip da mesma empresa e conseguiram acesso aos carros, demonstrando isso na prática. A separação entre o sistema de informação e entretenimento e o resto do CAN bus, a rede local do carro para controlar tudo o que vocês imaginarem, desde limpador de para-brisa, volume do rádio, funcionamento do motor, ar condicionado… essa separação não estava bem feita, e os caras demonstraram um ataque em que controlaram tudo remotamente. (42:47) Está lá no episódio 81. Vão lá, tem as referências, inclusive um vídeo do ataque sendo feito. E agora acontece algo muito parecido, só que o que dá para fazer nos sistemas depende. (43:19) E eles chamam atenção para isso. Enquanto os sistemas de infoentretenimento são frequentemente isolados de controles críticos do veículo, o que no Jeep Cherokee, há 10 anos, não era… É o CAN bus que eu citei. Na prática, essa separação depende muito de como cada fabricante projeta a segmentação de sua rede interna. Segmentação de rede interna, gente, criar VLANs separadas, vale para o carro também. Tivemos um problema semelhante há uns 10 anos com a Boeing, quando lançou o Dreamliner. Um cara chegou a ser preso porque conectou-se via sistema de entretenimento e conseguiu controlar a aceleração do avião. (44:17) Ele usou o Android dele e chegou a mexer. Por ter feito isso, o pesquisador foi preso na época. A gente comentou aqui no podcast. (44:29) Deixa eu te perguntar, você falou sobre CAN bus e VLAN. Pode rememorar rapidamente para quem não tem intimidade com esses conceitos? O que isso significa? Significa que tem vários sistemas dentro do carro. É assim: na nossa casa, precisamos de Wi-Fi para o celular, tablet, notebook, TV. Tudo hoje está conectado. Então, temos uma rede local (LAN). Via de regra, as pessoas têm uma rede Wi-Fi e conectam tudo nela: TV, computador, celular, dispositivos smart. (45:49) E, quando chega alguém, pede a senha do Wi-Fi. Você dá a senha para seus amigos e vira uma grande bagunça, porque você não tem controle de acesso. Todo mundo vê todo mundo. Se alguém entrar na sua rede, pode ver e mexer nas suas coisas, acessar uma câmera. É muito ruim ter uma rede só para tudo. E no carro é muito ruim ter uma rede só para controlar o sistema de entretenimento e, ao mesmo tempo, coisas críticas como o motor, sensores de proximidade, freios, direção. (46:53) Não se pode colocar tudo isso na mesma rede. A Jeep fez exatamente isso 10 anos atrás e, dependendo, alguns desses fabricantes podem ainda estar fazendo algo nesse sentido. (47:16) O que se faz no carro não é uma LAN, é uma CAN (Controller Area Network). É uma rede que conecta sensores, atuadores, controladores, o rádio, o display. Então, da mesma forma que sua rede em casa deveria ser separada (uma para você e outra para visitantes), no carro deveria ser a mesma coisa. Acredito que, depois do que aconteceu com a Jeep, a maior parte dos fabricantes aprendeu. (48:12) A Boeing aprendeu também a separar essas redes. A rede Wi-Fi de entretenimento em um avião não pode ter comunicação com a rede de dados que interconecta os subsistemas do avião. É isso, Guilherme. (48:42) A CAN é essa rede no carro, a LAN é a sua rede em casa, e a segmentação é separar suas coisas dos visitantes. Eu separo bem mais a minha rede. E outra, Vinícius, o carro deixou há bastante tempo de ser meramente um dispositivo mecânico. É tudo eletrônico, controlado por computador. (49:14) É um computador, em última instância. Você tem um joystick ali e a porcaria do carro está online. Lembra quando você comprou seu carro e queria desativar algo, e meio que conseguiu e meio que não conseguiu? De lá para cá, agora nem tem mais como. (49:36) Ele está conectado o tempo todo, você não consegue desabilitar. E você tem todos os problemas de privacidade e proteção de dados, e a diferença entre security e safety. Se alguém invade o carro e isso for fácil de realizar, pode causar um acidente, sequestrar o carro. (49:54) Os golpes são inimagináveis. O meu carro tem um aplicativo que, no mínimo, permite saber onde o carro está, definir cerca eletrônica. Não dá para desligar o carro, acho que pensaram em não colocar tanta coisa no aplicativo. (50:25) Mas o caminho está ali. A funcionalidade pode não estar disponível, mas o caminho para chegar nela está lá de alguma maneira. (50:42) Dá para trancar e abrir portas, ligar o ar condicionado. Ligar o microfone dentro do carro? Não pelo aplicativo, mas, como eu disse, nunca fui atrás para ver até onde vai. Mas eu não tenho a opção de desligar essa porcaria. Não tenho o que fazer. (51:02) E boa parte dos carros está assim. Mas, enfim, é isso. Mais uma dessas, 10 anos depois. E olha que eu chutei que fazia 10 anos. É, tem tantas possibilidades. (51:24) Para terminar, Vinícius, há algum tempo, em um episódio recente, tínhamos preparado para falar sobre a questão da biometria, de como a ANPD iniciou uma tomada de subsídios para tratamento de dados biométricos no Brasil. (51:42) A ideia, acho que no início de junho, era coletar contribuições da sociedade para efetivamente trazer uma regulação para essa categoria de dados, que é uma categoria de dados sensíveis. Portanto, você tem hipóteses distintas, uma regulação diferente, e o controlador e o operador que tratam dados sensíveis, no caso biométricos, precisam tomar medidas adicionais, porque os dados sensíveis são aqueles que, em casos de tratamentos ilícitos ou vazamentos, além de atingir mais profundamente a personalidade do titular, têm maiores chances de vulnerabilizar a pessoa. (52:39) Pois bem, mas acabamos não tendo tempo. Hoje eu vi uma reportagem do G1, bem interessante, falando sobre a questão da biometria no Brasil. (52:52) Eu chamei de “a festa da biometria no Brasil”, porque temos visto e acompanhado uma certa banalização do uso da biometria não somente para autenticação, mas para controle de acesso físico. (53:11) Se você frequentou uma academia de ginástica nos últimos 10 anos, muito provavelmente precisa entrar lá com a sua biometria digital. (53:28) Qual é a grande questão aqui? Mesmo que tenhamos a possibilidade de uso de dados biométricos para controle de acesso, ainda precisamos aplicar os princípios da LGPD, conceder aos titulares o direito de exercitar seus direitos e fornecer todas as informações que embasam esses tratamentos de dados. (54:11) E o princípio que emerge com maior atenção é o da necessidade. Ou seja, toda e qualquer atividade de tratamento, além da finalidade, deve verificar se os dados coletados são necessários para atingir aquela finalidade. O velho exemplo que eu já contei: fui a um restaurante com menu eletrônico e, para tomar um chope e comer uma batatinha, eu tinha que dar meu celular, sem nenhuma explicação do porquê. (55:01) “Ah, mas posso fazer sem o celular?” “Até pode, mas…” “Não, eu só quero tomar um chope, não quero te dar meu celular.” Você tem a questão da necessidade. E, junto com essa situação, algo bem comum: o viés de automação, quase uma fanatização tecnológica, que hoje atinge a IA. Ou seja, a ideia de que colocar tecnologia em tudo, como reconhecimento facial, que invariavelmente envolve IA, seria sempre preferencial, sem a adequada análise dos riscos e sem a verificação da compatibilidade com o princípio da necessidade. (55:54) Dia desses, fui a uma galeria no centro de Porto Alegre. Na entrada da área de salas comerciais, você tem os sisteminhas de biometria facial. O mais interessante é que, quando você passa perto, ele põe um quadradinho na sua cara em uma tela. Sei lá como aquilo está funcionando, se já tentou me reconhecer enquanto eu estava passando como um transeunte. (56:32) Mas isso já funciona há muitos anos, não precisa de um LLM para fazer isso. O Yann LeCun já brincava com reconhecimento de caracteres. Depois, isso foi evoluindo. Bem antes dos LLMs, já tínhamos essa identificação de pessoas em imagens. Eu tinha um colega no doutorado na UFRGS, por volta de 2001, 2002, que estava usando machine learning para identificação de imagens com pornografia, para fazer um filtro dinâmico. (57:40) E ele tinha vários desafios na época, por exemplo, com corpos pintados no carnaval. A IA falhava. (58:25) Hoje, não vou dizer que é trivial, mas funciona muito bem. Os LLMs com a parte de imagem funcionam muito bem, o computer vision. Você tem todos os problemas que já conhecemos com a falha no treinamento, sobretudo com pessoas de pele negra, e isso sendo usado para fins de persecução penal. (58:45) O CNJ publicou uma regra recente sobre isso, mas enfim. Qual é o problema que se coloca aqui? Uma outra coisa de que se fala pouco na LGPD aqui no Brasil é a relação de fundo que justificaria o tratamento dos seus dados. No Brasil, é muito comum: escolho a hipótese e pronto. “A proteção ao crédito permite uma série de coisas”. Só que eu tenho que avaliar, além disso, qual é a relação de fundo que o titular tem comigo para justificar. (59:28) E aí chegamos ao problema dos condomínios. Essa é a “festa da biometria” de que trata a reportagem. (59:41) Eles dizem que 1 milhão de condomínios no Brasil já fazem o controle de acesso com biometria. Aqui no nosso não tem, mas no entorno já vi vários, com uma telinha na frente. (1:00:02) E quais são os problemas? Primeiro, eu tenho várias pessoas com tipos de relações diferentes com o condomínio: moradores (incluindo crianças e adolescentes, o que deixa a coisa mais complexa), visitantes, prestadores de serviços e entregadores. Tenho cinco, seis grupos de pessoas que, eventualmente, precisarão se submeter a um tratamento biométrico sem saber direito quem guarda os dados, qual a segurança desses sistemas, quais as práticas gerais no tratamento. (1:00:53) A reportagem entrevista um prestador de serviços que diz: “Ah, a responsabilidade pelo sistema é da empresa, mas a responsabilidade pelo uso dos dados seria do condomínio”. É mais ou menos, porque o artigo 42 da LGPD fala que o operador responde solidariamente quando descumpre a lei ou as instruções do controlador. (1:01:12) E quando você coloca um condomínio… teu pai já foi síndico. Eu me lembrei dessa história agora. Aqui no condomínio, as imagens das câmeras ficam em um computador largado lá no salão de festas, ligado. Você entra lá e vê as câmeras, acessadas pela internet. (1:01:35) O que deveria estar acontecendo é a necessidade de que o condomínio… e não estou falando isso só porque a BrownPipe presta serviço de apoio para adequação à LGPD. Visitem lá brownpipe.com.br. (1:02:02) Conheçam os serviços, vejam o blog da BrownPipe, inscrevam-se para receber semanalmente as notícias. Você está gostando deste conteúdo, Vinícius? Eu estou, estou curtindo. O episódio passado eu gostei muito. (1:02:22) Acho que ficou bem diferente do que vimos por aí. Então, se você, assim como o Vinícius, gosta do conteúdo que o Segurança Legal produz, considere apoiar em apoia.se/segurancalegal. (1:02:45) Você pode ter acesso à campanha, fazer parte do nosso grupo, conversar com a gente. Pois bem, eu dizia, não é só porque a BrownPipe presta serviços. Eu realmente acredito, enquanto cidadão e titular, que é problemático ter que me submeter a esse tipo de sistema sem os controles adequados, sem inclusive ter uma alternativa. A reportagem fala isso: é preciso dar alternativas aos condôminos que eventualmente não querem. (1:03:19) Você pode muito bem ter os mecanismos de autenticação biométrica, com todas as questões de segurança observadas, e também manter o sistema com as “tags” tradicionais para quem não quiser fornecer seus dados biométricos. Porque há um risco. Mais de 1 milhão de condomínios confiando nos sistemas de empresas que disponibilizam essas soluções, que acredito estarem funcionando pela internet. (1:03:57) Eu já vi as duas situações. Desde o computador largado numa sala fechada e úmida do condomínio… Em geral é assim. Até computador largado na casa do síndico, do zelador. (1:04:24) Com meu pai, no prédio, eles tinham uma salinha úmida. De uns anos para cá, a coisa tem sido cada vez mais online, porque é mais raro não ter internet no próprio condomínio, e fica muito mais fácil ligar isso a uma central. Ainda mais se tiver algum termo de uso que permita usar as informações para outra coisa. Mas, no geral, o que eu já vi desses sistemas… eu nunca testei a segurança, mas a gente tem aquele feeling… você olha a cara do sistema e pensa: “Isso aqui tem problema. Está meio estranho”. (1:05:24) Você vê umas coisas meio “enjambradas”. E esse lance de “o uso das informações é por conta do condomínio”… É, mas você tem um SaaS, um Software as a Service, conectado lá, com as informações mantidas em algum lugar. E a LGPD se aplica plenamente aos condomínios. (1:05:48) É um tema que não debatemos muito agora, mas, com essa banalização da biometria… Para dar um exemplo: precisamos fazer uma obra aqui no condomínio. (1:06:10) Contratamos uma empreiteira, e o síndico disse: “Vamos precisar contratar outro engenheiro para acompanhar o serviço da empreiteira”. O pessoal ficou: “Poxa, mas já vou pagar a empreiteira, por que tenho que pagar outro engenheiro?”. Ele respondeu: “A não ser que você seja engenheiro e consiga avaliar o trabalho. Eu não tenho condições”. E, de fato, o engenheiro precisou pedir para que refizessem uma série de questões. (1:06:40) Por quê? Porque você tem prestadores de serviços que, eventualmente, vão prestar o serviço mal. Com a LGPD, é a mesma coisa. (1:06:54) O ideal seria contratar alguém para te acompanhar nisso, para garantir um mínimo de segurança no tratamento de dados sensíveis e biométricos de sei lá quantos milhões de pessoas que estão sendo tratados hoje no Brasil. (1:07:12) Para terminar, eu fico meio indignado com isso, porque me indigna ter que ficar fornecendo a biometria facial para entrar na minha casa sem que ninguém consiga… claro, as pessoas não foram treinadas para isso, não conhecem o tema, mas não estão percebendo o risco e os problemas envolvidos. E não é só “ah, os dados vão vazar e podem tirar um empréstimo no seu nome”. É muito mais simples: eu tenho o direito de não dar os meus dados. Eu quero ter um método alternativo, que é plenamente factível, de entrar sem fornecer a biometria facial. (1:07:54) Porque acredito que talvez não seja o lugar mais seguro, ou eventualmente eu não quero. Aí vão dizer: “Então não entra, mude-se”. Esse é o problema de morar em condomínio, a maioria impõe a regra. A não ser que seja algo flagrantemente ilegal. Mas, eu te diria, se meu pai fosse síndico e tivesse uma oferta de um sistema desses que não fosse caro, ele adotaria muito facilmente. (1:08:31) E, se eu dissesse: “Mas tem esse problema…”, ele diria: “Vamos fazer o quê?”. É o pensamento mais comum. (1:08:50) Não é porque existe que temos que sair utilizando em tudo. Aumente o nível de segurança até onde você precisa. E o pior é que, depois, você chega a um condomínio desses, com biometria e tudo, e… aconteceu comigo. Fui a outra cidade, tinha um prédio com interfone, câmera… eu tentava entrar e não atendiam. Veio uma senhora, perguntei se a empresa tal era ali, ela disse que sim. Eu disse que não conseguia contato, e ela: “Ah, não tem problema, é no andar tal”. Abriu para mim e eu entrei com ela. (1:09:35) Acabou. Você põe um negócio com biometria e um monte de coisa… não precisa, não vai aumentar a segurança. Talvez tire um incômodo, dê uma sensação. Tem uma coisa interessante aí, Guilherme, e não dá para ignorar. (1:10:00) Em condomínios com chaveirinho RFID, aquelas “tags”, para copiar isso é ridículo de fácil. Eu tenho um copiador. Na internet, custa uns 30, 40 reais. (1:10:20) Não precisa ser um super copiador. Você gasta 100 reais e já tem um negócio que copia a tag. E aí, você perde o controle, porque é fácil de copiar e você não sabe quantas tags existem por aí. (1:10:43) Com a biometria, se eu quiser cancelar o acesso do Guilherme, eu cancelo. Eu sei quem tem acesso cadastrado. Então, de fato… estou vendendo o sistema de biometria, você vai ficar bravo comigo. Mas você tem um controle muito melhor com biometria do que com chave ou com tag. Com biometria, eu consigo saber quem está liberado, posso classificar os moradores, de tempos em tempos zerar os acessos de não moradores. (11:31) Você consegue manter isso atualizado. Com uma tag, você dá para o pessoal da obra e não sabe se vão passar para alguém ou copiar. “Ah, mas eu cancelo aquela tag”. Sim, mas pode ser a cópia da tag de alguém. Então, existe uma vantagem no uso da biometria em vez da tag ou da chave física. Eu não queria entrar nisso, mas me lembro do nosso episódio sobre o “teatro da segurança”. (12:16) Traduzimos na época o artigo do Bruce Schneier. E acho que se encaixa na questão do viés de automação e da fanatização tecnológica. As pessoas ficam maravilhadas com aquela telinha que filma seu rosto. (12:56) Mas, usando seu próprio argumento, a partir do momento que alguém permite que outro entre… vou te dar outro exemplo. Sigo uns grupos de fraudes. Alguns furtos são feitos com o cara se anunciando como entregador do Mercado Livre. Sábado à noite, 9 horas, toca o interfone. Eu sei que esses caras ralam para caramba, mas de repente um cara: “Você pode vir pegar a encomenda do apartamento tal porque ele não está em casa?”. Eu não vou descer quase 10 horas da noite para pegar uma encomenda. Provavelmente era legítimo, mas você percebe que a segurança física pode ser destruída. (13:55) É aquela velha história dos caixas 24 horas, que você tinha que passar o cartão para entrar. Depois, acabaram com aquilo. A gente falava isso nas palestras há 20 anos. (14:19) É uma questão muito mais complexa. Eu não te contrario no sentido de que é útil ou eficiente. Me preocupo com o exercício dos direitos do titular, a eventual oposição e a segurança do sistema que mantém tudo isso. Ele pode, sim, aumentar a segurança do ambiente. (14:46) Só que não podemos esquecer da manutenção, do cadastro de rostos, que eventualmente não vai funcionar. Esse processo de manutenção também pode trazer outros riscos que não vão compensar o gasto. E, eventualmente, uma chave física pode ser mais eficiente. O valor está caindo, só está sendo usado em condomínios porque o investimento caiu muito. (15:17) Já foi caro a ponto de ser coisa de filme, de ambientes super controlados. O preço cai e a tecnologia se populariza. (15:43) E aí começa a ser viável usar um leitor digital na academia. Aí entra a questão da comodidade versus a segurança e a percepção de segurança. Os valores aqui: por ponto de acesso, de 1.200 a 3.500 reais; o sistema para uma base de 1.500; e a instalação com portaria remota, 5.000 em média, com custo mensal de 1.000 a 2.500. Porque ainda tem a questão da portaria remota, abrir com aplicativo, que é outro problema. (16:42) Você fica pensando… é um assunto que me revolta. “Ah, mas o criminoso não sabe que eu tenho esse sistema”. Os caras acabaram de desviar um bilhão. Basta que o criminoso se dê conta de eventuais vulnerabilidades nesses sistemas, que eu diria que há muita chance de existirem, e você começará a ter exploração. Paga alguém para acrescentar uma biometria, ou para abrir o portão tal hora. (17:16) Que nem aconteceu na CM, paga 5.000 para o cara e ele te dá as credenciais. Como aconteceu no banco. É isso aí. (17:31) Vamos terminando. (17:37) Lembra que deixamos de fazer café quente, café frio? O café frio vai para o Grok, para o Elon Musk, que está cada vez mais doido e agora fez isso com o Grok, num momento em que todo mundo fala que tem que ter segurança na IA, superalinhamento, etc. (1:18:08) Eu dou o café frio para a banalização da biometria no Brasil. E o expresso? O expresso vai para a ANPD, que está recolhendo a tomada de subsídios para o tratamento de dados biométricos, o que pode trazer mais segurança para essas atividades. (1:18:32) Eu acompanho o relator, porque não tenho para quem dar meu café expresso. Agradecemos àqueles e àquelas que nos acompanharam até aqui e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.  

Neste episódio comentamos a histórica decisão do STF sobre a inconstitucionalidade do artigo 19 do Marco Civil da Internet, que altera a responsabilidade civil das plataformas digitais.​ Acompanhe a análise de Guilherme Goulart e Vinícius Serafim sobre o novo regime de responsabilidade civil dos provedores de aplicação, como redes sociais e outras Big Techs. Com a decisão, a remoção de conteúdo ilícito, que antes exigia uma ordem judicial, agora pode ser feita mediante notificação extrajudicial em diversos casos. A mudança visa proteger direitos fundamentais e combater a monetização de publicações criminosas. Foi discutido o conceito de “inconstitucionalidade progressiva” e o novo dever de cuidado proativo das plataformas para monitorar e remover conteúdos graves, como atos antidemocráticos, crimes de ódio e desinformação, sob pena de configurar “falha sistêmica”.​ Para não perder nenhuma análise sobre Direito da Tecnologia e Segurança da Informação, siga o podcast na sua plataforma de áudio preferida, assine nosso canal e ative as notificações. Sua avaliação também é fundamental para que o conteúdo chegue a mais pessoas.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Link para a tese Big techs rechaçam decisão do STF, criticam instabilidade e preveem judicialização em massa Livro – Empire of AI: Dreams and Nightmares in Sam Altman’s OpenAI Foto do episódio: Agora – Foto de Seth Anderson de obra de Magdalena Abakanowicz 📝 Transcrição do Episódio (00:02) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação, direito da tecnologia e tecnologia e sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos assistem no YouTube.(00:27) Sempre lembrando que para nós é fundamental a participação de todos. Para isso vocês já sabem: nós estamos no podcast@segurançalegal.com, YouTube, Mastodon, Blue Sky e Instagram. Também temos nossa campanha de financiamento coletivo no Apoia-se, em apoia.se/segurançalegal. Você pode escolher sua modalidade de apoio e participar do nosso grupo do Telegram.(00:49) Sempre lembrando, conclamamos que você considere apoiar um projeto independente de geração de conteúdo. Também pedimos àqueles que antes nos apoiavam e deixaram de apoiar quando fizemos a migração do PicPay de volta para o Apoia-se, pois várias pessoas não voltaram. Então, considere ajudar o podcast Segurança Legal a continuar existindo.(01:09) Tem o blog da Brown Pipe, a empresa que também é uma mantenedora do podcast Segurança Legal. É só entrar em brownpipe.com.br, acessar as notícias que são atualizadas semanalmente e se inscrever no mailing semanal.(01:29) E também, para quem estiver nos vendo no YouTube, é aquela coisa que sempre pedimos, Vinícius: se inscrever no canal, clicar no sininho e, se quiser e puder, interagir conosco pelo YouTube também é uma boa. Eu estou inscrito com o sininho ativado nos canais que assisto frequentemente, Vinícius, porque ele passa a recomendar para outras pessoas também.(01:47) Então é importante para entrar no algoritmo. Hoje vamos falar bastante sobre algoritmo aqui, Vinícius. Você quer dar um retorno para um ouvinte que, esses dias, te recomendou um podcast? Sim. Só… Cadê o nome dele aqui que sumiu? É o Carlos Barreto.(02:08) Pô, você tinha colado. Não, está aqui embaixo. Está na pauta. Poxa, Carlos, eu olhei seu nome antes e agora, quando fui falar, não o encontrava aqui na pauta. A indicação que o Carlos Barreto fez para nós foi do podcast Kill Switch. Uhum. Eu disse que iria ouvir e depois daria minha opinião sobre o podcast.(02:34) Eu ouvi vários episódios desde os que saíram. O último que ouvi foi bem legal, sobre por que os drones predadores (Predator Drones) estão voando sobre Los Angeles. Eu achei a abordagem deles bem interessante. É algo bem crítico, muito bem feito e que sai um pouco fora da caixa. O que eu não gostei, mas entendo perfeitamente, é que tem muita propaganda.(03:04) Então, tem que pular muita propaganda no começo e, lá pelo meio do episódio, também entram alguns minutos de propaganda. Tem que pular tudo. Mas aí fica a minha recomendação, Carlos, para ti e para os nossos outros ouvintes que gostam de acompanhar podcasts.(03:24) Eu gosto muito de usar o Pocket Casts. Dá para usar em pocketcasts.com e tem um aplicativo para celular que justamente te permite pular bem fácil. Eu acho que todos te dão alguma flexibilidade nesse sentido, de acelerar e de poder pular propaganda e coisa parecida.(03:48) Então, acabei usando para fazer isso também. Mas é isso, gostei, estou assinando, vou continuar assinando, está na minha lista do que eu ouço ao longo da minha semana. Está bom? É isso aí. Um grande abraço, Carlos. Obrigadão. Obrigado mesmo pela dica. Valeu muito.(04:11) Nós somos consumidores de podcast. Na semana passada, Vinícius, eu participei do podcast do Cesuca, que é a faculdade onde eu dou aula. Antes eu estava à frente do podcast deles, o projeto acabou e hoje uma professora retomou, e o primeiro convidado fui eu. Voltei como convidado.(04:30) E a gente comentava justamente isso: num momento em que cada vez mais a atenção acaba recaindo em vídeos extremamente curtos, em conteúdos extremamente curtos, o podcast permanece como uma mídia quase de resistência, como gosto de brincar aqui, no sentido de que insistimos em falar por mais tempo dos problemas. O mundo e a realidade são complexos e precisamos de tempo para refletir и para tratar sobre essas complexidades, inclusive esta grande complexidade que é o julgamento do STF.(05:07) Finalmente terminou o julgamento do STF sobre a inconstitucionalidade do artigo 19 do Marco Civil da Internet. Considerou-se inconstitucional, na tese que se adotou, a chamada inconstitucionalidade progressiva. Nós já gravamos sobre isso aqui, mas a ideia é que o artigo 19, que definia o regime de responsabilidade civil dos provedores — que antes somente se responsabilizariam pelo conteúdo gerado por terceiros a partir de uma ordem judicial específica —, a partir de agora…(05:42) Vamos falar um pouco sobre os detalhes da tese que já foi publicada. Será possível agora a retirada de conteúdos ilícitos por meio apenas da notificação extrajudicial, inclusive. Pode ser judicial, mas pode ser extrajudicial também.(06:02) E eles passam a ser responsáveis em certas circunstâncias. O artigo 19 ainda vai valer para alguns casos, conforme vamos ver, mas acho que é um dos grandes julgamentos do STF. O Supremo Tribunal Federal no Brasil se tornou um órgão de bastante atenção, seja pelos julgamentos envolvendo os atos antidemocráticos, mas é supercomum as pessoas que não são do direito saberem quem são os ministros, terem sua opinião sobre… Eu ia dizer justamente isso.(06:35) Até alguns anos atrás, você ouvia falar do STF… E tem gente que faz a crítica justamente nessa direção, de que o STF deveria ser um pouco mais discreto, mas a gente pouco ouvia falar do STF como instituição. Dificilmente ouvíamos falar de um ministro específico, talvez no meio da notícia, mas sem dar muita bola.(06:55) Hoje, eu não vou me arriscar aqui, mas acho que sei o nome de todos, pelo menos dos mais conhecidos. Se parar para pensar, você consegue lembrar. E alguns dizem, inclusive, Vinícius, que isso se deve ao televisionamento ou à transmissão das sessões. Eu acho, não tenho certeza, que é o único órgão que permite essa abertura.(07:27) Se por um lado dá uma transparência bastante grande, por outro há críticos. Principalmente alguns professores de constitucional entendem que as decisões deveriam se dar de forma fechada, aquelas discussões e embates às vezes duros que ocorrem lá dentro. Mas enfim, o propósito de falar hoje não é esse. O propósito é falarmos sobre qual será o novo regime de responsabilidade e também sobre como as coisas vão acontecer a partir de agora.(08:04) É importante dizer também que há várias críticas a essa decisão. Isso é plenamente possível e desejável. No regime democrático é plenamente normal discutir e criticar decisões judiciais. Claro, nós as cumprimos, mas são passíveis de discussão. Um detalhe importante, uma das críticas é que o Supremo estaria legislando nesse caso, mas na verdade o recurso que dá origem a essa tese chega em 2020 ao STF. O Marco Civil é de 2014. E o recurso chega ao STF e ele começa a ser julgado em novembro de 2024 e termina agora em junho de 2025.(08:45) Então, o próprio Supremo teria dado um tempo para que o Congresso legislasse sobre esse tema. Acusou-se o Supremo de estar legislando, mas o Supremo tem esse poder — e claro que se pode discutir qual é a extensão desse poder —, mas quando o Supremo julga a inconstitucionalidade de uma lei, ele tem o poder de determinar como aquela circunstância deve ser compreendida.(09:24) Como se deveria interpretar aquela situação com a definição da inconstitucionalidade de uma lei. Então, o que o Supremo faz é isso: “Olha, com a inconstitucionalidade do artigo 19, como devo resolver os problemas relacionados à retirada de conteúdo и também à responsabilidade ou à responsabilização de provedores de aplicação?”. Essa é a questão. E claro, o próprio Supremo também, diante das críticas de que estaria legislando, deixa bem claro no final…(09:59) Faz um apelo ao legislador. Diz: “Apela-se ao Congresso para que seja elaborada legislação capaz de sanar as deficiências do atual regime quanto à proteção de direitos fundamentais”. Porque o fundamento foi esse. A ideia é que, segundo o Supremo, o regime atual de responsabilização e de regulação de publicações de terceiros nas redes sociais — não só nas redes sociais, mas nos provedores de aplicação — estaria deixando certos direitos fundamentais desprotegidos.(10:31) As pessoas precisariam de uma ordem judicial para a retirada do conteúdo. E mesmo que fosse flagrante a ilicitude do conteúdo, os provedores не teriam a obrigação de retirar o conteúdo do ar. Então isso estaria… Diga. E aí tem aquele lance que já comentamos várias vezes aqui nos vários episódios sobre esse assunto: o pessoal ganhando grana, a rede ganhando dinheiro com a divulgação daquilo, embutindo propaganda no conteúdo ilícito.(11:10) E usando a desculpa de “não preciso tirar isso aqui até que eu seja notificado judicialmente”. E, ao mesmo tempo, nós já tivemos vários problemas com conteúdo mesmo do podcast. Eu lembro até hoje daquela cena do Bart Simpson usando o umbigo dele para passar num scanner de retina.(11:41) E a gente seguiu exatamente o que se permitia com relação ao uso de trechos de obras. Nós poderíamos ter usado, estava dentro da lei. Nós usamos, colocamos no YouTube, no episódio na época, e o YouTube, sem mais nem menos, nos derrubou porque tinha conteúdo protegido.(12:04) E isso a gente podia fazer, a gente fez certo, dentro da lei, o uso daquelas imagens. E, por outro lado, coisas que não importavam a eles, ou que não feriam seus interesses — pelo contrário, coisas que viralizavam, ainda que causando prejuízo a terceiros, sejam prejuízos morais a pessoas físicas.(12:33) Eles mantinham até receber uma notificação judicial e ficavam ganhando grana. É, até esperar a decisão judicial. “Enquanto não viesse, eu não sou obrigado a tirar isso aqui.” Isso mudou. Acho que o papel dos provedores mudou muito nos últimos tempos. Questões como o próprio feed infinito ou como a organização do conteúdo… Não estou falando em moderação, estou falando em como os provedores utilizam hoje para te mostrar coisas.(13:09) E essa organização e esse impulsionamento, seja o impulsionamento pago ou o impulsionamento pelos próprios algoritmos, que em alguns casos vão entender que aquele conteúdo, às vezes ilícito, é passível de maior visualização e viralização. E esse é um dos focos da sua responsabilização, porque se eles ganham dinheiro com isso, teriam que suportar os riscos de organizar conteúdo dessa forma. Inclusive, o ministro Toffoli falou sobre a teoria do risco-proveito, que é uma teoria existente dentro da responsabilidade civil.(13:50) Basicamente, em resumo, se você tem uma atividade e tem ganho com aquilo, aquele seu ganho justificaria você se responsabilizar pelos riscos que aquela atividade produz. E no caso aqui, seria o risco, para mim bastante evidente, de que conteúdos mais críticos — mas não crítico, aqui estamos falando de ilicitude — têm um potencial de viralizarem e engajarem mais. As redes sociais, sobretudo, perceberam isso.(14:26) É aquela coisa que eu já comentei aqui, mas sugiro que você faça essa experiência: abra o YouTube, crie uma conta nova e comece a ver o tipo de conteúdo que vai te ser recomendado. Você fez isso e não foi nem um pouco legal, não é? Não foi, foram coisas bem ruins.(14:45) Foram coisas bem ruins. Tóxicas? Demais. Tóxicas demais, demais, demais. E aí nós temos também uma coisa evidente, e isso não é ilícito: não vejo como ilícito uma empresa ter um alinhamento político. As empresas podem ter, é plenamente possível, normal, não tem problema nenhum. Agora, quando você coloca isso no algoritmo e passa a influenciar de forma muito intensa a organização e o favorecimento de certos conteúdos, me parece que isso passa a ser um problema, sobretudo num contexto mais coletivo.(15:26) Acho que a decisão também aborda um pouco isso. Essa tese trouxe várias regras que vão começar a valer agora para a questão do conteúdo na internet. Vamos deixar no show notes.(15:52) O ministro Toffoli até comentou que se buscou aproveitar a sistemática do próprio Marco Civil e também do direito civil no que diz respeito à responsabilidade civil. E essa ideia do risco-proveito foi mencionada no voto dele. A tese buscaria, segundo ele, preencher a inconstitucionalidade do artigo 19 com outras regras presentes no próprio Marco Civil, que seria o artigo 21.(16:23) E o artigo 21 fala sobre as possibilidades de retirada de conteúdo sem a necessidade de ordem judicial. Então, se se define a inconstitucionalidade do 19, aproveitando a saída do artigo 21. Essa discussão houve lá no início, antes de 2014, antes do Marco Civil. E essa foi uma das discussões colocadas. A grande questão é que me parece que a forma como os conteúdos são apresentados mudou bastante nesses últimos 11 anos. E a ideia é que esse preenchimento de uma nova forma de se organizar e de se regular a questão do conteúdo visaria justamente a…(17:03) proteção de outros direitos fundamentais que estariam sendo desrespeitados pela forma com que o artigo 19 está sendo aplicado hoje. Guilherme, só… Diga sempre, pode falar. Não, eu ia dizer, você sempre pode interromper para fazer qualquer observação. Só deixa eu te fazer uma pergunta.(17:25) A partir de quando começa a valer isso que a gente vai discutir agora? Pois é, essa é uma questão… Eu estava ouvindo hoje de manhã um podcast da Folha, e se aventou justamente isso. Porque a gente tem a tese, mas ainda não temos o acórdão. E ainda seria passível, com a publicação do acórdão, de embargos declaratórios por causa de omissões da decisão. Então, o que acredito que vai acontecer é que questões como o prazo — porque certamente terá que se dar um prazo para os provedores se adaptarem a essas novas regras…(17:57) Acredito que no acórdão teremos essa informação. E acredito também, e as próprias Big Techs disseram isso… Claro que as Big Techs não gostaram disso. Óbvio. E é natural também elas não gostarem, porque isso vai interferir, vai tornar a atividade delas sim, mais complexa e sim, mais cara.(18:21) Mas enfim, se você tem um restaurante, você vai ter que investir em segurança alimentar. A comparação não é bem boa, e essa é uma outra coisa: a decisão fez várias comparações, e é difícil comparar atividades fora da internet com a dinâmica da internet. Claro que você pode usar comparações, mas a dinâmica de organização do conteúdo e a própria utilização de algoritmos para impulsionar conteúdos de forma que você não sabe exatamente quais são os critérios usados…(18:56) Isso é difícil de comparar com outra coisa fora da internet. “Ah, eu tenho um restaurante, vou ter que investir em cuidado.” Sim, mas é mais fácil. Claro que isso vai te trazer um custo, mas a comparação vai no sentido de que qualquer atividade que você for desempenhar, ela vai ter um dever de cuidado. E aí as discussões que se colocam, e acho plenamente possível se discutir isso, é: “Será que o próprio Supremo não ultrapassou os limites a que ele estaria adstrito para colocar coisas que estariam fora da lei?”.(19:27) Ou seja, que não teriam sido estabelecidas na lei. Aí vem a crítica de que o Supremo estaria legislando. E a resposta que vem é: “Não, ele pode modular os efeitos da sua decisão para dizer que a forma de interpretar isso para ser constitucional é desta forma”. E foi o que eles fizeram aqui.(19:52) Essa ideia de inconstitucionalidade progressiva, e essa é uma parte mais do direito constitucional… Eu sou um civilista, não estudo profundamente o direito constitucional, mas a ideia de inconstitucionalidade progressiva, peguei num livro do Dirley da Cunha que tenho aqui, ele fala o seguinte: isso ocorre quando uma lei ou norma ainda constitucional transita progressivamente para o terreno da inconstitucionalidade em razão de superveniente modificação de determinado estado fático ou jurídico.(20:24) Basicamente, a realidade mudou. E em função dessa mudança da realidade, a norma que antes era constitucional deixou de ser constitucional. Essa seria a ideia de inconstitucionalidade progressiva. Utilizou-se também, e se fez referência em alguns votos, à questão de como isso é regulado lá fora, sobretudo na legislação europeia. E claro que há uma diferença. Uma das questões que se estabeleceu aqui é um dever proativo de monitoramento que não tem lá fora. E isso de fato pode ser bem difícil de se cumprir.(21:07) Mas uma coisa que me chama a atenção é que lá fora eles definem os deveres de acordo com o tamanho dos provedores. Então, você tem as “plataformas em linha de muito grande dimensão” — estou usando o português de Portugal —, que são os VLOPs (Very Large Online Platforms) e os motores de pesquisa em linha de muito grande dimensão.(21:38) Então eles fazem uma delimitação dos deveres de acordo com o tamanho da plataforma, o que não foi feito aqui. Mas notem, esse é o ponto: o mundo ideal aqui seria que nós tivéssemos uma lei que regulasse essa questão. E isso não aconteceu.(21:57) Tivemos um projeto de lei aqui no Brasil, o PL 2630, de responsabilização de provedores. Tinha 31 artigos, mas foi engavetado, foi arquivado. Então, não temos conseguido aqui no Brasil regular com eficiência e com a rapidez necessária no Congresso questões como responsabilidades dos provedores, o problema das fake news, a questão da IA. Temos ficado à mercê de um lobby bastante forte das Big Techs, que ocorre não somente no Brasil, mas no mundo inteiro. E isso me parece que tem nos afetado.(22:35) Não que, por não ter lei, o Supremo tenha que agir. O Supremo tem que agir quando ele achar que a lei é inconstitucional. Foi o que ele fez ao declarar a inconstitucionalidade da lei.(22:53) Mas também tem esse aspecto de o processo estar há 4, 5 anos aguardando para julgar, me parecendo uma espera por uma movimentação no Congresso, e isso não aconteceu. Então, também ficamos sujeitos ao lobby das Big Techs, e esse lobby vai recorrer. Porque quando o Supremo faz o chamamento para que se tenha uma lei, o lobby não vai parar. Então, ainda podemos ter uma lei. E você falava dessa questão da União Europeia… Mas a gente vê nos Estados Unidos um outro extremo, que é o caminho para a desregulação.(23:30) Não vou dizer total, mas na direção de não ter regulação nenhuma. A gente já comentou sobre a “Big, Beautiful Bill” do Trump, acho que talvez no último episódio. Um dos itens que estão lá nesse projeto de lei é uma moratória sobre a regulamentação de IA.(24:04) E o que tem lá é que os estados não podem… Há uma moratória em cima de regulamentação de IA, e essa moratória atingiria todos os estados. Ou seja, nenhum estado poderia, por 10 anos, colocar qualquer tipo de regulação em cima da indústria de inteligência artificial, o que é uma coisa meio surreal. Porque na medida em que você tem IA embarcada nos carros, como não vai ter regulação no setor automobilístico com uso de IA? Enfim. E a gente viu…(24:43) Foi o primeiro episódio que fizemos este ano, que chamamos de “parte um” e depois degringolou tudo, em que o Zuckerberg, para puxar o saco do Trump, entre aspas, acabou com a moderação como existia.(25:11) Inclusive, no último episódio do podcast The Hard Fork, do New York Times, eles fizeram um episódio ao vivo em São Francisco, num teatro. Foi bem interessante que eles convidaram inclusive o Sam Altman, e a OpenAI está sendo processada pelo New York Times por uso de conteúdo. Eles convidaram o Sam Altman e, no início, entre uma entrevista e outra, eles mostraram um vídeo de homenagem “em memória”, e aí aparece o Skype.(25:51) Aparece um outro site, uma outra aplicação que eu não conhecia, e de repente eles mostram o Zuckerberg e colocam “Moderação de conteúdo no Facebook morreu em 2025”. Esse é o ponto a que a coisa vai. Nos Estados Unidos eles querem uma coisa completamente desregulada, tanto no que diz respeito à IA, claramente, quanto às próprias redes sociais. E isso vai na contramão da União Europeia, vai na contramão do que se tem buscado historicamente dentro do Brasil.(26:30) Mas é o caminho que se vai pelo lobby. É isso que vai acontecer. Se for só pelo lobby, se não houver uma força contra isso, o lobby vai levar para isso aí. E isso explica o alinhamento das redes sociais com o governo Trump, porque eles têm interesses. Para as redes sociais, para as Big Techs, é melhor que não haja regulamentação.(26:55) E eu entendo isso, acho plenamente possível que empresas defendam o direito de defender seus interesses. No entanto, a partir do momento que esses interesses se chocam com a ordem jurídica dos países ou que promovem a não proteção de direitos fundamentais — porque é disso que estamos falando aqui, um tipo de prática que estaria deixando direitos fundamentais como a honra das pessoas desprotegidos, pessoas sendo vítimas de crimes e tudo mais.(27:30) Aí me parece que deve tomar lugar o interesse público. E o grande problema é quando o poder público passa a proteger ou a impedir que o interesse público seja atingido. Concordo que podemos discutir qual é a extensão da regulação. Isso é totalmente possível, é sadio, é saudável.(27:58) O que não me parece correto é dizer que não deve haver regulação nenhuma, porque daí seria talvez o único tipo de atividade que não conta com nenhuma regulação. Você pode fazer o que quiser. Não existe outra atividade em que isso seja possível. Qualquer coisa que você for fazer… Nós, para mantermos um escritório aberto, temos que ter um alvará. Um negócio absurdo. Quer dizer, não é absurdo ter alvará.(28:22) Olha aí o Guilherme defendendo que não se tenha necessidade de alvará. Não, quero dizer que é uma coisa muito simples, como ter uma sala onde pessoas vão lá, entram no trabalho e vão embora. Você precisa ter uma… E uma coisa interessante também, Guilherme, é que não estamos falando de empresas pequenas e com pouco alcance.(28:46) Fora agora com o Trump, os Estados Unidos sempre tiveram aquela política que sempre comentamos, até elogiando, dos “deep pockets”. Ou seja, quando uma empresa que tem grana pisa na bola, as multas são feitas proporcionais ao tamanho dos bolsos daquela empresa. É proporcional, é para doer. É para fazer a empresa pagar uma multa que ela sinta, e não uma coisa que ela pague e faça de conta que não foi nada.(29:17) E nós fizemos historicamente várias críticas nesse sentido, porque aqui no Brasil, quando se aplica uma multa assim, parece o Dr. Evil do Austin Powers, querendo ameaçar o mundo inteiro pedindo “one million dollars”.(29:43) A história lá é que o cara ficou congelado durante anos, ele volta e acha que pedir 1 milhão de dólares é uma coisa absurda que ninguém vai conseguir pagar. E no entanto não é nada. O pessoal dá risada dele.(30:03) E a gente falava disso. As multas aqui no Brasil são, em várias situações, pífias. É, essa é uma discussão que se faz. O sistema brasileiro é um pouco diferente nessa questão de indenização punitiva. Tem uma discussão possível aí na questão das multas também. Agora, é inegável.(30:22) Sim, mas você percebe que a gente elogiava os Estados Unidos nesse sentido? De aplicar penalidades realmente relevantes para as empresas grandes com receita grande quando elas pisam na bola. E isso está se invertendo. Parece que está ficando: “Fiquem tranquilos, não vai ter mais multa nenhuma, façam o que quiserem”.(30:53) Esse, eu acho, é exatamente o ponto, Vinícius. Porque nem sempre o interesse da Big Tech vai estar alinhado com o interesse público. E é totalmente legítimo a gente discutir a extensão da decisão ou das leis. Mas não acredito que os interesses das Big Techs estejam aliados aos interesses públicos. Temos visto uma piora ao longo do tempo e o acontecimento de uma série de coisas que estão contando, pelo menos, com a forma de organização e demonstração de conteúdo promovida pelas grandes Big Techs.(31:30) Então, claro que elas não vão gostar. Mas quando olhamos, por exemplo, vimos as redes sociais se desligando daqueles acordos que tinham сom agências de fact-checking. Isso é uma coisa. Fake news é outra. Mas quando você deixa de aplicar moderação e deixa de fazer atividade de fact-checking e deixa de se preocupar com isso… “Ah, mas por causa da liberdade de expressão?”. Mas a liberdade de expressão enquanto direito não é um direito de exercício absoluto. Podemos discutir se…(32:05) eventualmente a decisão não poderia sim afetar a liberdade de expressão em alguns momentos. E também acho que é uma discussão possível. Agora, dizer que não deve haver nenhum controle também acho inadequado, acho incorreto. Bom, então tivemos esse reconhecimento que se comentou antes aqui. Ou seja, agora se disse que o artigo 19 não permitia a proteção suficiente a bens jurídicos constitucionais de alta relevância. Então, enquanto isso, deixam bem claro, tanto no ponto 2 da tese…(32:41) quanto no ponto 13 que faz o apelo ao legislador, é que enquanto não sobrevier nova legislação, mais uma vez, o artigo 19 deve ser interpretado de forma a dizer que os provedores de aplicação estão sujeitos à responsabilidade civil, ressalvada a aplicação das disposições específicas da legislação eleitoral. Ou seja, a parte de direito eleitoral vai continuar sendo regulada pelas regras que já existiam. Então, ele vai ser responsabilizado civilmente agora. Tira-se o 19 e aplica-se o 21. Responsabilizado pelo quê?(33:16) Pelos conteúdos gerados por terceiros em casos de crimes ou atos ilícitos. E aplica-se a mesma regra nos casos de contas denunciadas como inautênticas. Acho que confundiram ali em alguns momentos contas inautênticas (contas falsas) com robôs, que são coisas diferentes, e colocaram os robôs ali: “Ah, o robô publicando conteúdo ilícito”.(33:42) E a gente vê que às vezes há vários robôs publicando conteúdo ilícito. Acho que o problema não é o robô. Sim, porque na verdade a palavra “robô” se refere a algoritmos que vão automatizar uma série de coisas, e existem robôs por todos os lugares para coisas boas.(34:05) Você pode automatizar. Inclusive, tem várias aplicações para o usuário final para conectar na sua conta do Twitter (ou X), ou em outros lugares, na sua agenda, no seu e-mail, para tomar ações, ou seja, automatizar ações que você queira que sejam realizadas.(34:26) Então, não vejo nenhum problema em automatizar uma publicação, por exemplo, no seu X ou no seu Facebook. Isso não é crime, usar um robô. Agora, depende do que você automatiza. A ação que você automatiza, sendo com robô ou não, pode ser crime ou pode ser considerada, dependendo da plataforma, um uso não permitido.(34:53) Agora, o simples fato de automatizar com um robô nesse sentido não é uma coisa necessariamente criminosa. Não tem muito sentido, ainda mais em tempos de IA, em que começamos a ver cada vez mais ferramentas de IA que são agênticas, que conseguem agir em seu nome. Você concede acesso, e elas começam a fazer operações em seu nome.(35:19) Isso não pode ser ilegal por si só. Claro que posso fazer um agente para gerenciar negócios ilícitos, mas o problema não é o agente de IA, o problema é o negócio que é ilícito. Mas enfim, não é a ideia de que o robô é ruim. Claro, o robô que promove conteúdo ilícito, aí sim. E uma coisa interessante é que, se se tratar de crime contra a honra, aí continua valendo o artigo 19. Ou seja, em situações de…(35:57) crime contra a honra, aí você precisa de ordem judicial para a retirada do conteúdo. Na verdade, essa tese aqui tentou conciliar todas as decisões. Foi por maioria, teve três votos vencidos: Nunes Marques, André Mendonça e Fux.(36:33) Mas tentou-se encaixar. O ministro Toffoli falou em meio-termo. Parece que a questão do crime contra a honra… “Ah, mas então se alguém falar mal de mim, eu notifico e vai ter que tirar do ar?”. Não, se alguém falar mal de você, e que se encaixe, claro, no crime contra a honra, aí você precisaria de uma ordem judicial. E ainda uma coisa interessante: sucessivas replicações do fato ofensivo já reconhecido por decisão judicial, eles terão que remover as publicações a partir da notificação.(37:03) Então, se se entendeu judicialmente que determinado conteúdo é prejudicial, você não precisa entrar com outras ações judiciais para retirar o mesmo conteúdo. Claro que isso é bem fácil de circunscrever a partir do momento que você modifica um pouco o conteúdo, talvez. Estou falando de gente mal-intencionada. Para eventualmente fugir disso ou até como uma defesa do próprio provedor: “Ah, não é exatamente o mesmo”.(37:27) Mudou um pouco aqui. Então, talvez surjam discussões. Há uma presunção de responsabilidade dos provedores em casos de conteúdos ilícitos nas situações em que houver anúncio e impulsionamento pago ou rede artificial de distribuição (chatbots ou robôs). E aí, nesse caso, a responsabilidade se dá independentemente de notificação.(37:52) O anúncio e impulsionamento é um negócio muito grave. A partir do momento em que a plataforma aceita fazer anúncio sobre determinado fato, a hipótese que se coloca é que eles teriam uma responsabilidade, um dever de cuidado maior, já que estão sendo pagos para impulsionar aquele conteúdo. E sabemos que existem diversas situações de conteúdo ilícito impulsionado de forma paga, ou até mesmo golpes impulsionados, lojas falsas e tudo mais. Isso a gente já viu acontecendo várias vezes.(38:28) Aproveitando aqui rapidamente, estávamos discutindo hoje de manhã: apareceu uma pretensa instituição no Instagram, como deve haver várias, com várias imagens geradas por IA solicitando doações, Pix, etc.(38:53) E parece que um monte de gente já estava entrando na tal vaquinha dessa instituição, e a instituição não existe. É um conteúdo que está sendo promovido. E você olha as imagens, talvez sem um olhar mais atento, mas a gente percebe: “Não, isso aqui é IA”. Então, se liguem, galera. Se liguem justamente nisso que o Guilherme está falando. Tem um bocado de coisa acontecendo agora.(39:23) Bom, eu acho que a novidade aqui é esse dever de cuidado dos provedores em caso de, estou lendo aqui, “circulação massiva de conteúdos ilícitos graves”. Ou seja, seria um dever de remoção proativa de conteúdo com base em uma lista, um rol taxativo que a tese coloca. Rol taxativo é uma lista fechada.(39:50) Então, nós vamos ter sete hipóteses, sete itens aqui nesta lista que, se ocorrerem, os provedores deveriam retirar do ar. É uma lista importante, me parece, com coisas importantes. Por exemplo, condutas e atos antidemocráticos que se amoldem aos tipos previstos no 286, parágrafo único do Código Penal, que é incitação ao crime.(40:25) O artigo 286 é “incitar publicamente a prática de crime”. E incorre nas mesmas penas quem incita publicamente a animosidade entre as Forças Armadas ou delas contra os poderes constitucionais. E depois aqueles crimes do 359-L até o 359-R, que são… Isso está sendo referenciado em leis que já existem há algum tempo, mas especificamente desde 2021, numa lei que foi sancionada pelo governo Bolsonaro.(41:25) É importante que se diga. São os chamados crimes contra as instituições democráticas, crimes esses pelos quais o próprio Bolsonaro está sendo julgado nesse momento pelo STF, como todo mundo sabe e acompanha. Mas, por exemplo, tentar com emprego de violência ou grave ameaça abolir o Estado Democrático de Direito; tentar depor por meio de violência ou grave ameaça; impedir ou perturbar a eleição; restringir o exercício de direitos políticos.(41:55) Destruir ou inutilizar meios de comunicação, estabelecimentos, instalações destinadas à defesa nacional com o fim de abolir o Estado Democrático de Direito. São coisas bem específicas que, acontecendo… No podcast da Folha que eu estava ouvindo hoje, comentou-se que houve vídeos no Facebook e no Instagram incitando a invasão do Supremo, e o vídeo ficou lá por duas semanas. Depois o próprio Facebook veio e disse: “Olha, de fato isso deveria ter sido retirado do ar”.(42:30) Deveria. E essa, acho, vai ser uma das grandes dificuldades dos provedores de aplicações agora: realizar essa remoção proativa desses crimes. Ainda, crimes de terrorismo, aí tem uma lei específica que define quais são; induzimento, instigação ou auxílio a suicídio ou à automutilação no artigo 122 do Código Penal, que vai para júri, inclusive. Isso vai na esteira daqueles desafios que ocorrem com crianças, como o desafio do desodorante.(43:04) Começa a acontecer. Há uma série de reportagens sobre grupos que às vezes atuam para induzir realmente adolescentes a se matarem. É um negócio que existe de verdade.(43:22) Não me parece que os casos mais óbvios de todas essas coisas que você listou serão grandes problemas. Acho que quando alguém está claramente dando instruções de automutilação, de cometimento de suicídio etc., as próprias plataformas já vêm, em certa medida, detectando e retirando esse tipo de comportamento.(43:54) Coisas que são flagrantemente criminosas, como “vou matar o fulano” ou “vamos matar o ciclano”, esse tipo de incitação me parece bem tranquila também de ser facilmente detectável e, sem dúvida nenhuma, está numa zona vermelha que se tira e acabou. Agora, acho que teremos uma série de discussões, talvez principalmente no ano que vem, que vão envolver política. Não me parece que a questão política… Acho que ela permanece sob as regras que já…(44:32) Ok, permanecem as regras, mas é onde vai ter discussão. Porque as coisas que são obviamente erradas são fáceis de serem tiradas. E aquela coisa que fica no meio, que não está errado, errado, errado, mas tampouco está livre de qualquer tipo de sanção? Eu te dou um exemplo disso que você está falando.(44:55) Por exemplo, o outro item ali é incitação à discriminação em razão de raça, cor, etnia, religião, procedência nacional, sexualidade ou identidade de gênero. Condutas homofóbicas ou transfóbicas. Aí traz a Lei 7.716, artigo 20. Bom, não acredito que alguém possa defender que as redes sociais devam manter esse tipo de conteúdo.(45:18) Não faz sentido. Aí não tem dúvida. Agora, qual seria o risco? De repente, você começa a discutir sobre esses temas e, eventualmente, a rede social vai lá… Esse é o receio que alguns colocam.(45:37) Eu não acho que vai acontecer. Mas, por exemplo, estou discutindo sobre transfobia ou homofobia. Não vai ser assim, você vai escrever “gay” e qualquer coisa ele vai tirar do ar. Não pode ser assim. Se for, o provedor não estará cumprindo adequadamente esse dever de cuidado. O problema que alguns colocam é: de repente, discussões sobre transfobia poderiam ser encaixadas como discriminação. E aí o provedor, por ter o dever de remoção proativa, poderia retirar aquele conteúdo do ar para evitar sua responsabilização.(46:12) Claro que aí se inverte: a outra parte que teve o conteúdo retirado também poderia acionar o Judiciário para buscar o retorno daquele conteúdo. Mas é inegável que os próprios provedores terão que se movimentar e criar práticas a fim de identificar esses conteúdos. Porque, como você muito bem comentou, é possível, ainda mais com IA, identificar. Sim, as coisas mais evidentes e óbvias, sem dúvida nenhuma, é bem tranquilo.(46:51) E essa era uma das discussões: “Ah, vou transferir para as empresas o poder de julgar se é ilícito ou não”. É que, na verdade, você tem coisas, e este rol define quais são. Você tem uma lista, esse é o ponto. Não é qualquer tipo de conteúdo ilícito. Aí tem aqui crimes praticados contra a mulher, crimes sexuais contra pessoas vulneráveis, o que inclui as questões de publicação de pornografia infantil, coisas graves que os próprios provedores já retiram.(47:25) Eventualmente permanecem, mas em geral são bons em retirar isso do ar. E tráfico de pessoas. E aí, olha que interessante, ele define o que já outras leis definiram, mas o projeto de lei pelo menos: a tal da falha sistêmica. A responsabilidade dos provedores prevista nesse item diz respeito à configuração de falha sistêmica.(47:50) O que é falha sistêmica? Eles definem: “Considera-se falha sistêmica aquela imputável ao provedor de aplicações que deixa de adotar adequadas medidas de prevenção ou remoção de conteúdos ilícitos anteriormente listados, configurando violação ao dever de atuar de forma responsável, transparente e cautelosa”.(48:10) Lembrando que os provedores já praticam isso no que diz respeito ao acompanhamento das próprias políticas. Eles desabilitam contas, sobretudo as falsas. O próprio Instagram faz isso, desabilita. E eles às vezes publicam a quantidade de contas que, se seu algoritmo notar que a conta é inautêntica, ele vai pedir para que você se identifique, dando celular e tudo mais, para tentar evitar robôs e coisas do gênero dentro daquela plataforma.(48:47) Ele fala um pouco sobre as medidas que seriam adequadas. “Consideram-se adequadas as medidas, conforme o estado da técnica, que forneçam os níveis mais elevados de segurança para a atividade desempenhada pelo provedor.” E aqui eu insisto, a IA vai desempenhar um papel importante.(49:09) Nós também podemos discutir: “Vamos ficar com o discurso à mercê de algoritmos de IA? Isso não é um problema?”. Sim, isso pode ser um problema também. Mas, ao mesmo tempo, é um ônus de você ter sistemas de informação que estão sendo alimentados sem que se estabeleça um dever de cuidado preventivo das plataformas, em um âmbito em que elas lucram. São as maiores empresas do mundo.(49:39) Das 10 maiores empresas do mundo, sei lá, oito devem ser Big Techs. Então, não é um grupo de empresas que não teria como aplicar isso. E já aplicam em certa medida, quando fazem o enforcement de suas próprias políticas. O artigo 19 ainda continua aplicável para provedores de e-mail.(50:10) Não se aplica a provedores de aplicações cuja finalidade seja a realização de reuniões fechadas por vídeo ou voz (Google Meet, Zoom e afins). E aos provedores de mensageria instantânea, exclusivamente no que diz respeito às comunicações interpessoais. E aqui é uma questão bem interessante, porque nos instant messengers, como o WhatsApp, você tem aquela comunicação realizada entre pessoas ou num grupo. Mas o WhatsApp e outros já têm listas abertas, tipos de comunidades, grupos abertos, que se aproximam da dinâmica das redes sociais.(50:47) Então é bem importante diferenciar essas duas coisas, porque sabemos que a desinformação rola solta no WhatsApp. Mas a ideia aqui é que, se for mensagem privada, essa regra não se aplica, até porque vai ser criptografado. Mas com grupo aberto, aí é diferente. É, aí tem que cuidar para o pessoal não começar a querer: “Temos que verificar também no privado”.(51:23) “Aí não pode cifrar porque senão não dá para ver.” Essas tentativas já aconteceram, volta e meia elas voltam. Volta e meia esse assunto aparece de novo. Eu acho muito perigoso. Eu não li a lei toda, confiei em ti e na IA para me informar, mais em ti do que na IA.(51:53) E sempre quando se faz uma lei que tenta se fixar em algum tipo de aplicação, sempre dá errado. Citaram o Skype esses dias numa lei, acho que do Código Civil. E o Skype não existe mais, morreu este ano, 2025.(52:17) E então, o que temos hoje quando falamos em rede social? Facebook, Instagram, TikTok. O X, talvez. As comunidades do Reddit. Talvez os grupos do WhatsApp, os grupos do Telegram. É rede social ali. E daqui a pouco as plataformas de vídeo, o Rumble, o YouTube.(52:55) Não adianta querermos nos focar apenas nessas coisas. Passa um mês e alguém inventa uma coisa diferente, um bicho com cabeça diferente, com pata diferente, com rabo diferente.(53:17) E no entanto, se presta a fazer o mesmo tipo de coisa por outros meios, outros formatos. É sempre delicado quando se tenta vincular uma determinada lei a um tipo de aplicação específica, em vez de um tipo de ação. Porque no caso de rede social, o problema não é a rede social em si.(53:47) O problema é em qualquer meio que atinja publicamente um número considerável de pessoas. Porque um grupo familiar de cinco pessoas, ainda que seja uma comunidade no WhatsApp, eu estaria sujeito a ter que monitorar esse grupo? Mas se for uma comunidade com 500 pessoas, isso já é um grupo passível… A gente entra numa situação em que daqui a pouco não tem WhatsApp, não tem TikTok, tem outra porcaria qualquer que funciona um pouquinho diferente.(54:22) Mas que permite, por exemplo, uma conversa com 500 pessoas diretamente, como se fosse privado. E aí? Isso é rede social ou é minha conversa privada com 1.000 pessoas diferentes? E aí eu não estaria sujeito a essa regulação, porque eu tenho uma comunicação com os 1.000, disparo isso de forma autônoma para cada um.(54:54) É uma conversa ponto a ponto, peer-to-peer, cifrada, e eu passo o conteúdo que eu quero. Dá para fazer isso meia-boca hoje em dia, mas daqui a pouco implementam um sistema que faz exatamente isso de forma automatizada. E aí, importa como é implementado ou importam os efeitos? Mas esse é um problema que você vai encontrar sempre que for legislar sobre tecnologia. É por isso que se evita…(55:27) se referir a uma ferramenta ou solução e se tenta ser mais descritivo e mais conceitual, mais abstrato. Perfeito. É o princípio da neutralidade tecnológica. Mas por isso que precisamos de lei. Quando olhamos para o Digital Services Act, é um documento de 102 páginas.(55:57) 102 páginas com 156 considerandos que ajudam a interpretar a lei. Aqui nós temos 13, 14 teses. Quantas eram as teses de Lutero? 90 e tantas. 95. Agora não me pegou. Eu vou pesquisar aqui rapidinho.(56:22) Então, sim, você tem esse problema, e os próprios embargos de declaração que certamente virão podem ajudar a esclarecer esse tipo de coisa. Porque o próprio Discord… eu não sei como o classificaria, e você tem grandes problemas de conteúdo ilícito no Discord.(56:54) O Discord tem conversa privada, tem servidores privados. Nós estamos usando para gravar aqui um servidor privado, que não é público, só se entra por convite.(57:14) E tem servidores públicos no Discord com centenas de milhares de participantes. E aí, se eu mandar uma coisa imprópria aqui no nosso canal, que é eu, você, mais os guris que ajudam de vez em quando e às vezes um convidado…(57:39) O Discord vai ter que moderar esse conteúdo? Vai ter que retirar? Mas aí que está, note que é o mesmo mecanismo. Eu tenho aqui um servidor, por exemplo, o da OpenAI.(57:58) O servidor da OpenAI tem… Cara, mais de 20… Tem 21.000 usuários online nesse momento que estão nesse servidor. É óbvio que esse servidor tem muito mais alcance que o nosso servidor privado.(58:22) Mas o mecanismo é essencialmente o mesmo. Estamos usando a mesma feature do software. A diferença é o número de participantes. Mas aí eu acho que a decisão deixa bem explicitado aqui. E estamos falando… perdi o Código Penal de novo… aqui: “provedor de aplicações cuja finalidade primordial seja a realização de reuniões fechadas por vídeo e voz”.(58:57) O Discord me parece que teria as duas coisas. Um servidor privado seria uma reunião fechada. Agora, se eu abrir um servidor… Deixa eu pegar aqui o 359-L, que é a abolição violenta do Estado Democrático de Direito.(59:29) Então, o sujeito vai criar um servidor aberto no Discord para combinar… O fone está doendo aqui. O sujeito cria um canal chamado “Abolição Violenta do Estado Democrático de Direito”.(59:59) O objetivo é reunir pessoas com interesse em abolir de forma violenta o Estado. Os caras começam a discutir: quem vai invadir o quê, quem vai matar não sei quem, quem compra o quê. Ou ainda um negócio aberto onde se verifica que estão ocorrendo situações de instigação ao suicídio de menores, que é o que acontece no Discord.(1:00:30) Isso acontece no Discord, as reportagens que se viu aconteceram lá. Me parece que a decisão dá conta disso. Ainda há deveres adicionais aqui. “Os provedores de aplicação de internet deverão editar autorregulação que abranja sistema de notificações, devido processo e relatórios anuais de transparência em relação a notificações extrajudiciais, anúncios e impulsionamentos.”(1:00:54) Anúncios e impulsionamentos já dá para ver na biblioteca de anúncios da Meta, por exemplo. Mas isso esteve presente em projetos de lei passados, justamente para que eles sejam mais transparentes. Canais específicos de atendimento, essas regras vão ter que ser revisadas de forma transparente e acessível ao público.(1:01:15) Os provedores devem manter sede e representante no país, o que parece um aceno para o caso do X e os julgados do ministro Alexandre de Moraes. E aí, os deveres de responder perante as esferas administrativas, cumprir determinações judiciais e tudo mais. E o ponto 13, que é o apelo ao legislador que já comentamos, para elaborar a legislação. A tese se manifesta sobre o legislador por duas vezes. Primeiro, ao dizer que essas regras…(1:01:50) serão utilizadas até que haja uma legislação específica, e depois apelando ao legislador que legisle sobre isso. E por fim, indicando que essas regras serão aplicadas prospectivamente, ou seja, daqui para frente. Os casos passados continuam sendo julgados pela regra passada, e a partir de agora se julga a partir desta nova regra.(1:02:28) Lembrando que ainda precisamos da publicação do acórdão e aguardar eventuais embargos de declaração para sanar algumas dessas dúvidas, até sobre essa questão do Discord, que é um negócio meio diferente, é muitas coisas numa coisa só. É, mas é justamente isso que eu levanto.(1:02:52) Temos o Discord que já existe agora. Novas características são adicionadas a esses softwares, o próprio WhatsApp. E teremos novas soluções que, conceitualmente, atingirão o mesmo objetivo, que é conseguir levar uma mensagem ou conteúdo a um número muito grande de pessoas. E aí, de que número estamos falando?(1:03:33) Posso criar um servidor privado no Discord, você entra sob convite, e eu posso juntar milhares de pessoas ali. E por ser privado, a regra não se aplica.(1:03:51) Aí a regra não se aplica. Eu faço um servidor lá, convido 50.000 pessoas e fico dizendo “Vamos matar fulano, vamos matar ciclano”. Mas por ser uma conversa de natureza fechada… Eu não sei como é no Discord, mas se você for fazer no Meet, por exemplo, eles não têm condições de saber o que está acontecendo lá dentro.(1:04:22) Pois é. Mas esse é o ponto. Parece que isso fica de fora. Parece um pouco limitado. Conceitualmente falando, você poderia dizer que o crime é incitar a violência. Estou sugerindo aqui, é o Vinícius legislando.(1:04:52) Se o crime seria incitar a violência de uma forma em que se atinge um grande grupo… Não tem aquele crime de formação de quadrilha que tem um número mínimo de pessoas?(1:05:12) Vamos supor que seja quatro. Se formos presos em quatro, e conseguirmos provar que um dos presos não faz parte do grupo, não somos mais uma quadrilha, certo? Não, mas deixa eu te interromper, Vinícius.(1:05:34) A incitação ao crime é crime. O que estamos falando aqui é o dever do provedor de monitorar certos ambientes de forma proativa para indisponibilizar esse tipo de conteúdo, mesmo sem notificação. Ok. Então, ainda que eu faça isso num grupo fechado, continua sendo crime.(1:05:58) Só o provedor é que não teria a obrigação de monitorar meu conteúdo lá dentro. Então, se alguém do grupo vir que estamos passando um conteúdo criminoso, poderia denunciar o grupo para quem? Para a plataforma? Sim, para a polícia. Para a plataforma… É.(1:06:26) Era só um exemplo de como é aqui. Mas sim, eu entendi. A separação é muito clara. É o ato sendo praticado. Numa conversa um a um, se eu te incentivo ao suicídio, eu já cometo o crime. A plataforma não tem como, nem tem que me monitorar.(1:07:05) Entra naquele esquema da conversa entre duas pessoas ou um grupo em que está tudo cifrado e os caras não têm como olhar o conteúdo que estamos trocando. Basta pensar no julgamento dos atos antidemocráticos. Quem assistiu, e eu assisti algumas sessões no YouTube, viu que eles acabaram pegando conversas que ocorreram no WhatsApp por causa do backup. Mas aí numa circunstância totalmente diferente. O objetivo aqui não é a persecução penal.(1:07:51) É o dever que as plataformas têm de monitorar o que está sendo publicado publicamente. E, sem que haja necessariamente uma notificação judicial, elas são obrigadas a remover conteúdo flagrantemente criminoso dentro daquelas especificações. É isso.(1:08:20) Estávamos testando aqui, e eu tenho grandes reservas sobre regular discurso por IA. Porque é tudo muito bom, muito eficiente, mas não sei se quero… Mas não é o que vai acontecer, é o que já está acontecendo.(1:08:38) Ninguém vai botar 200 pessoas lá para ficar olhando conteúdo. Não, você vai ter que ter grupos de pessoas para eventualmente fazer avaliações pessoais, para treinar o algoritmo. E não vai ter como não ter gente trabalhando em setores específicos, que é o que eles não querem fazer, porque dá muito trabalho e é um custo muito grande. É para treinar a IA. O custo não é tão grande assim.(1:09:03) Tem até o livro da Kate Crawford… Ah, não, é da… Ai, meu Deus. É “O Império da IA”. O meu ainda não chegou, está na pré-venda. Deve chegar este mês. É o “Atlas of AI”, da Kate Crawford… Não, é “Empire of AI”, da… Kate…(1:09:33) É Kate Crawford. Não, é outra autora. É a… Enfim. O que ela coloca é justamente isso, da galera sendo contratada para treinar a IA, avaliando conteúdo, classificando, ganhando uma mixaria, quase nada.(1:10:04) Então, não estou dizendo que eles devam fazer isso, mas deveriam pagar melhor essas pessoas, ainda mais pelo tipo de conteúdo a que elas estão expostas. Recomendo que vocês deem uma olhada no livro. Uma das coisas que acontece com as pessoas que trabalham fazendo essa classificação é que elas ficam expostas a conteúdos bastante sensíveis, que causam perturbações psicológicas. Por exemplo, eles têm que ajudar a IA a ser treinada para não gerar pedofilia.(1:10:58) Eles geram imagens com pedofilia, e essas pessoas têm que classificar. Quero dizer o seguinte: não é tão caro assim. Porque se vierem com o argumento de que é caro para treinar e classificar, os caras já fazem isso há tempo. Ali ela está falando da OpenAI especificamente.(1:11:18) O livro é sobre a OpenAI. Então, “é muito caro para treinar”. É bom olhar o que eles andam fazendo para treinar seus algoritmos. Pode ser uma conversa meio hipócrita.(1:11:36) Mas o ponto, e repito, é outro problema deixar os rumos importantes da sociedade serem decididos por IA, mas não vejo como não fazer dessa forma. É outro podcast. E aí você tem o problema da transparência, da explicabilidade. E talvez tenhamos que caminhar para algoritmos, e isso é bem controverso, mas algoritmos públicos, modelos públicos. Aí o modelo, o Estado vai poder embutir formas de limitar a liberdade de expressão. Estou falando em modelos públicos, não sei como vai ser feito, mas você tem condições de publicizar modelos.(12:15) As próprias plataformas poderiam fazer isso. É inegável que precisamos de níveis de moderação, e esses níveis são limitados pelas capacidades técnicas.(1:12:45) E isso fica claro. A responsabilidade vai ficar condicionada à atividade desempenhada pelo provedor. Por isso é importante explicar o que o Discord faz. A evolução da técnica vai permitindo que novas coisas sejam feitas. Lá em 2014, você não tinha LLMs ou modelos de IA que fazem as coisas que se pode fazer hoje. Só uma observação sobre o modelo ser aberto.(1:13:17) Quando se fala que o modelo está disponível para download, o modelo em si é um monte de números, são os vetores. O pessoal considera isso um modelo aberto, mas não é necessariamente transparente.(1:13:44) Porque o que importa é saber em que condições esse modelo foi treinado: quais os pesos iniciais, os algoritmos de treinamento, a base de treinamento e de teste. E quando dizemos “qual foi”, não é uma descrição, são os dados propriamente ditos.(1:14:08) Isso é praticamente impossível alguém deixar completamente aberto, pelo volume de coisas e pela questão de copyright. Então, não é bem assim, um modelo aberto. E há grandes nomes, como o Dario Amodei da Anthropic, que levantam a ideia de que não é bom que os modelos sejam completamente abertos, pelo mau uso que pode ser feito deles, principalmente modelos cada vez mais avançados, tanto por privados quanto por Estados.(15:06) Mas isso é outra história. Quero dizer que modelo aberto é difícil. A não ser que seja um modelo… E não precisa ser um LLM para classificar essas coisas todas. Pode ser um modelo bem menor, especializado.(1:15:32) E aí, quem sabe, factível de ser aberto. Estávamos testando antes, e para um artigo que escrevi, criei um GPT de “análise de discursos de ódio”.(1:16:32) Estávamos testando e digitamos “quero matar”. Aí ele: “Isso é discurso de ódio, mas se você quiser, posso transformar em algo que não seja”. Aí ele transforma em “Tenho grandes discordâncias sobre o modelo de participação”.(1:17:03) A frase foi mais ou menos assim: “Eu quero matar todo mundo que gosta de cachorro-quente”. Aí ele diz: “Não, não pode dizer isso, mas pode dizer: ‘Eu discordo profundamente das ideias de quem gosta de cachorro-quente e acredito que essas ideias fazem mal para o nosso país'”.(1:17:29) Exatamente. Então não tem problema nenhum. Não consigo ajeitar meu chapéu, está tudo torto. Não tem problema dizer que não gosta das ideias. Agora, dizer que tem que matar o cara porque não gosta das ideias dele, aí ele não deixa.(1:17:48) Enfim, Guilherme, terminando, os LLMs servem para muita coisa. Mas essa é até uma crítica: estamos nessa de “LLM para toda obra”.(1:18:20) E às vezes você está dando um tiro de canhão numa formiga, gastando um monte de recurso por uma coisa que não precisa de um LLM. Quem sabe seja o caso. Não me parece que esse pessoal, nessa escala, tenha que ficar usando um LLM para fazer esse tipo de classificação.(1:18:52) Acho que eles têm bala na agulha para investir no fine-tuning de um modelo de IA para cumprir essa tarefa de forma mais específica. Esses caras têm condições, e vale a pena porque reduz custo. Um LLM superpotente para resolver um problema que não é lá essas coisas, gastando água, energia, queimando os eletrodomésticos das cidades vizinhas do data center…(1:19:22) Mas sabe que eu acredito que há sim um possível risco de eventuais violações à liberdade de expressão, se a coisa for mal implementada. Mas temos que notar também que a tecnologia atual não é um “Ctrl+F” que você vai buscar a mera existência de uma palavra e retirar conteúdos do ar. Não vai ser do interesse da própria IA e das próprias Big Techs ser desleixadas nessa atividade.(1:20:04) Podemos discutir se deveria caber a elas, mas o Supremo já decidiu. Agora cabe a elas. Quer gostem ou não, é o modelo que foi decidido. Então, vai ter que se pensar agora de forma propositiva em como fazer isso. Repetindo, não é a presença da palavra tal que vai automaticamente desabilitar conteúdos. Inclusive, tem pessoas que trocam letras por números.(1:20:37) Tem até portais de notícia que fazem isso. “Fulano foi vítima de estupro”, e para não escrever a palavra, fazem substituições. Com IA, isso é facilmente identificado.(1:21:03) Enfim, acho que já estamos nos repetindo aqui, Vinícius. Está bom. Vamos ver os próximos capítulos. Ainda não acabou. Repetindo, tem a publicação do acórdão, virão os embargos de declaração, mas a tese já está publicada. Então, acho que com isso deu para conversar e refletir um pouco sobre a tese.(1:21:28) O assunto é gigante. Acho que ninguém sabe ainda exatamente como isso vai ser implementado. Essa é a grande questão. E vamos aguardar. De repente, o Congresso se movimenta a partir de agora, porque isso também pode ser modificado com uma nova legislação. Certo? Certíssimo.(1:21:53) Então, agradecemos a todos aqueles e aquelas que nos acompanharam até aqui. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.

Neste episódio comentamos sobre os perigos da IA, a desinformação acerca de VPNs e a controversa lei “One Big Beautiful Bill”, que propõe uma moratória na regulação de inteligência artificial.​ O tema central é a encruzilhada ética das novas tecnologias, especialmente a inteligência artificial.  Guilherme Goulart e Vinícius Serafim contrastam o impulso para o desenvolvimento rápido e não regulamentado da IA, exemplificado pela “One Big Beautiful Bill” nos EUA, com os apelos por uma supervisão ética por parte de figuras como o Papa Leão XIV e especialistas em segurança. Você irá aprender como tecnologias como VPNs são frequentemente promovidas com promessas enganosas de anonimato e como sistemas de IA falhos já são usados em decisões críticas, sublinhando a necessidade urgente de regulação e princípios centrados no ser humano.​ Se você se interessa por segurança digital, privacidade e os impactos da tecnologia na sociedade, não deixe de assinar o Café Segurança Legal no seu agregador de podcasts favorito e seguir nosso canal para não perder nenhuma discussão.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Pope Leo XIV speaks out against AI: ‘A challenge of human dignity, justice and labour’ Will Pope Leo XIV be an ally against AI? The Big Beautiful Bill Could Decimate Legal Accountability for Tech and Anything Tech Touches Filmes Homens, Mulheres e Filhos 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 394, gravado em 9 de junho de 2025. Eu sou Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas. (00:24) Dessa vez, acho que vai para o YouTube. Não vai dar problema no vídeo de novo. Vamos torcer para que sim. Vai para o YouTube ou vai dar problema? Vai para o YouTube. Tivemos um pequeno detalhe técnico e o último episódio não foi para o YouTube, mas ficou no feed. O áudio está lá. (00:41) Só não tem o nosso vídeo. O áudio está. Este é o nosso momento, como vocês já sabem, de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Pegue o seu café e venha conosco. Hoje estou com um chazinho. Então, pegue o seu chá, sua bebida preferida, e venha com a gente. Você já sabe que consegue nos contatar pelo [email protected] ou também no Mastodon, Instagram, Bluesky e YouTube. (01:06) E também tem o nosso blog da Brownpipe, que você já conhece, onde consegue ficar atualizado e se inscrever em nossa mailing list sobre as notícias. Algumas delas, inclusive uma que trataremos hoje, está lá no blog. E antes de começarmos, Vinícius, temos duas mensagens de ouvintes. Gostaria de destacar que tive a oportunidade de participar do Primeiro Congresso Gaúcho de Responsabilidade Civil do IBERC e da Unisinos. (01:34) Foi feito lá na Unisinos, a convite do meu querido amigo Cristiano Colombo, e parabenizar o Cristiano e os outros organizadores do IBERC também. Foram dois dias de muitas palestras. Falei sobre danos nos ambientes de IA, então pude compartilhar e conversar com o grupo sobre algumas coisas — algumas bem presentes, outras mais projetadas — de possíveis danos que podem ocorrer nesse ambiente. (01:56) Diga, Vinícius. Não colocamos isso na pauta, mas dê alguns exemplos dos danos decorrentes do que você comentou lá. Dentre os mais conhecidos, estão os potenciais de discriminação, questões relacionadas ao uso de reconhecimento facial, mas também questões menos faladas. Por exemplo, o pessoal do OWASP tem um guia bem interessante sobre vulnerabilidades no ambiente de IA, e tirei de lá algumas possibilidades de data (02:27) poisoning, por exemplo. Porque quando falamos de IA — e tenho dito isso sempre que falo para audiências mais diversas — IA não é só o ChatGPT. Temos no Hugging Face cerca de 1.700.000, sei lá, possíveis modelos. No Hugging Face, logo chegaremos a 2 milhões de modelos; 1.700.000 foi a última vez que vi. Então, você tem uma série de questões sobre treinamento desses modelos, sobre gestão de dados, (02:58) sobre o uso de ferramentas de IA para prestação de contratos mesmo. Até conversava com o pessoal lá depois, imagina, alguém te contrata como advogado para dar um parecer e, dependendo do advogado, do professor, pode cobrar tranquilamente centenas de milhares de reais por um parecer específico. Então, acho que teremos que começar a discutir também até que ponto obrigações que devem ser realizadas somente por aquele devedor, por aquela pessoa (03:30) específica, qual o grau de interferência ou de intensidade que a IA poderia ter. E aí, os danos possíveis seriam no ambiente contratual, ou seja, descumprimento contratual pelo próprio uso da IA; danos sobre você carregar certos dados que eventualmente não poderiam ser carregados nas IAs e esses dados poderem ser utilizados para atividades de treinamento e, eventualmente, aparecerem; danos de dados de clientes, dados pessoais, dados sensíveis. Foi mais ou menos nessa linha. Não estou lembrando de cabeça de (04:02) todos aqui, Vinícius, mas foi mais ou menos nessa linha. Você foi citando e fui lembrando de alguns exemplos. Tivemos aquele caso no Brasil de um rapaz que estava em um jogo de futebol e foi erroneamente reconhecido pela IA como sendo um criminoso, um foragido. E aí ele saiu escoltado pela polícia. (04:22) Foi uma exposição gigante do cara. Não sei que fim levou esse caso. Tivemos aquele caso, falando em prejuízo não só para a pessoa física, mas para uma pessoa jurídica também, daquela companhia aérea que comentamos inclusive no podcast há um tempão, (04:40) na qual foi obrigada a restituir uma passagem aérea, etc., porque a IA inventou uma situação de reembolso que não existia. Eles tentaram se esquivar dizendo: “Não, mas foi a IA que fez”. A resposta foi: “Você colocou a IA para falar em seu nome, então você vai atender à demanda do seu cliente”. Teve essa também. (05:04) Outra coisa que conversei com você na semana anterior é sobre um dano, que seria uma vulnerabilidade, mas o dano aqui ocorre com a exploração da vulnerabilidade, que é o “dano de excessiva agência”. Isso é trazido pelo OWASP: dano de excessiva agência da IA. Qual é a tendência? É mais uma tendência, mas tenho certeza de que vai acontecer. Hoje, as ferramentas de IA, sobretudo os LLMs, são muito reativas. Você pede para ela fazer algo, ela faz e pronto. Com a popularização dos agentes e as (05:41) possibilidades de agentes fazendo coisas para você de forma autônoma, ou seja, qual é a diferença? É que o agente tem autonomia para atingir um determinado objetivo, um determinado propósito. O exemplo que gosto muito, e o Gemini já faz um pouco disso, mas ainda te pede autorização para fazer, é que ele acha e você pede para ele reorganizar sua agenda, ele faz uma reorganização, só que você precisa dizer: “Eu aceito que faça isso”. Usei bem pouco, mas assinei para ver como funcionava (06:12) lá. Imagina um assistente pessoal que de fato organiza sua agenda, compra passagem para você, manda e-mail. Isso é plenamente possível e está em uma fronteira, me parece, muito próxima. Então, as possibilidades de erros nessa circunstância de você dar excessiva agência para a IA, acho que vai trazer uma nova fronteira de danos para essa área. (06:39) No que diz respeito ao usuário final, ainda se apanha muito para entregar um agente decente e fácil de usar. A OpenAI tem alguma coisa, inclusive aquelas tarefas agendadas. Se não estou enganado, no Gemini eles implementaram a mesma coisa. (06:59) Tem também tarefas agendadas lá para fazer tarefas repetitivas com agendamento, mas ainda em um nível muito básico de agenciamento. E vimos o fiasco da Apple tentando colocar a Siri com GPT, etc., para tornar o telefone praticamente um agente, no qual você simplesmente manda que ele faça coisas, e vimos o que aconteceu: a coisa não deu muito certo. (07:25) Vai dar, mas naquele momento não deu. Ao mesmo tempo, o uso de agentes de IA no ambiente corporativo, ou seja, para desenvolver soluções que estão atendendo as pessoas, já vem de bastante tempo, já é realidade há alguns anos. Claro que tem uns chatbots muito malfeitos por aí que irritam só de ver. Acho que nem tem IA, acho que é alguém que fez um looping para te atender e você não consegue sair daquele looping. Mas tem coisas que funcionam muito bem. E você tem diversas ferramentas. (08:04) Não estou fazendo propaganda de ferramenta aqui, gente, mas só para citar três que vocês podem procurar, para quem não conhece, entender o tipo de coisa que estou falando: o Flowise é uma dessas ferramentas, (08:23) o LangFlow e o n8n. Existem essas e muitas outras. Citei três de que lembro de cabeça. Essas ferramentas permitem criar fluxos de automação envolvendo agentes de IA e integração com todo tipo de serviço que se possa imaginar, desde a reação à leitura de um e-mail. (08:41) Tem aquele que você usava um tempo atrás, Guilherme, para automação também. É o IFTTT. If This Then That. Eles já estão começando também a incluir agentes. No IFTTT eu não tenho certeza, mas vi outro desses dias para atividades de marketing que é justamente isso. Sim, ele monta campanhas. (09:09) E a grande sacada para essas coisas funcionarem são, primeiro, as APIs desses grandes modelos. OpenAI, Anthropic, Gemini, Grok, todos esses caras têm APIs para você consumir. Então, você consegue acessar modelos extremamente potentes sem ter que criar uma infraestrutura sua de IA para atender, o que você não conseguiria, não com modelos desse tamanho. (09:40) E a capacidade desses modelos — e isso, de uns meses para cá, se tornou mais comum entre os diversos modelos — de usarem ferramentas. Então, fica muito fácil integrar com outras coisas do seu ambiente. Você pode, por exemplo, querer que a IA seja capaz de consultar um banco de dados todo ou uma tabela específica. (10:05) Se você criar um programa em Python, em Go, seja no que for, em que tem parâmetros para ele fazer a busca, e aí você faz uma pequena documentação, uma declaração, pode ser em Python também, dizendo: “Olha, esta função você chama passando esses parâmetros aqui, cada parâmetro tem esse tipo e serve para tal coisa”. (10:23) E você escreve textualmente para que serve. Aí, quando você faz suas consultas na IA, você passa no contexto, junto com o seu prompt, etc., uma estrutura que diz quais são as ferramentas disponíveis. (10:46) E aí tem um protocolo que a Anthropic lançou, que é o MCP, que é justamente para fazer essa integração entre modelos de IA e entre ferramentas e IAs, que meio que está se tornando o padrão de fato para fazer essas integrações. O que acontece? Você consegue plugar na IA, em vez de uma busca na web que eles disponibilizam, a sua busca de IA, a sua busca na internet; você consegue plugar na IA a sua busca por dados no seu banco de dados, na sua aplicação. (11:17) E isso explodiu o que dá para fazer. A partir daí, a IA te dá, com os prompts, você padroniza os resultados que ela te dá e aí você põe a IA como parte do seu fluxo. Ela não faz tudo, você a põe como parte do seu fluxo. E essas ferramentas que citei já fazem isso há algum tempo. (11:43) Até para tomadas de decisões que eventualmente poderiam ser mais complexas. Quando ativar o cliente ou… A coisa mais básica: receber movimentos dos clientes. A coisa mais básica que você pode fazer é: você tem lá um n8n, por exemplo, pode plugar na sua conta do e-mail, do Gmail, ele já tem um componentezinho direto para ligar. (12:05) Aí você pode dizer que o gatilho é quando chega um e-mail. Chega um e-mail e você faz o processamento que quiser do negócio. Aí você põe a IA, põe quantos prompts quiser, põe um fluxo mais complexo, menos complexo, etc. (12:23) Se você quiser criar um resumo dos seus e-mails do dia não lidos, não sei, é infindável o que se pode fazer. Você pode conectar, que é uma coisa que o Gemini eu acho que não faz. O Gemini poderia fazer isso. O n8n… o Flowise é pago, é muito bom, mas é pago e não é muito barato. O n8n você consegue usar free. Inclusive, depois se quiser eu te dou acesso a uma instância que tenho aqui de teste para você dar uma olhada, que é bem legal. (12:47) É bem legal. Mas, no final das contas, o que temos é esse monte de possibilidades. E veremos isso cada vez mais. Para nós, usuários finais, digamos assim, vai ser cada vez mais fácil usar. Mas ainda não está legal. Ainda falta. Imagina comprando passagem. (13:11) Você diz: “Ah, vou viajar semana que vem para dar uma palestra em tal lugar”. Ele já vai lá, ajusta toda a sua agenda, já envia e-mail para as pessoas, já compra passagem, já reserva hotel, já não sei o quê, já faz um Pix. Sim. Mas imagina o seguinte, isso que é o mais interessante. Imagina: “Olha, quero visitar tal lugar, mais ou menos em tal época, mas não me decidi exatamente quando vou”. (13:41) “Quero que você fique monitorando e, quando a melhor combinação de preços entre estadia, deslocamento, etc., se fizer disponível, quero que você me chame e me apresente uma proposta de viagem”. Então, entende? Uma coisa bem para o futuro, que se poderia fazer. É legal. É interessante. (14:00) Teremos isso, é só questão de ferramenta, não é mais questão de “se dá para fazer”, é só alguém fazer. Aí a IA erra e te manda para um lugar totalmente diferente. Você vai cego, compra as passagens, nem olha nada, só segue, vai no portão de embarque no dia tal, embarca e nem sabe para onde está indo. Deus me livre. Vinícius, temos duas mensagens de ouvintes aqui, podemos lê-las. É uma recomendação que o Carlos Barreto trouxe. Ele diz: “Olá, meu nome é Carlos e ouço o programa de vocês há anos. Nem lembro como cheguei a (14:32) conhecer”. “E agora estava ouvindo um podcast novo chamado ‘Kill Switch’, do iHeart… iHeart Podcast. iHeart.” Eu achei que fosse a IH mesmo. É iHeart. “E achei que esse programa seria muito legal de vocês conhecerem, ainda mais esse primeiro episódio que foi o que eu acabei de ouvir.” (14:51) Você deu uma olhadinha, né, Vinícius? Eu não consegui. Eu me inscrevi, já me inscrevi no ‘Kill Switch’. Achei os títulos dos episódios mais recentes deles bem interessantes e não vou emitir opinião agora, Carlos, mas vou ouvir. Já está no meu feed aqui. Vou me inscrever. Muito obrigado pela indicação. (15:08) Só para vocês terem uma ideia, deixa eu ver se consigo pegar aqui [Música] a listinha. Tem vários episódios, mas os mais recentes são o seguinte: “Usar IA é pior do que dirigir um carro?”. “Como a IA do Twitter ficou tão obcecada com o genocídio branco?” — aquela história dos sul-africanos brancos refugiados nos Estados Unidos. (15:41) “Pode a IA criar um crime verdadeiramente ético?”. True crime, devemos estar falando do programa, talvez. E aí vai. Fiquei muito interessado no último, quero ver os aspectos de “se usar IA é pior que dirigir um carro”. (16:06) Vamos ver. Obrigado, Carlos. Valeu, Carlos, um abração. E também o Michael Strey. Eu lembrava do nome do Michael Strey, já conversamos várias vezes. Fui ver nos e-mails que recebemos dos ouvintes e tem mensagem dele desde 2018. (16:25) Então, obrigado por estar com a gente há tanto tempo, Michael. Caramba! O que o Michael falou? Vou ler aqui, Vinícius, aí depois você faz uma observação mais abalizada. Ele está se referindo ao 393, o episódio anterior em que falamos sobre a pesquisa de analfabetismo funcional. “Quando falaram sobre as pessoas não saberem identificar se uma URL é verdadeira, senti falta de comentarem sobre como várias empresas prejudicam o entendimento das pessoas sobre isso. Incomoda bastante empresas não usarem (16:55) subdomínios do seu domínio principal e sim ficarem criando sempre novos domínios. Já vi casos como xpto.com.br, aí tem o descubraxpto.com.br, depois tem o news.xpto.com.br, todos endereços legítimos. Mas por que não simplificar para ajudar o usuário? Por que não usar algo como (17:22) descubra.xpto.com.br ou xpto.com.br/descubra? Além de deixar mais claro, economizam em registro de domínios e certificados, e ainda deixam brecha para o atacante registrar domínios similares como validarxpto.com.br”. [Risadas] Sim. (17:45) E aí, Vinícius? Vou fazer um pouco de jabá aqui também, Michael. A Brown Pipe tem um serviço de phishing. E uma das coisas que já observamos fazendo justamente esse tipo de coisa… e ficamos embasbacados com as coisas que aparecem. Porque ele dá um exemplo genérico aqui, claro. Talvez exista uma XPTO, não sei. Dá uma olhada. (18:10) Alguém registrou o domínio. Mas tem vários domínios estranhos ou subdomínios estranhos de grandes players, como a Microsoft. Quando você entra na parte de compartilhamento de arquivos e vai compartilhar acesso a algum tipo de repositório de dados ou mesmo um documento, SharePoint, etc., (18:34) são uns links que, na boa, se o usuário tiver um pouco de consciência, ele olha aquilo e não clica. E são autênticos, são links de fato da própria Microsoft. Então, isso que o Michael coloca, eu entendo como um baita de um problema. É muito fácil enganar os usuários que estão acostumados a usar esse tipo de link. (19:05) E sentimos isso no nosso próprio serviço de phishing. Porque quando se vai fazer um serviço de phishing, Guilherme, em geral — e agora vem a parte do jabá, Michael, mas tem a ver com a sua pergunta — vemos muita gente fazendo serviço de phishing que é o seguinte: montam 3 ou 4 e-mails diferentes com aquelas promoções furadas ou “ajuste aqui o seu imposto de renda” ou Black Friday, depende da época. (19:29) Pega-se qual é o phishing da época, o phishing do momento. Se é Black Friday, etc., que é essa sazonalidade, faz-se esses ataques. Montam-se esses e-mails genéricos, disparam para todo mundo e veem quem cai. Esse tipo de phishing, como minha esposa mesmo falava esses dias, “isso aí não serve para nada”. (20:04) Ela me falou assim, e ela não é de TI, é da área do Direito. Ela disse: “Não serve para nada, porque isso aí a gente já recebe todo dia”. Um usuário minimamente atento já nem dá bola para isso. Então, o que fazemos nos nossos phishings? Criamos coisas personalizadas e atacamos grupos de usuários separados. (20:24) Fazemos ataques às vezes para uma pessoa, às vezes para grupos diferentes dentro da empresa, para evitar aquele alerta que avisa todo mundo e daqui a pouco ninguém mais cai. E justamente isso que o Michael coloca é uma das coisas que exploramos. (20:41) Conforme a cultura daquela empresa, conforme o pessoal utiliza essas ferramentas que ficam usando esses domínios e subdomínios esdrúxulos ou links quase indecifráveis, nós, usando isso, conseguimos passar muito phishing. Então sim, o Michael está coberto de razão. Isso é meio que um desserviço que as empresas acabam fazendo. (21:06) Ela treina o usuário para aceitar um monte de coisa esdrúxula. E a hora que aparecer um “validarxpto.com.br”, como ele deu no exemplo, o usuário se atira. (21:26) Fiz uma pesquisa rápida por um banco, uma instituição, um banco bem conhecido, gigante no Brasil. Ele tem uma dessas ocorrências, não vou falar o nome, claro. Mas o primeiro que pesquisei aqui, porque me lembrava que tinha visto, e tem um evento que eles vão fazer, aí tem o domínio do evento, aí tem o domínio da empresa… Enfim, é furada, não dá para fazer isso. (21:46) Isso só mostra como nossa audiência é qualificada. E obrigado, Michael, por estar conosco há bastante tempo e colaborar. E quem gosta do podcast, mande mensagem para a gente. Gostamos de ler. Inclusive, lá no evento, Vinícius, agora me lembrei, uma foi minha colega de mestrado. Na verdade, acho que eu estava fazendo doutorado e ela, mestrado, não lembro, mas fomos colegas durante esse período. (22:13) E ela falou: “Guilherme, que bom te encontrar. Queria te dizer que escuto todos os episódios de vocês”. Fiquei bastante feliz de encontrar ouvintes do podcast. Mas, Vinícius, temos uma outra mensagem aqui, mais um protesto, uma indignação, que é sobre a questão de VPNs e alguns podcasts que ficam publicando anúncios. (22:47) Não, não é pelo anúncio em si. O problema é que acompanho vários podcasts de que gosto muito. Obviamente, não vou perder meu tempo ouvindo um podcast de que não gosto. Ouço podcasts que curto. (23:07) Entre os podcasts que gosto, volta e meia tem propaganda de VPN, o que em si não tem nenhum grande problema. Não tem problema fazer propaganda de VPN. O que me preocupa é a propaganda que a empresa de VPN manda para ser lida no podcast. O Guilherme falou: “Vinícius, quem sabe a gente faz um episódio sobre VPN?”. (23:32) Já fizemos, acho, no passado. Já fizemos alguns sobre VPN. Comentem aí no YouTube se vocês querem um episódio sobre VPN para uso pessoal. Mas o que não estou curtindo muito é que o texto da propaganda dessas empresas de VPN acaba falando coisas como, por exemplo, “proteja sua identidade e não deixe que o Facebook, os governos, etc., peguem seus dados”. (24:05) E nesse sentido que eu queria deixar uma explicação aqui no nosso podcast. Quando você usa um software de VPN… e eu já testei vários. Já usei o Proton VPN, não vou dizer qual estou usando hoje, mas já usei o Proton VPN, o Nord VPN, o Surfshark, Kaspersky. Não usei a VPN da Kaspersky, já usei um antivírus deles, mas não a VPN. Eles oferecem VPN. (24:36) O que lembro de já ter usado com certeza absoluta foram esses três. Devo ter usado algum outro. O fato é o seguinte: VPN é extremamente útil quando você está dentro de uma rede em que não pode confiar. Então, você está em um aeroporto, um café, um restaurante, um lugar público. Airbnb, muito cuidado com Airbnb. (25:03) Ou seja, em um lugar que tem uma infraestrutura de rede que você não controla, você tem um roteador que é de alguém, um Wi-Fi que é de alguém, uma internet que é de alguém. E quando você conecta seu dispositivo ali, se não usar VPN, você vai usar o DNS daquela rede. Ou seja, a resolução de nomes, o site que você acessa, para onde vai, depende do roteador que está acessando. (25:26) Tem uma série de questões ali. Você vai estar usando a infraestrutura definida por uma pessoa, ou por uma empresa, que você não sabe como gerenciam aquilo, não sabe se está na mão de alguém responsável, irresponsável ou com outros interesses. Então é muito interessante usar VPN em ambientes que não são o seu ambiente de trabalho ou residencial, se você tem algum controle sobre ele. A VPN é extremamente interessante nesses casos, (25:53) mas para te proteger de um atacante na rede local. É uma proteção extra para além dos mecanismos como o HTTPS no navegador, que funcionam, mas existem alguns ataques que podem ser feitos. Então, é útil utilizar, sim, em redes em que você não confia, principalmente. (26:19) Essas VPNs vão esconder a sua identidade? Não. Por quê? Você vai aparecer na internet como se estivesse saindo de outro lugar. Nessas VPNs — Proton VPN, Nord VPN, Surfshark, etc. — você pode escolher o país pelo qual quer sair. Sim, o seu endereço IP não vai aparecer. (26:43) Só que, se você acha que o seu rastreamento e o rastreamento de quem você é, dos seus dados, etc., está só no seu endereço IP, você está redondamente enganado. Seu navegador é a maior fonte de informação sobre você. E se estiver usando o celular, pior ainda, porque tem 300 ferramentas ali que compartilham, por exemplo, IDs de dispositivo. Quase toda ferramenta que você instala no celular vai estar usando o SDK do Facebook, e o Facebook sabe quem você é, logado ou não. Então, tem que haver um cuidado bastante grande. A VPN vai (27:21) fazer você sair com outro IP. Agora, a sua identidade, se você está acessando a partir do seu celular, do seu computador, ela não vai ser escondida. Você até pode acessar a Netflix para ver de repente uma série que tem lá nos Estados Unidos e não tem no Brasil. (27:39) Daí você conecta na VPN, sai como se estivesse lá e eles acham que você está nos Estados Unidos e aparece para você, no cardápio de filmes, outras coisas. Ou acham que você está nos Estados Unidos e te deportam depois. Te prende, vem o ICE no Brasil te prender. (28:00) Mas você tem que entender que não está escondendo a sua identidade, não está evitando que algum governo pegue os seus dados. Você está se protegendo, em essência, da rede local em que você está. Isso é garantido. A partir daí… (28:23) E não que eventualmente não existam pessoas que se utilizam de VPNs ou outros tipos de acesso para crimes. Sim, mas aí os caras sabem o que estão fazendo. A partir do momento que você entra em uma VPN e acessa o seu e-mail, seu WhatsApp, seu Instagram e seu Facebook, sabem quem você é. (28:46) Tanto que você tem distribuições como o Tails. É uma distribuição Linux justamente para você colocar em um pen drive, botar em uma máquina, uma máquina zerada. (29:13) E aí você conecta em uma VPN e usa ela. Agora, se você abrir uma máquina com o Tails, abrir o navegador e se logar na sua conta, acabou, meu amigo. Então, meu disclaimer é esse, Guilherme. Há uma certa desinformação no papel da VPN. É, há um exagero aí que é relevante. Principalmente se tem alguém escutando… um jornalista, por exemplo, em um ambiente que não é legal. Essa pessoa normalmente tem acesso a informações mais fidedignas com relação à sua proteção, acaba tendo até um suporte maior. Mas, de repente, alguém ouve e acha que está protegido: “Ah, não, eu uso VPN, ninguém sabe quem eu sou”. Não vá nessa. Use VPN, é bom. (30:12) E cuidado, como falávamos antes, você até comentou. Cuidado com a VPN que você vai pegar. As três que citei… a Proton VPN é a que mais gosto, é a mais cara e funciona muito bem. (30:30) Surfshark… todo serviço que tentei usar via Surfshark bloqueia o Surfshark direto, então ele acaba nem sendo muito útil. E a Nord VPN funciona bem. (30:50) Sabe que talvez tenhamos falado sobre VPN em um episódio lá de 2019, que é um dos que mais gosto do Segurança Legal: “Segurança da Informação para Viagens”, o episódio 215. Até passei para um amigo meu que foi viajar para a Alemanha esses dias. Eu disse: “Cara, dá uma escutadinha aqui, acho que tem umas dicas boas”. Pelo que me lembro, o episódio não envelheceu mal. E ali falamos sobre VPN. (31:16) Acho fundamental para uma viagem, por exemplo, ter uma VPN boa. Mas sim, eu estava viajando com um amigo há um tempo e ele precisou acessar alguns serviços do judiciário brasileiro, e o nosso TJ aqui bloqueava a VPN, então ele não conseguia trabalhar. Mas enfim, Vinícius, vamos adiante. (31:44) Tenho uma primeira notícia que vou comentar mais rapidamente. É um assunto que mistura vários temas. Tivemos recentemente o conclave que elegeu o Papa Leão XIV. Foi cerca de um ano depois que saiu o filme. Você viu o filme “Conclave”, Vinícius? Sabe por que não vi? Porque virou modinha. Ninguém parava de falar desse filme. Como teve o conclave, virou uma febre, só se falava nisso. (32:16) Vou assistir outra coisa. Vou assistir ao filme, mas agora que a poeira baixou. Já me disseram que é bom. Virou modinha, você tem razão. O filme é muito bom. Tem boas atuações. (32:36) E a escolha do nome do Papa, e já vou explicar por que isso está aqui e por que acredito que tenha uma certa relevância para o mundo da IA. O Papa Leão XIV escolhe o nome seguindo a linha do Papa Leão XIII, que foi responsável por um documento super importante para o direito mundial como um todo, mas para o direito brasileiro, sem dúvida, (33:02) que foi a encíclica Rerum Novarum, de 1891. Essa encíclica traz uma série de questões que vinham como uma tentativa de resposta à Revolução Industrial e ao abuso que se tinha com os trabalhadores daquela época. Pessoas trabalhando muitas horas por dia, recebendo salários indignos, crianças trabalhando em minas. (33:27) O livro “Germinal”, de Émile Zola, fala bem sobre essa dinâmica. Ele foi morar com os mineiros para escrever o livro. Então, ele traz uma resposta a isso e, entre outras coisas, essa encíclica fala sobre a dignidade do trabalhador, sobre o pagamento de salário justo. E esse documento influenciou tanto a criação das próprias regras de direito do trabalho, que vigoram até hoje, com alguns daqueles princípios presentes no nosso ordenamento, e também a própria ideia de direitos (34:01) sociais presentes na nossa Constituição. Além de influenciar não somente a nossa, mas outras legislações trabalhistas, esse documento serviu de base ética para a construção de políticas de proteção ao trabalhador. A própria CLT incorporou alguns dos direitos que foram baseados nessas ideias éticas: limitação de jornada de trabalho, liberdade sindical, irredutibilidade salarial, repouso remunerado, proteção do trabalho infantil. Foram coisas que se basearam nisso. Ele fala também de uma resposta à figura dos que se (34:38) chamava de “superexplorados”. Bom, por que isso é importante? Notem que estamos falando de uma perspectiva de um estado laico, de um podcast laico também. Mas acredito que isso é importante porque não somente esse documento, mas também uma recente manifestação, agora de 2025, do novo Papa, no sentido de colocar e trazer manifestações sobre os perigos da IA. Porque aquela encíclica trouxe e consolidou uma série de valores éticos que foram utilizados pelos ordenamentos jurídicos para promover a proteção das (35:17) pessoas e para promover algo que é muito importante. Esse documento serve para construir a ideia do que temos de “dignidade da pessoa humana”, que vai se espraiar por todo o nosso ordenamento. Hoje se fala até sobre a superexploração da dignidade humana. (35:40) Quando não se sabe o que dizer, dizem: “Ah, isso fere a dignidade humana”. Não há critérios para avaliar a dignidade humana, mas é um dos fundamentos do nosso ordenamento jurídico. E ele trouxe essa preocupação de como a IA poderia também servir como um novo tipo de problema. Claro, tem suas soluções, seus benefícios, não descuidamos disso. Mas também de se colocar como uma voz para a discussão dos aspectos éticos da IA. É um tema delicado. Você não é (36:22) católico e fica pensando: “Não tenho nada a ver com isso”. Sim, tudo bem. Repito, nosso podcast é laico, mas acredito que tem uma importância de ser um personagem importante para dar voz a essa preocupação ética e sobre como temos que valorizar a proteção das pessoas nos ambientes de IA e evitar algo que é muito comum nos ambientes tecnológicos: a desumanização. É você de repente transformar… um problema que acontece também com a própria proteção de dados, você transforma as pessoas em números, em códigos, (36:57) em identificadores. Mas por trás daquilo tudo, há pessoas. Por trás da IA, há pessoas usando. Os dados pessoais são usados para treinar, você tem impactos importantes no mercado de trabalho. (37:17) Quis trazer isso aqui porque acho que é um personagem importante para dar voz a algo que acredito que não está recebendo a devida importância no mundo: as discussões sobre os impactos éticos e tudo mais. É, e eu vejo que é importante quem tiver algum tipo de poder de influência, de capacidade de influenciar as decisões, se colocar sobre esse tema. (37:52) Infelizmente, o que vejo, a rigor… a primeira esfera de influência são os próprios católicos, por uma razão muito óbvia. Ele é a autoridade máxima dentro da Igreja Católica. E isso diz respeito a um estado que existe de fato, o menor do mundo, eu acho. É, o Vaticano é o menor estado do mundo. (38:19) Mas é um estado. Tem sua história. Está vinculado mais especificamente a pessoas que professam uma determinada religião, embora ele tenha um poder político hoje bem mais limitado do que já teve. (38:36) Mas nem por isso aquilo que ele coloca deixa de ser verdade, essa necessidade de preocupação. O que lamento muito é que vejo pouca chance de revertermos essas coisas. Até comentei sobre a professora Carla, não sei se comunica. Estive em um evento da Rede Sinodal, (39:01) fiz uma exposição sobre IA e ela fez uma na sequência, e depois conversamos um pouco. Estou vendo se consigo trazê-la aqui no podcast. Não sei se conseguiremos, porque ela tem o canal dela, suas atividades nas redes sociais. Já encaminhamos o convite por meio da assessora dela. (39:22) Vamos ver se rola. Mas ela tem uma visão muito interessante que me deu até uma certa esperança sobre a questão da IA se regular e as coisas se normalizarem. Mas o que vejo, e comentei antes com você, primeiro, essas big techs responsáveis pelo desenvolvimento de IA… A OpenAI talvez esteja correndo por fora, meio paralela a essas empresas que antes tinham… (39:53) A Meta fazendo sua rede social e sua IA. Temos o X que tem o Grok. É uma rede social grande e tem o Grok. Essas empresas são bastante grandes e, na verdade, não só no sentido econômico, elas têm um poder de influência muito grande que se deve às pessoas se vinculando e utilizando essas plataformas para viver. E aí temos aqueles impactos que já discutimos largamente aqui no podcast sobre a questão da privacidade, das crianças e a internet, e isso acaba minando, de certa forma, não valores eminentemente religiosos, mas valores humanos. (40:56) E acaba virando um número, quantas views, quantos likes. É isso. E essas empresas estão conseguindo impor uma agenda aos governos. Vimos o que está acontecendo agora com Trump e Musk. Se não fosse o X… e aqui também, Vinícius. (41:16) Mas está legal de ver a briga do Musk e do Trump agora, porque se não fosse o X, o Musk estava lascado, pois o resto dele depende de dinheiro do governo. Quem tem as fichas, digamos assim, é o Trump. Só que, ao mesmo tempo, esse cara tem o X, uma rede de influência bastante grande. E temos o Papa se manifestando sobre IA. (41:36) Só que nós temos tantas vozes no meio científico, e relevantes na IA, no campo específico da ciência da computação, chamando a atenção para esses perigos, para os problemas, não só da desumanização, mas do que pode vir a acontecer em consequência disso. (42:03) Isso, na verdade, neste momento está pouco importando. Teve aquela “carta do apocalipse” lá de 2022, 2023, em que o pessoal se juntou e fez uma carta, até o Musk assinou na época, para suspender por seis meses a pesquisa em IA porque poderíamos estar caminhando para o fim da humanidade. Aquilo virou notícia e, assim como veio, foi embora, meio descontextualizado para as pessoas em geral. E o que sobrou no final das contas é (42:37) praticamente uma guerra armamentista. Ninguém está preocupado com a segurança da IA. Para não dizer ninguém… há algumas empresas que surgem. O Ilya [Sutskever] saiu da OpenAI preocupado com isso. Tem outro pesquisador, esqueci o nome dele, que também está montando uma empresa para segurança em IA. Mas, no final das contas, o que realmente se quer é desenvolver a AGI, a inteligência artificial geral, o mais rápido possível. Porque quem atingir isso primeiro (43:12) vai ter um poder muito grande em todos os aspectos da sociedade: político, econômico, nos relacionamentos com outros países e por aí vai. Tanto é que vou encaixar minha notícia aqui, pode ser, Guilherme? (43:35) Não, eu só queria dar uma mensagem final aqui, Vinícius. Vai juntar com o que você está dizendo, mas pode falar. Só para alinhavar e tirar qualquer dúvida sobre o porquê de se estar aqui. Não me interessa, falando eu, Guilherme, o papel do Papa para trazer dogmas cristãos para a regulação da IA. Não. (44:04) Assim como aconteceu na outra encíclica, que conclamava os estados a intervir na proteção dos trabalhadores, dos vulneráveis, e a criação desses direitos, eu acho que, junto com esses pesquisadores todos que você comentou, a voz do Papa pode dar mais atenção também para esses caras. (44:31) Não acho que é o Papa que vai dizer como se deve regular, mas sim dizer que se deve regular e trazer valores éticos e humanos para dentro desse ambiente todo. É mais uma voz para o lado de uma pauta que não está sendo tão vista por causa de interesses comerciais e tudo mais. (44:53) E tem uma coisa engraçada, porque ele fala isso logo depois que, não sei se você lembra, o Trump publicou uma imagem de IA em que ele estava vestido de papa. Causou uma comoção. Então, a ideia é essa. Não é trazer valores religiosos, mas sim… na verdade, há uma certa convergência, porque a proteção do ser humano, a valorização da pessoa e a colocação da dignidade da pessoa humana no centro disso, que na IA temos um princípio para isso, que é o princípio da centralidade da pessoa humana, me (45:29) parece que ele pode ser uma voz ativa nesse sentido. Enfim, encerro. É, sim. Acho que tem que haver discussão sobre o uso, os impactos. E não pode ser uma discussão, mesmo no lado científico, no sentido de: (45:49) “Ah, é a próxima geração de seres que vai substituir o ser humano na evolução”. Também não me serve. Mas, enfim, acho que temos que discutir isso. E só para dar um exemplo de ações que vão na contramão disso, dessa necessidade de discussão, de investigação, (46:11) vou ter que citar a “One Big Beautiful Bill”. Fico pensando como ele cria esses nomes para as leis. Não lembro de ter visto. Ouvi em um podcast que o Trump teria falado algo como: “This is a beautiful bill“. (46:41) E eles… alguém disse: “É isso aí, boa ideia”. Ouvi algo assim em um podcast. Porque não diz o que é. É um monte de coisa, inclusive coisas que irritaram o Musk, na parte de carros elétricos. Tinha uns benefícios, umas isenções, e parece que o Trump tirou isso e o Musk ficou doido, aquela coisa toda que estamos vendo nas notícias. Mas, no que diz respeito à inteligência artificial, tem algo muito interessante lá, na seção (47:13) 4321-T. Lá você vai encontrar… São 1.116 páginas, a “One Big Beautiful Bill”. E uma das coisas que tem lá é uma moratória, não de um, nem dois, nem três, mas de 10 anos sobre a aplicação estadual de, abre aspas, “qualquer lei ou regulamentação que regule modelos de inteligência artificial, sistemas de inteligência artificial ou sistemas de decisão automatizada”. Sabe que isso passou meio despercebido, Vinícius? Não li nada sobre isso. (47:55) Eu estava acompanhando um podcast gringo e os caras comentaram lá. Porque eu também estava achando que essa “One Big Beautiful Bill” seria algo sobre tarifas e não sei o quê, aquelas loucuras que eles estão fazendo lá de desmanchar as instituições que eles têm de saúde, disso, daquilo. (48:23) Mas quando o cara falou isso… “Será?”. Fui atrás para ver e era mesmo. De fato, é uma moratória. A ideia do Trump é evitar que qualquer estado norte-americano possa fazer qualquer lei ou regulamentação sobre modelos de IA, sistemas que usam IA ou sistemas de decisão automatizada, que não necessariamente envolvem IA. (48:54) E um pouco antes do Trump entrar, tinha umas bills, uns projetos de lei na Califórnia, que inclusive comentamos no podcast há um tempão, que eles tinham dois tipos de regulamento. Um que regulava o treinamento de modelos de IA — quais informações poderiam ser utilizadas, etc. (49:17) Estavam tentando regular o treinamento dos modelos. E outra bill que falava sobre a aplicação dos modelos treinados. Eram duas regulamentações: uma para a construção do modelo e outra para a aplicação. E essas duas bills morreram, não seguiram adiante. Isso no estado da Califórnia. E aí, quando o Trump assumiu, se foi mesmo. (49:41) Então, agora ele está tentando, via essa “One Big Beautiful Bill” — não pode esquecer do beautiful — impedir que os estados possam impor qualquer tipo de restrição no treinamento desses modelos, na aplicação desses modelos e na automação de processos. Justo em uma pegada de: “Galera, vamos desenvolver o que tiver para desenvolver, vamos fazer o mais rápido possível, dane-se”. (50:10) É aquela história do Zuckerberg, nosso amigo Zuck, né? “Move fast, break things, fix later“. Se mover rápido, quebrar coisas e depois a gente conserta. É nessa vibe de “vamos fazer, vamos ser os primeiros a atingir, dane-se”. (50:39) E imagina como isso poderia funcionar, em uma perspectiva de que estamos utilizando essencialmente ferramentas americanas de IA. As mais importantes, talvez, sejam ferramentas comerciais americanas. Agora, pensa no mundo inteiro utilizando essas ferramentas. Pensa como vão se conversar as questões de conformidade, por exemplo, com a União Europeia. Porque a União Europeia não vai simplesmente… “Ah, temos nossas regras aqui super discutidas” — e claro, tem pessoas que contestam algumas questões, mas é inegável que foram super discutidas e que (51:17) tentam promover um estado… Claro que nem sempre União Europeia e Estados Unidos conversam em proteção de dados. Nosso modelo é mais parecido com o europeu, mas é inegável que o modelo europeu é um paradigma para o mundo inteiro. E como é que vai se dar? A Europa vai dizer: “Tudo bem, temos todas as nossas regras aqui, mas beleza, vamos utilizar as ferramentas de vocês que não têm nenhum controle”? (51:43) Acho que vai funcionar. Chega a um ponto que você está usando sem se dar conta de que está usando. A coisa vai muito além de usar um chat, como comentávamos antes. (52:01) Uma capa hipotética para o podcast, Guilherme, se conseguíssemos fazer, seria uma cena da praça de Roma com o Papa Leão aparecendo, e embaixo, aplaudindo bem felizes, o Jeff Bezos, o Pichai, o Musk, esses caras. Porque esses caras estavam lá na posse do Trump. (52:34) A ironia seria botar esses caras batendo palma, felizes da vida, lá atrás. Pode ser até atrás do Papa, na sacadinha. Está muito difícil esse prompt. Tenta fazer. (52:53) Mas botar todos eles que estavam lá com o Trump atrás do Papa, porque a agenda deles é essa. Não estou falando que são maus. O Musk é maluco, mas a agenda deles é conseguir desenvolver esse negócio o mais rápido possível. A Anthropic parece ser mais responsável, pelo que vemos nos comentários. Ela goza de uma certa confiança nesse sentido. (53:21) Se será quebrada amanhã, não sei. A OpenAI… tem até um livro aí denunciando a filosofia da OpenAI. O Ilya saiu justamente porque viu que os caras não estavam muito interessados em segurança. Mas não esquece que o Sam Altman é outro que estava lá se ajoelhando para o Trump. Enfim. (53:47) Sabe que te mandei uma notícia agora nessa linha, não estava na pauta também. Usamos um pouco o podcast para eu e o Vinícius conversarmos também. Nem sempre conseguimos. Mas o café é para isso. (54:04) A ProPublica… só vi a manchete, que o pessoal conseguiu achar os prompts daquele departamento de veteranos que o Musk comandou por um tempo, prompts relacionados a cortes de benefícios de veteranos e sobre como estariam fazendo isso. (54:36) Obviamente usando da maneira errada. A coisa estava sendo utilizada ali de uma maneira… Eles não sabiam usar a IA. Mas aí veja como todas essas coisas estão relacionadas. Você trazer a dignidade humana para dentro de ambientes de IA, colocar o ser humano no centro, a centralidade da pessoa humana como princípio já reconhecido. (55:03) Esse é o ponto. Você não usa prompts de IA para cortar benefícios de veteranos. Porque submeter as pessoas a esse tipo de controle algorítmico é um negócio inaceitável. Você percebe que isso é um excesso de agenciamento? Porque mesmo que a IA não faça o corte automaticamente, os caras estão pegando o que a IA diz. “Ah, vai um ser humano lá e faz”. Pronto. (55:28) O ser humano é a interface para a IA fazer o que ela quer. Pelo amor de Deus, estou lendo aqui. É ridículo. Eu não li, só me lembrei disso e trouxe aqui para você ver. É a velha história, falhas técnicas graves. O modelo de IA alucinava valores de contratos, decidindo que cerca de 100 acordos valiam 34 milhões, quando às vezes valiam milhares, não milhões. 34 mil, não 34 milhões. (56:02) Aí analisava apenas os 10.000 caracteres iniciais de cada documento, aproximadamente 2.500 palavras. Esse é o problema do tamanho de contexto da IA. Apesar dos modelos da OpenAI suportarem inputs 50 vezes maiores, eles estavam analisando só as primeiras 2.500 palavras. (56:26) E o sistema usava modelos mais antigos e de propósito geral, inadequados para a tarefa. Claro, porque eles queriam cortar custos em um tempo mínimo. E é óbvio que se você coloca a IA de maneira não supervisionada… Considero que se possa usar IA para cortar custos de um órgão público, mas isso precisa ser feito com um modelo muito bem treinado. Não vai mandar a IA cortar o custo hoje, no estágio em que estamos e que usamos IA. Usamos (57:04) para trocar uma ideia, me dar uma indicação… Só que não quer dizer que você não vai olhar, que não vai verificar. Eu só não vou verificar se for uma coisa boba, mais factual, de fácil verificação. (57:21) “Em que ano aconteceu tal coisa?”. Vou lá e pergunto como se fosse no Google. Ou: “Que planta é essa aqui?”. Não vou ficar verificando se a planta realmente é aquela. Tiro uma boa foto da planta. Gosto desse prompt da planta. Adoro. Usei esse final de semana, inclusive. (57:41) Funciona. É uma coisa que, se estiver errado, dificilmente vou matar a planta. A consequência será matar a planta. Agora, pegar uma IA para gerar qualquer coisa que seja e não revisar… qualquer um que saiba o bê-á-bá da IA sabe que tem que verificar a saída. E acabamos atribuindo esse esquema de gerar e não verificar ao trapaceiro. “Gera para mim um trabalho…”. O cara nem lê e só manda. (58:14) Talvez dê para fazer isso daqui a alguns meses. E aí teremos discussões éticas para serem feitas. Mas, no estágio em que estamos, você tem que verificar as informações que ela gera, tem que bater as coisas, tem que ir atrás. (58:31) Pode usar como ponto de partida, para discutir mais profundamente algo que você já estudou e tem controle. Ela te ajuda a ter alguns insights, a fazer um brainstorm, que é mais legal fazer entre nós do que com a IA. Prefiro discutir com você do que ficar discutindo com a IA. Mas a IA também tem seu papel e para algumas coisas muito específicas é interessante. (58:57) Não podemos entrar em uma de “a IA vai fazer tudo, vai substituir tudo”, e tampouco em “a IA não presta”, porque ela presta. Ela faz porcaria, mas presta. E se souber conduzi-la direitinho, vai prestar muito. Olha aí a Marisa Mayô. (59:17) Se você não sabe do que estou falando, procure a Marisa Mayô no YouTube e dê uma olhada. O Álvaro Borba, acho, tem um canal (AVR) no YouTube. Ele gravou um vídeo ontem ou anteontem sobre a Marisa Mayô. É bem interessante o que ele coloca. (59:40) Dá um bom caminho para pensar. A Marisa Mayô é um fenômeno da IA na internet. O Papa tem que ver a Marisa Mayô para ele poder chamar a atenção para o que estamos fazendo. É um pouco aquela coisa de um novo tipo de tecnocracia. Esse é o problema. Quais tipos de decisões serão tomadas pela IA, desconsiderando o fator humano na equação? (1:00:11) Essa é a centralidade. É você não somente não usar IAs para coisas ruins, como o problema dos deepfakes e dos nudes. Vi um pessoal comentando que tinha um site que armazena modelos para gerar imagens realistas, e aquilo está aberto na internet. E o pessoal fala: “Isso aqui está sendo (1:00:51) usado para fazer nude em escola”. Entrei no site, não encontrei nada. Está dando rebu na escola com a galera fazendo isso. Está no ar, eu acessei, só não vou dar o endereço. É um novo tipo de tecnocracia. (1:01:10) Se você desrespeita esse fator humano, de repente está tirando o benefício de pessoas por conta de uma IA falha. Se a IA te ajuda a pegar fraude, você tem que usá-la. O problema é a rapidez. Esse exemplo do DOD é um exemplo do que não se pode fazer. (1:01:29) Claro que lá as regulações, como o AI Act, definem coisas para as quais não se pode usar IA. Acho que nosso café já deu uma hora. Deu de café. Vai virar um chá se ficar muito longo. Nem chegamos em um quinto do último Xadrez Verbal. (1:01:58) 5 horas o último. Mas teve umas entrevistas no meio. O material deles é fora da casinha. Pode fazer de 10 horas, não tem problema, eu só aumento a velocidade. Era isso. (1:02:17) Para você ver, a IA é mais uma tecnologia. Tivemos a invenção da imprensa. Tanto livros bons quanto muita porcaria foi divulgada por meio da impressão. Aí vem a internet. Fantástico. Foi muito legal. Na época, nem tínhamos a web ainda. (1:02:48) Muito bom poder conversar com pessoas usando ICQ e outros softwares de conferência arcaicos, e poder conversar com pessoas de outras partes do mundo. Fantástico. ICQ… e tinha outros softwares de conferência por voz que a gente usava e que funcionavam. (1:03:13) E nem tínhamos web direito. Foi fantástico. Poder comprar CDs e livros na época do real um para um com o dólar, na década de 90. Comprava livros super barato. Mas também, a internet trouxe a pornografia sem limites. (1:03:43) Que é um problema. Quem quiser assistir… como é aquele documentário do Adam Sandler sobre sexualidade e internet… (1:04:09) É um filme sobre homens… Deixa eu ver aqui… Enquanto você procura, eu levantei um efeito em uma das bibliografias que usei para dar essa palestra: o “viés de automação”, que é um pouco ligado àquela ideia (1:04:33) do “solucionismo tecnológico”. O que é o solucionismo tecnológico? Você tem problemas e, para resolvê-los, basta colocar tecnologia neles. E sabemos que há problemas que não são resolvidos com ou pela tecnologia. (1:05:07) O viés de automação é um pouco isso, é partir para uma certa fanatização tecnológica com o uso de IA. Isso já está acontecendo. “Vou usar IA em tudo porque é bom”. E nessa corrida, você deixa os riscos para trás. É um pouco o que tem acontecido na história da tecnologia dos últimos 30 anos. A internet… passamos por muitos momentos em que, para atingir uma posição de (1:05:47) dominância, os riscos foram deixados para depois. A própria Microsoft fez muito isso, principalmente na segurança. A questão é que agora, novas ideias já existentes no direito, como o princípio da prevenção e o da precaução, nos forçam a ter atenção aos riscos. Isso também não está acontecendo. (1:06:13) E nota que isso volta para a humanização da tecnologia, de colocar a pessoa no centro do uso dessas tecnologias. É a ideia do viés de automação, uma fanatização. Achei o filme: “Homens, Mulheres e Filhos”, de 2014. Vou largar o link nos show notes. (1:06:40) É um filme bem interessante. Já tem 11 anos. E fala, naquela época… por exemplo, tem um adolescente que consome pornografia na internet. (1:07:00) E ele chega a um ponto em que não consegue se relacionar com a namorada. A coisa da internet é tão extrapolada que o real para ele não… Já temos problemas aí que são discutidos há mais tempo. (1:07:19) Então, na sequência, a internet trouxe coisas boas, mas também vários problemas relacionados. E agora, com a IA, acho que a coisa é amplificada porque ela entra em um domínio que antes era restrito ao ser humano: criação de textos, imagens, vídeos. Agora, com o V3 da Google, o negócio está… dependendo do que for, você tem que olhar com muito cuidado para se dar conta de que é feito com IA. (1:07:49) E estamos na metade de 2025. Até o final deste ano, acho que veremos coisas mais avançadas ainda. Enfim, temos muito a ser discutido. E nesse sentido… Você falou do filme, achei que era outro documentário da Netflix que procurei aqui, (1:08:14) “Hot Girls Wanted”. Um documentário mais conhecido sobre o tema. Você viu? Vi, sim. É de um empresário que recrutou as gurias, tem violência. É pesado também. Vamos embora. É isso aí. Vamos embora. Quer fazer mais alguma observação? (1:08:37) Não. O filme está indicado. Vamos cuidar e ficar de olho no que está acontecendo. Quer recitar um poema? Não, não. Só peço ao Papa, se por acaso nos ouvir, que mantenha o olho aberto. (1:08:55) Se ele quiser, pode nos chamar que vamos com muito prazer ao Vaticano. Então, agradecemos a todos aqueles e aquelas que nos acompanharam até aqui. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.  

Neste episódio, comentamos os impactos do analfabetismo funcional na tecnologia, analisando como a dificuldade de interpretação e análise crítica afeta a segurança digital, a proteção de dados e a economia.​ Aprofundando a discussão a partir de um estudo do INAF, os apresentadores Guilherme Goulart e Vinícius Serafim, ambos professores com vasta experiência, exploram como os baixos níveis de alfabetismo funcional no Brasil criam um ambiente vulnerável. Eles debatem como a dificuldade em interpretar informações torna a população um alvo fácil para fraudes bancárias, golpes de engenharia social e a disseminação de fake news. O episódio também aborda os riscos sistêmicos que isso representa para a segurança da informação nas empresas, a fragilidade na gestão da privacidade e os desafios para a efetiva proteção de dados, questionando a validade do consentimento informado em um contexto de baixa compreensão. As implicações para a economia digital e a capacidade de usar o governo digital com segurança são outros pontos centrais da conversa.​ Para não perder futuras análises sobre segurança e tecnologia, assine o podcast, siga-nos em nossas plataformas e deixe sua avaliação.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Artigo de Ana Frazão – Analfabetismo funcional e riscos de manipulação INAF – Indicador de Alfabetismo Funcional Matriz de habilidades do INAF Pesquisa retratos da leitura de 2024 Brasil fica entre os piores em teste de criatividade do Pisa 📝 Transcrição do Episódio (00:03) Este é o Segurança Legal, episódio 393, gravado em 23 de maio de 2025: Impactos do analfabetismo funcional na tecnologia. Neste episódio, fazemos uma análise da pesquisa do INAF com foco nos seus impactos na tecnologia. Segurança Legal com Guilherme Goulart e Vinícius Serafim. Um oferecimento Brown Pipe Consultoria. (00:31) [Música] Sejam todos muito bem-vindos. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação e direito da tecnologia. Eu sou Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? E aí, Guilherme? Olá aos nossos ouvintes. Estou de volta. A gente já estava um tempão sem gravar. Na semana passada eu não consegui, tanto que você teve que gravar sozinho. (01:12) Depois de um longo tempo, olá novamente aos nossos ouvintes. Estamos de volta. Nós somos resilientes, não deixamos a peteca cair. Sempre lembrando que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de temas. Vocês já sabem os canais: podcast@segurançalegal.com, YouTube, Mastodon, Blue Sky e Instagram. (01:31) Também temos a nossa campanha de financiamento coletivo lá no apoia.se/segurançalegal. Se você puder, apoie. No último episódio, Vinícius, comentei sobre as pessoas que, quando tivemos o problema de migração para o PicPay, não voltaram para o Apoia.se. Se você é uma delas, conclamamos você a voltar a nos apoiar. (01:50) O seu apoio é importante para o podcast. Lá no YouTube você consegue ver os nossos rostos e também fazer seus comentários, curtir, enfim, tudo aquilo que vocês já sabem. Neste episódio, nos chamou bastante atenção um texto publicado no Jota pela Ana Frazão, uma autora bem conhecida na área de IA, proteção de dados e direito. Ela escreveu um artigo com o título “Analfabetismo funcional e riscos de manipulação”. (02:22) O subtítulo é: “A falta de educação da população brasileira potencializa os riscos do capitalismo de vigilância”. Ela está correlacionando o papel das big techs, das redes sociais e também da proteção de dados. Basicamente, ela se baseia em uma pesquisa, um estudo feito pelo INAF. (02:49) Será justamente o estudo sobre o qual falaremos aqui. Ela toma como ponto de partida esse estudo que avalia o indicador de alfabetismo funcional no Brasil. Claro, de um lado o alfabetismo funcional e, do outro, o analfabetismo funcional, que é um conceito bem conhecido. (03:13) Fala-se muito no Brasil sobre o analfabetismo funcional, mas vamos avançar um pouco. No primeiro momento, partindo do texto da Ana Frazão, explicaremos alguns elementos desse estudo do INAF e, depois, falaremos um pouco sobre os impactos do analfabetismo funcional na tecnologia de maneira geral, mas também sobre segurança da informação e proteção de dados pessoais. Então, fique conosco, não saia daí. (03:43) Guilherme, tem uma coisa muito interessante. Eu e o Guilherme temos vários pontos de contato com isso, motivo pelo qual nos interessou esse estudo, porque tanto eu quanto o Guilherme somos professores. Eu sou professor há mais de 20 anos. (04:06) Comecei a dar aula lá em 1999, quando estava fazendo meu mestrado, por volta de 1999, 2000, em cursos de graduação. O Guilherme também já tem uma estrada aí de uns 10 anos ou mais. Na graduação, 11 anos, mas muitos mais em pós-graduação também. Nós temos uma ligação com essa questão do analfabetismo funcional ou alfabetismo funcional, e acompanhamos essa história dos alunos que vêm chegando (04:45) às universidades, as turmas que, com o passar do tempo, vamos recebendo e as dificuldades que fomos percebendo cada vez mais nos alunos. Ao mesmo tempo, estamos falando de 20 anos atrás. Em 2000 não havia iPhone, não havia smartphone. O iPhone foi aparecer em 2007. (05:09) Em 2000 não tínhamos isso. Não sei se o Orkut já existia naquela época. A gente percebe… 2007, foi isso. 2007. Mas mesmo assim, faz um tempão. A gente acompanha esse negócio há muito tempo. (05:40) Pelo lado da segurança da informação e proteção de dados, e já comentamos isso várias vezes aqui no Segurança Legal, nos diversos episódios em que falamos sobre o uso de redes sociais, sobre crianças na internet, sobre esses efeitos, a necessidade de se compreender o que se está fazendo na internet, a capacidade de análise, isso já colocamos várias vezes aqui ao longo de todos esses anos de Segurança Legal. (06:06) Pode parecer para você que este assunto não tem nada a ver com segurança da informação ou com proteção de dados. Na verdade, vamos ver que não só pelo artigo da Ana Frazão, que faz justamente essa vinculação com proteção de dados, (06:30) mas com todo o contexto da segurança da informação que vamos trazer aqui, o tipo de prejuízo que o problema do analfabetismo funcional traz para as pessoas diretamente e, de forma indireta, por meio dos serviços, das empresas. Porque não pensem, vocês vão ver os números que apresentaremos, que analfabetismo funcional tem a ver com o puro e simples analfabetismo no sentido da pessoa não conseguir ler. A coisa é muito mais grave. Vocês vão ver que um percentual (07:07) bastante relevante da nossa população se enquadra em um nível de alfabetismo rudimentar ou mesmo analfabeto. A maioria esmagadora é de elementar para baixo. Mas, feito esse introito, acho que dá para começar explicando justamente isso. (07:32) Em primeiro lugar, o estudo parte de quatro habilidades que as pessoas teriam, e ele mede essas quatro habilidades. Eu vou listá-las aqui e você dá uma breve explicação delas, Vinícius. Eu já separei aqui. (07:50) Vamos lá. Em algum momento isso vai ser bem importante para entendermos o impacto disso na segurança. Quais foram as quatro habilidades medidas? Primeira: reconhecer e decodificar. Segunda: localizar e identificar. Você fala uma e eu dou a definição. Vai lá. Ah, beleza. Reconhecer e decodificar é reconhecer uma letra, um número, um símbolo, elementos gráficos. (08:13) Notem que é algo bem básico. No contexto digital, identificar ícones, hyperlinks, funções touch, scroll. A aplicação vai desde o reconhecimento de pontuação até navegar em interfaces digitais, certo? Isso é o reconhecer e decodificar. (08:39) Acho que ele vai do básico para o mais complexo. Depois é localizar e identificar: a capacidade de encontrar informações específicas em textos e ambientes digitais. A complexidade vai da localização de uma informação saliente, ou seja, algo evidente no texto, até o uso de mecanismos de busca como o Google. (09:05) A aplicação dessa habilidade é encontrar dados em textos, tabelas, gráficos e sites. Certo? Conseguir encontrar a informação. Depois, avaliar e refletir… Na verdade, essa para mim é a quarta, Guilherme. Acho que você pulou “compreender e inferir”. Ah, é verdade. (09:35) Eu anotei a ordem errada. É compreender e inferir. Essa é a última. Tem razão. Compreender e inferir, que é o próximo nível, é a integração e interpretação de informações, o estabelecimento de conexões lógicas. Então, obter um conjunto, encontrar informações e estabelecer uma relação lógica entre elas. (09:59) As habilidades envolvidas aí são comparação, ordenação, operações matemáticas, deduções, etc. As aplicações dessa habilidade são resolver problemas, interpretar gráficos, fazer inferências. Certo? É isso. Eu identifico as informações, consigo correlacioná-las e resolver problemas a partir delas. E a última habilidade é avaliar e refletir. (10:37) Avaliar e refletir, como o próprio nome diz, é avaliar e refletir sobre aquilo que você levantou. É a capacidade de fazer análise crítica, confrontar informações, emitir pareceres. A complexidade envolvida é verificar veracidade, identificar viés, fazer julgamentos éticos. (11:00) Eu gosto muito desses exemplos de aplicação, como avaliar fake news. Você vê uma notícia e consegue identificar que ela é falsa. Vou dar um exemplo rapidinho. Mais de uma vez eu vi pessoas na imprensa citando a “greve de robôs na Índia”. (11:27) As pessoas às vezes extrapolam um pouco o que os robôs podem fazer. E se você vai atrás, vê que não foi isso, foi um experimento. Não tem nada a ver com greve de robôs. Então, conseguir avaliar uma fake news, desde uma coisa simples assim até algo político, analisar argumentos, perceber quando um argumento é falso, tomar decisões fundamentadas. Esse é o último nível. (11:56) Só lembrando que aqui estamos fazendo um resumo, porque existe uma tabela, a matriz de habilidades do INAF, que é bem mais complexa, com uma série de sub-habilidades. É um resumo para posicionar o ouvinte na mesma página que a gente. (12:15) É bem importante que vocês tenham essas quatro habilidades em mente na sequência do episódio. Se quiser, volte e ouva de novo para gravar bem. Entendendo quais são essas habilidades, a gente consegue reconhecer a gravidade da nossa situação, que é o que veremos na sequência. (12:40) Depois que eles avaliam essas quatro habilidades, eles encaixam as pessoas avaliadas em cinco níveis. O primeiro é o analfabeto. Ele tem dificuldades básicas em reconhecer e decodificar, como ver os símbolos que falamos agora. (13:11) Não reconhece direito letras, números, símbolos, gráficos, etc. Não consegue identificar sinais de pontuação ou matemáticos. Por exemplo, ver um “E” de somatório, o sigma. (13:35) É incapaz de ler palavras e frases curtas. Não reconhece funções digitais básicas como hyperlink ou ícone. É um nível bem delicado de falta de capacidade. Esse é o nível analfabeto. O próximo é o rudimentar. (14:02) O rudimentar tem capacidades limitadas. Consegue fazer o reconhecimento e decodificação básica (letra, número, símbolo, placa). Consegue localizar informações explícitas ou salientes, que são óbvias no texto. Tem dificuldade em compreender e inferir, no sentido de integrar e interpretar informações. (14:35) Ele consegue pegar o óbvio, mas tem dificuldade de estabelecer relações entre as informações que está levantando, de resolver problemas. Consequentemente, tem dificuldade em avaliar e refletir. Se não consegue compreender e inferir, o avaliar e refletir vai junto, porque não consegue racionalizar sobre argumentos ou tomar decisões fundamentadas. (15:04) O estudo cita como exemplo: localizam número de telefone e datas, mas não fazem conexões. Isso é o rudimentar. E o elementar? O elementar tem competências intermediárias, com bom desempenho em reconhecer e localizar. Consegue reconhecer os símbolos e localizar as informações. (15:24) Em contextos simples, consegue compreender e inferir, ou seja, levantar informações e estabelecer relações lógicas entre elas. Consegue preencher formulários e comparar informações básicas, mas tem dificuldade em avaliar e refletir, ou seja, não identifica fake news ou algum tipo de viés no que está sendo lido. Esse é o elementar. Depois, temos o intermediário e o proficiente. (16:03) O intermediário domina os três primeiros grupos de habilidade: reconhecimento, localização, e a inferência e correlação. A capacidade de avaliar e refletir está em desenvolvimento no intermediário, não está plena. Ele consegue resolver problemas complexos e identificar evidências em argumentos, se são válidas ou não. Tem limitação em (16:36) análises críticas sofisticadas, inclusive políticas. E o nível proficiente são as competências plenas. (17:01) Domina todos os quatro grupos de habilidades. Avalia a veracidade de informações, elabora sínteses e argumentações, toma decisões baseadas em análises críticas. Por exemplo, eu não vou fazer uma coisa só porque o Guilherme disse que eu deveria fazer. Consigo avaliar o que ele está me dizendo, ir atrás dos argumentos dele, ver se há evidência que os ampare e aí tomar a decisão. Navega competentemente no ambiente digital. Esse é o proficiente. (17:27) Então, os nossos cinco níveis são analfabeto, rudimentar e elementar. Esses três são bem críticos. O intermediário melhora bastante e o proficiente é o pleno. Eles agrupam o intermediário e o proficiente como “alfabetismo funcional pleno”. (17:59) E agrupam o rudimentar e o analfabeto como “analfabetismo funcional”. O elementar fica no meio do caminho. Esses são os parâmetros que eles utilizaram na classificação. (18:23) Vamos a alguns dados. Como sempre dizemos, quando falamos sobre um estudo ou um livro, você ouve o podcast, mas depois vai lá ler o material original, caso lhe interesse, para chegar às suas próprias conclusões. O estudo tem uma série histórica e começa fazendo essa avaliação. Ao longo dos anos, houve de fato uma diminuição no analfabetismo no Brasil, mas o nível de proficiência não se alterou em toda a série histórica. (19:11) Estamos resolvendo um problema que tem que ser resolvido, que é eliminar o analfabetismo. Isso é muito bom. Mas não é suficiente se você não consegue aumentar o nível de proficiência, que na série histórica fica em torno de 12%. Somente 12% da população é considerada proficiente, o que me parece pouco. Tenho certeza que é pouco. (19:52) Diminui-se o analfabetismo, mas não se avança no aumento da proficiência. Inclusive, na última avaliação, de 2024, comparada com a anterior, de 2018, o nível de proficiência baixou de 12% para 10%. (20:16) Os 12% que falei é uma média histórica. Da última avaliação para esta, baixou. Outra coisa interessante é que não dá para fazer uma correlação direta entre alfabetismo e escolaridade. Poderíamos imaginar que a pessoa que concluiu o ensino fundamental não seria analfabeta funcional. (20:39) Os números dizem o contrário: 43% dos analfabetos funcionais concluíram o fundamental. Você poderia imaginar que o ensino fundamental prepararia a pessoa para análises mais avançadas. Olhando o nível de proficiência, 38% estudaram até o ensino médio e 54% têm ensino superior. Mas dentro do ensino superior, (21:18) tem uma coisa interessante, e acho que esse foi o número que mais nos chamou a atenção. No ensino superior, 1% é considerado analfabeto, 11% rudimentar e 27% elementar. Se juntarmos analfabeto e rudimentar, são 12% de analfabetos funcionais no ensino superior. Ficamos com 38% de intermediários e somente 23% de proficientes com ensino superior. (21:59) Confesso que eu imaginava que era mais. Esperava mais de quem conclui o ensino superior. Se você junta rudimentar, elementar e analfabeto, dá 39% das pessoas que estão no ensino superior. Me chama a atenção, Guilherme, que entre quem cursa até a quinta série do ensino fundamental, (22:27) 39% ainda são analfabetos. Da sexta série em diante, esse número cai muito, para 5,6%. Fazer até a quinta série não quer dizer que a pessoa seja alfabetizada de fato. Há um nível muito alto de analfabetismo. (23:00) O nível rudimentar não altera tanto. Até a quinta série, é 42%. Da sexta à nona, é 37%. O nível elementar tem um aumento expressivo, de 15% para quem fez até a quinta série para 40% para quem fez entre a sexta e a nona. (23:35) Há uma mudança muito forte ali. Do nono ano para o ensino médio, vemos uma redução. O analfabetismo reduz de 5,6% para 0,9%. O rudimentar vai de 37% para 15%. (24:01) O elementar vai de 40% para 45%. O intermediário vai de 14% para 29% e o proficiente de 2,9% para 8,9%. Melhora bastante até o ensino médio, mas ainda assim, apenas 8% são proficientes. (24:27) Juntando proficientes e intermediários (alfabetizados funcionais plenos), estamos falando de aproximadamente 31%. Os outros 69% (elementar, rudimentar e analfabeto) no ensino médio é um número ainda muito ruim. (25:00) Quando vai para o ensino superior, o analfabetismo continua parecido: 0,9% no médio, 0,7% no superior. Não sei como é possível ter alguém analfabeto funcional no ensino superior, mas enfim. Não tem cabimento. (25:24) O rudimentar vai de 15,9% para 11,2%. O elementar cai de 45% para 26%. Claro, aumenta o intermediário de 29% para 37% e o proficiente de 8,9% para 23,5%. Mas ainda assim, temos uns 38% de elementar para baixo. É bastante preocupante esse resultado. Percebe-se uma melhora, mas não no ritmo que deveria ser. Não se pode ter analfabetismo após a quinta série. (26:12) Tem que acabar ali. Mas sabemos que tem, o estudo aponta isso. Eles também avaliaram o alfabetismo no contexto digital em três níveis: baixo, médio e alto desempenho. (26:35) De maneira geral, 25% têm baixo desempenho, 53% médio e 23% alto. É interessante que, entre os proficientes da outra classificação, 60% têm alto desempenho no contexto digital. (27:08) Poderíamos imaginar que todos os proficientes teriam alto nível no contexto digital, mas não é verdade. E quando se olha a escolaridade, só 39% do nível superior têm alto desempenho no contexto digital. (27:38) Isso indica que o nível superior não está necessariamente ligado a um alto desempenho digital. Isso se conecta com o que temos falado: o uso de ferramentas digitais não foi plenamente incorporado na educação, nem na básica nem na superior. (28:17) Não conseguimos incluir nem ferramentas menos complexas de IA no ensino superior. Notamos a dificuldade dos alunos em usar programas básicos como Word e Excel. Eles têm dificuldade nesse tipo de competência. Eles fizeram avaliações de faixa etária, e é interessante: 36% das pessoas de 15 a 29 anos têm alto nível de desempenho digital, enquanto apenas 6% na faixa de 50 a 64 anos, o que marca a exclusão (28:55) digital e a dificuldade que os mais velhos têm nos contextos digitais. Gostaria de trazer outros elementos. Acho que os números ficaram claros. Quem tiver mais curiosidade pode consultar o estudo. (29:22) Podemos adicionar que o Brasil hoje é o segundo lugar no mundo em tempo de tela. Tenho números de 2023 ou 2024. Só perdemos para a África do Sul. (29:40) Não dá para fazer uma relação de causa e efeito, mas se os dados demonstram uma tendência de analfabetismo funcional em um país que é o segundo em tempo de tela (9 horas e meia), uma das reportagens que li dizia que o brasileiro fica mais tempo usando telas do que dormindo, o que é impressionante. O Brasil acaba sendo um (30:20) campo muito frutífero para tentativas de manipulações variadas, não somente políticas. Estamos tendo agora a CPI das bets. Não sei se você acompanhou, Vinícius, mas há uma CPI envolvendo influenciadores que eu desconhecia e que influenciavam pessoas a jogar. A própria percepção e as habilidades necessárias para entender o que é um cassino virtual (30:58) e seus algoritmos são complexas. A própria lógica desses jogos é que eles são feitos para você perder. Eles são feitos para te entreter em troca do seu dinheiro. Você se entretém e paga bem por isso. (31:25) O impressionante é ver que influenciadores digitais conseguem de fato influenciar grandes grupos de pessoas a entrar nisso, e os números que eles ganham são milionários. Há um aspecto moral e ético, mas também dá para fazer uma relação. (31:51) Quem essas pessoas estão influenciando? Esse é um ponto. Outro dado, de 2024, de uma pesquisa sobre hábitos de leitura, mostra que 53% dos brasileiros não leem livros. Para essa pesquisa, “ler” é ter lido inteiro ou em partes pelo menos um livro nos últimos três meses. (32:27) O que mais me chamou a atenção nesse estudo é que, entre os leitores, somente 63% têm ensino superior, e eu digo “somente” porque acho que deveria ser 100%. Em 2019, eram 68%. (33:04) Dito tudo isso, acho que podemos passar para os impactos, Vinícius. Quais são as consequências do analfabetismo funcional mais para a parte tecnológica? Acabei de falar sobre as bets. É a dificuldade que a pessoa tem de lidar com a economia, de saber o que é poupar, (33:34) o que é investir. Compreender contextos financeiros e econômicos é algo que o analfabeto funcional não consegue. (33:53) Se quisermos puxar um pouco para a segurança na parte financeira, temos toda a questão de fraudes bancárias. O Brasil é campo fértil para isso. As pesquisas de jurisprudência que faço semanalmente mostram que a grande maioria dos casos de violação de dados são fraudes bancárias. Você começa a entender o contexto no qual essas fraudes se dão, sem falar em questões de empregabilidade, superendividamento, hábitos de consumo e a compreensão da desinformação. (34:47) O objetivo não é falar sobre fake news, mas quando olhamos para a habilidade de avaliar e refletir, ela está diretamente relacionada à identificação de desinformação. E isso não é só na política, mas também na saúde. Vimos durante a pandemia as más compreensões sobre questões científicas bem estabelecidas e o abandono ou diminuição de campanhas de vacinação. (35:23) Isso me parece bem conectado. A própria ideia de qualidade de conteúdo: qual conteúdo floresce para analfabetos funcionais? Será que não podemos fazer uma relação com o engajamento e o florescimento de conteúdos frívolos? Temos agora os vídeos de “brain rot” criados por IA. (35:55) Deparei-me com alguns e você percebe que é IA. Será que não dá para fazer uma relação entre o analfabetismo funcional e o consumo desse tipo de conteúdo? Temos também os impactos no âmbito da segurança. (36:29) Como uma pessoa com esse nível de analfabetismo funcional lida com a segurança? Um dos primeiros aspectos é o phishing. Embora seja complexo, é inegável que a grande parte dos phishings são identificáveis. Quando vemos a classificação dos níveis, percebemos que até o nível elementar (37:06) há uma dificuldade grande de identificar informações e fazer correlações. Naturalmente, são vítimas perfeitas para phishing. Vemos golpes nem tão sofisticados, em que o criminoso pede para a pessoa fazer coisas absurdas, como: “Eu sou do seu banco, instale um aplicativo aqui e vire o celular com a tela para baixo”. (37:43) Muita gente caiu nesse golpe. Qual é a lógica de virar a tela para baixo? O criminoso pede isso para a pessoa não ver que ele está fazendo uma nova operação, um Pix. (38:12) Em que momento a pessoa não se liga no sentido de fazer isso? É um golpe ainda mais rudimentar do que um e-mail bem elaborado. Há outro golpe: você anuncia algo, e a pessoa diz: “Anuncia aqui no Mercado Livre que é mais garantido, eu compro de ti”. (38:43) Você anuncia, e o próprio criminoso te manda um e-mail, dizendo ser do Mercado Livre, pedindo um depósito caução para validar o anúncio. A pessoa paga um Pix para uma conta qualquer, não verifica, e no e-mail diz que ela vai receber o dinheiro de volta, o que não acontece. (39:13) Aí, outra pessoa se oferece para “ajudar” a recuperar o dinheiro, pede os dados e aplica mais um golpe, fazendo empréstimos em nome da vítima. São golpes relativamente rudimentares. (39:38) Fazer um Pix para uma conta que não é do Mercado Livre, achar que precisa pagar um valor alto para anunciar algo que uma simples pesquisa na internet esclareceria. São situações ainda mais fáceis do que um phishing por e-mail bem elaborado. (40:06) Sem contar os phishings bem elaborados, usando dados vazados, que é ainda pior. Não acho que possamos concluir que toda pessoa proficiente é imune à engenharia social. Não é isso. (40:26) O Troy Hunt, um dos maiores pesquisadores de segurança do mundo, caiu em um phishing recentemente. O ponto é que há uma relação: é mais fácil enganar um analfabeto funcional do que uma pessoa proficiente. Outra coisa: a dificuldade de treinar essas pessoas. Manter um comportamento seguro está diretamente relacionado à verificação e avaliação de riscos. (40:57) Riscos do cotidiano. Se o mundo está cada vez mais digitalizado, com sistemas como o GOV.BR, é preciso entender os riscos. Quando falamos de segurança em nível empresarial, o treinamento é um dos grandes elementos para lidar com o risco pessoal. (42:01) Pessoas analfabetas funcionais dificilmente conseguirão ser treinadas de maneira eficiente. Vemos isso na prática. Vemos pessoas bem formadas, na mesma universidade, na mesma turma, (42:26) que se formam mas infelizmente não deveriam. Cumprem os requisitos da prova, mas não desenvolveram uma capacidade analítica aprofundada na sua área de conhecimento. (42:51) Vemos muito disso acontecer no dia a dia. Aquele diploma não garante o domínio sobre o assunto. No final das contas, temos um risco sistêmico na segurança corporativa, porque as empresas são compostas por pessoas. (43:32) Você terá pessoas atuando nos mais variados níveis. Os funcionários que não são de TI, mas que usam e-mail, computador, operam sistemas. E você tem o pessoal da TI. Estamos fazendo um exercício aqui sobre os possíveis impactos. A que estamos expostos? Estamos expostos a perigos de riscos sistêmicos, porque as pessoas que trabalham na TI também podem ter baixos níveis de competência. Veja o risco de uma pessoa atuar numa dessas áreas sem conseguir exercitar a habilidade de (44:47) avaliar e refletir. Como uma pessoa sem essa habilidade consegue, por exemplo, analisar adequadamente logs em um incidente ou lidar com incidentes? (45:14) Estou falando do pessoal de TI e segurança. Isso é complexo. Na verdade, vale para qualquer profissão. Outra coisa: como lidar com mecanismos de segurança mais avançados? Será que um analfabeto funcional consegue compreender a autenticação de dois fatores? Ou como lidar adequadamente com suas senhas? (45:46) Acho que não. Mas para isso nem precisa ser analfabeto funcional. Muita gente que não é usa a mesma senha em tudo. Todo mundo com quem converso fora da área de TI usa a mesma senha em todos os lugares. Meu ponto não é fazer uma (46:18) relação direta, mas dizer que, se você precisar explicar a autenticação de dois fatores e a gestão de senhas, será muito mais difícil explicar para um analfabeto funcional do que para um proficiente. Às vezes a pessoa não tem a informação, não é a área dela, e isso é compreensível. (46:43) O ponto está ligado ao treinamento. A pessoa tem que entender o porquê da gestão de senhas. Se ela não entende o porquê, pode não conseguir cumprir a regra. Vou trazer alguns cenários e exemplos de riscos. (47:11) Um deles é o ataque de engenharia social. Cerca de 62% da população não consegue avaliar criticamente solicitações suspeitas, considerando os níveis que eles avaliaram. (47:35) Para phishing e sites maliciosos, 29% da população não seriam capazes de reconhecer uma URL suspeita, e 35% identificam que é um link, mas não avaliam a segurança. O phishing funciona muito bem. Propagação de malware: compartilhar arquivos maliciosos por falta de compreensão. (48:09) Muita gente confia no antivírus e fica instalando coisas, como um “crackerzinho” para o celular. Os joguinhos inocentes que o pessoal instala no celular, não tem cabimento o tipo de coisa que instalam. (48:32) Vazamento de dados pessoais e configurações de privacidade inadequadas. Tenho conversado muito sobre IA com várias pessoas. (48:58) 99% das pessoas que usam ferramentas de IA não acessaram as opções de configuração de privacidade. Não desativaram, por exemplo, a possibilidade de usar suas informações para treinar a IA para outros. E isso está lá nas ferramentas. E são pessoas que não são analfabetas funcionais, senão nem estariam usando a IA adequadamente. (49:31) Temos alguns impactos setoriais. No setor bancário, alto risco de fraudes. Seriam necessárias interfaces mais intuitivas para 65% da população, e educação do cliente. No e-commerce, fraudes em pagamento e necessidade de processos simplificados. (49:58) Já vimos o que a simplificação leva. Nossa experiência mostrou que, quando você tenta simplificar demais o processo porque o usuário não tem capacidade, acaba sendo obrigado a fragilizar a segurança. (50:30) No governo digital, mais de 4.000 serviços estão vinculados ao GOV.BR. Para usar, dependendo do serviço, é preciso ter conta ouro, com segundo fator ativo. Exige um gerador de código de uso único. (50:55) Muita gente nem sabe o que é isso. Pessoas idosas que precisam fazer uma operação no GOV.BR, como para o INSS, não conseguem. (51:20) Elas precisam de ajuda de alguém da família. Não estou dizendo que não deva haver medidas de segurança, mas talvez tenhamos que repensar algumas delas, porque são pessoas que não são autônomas. (51:43) Eu queria compartilhar o que pode ser feito de mitigação por nível. Muitas vezes, isso vai na contramão da simplificação. Para analfabetos funcionais (29%), seriam necessárias interfaces ultra intuitivas, alertas em linguagem simples, bloqueios automáticos e canais de atendimento humano. O que vemos cada vez mais? (52:36) Canais automatizados. Bloqueios automáticos existem, mas em muitos serviços não. E se bloqueia, preciso de um canal de atendimento que falha. (52:55) E a interface ultra intuitiva muitas vezes não é o forte das aplicações. Para o nível elementar (35%): (53:19) Indicadores visuais, confirmações duplas para ações sensíveis. Tudo o que um aplicativo que quer vender não quer é ficar pedindo confirmações. E educação contextual, explicar o que você está fazendo. Dou o exemplo do ChatGPT. (53:48) Nas configurações de dados, vai estar escrito: “Usar seus dados para treinar o modelo para todos”, e ao lado “Ativar”. Na verdade, deveria ser “Ativo”, porque se você clica, muda para “Desativar”, induzindo ao erro. (54:35) É o contrário do que está sendo indicado aqui. Para o nível intermediário e proficiente, aí sim: ferramentas avançadas, relatórios detalhados, como o Google oferece. O que acontece normalmente? As crianças fazem o que querem no telefone e os pais não sabem nem como verificar. (54:52) Configurações granulares de privacidade e capacitação para que esses níveis atuem como multiplicadores. Essas são algumas recomendações. (55:22) Seria o mundo perfeito, porque teria que considerar que os interesses, muitas vezes, são para que você não desabilite as práticas de coleta de dados. Vivemos na economia de dados pessoais. Falamos de design, mas vemos o contrário: os deceptive designs, feitos para te levar a uma escolha de privacidade que te seja prejudicial. (56:41) E aí entramos no meu último comentário: proteção de dados. Nos baseamos muito, no Brasil, na pretensa capacidade que o titular de dados teria de efetuar a gestão de seus dados. (57:04) Na Europa, autores como Daniel Solove já verificaram que não basta se fiar apenas no consentimento. Há a “fadiga do consentimento”. Não devo apoiar toda a minha ideia de proteção de dados no consentimento, porque as pessoas não conseguem entender. (57:39) Se em países desenvolvidos já é difícil, imagine em um país com analfabetos funcionais. O consentimento tem que ser válido e informado. Como falar em consentimento informado se as pessoas não conseguem entender a que estão consentindo? Algo que acontece no setor bancário: (58:15) dizem que a prova do contrato de empréstimo é a biometria facial. Será que um analfabeto funcional entende que deixar seu rosto ser fotografado representa o consentimento para um contrato? Eu diria que existem formas de montar o sistema para que a pessoa não perceba que está contratando. O exercício do consentimento e a compreensão das políticas de privacidade, que ninguém lê. (58:55) Elas são compreensíveis? E aí entra o papel do profissional de segurança e proteção de dados de talvez usar a própria interface para explicar melhor, com resumos. (59:28) No final das contas, a autogestão da proteção de dados implica ter a habilidade de avaliar e refletir. Compreender o valor da proteção de dados é uma atividade complexa. (1:00:01) As pessoas dão seus dados e não estão nem aí, não porque se importam, mas em muitos casos, me parece, por uma relação com o analfabetismo funcional de não conseguir entender que aquilo é uma medida de proteção para si mesmo. Esses dados, no final das contas, colocam 65% da população brasileira em um cenário de limitação bem delicado. (1:00:42) Você está incluindo o intermediário aí? Sim. E já percebemos uma dificuldade no uso da tecnologia. A tecnologia tem seus riscos intrínsecos, mas mais uma vez, o elo mais fraco (1:01:10) é o ser humano, com o nível de formação que estamos fornecendo como sociedade. Teremos problemas cada vez maiores, principalmente com mudanças rápidas como a IA. (1:01:43) A IA vai desbancar o trabalho de muita gente, considerando esses níveis. Falamos que a inteligência artificial geral vai superar o ser humano, mas a IA, como está hoje, já é muito melhor do que muita gente em certas tarefas. Se não dermos uma educação decente, isso vai piorar. (1:02:24) O distanciamento será cada vez maior. Isso é desigualdade, e as consequências são imprevisíveis. Não é só o indivíduo; é nós, como sociedade, tentando funcionar, desde ter um bom atendimento em um hospital até a educação no trânsito. (1:03:01) Tudo isso é afetado por essa falha na formação. E é uma falha histórica. Depois que se perde um certo momento na vida do indivíduo, fica mais difícil. Não é algo que “depois a gente vê”. (1:03:27) Estamos produzindo gerações com esses problemas. Vemos crianças usando a internet sem controle, a ponto de as escolas terem que proibir. Por quê? Porque os pais não estão fazendo sua parte em casa. A escola tem que proibir o celular porque senão a criança não faz outra coisa. Sabe o que as crianças têm feito agora? (1:04:02) Eu vi uma reportagem: a bibliotecária de uma escola estava impressionada com as crianças invadindo a biblioteca. Sim, estão lendo. Essa proibição decorre de uma falha dos pais. (1:04:31) E aí colocaríamos a sociedade também, as redes sociais. Não acho que o pai consiga evitar sozinho. Tem um componente forte das redes. Entregar ou não o celular para uma criança de seis anos é uma decisão dos pais. A rede social não vai chegar nela se o pai não permitir. Mas no momento que você entrega e “deixa que se vire”, aí se foi. Mas, ao mesmo tempo, Guilherme, já temos uma geração (1:05:07) que não tem o hábito da leitura e que tem essas dificuldades. E essa geração é responsável por uma nova geração, seus filhos. Esses pais não têm condições de acompanhar plenamente seus filhos, nem de compreender a tecnologia e seus malefícios. (1:05:38) O cenário não é bom. Apesar de o estudo aparentar uma certa melhora nas faixas etárias mais novas, eu ainda estou muito preocupado com isso. Eu preciso ir, Vinícius. (1:06:04) Perfeito. Vamos lá. Esperamos que tenham gostado do episódio de hoje. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.  

Neste episódio comentamos as falhas de segurança no Gov.br, o bloqueio de celular por dívida e danos morais por vazamento de dados. Você irá entender os riscos e seus direitos. Guilherme Goulart analisa incidentes de segurança da informação na plataforma Gov.br, incluindo fraudes por engenharia social e a exploração de vulnerabilidades na biometria facial. A discussão aprofunda a transferência de risco ao cidadão e a falta de transparência sobre as falhas. Você descobrirá detalhes da decisão judicial que proibiu o bloqueio de celulares como garantia em microcrédito, prática abusiva segundo o direito do consumidor. Por fim, o episódio detalha uma decisão do STJ sobre responsabilidade civil e a presunção de danos morais em fraude bancária decorrente de vazamento de dados, um marco para a proteção de dados e a LGPD.​ Gostou do episódio? Siga o podcast, ative as notificações para não perder os próximos e avalie-nos na sua plataforma de áudio preferida Visite nossa campanha de financiamento coletivo e nos apoie! Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes DECRETO Nº 8.936, DE 19 DE DEZEMBRO DE 2016 Portaria SEDGG (Secretaria de Governo Digital do Ministério da Economia) Nº 2154 DE 23/02/2021 Decreto 9.756/2019 DECRETO Nº 12.069, DE 21 DE JUNHO DE 2024 Portaria SGD/ME nº 23, de 04.04.2019 Golpe no gov.br: como funciona e o que fazer para se proteger Jornalista do Estadão tem conta invadida e sofre ameaça de vazamento SIAFF ACESSADO PELO GOV.BR EM 2024 https://www.brownpipe.com.br/policia-desmantela-quadrilha-interestadual-que-fraudava-documentos-via-gov-br/ https://convergenciadigital.com.br/governo/hacker-e-preso-no-rio-de-janeiro-por-invadir-e-fraudar-o-gov-br-para-clonar-veiculos/ Desvio de R$ 15 milhões de sistema do governo segue sem solução há mais de dois meses Governo identificou autor de desvio de verbas de sistema de pagamentos, diz jornal Mais segurança: contas Ouro do GOV.BR têm crescimento de 98% em dois anos Golpistas se passavam por pessoas mortas para fraudar gov.br 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 392, gravado em 16 de maio de 2025. Eu sou o Guilherme Goulart e, desta vez somente eu, sem o Vinícius Serafim, vou trazer para vocês algumas notícias — três notícias — destas últimas semanas que nós vamos discutir aqui. Então, pegue o seu café. (00:26) No meu caso, já estou com o meu chazinho. Então, pegue a sua bebida preferida e venha conosco. Para entrar em contato conosco, você já sabe, é muito fácil. O nosso e-mail é podcast@segurançalegal.com, mas você também pode recorrer ao Mastodon, Instagram, Blue Sky e YouTube, onde, se quiser, além de nos ouvir pelo feed, pode nos ver lá no YouTube. Já pensou também em apoiar o projeto Segurança Legal? Acesse o site apoia. (00:50) se/segurançalegal, escolha uma das modalidades de apoio e, entre os benefícios recebidos, você terá acesso ao nosso grupo exclusivo de apoiadores no Telegram. Apenas para lembrar a quem nos acompanha há mais tempo, nós tivemos um problema com o PicPay. Antes, sugerimos que os nossos ouvintes fossem para o PicPay, pois era mais fácil e a taxa era menor. (01:16) E aí, um determinado dia, o PicPay disse: “Não, não vamos mais receber valores para projetos”. Então, o que aconteceu foi que muitas pessoas que migraram para o PicPay não voltaram para o Apoia-se, e nós perdemos mais da metade dos nossos apoiadores nos últimos tempos. (01:35) Então, se você está nos ouvindo e foi uma dessas pessoas que foi para o PicPay e não voltou, considere voltar a apoiar este podcast. Hoje, nós temos três notícias. Antes disso, não posso me esquecer de falar sobre o blog da Brownpipe. Se você acessar www.brownpipe.com.br, encontrará uma série de notícias, algumas das quais nós tratamos aqui. (01:59) Acredito que duas das três notícias estão no blog, mas, de qualquer forma, você consegue ver uma série de notícias cuja curadoria nós fazemos semanalmente. Se quiser, também pode se inscrever no mailing, que as notícias principais nós encaminhamos por lá também. Você já pode aproveitar e conhecer os serviços que a Brownpipe presta em www.brownpipe.com.br. (02:24) Bom, e mais uma questão. Estou com uma gripe que está alterando um pouco a minha voz, então já peço desculpas por essa voz um pouco mais anasalada que vocês terão que ouvir durante o episódio de hoje. A primeira notícia, então, diz respeito ao GOV.BR e ao que tem se tornado, na minha opinião, um grande desafio para toda essa disciplina de autenticação e de autorização, que é um ponto clássico da segurança da informação e que envolve justamente aqueles métodos. (03:01) Aqueles métodos técnicos que permitem que pessoas consigam se identificar perante sistemas e, uma vez identificadas perante sistemas, realizar ações que elas sejam autorizadas a realizar. O que nós temos visto nos últimos tempos, sobretudo nestes últimos dois anos, 2025 e 2024, e alguma coisa em 2023 também, são alguns incidentes no GOV.BR que me parecem bem preocupantes e deveriam estar sendo muito mais falados e muito mais discutidos, não somente pela (03:37) comunidade de segurança, mas também pelo próprio governo que se utiliza de um sistema. Para vocês terem uma ideia, ele é utilizado por 163 milhões de usuários aqui no Brasil e possibilita o acesso a mais de 4.500 serviços. Vejam, 4.500 serviços podem ser acessados mediante essa autenticação disponibilizada pelo GOV.BR. (04:04) Claro que conhecemos aqueles mais comuns que provavelmente todos nós aqui usamos, seja a CNH digital, ou seja, a autenticação pelo GOV.BR nos dá acesso à CNH digital, a serviços do INSS, ao próprio e-CAC, que nos permite o acesso a serviços relacionados à declaração do imposto de renda. Eu até imaginei que fossem menos serviços; quando vi o número de 4.500 (04:36) serviços, fiquei realmente surpreso. E também, aqui do próprio site do Gov.br, as contas de nível ouro do Gov.br, ou seja, aquela que te permite ir mais além e fazer mais coisas, como, por exemplo, o e-CAC e a declaração de imposto de renda com a conta ouro, tiveram um crescimento de 98% nos últimos dois anos. No final de 2022, existiam 32 milhões de contas nessa categoria; o número passou para 63 milhões em dezembro de 2024, e as contas ouro são as mais seguras da plataforma do governo federal. Em primeiro lugar, e eu confesso para vocês, este é (05:09) um tema no qual eu não me aprofundei muito, que é todo o arcabouço de regras que regulam o funcionamento do GOV.BR. Então, quando comecei a investigar um pouco algumas dessas normas, algumas eu já conhecia, claro, como a questão relacionada às políticas de segurança do governo federal e tudo mais, mas existe uma série de decretos e portarias, seja o decreto 8.936, de 2016, que começa com aquela ideia antiga — alguns talvez lembrem — da plataforma de cidadania digital, que visava à disponibilização (05:41) de uma plataforma única e centralizada, mediante um nível de autenticação requerido para acesso, compatível com as informações e seguro. Há decretos federais, uma portaria da Secretaria de Governo Digital do Ministério da Economia de 2021, que define esses tipos de identidade — bronze, prata e ouro —, sendo essa última, a ouro, com acessos, como eu disse antes, um pouco mais avançados, e diretrizes sobre a Rede Nacional do Governo Digital. Ou seja, é complexo, é bem (06:21) complexo esse arcabouço jurídico que regula e que permite tudo isso. E, claro, aquelas pessoas que vão estudar governo digital, que vão estudar direito administrativo e a relação com o digital, certamente terão um pouco mais de intimidade com todas essas regras. Vou colocar algumas dessas portarias ali no shownotes para quem quiser acompanhar ou começar uma investigação das regras que regulam todo esse sistema. Vou deixar ali no shownotes para quem tiver um pouco mais de curiosidade. Pois bem, chegamos na (06:56) questão dos incidentes. Eu mapeei aqui quatro ou cinco incidentes, sendo que os últimos dois me parecem os mais interessantes. Os últimos dois têm até alguma questão da imprensa que eu vou querer ler e reproduzir para vocês aqui, apenas para situarmos o problema e depois fazermos algumas observações sobre o que, na minha opinião, seriam os maiores problemas que estão se demonstrando agora com esses incidentes. Lá em 2023, em outubro, uma notícia de uma jornalista cuja conta do Gov.br (07:25) foi invadida; trocaram a senha e exigiram dinheiro para não divulgar dados do seu imposto de renda. Lembrando que hoje, e acho que na época isso já existia, agora não tenho certeza, mas hoje você tem uma série de mecanismos de segurança disponibilizados pelo próprio aplicativo do GOV.BR. Ou seja, você consegue tanto habilitar a autenticação de dois fatores como também autorizar aparelhos pela via do aplicativo do Gov.br instalado no seu celular. Então, se você é usuário do Gov.br, (08:03) se você está nos ouvindo, é muito provável que seja usuário do Gov.br, mas, mesmo que não seja, este é um ponto interessante. Mesmo que você não tenha criado a conta, você potencialmente é um usuário. E se você não criou essa conta e não habilitou as proteções, mesmo que não seja usuário desse sistema, você está vulnerável a eventuais golpes ou invasões da sua conta. (08:28) Então, se você é usuário do Gov.br e está nos ouvindo, mas não habilitou esses mecanismos de segurança via aplicativo, pare de nos escutar, vá lá, habilite esses mecanismos e depois volte aqui. Naquela época, provavelmente não havia essas proteções. Já em abril de 2024, e deste caso eu me lembro, e certamente vocês se lembram também, pois foi bem divulgado, foi a invasão do Sistema Integrado de Administração Financeira, o SIAF, que na época foi invadido por meio da invasão de contas do GOV.BR de alguns gestores de despesas (09:08) desse sistema. O objetivo dos fraudadores, dos criminosos, ao invadir esse sistema, era desviar recursos. E, de fato, foram desviados 15 milhões, o que só foi possível diante da invasão do GOV.BR. (09:33) Uma das hipóteses de acesso foi que os criminosos teriam realizado ataques de phishing para conseguir 16 senhas e, a partir daí, entrar no sistema e desviar esses recursos. Confesso que fiz uma pesquisa hoje para ver se descobria um pouco mais sobre esse tema, sobre o avanço dessas investigações, e não vi mais informações. Provavelmente avançou, mas não vi mais informações na imprensa. (09:58) Então, se você sabe de mais informações, pode nos enviar que atualizamos nosso shownotes ou, se for o caso, falamos em uma próxima edição. Em dezembro de 2024, também houve notícias de que uma quadrilha estava sendo investigada por invadir contas do GOV.BR para fazer empréstimos e procurações, porque essa é outra coisa. Dependendo da sua conta, você consegue realizar a assinatura digital de documentos, inclusive de procurações, até mesmo para compra e venda de veículos, conforme veremos agora em outra (10:29) fraude. E essa é uma questão importante. O GOV.BR não permite somente o acesso a esses sistemas que são cruciais para a sua vida digital perante o governo, mas também permite assinar documentos com validade jurídica, o que é importante dizer, que podem ser usados para relações entre privados, seja compra e venda de bens ou até mesmo a tomada de empréstimos. Ou seja, o problema e a expansão que a autenticação via GOV.BR proporcionou. E, claro, deve-se reconhecer que é (11:07) inegavelmente um avanço. É algo positivo, me parece, que um Estado possua serviços governamentais eficientes que possam ser realizados pelas vias digitais. Mas a eficiência também deve estar conectada com a segurança do sistema, porque, senão, você subverte a lógica. Ou seja, por um lado, você permite o acesso facilitado a serviços e, por outro, vulnerabiliza os usuários. (11:39) Agora, os dois últimos incidentes que mais me chamaram a atenção são de 2025, de maio deste ano. O primeiro deles foi uma notícia que trouxe à tona que a polícia desmantelou uma quadrilha que fraudava documentos pelo GOV.BR. E, claro, tem aqueles nomes superinteressantes das operações, aqui é a Operação Crypteia. Vou ler para vocês exatamente como se dava essa fraude: “As investigações revelaram que o líder do grupo, já cumprindo pena superior a 70 anos em uma penitenciária (12:16) gaúcha, comandava a aquisição de veículos roubados e furtados no Rio Grande do Sul e em Santa Catarina. Esses veículos então eram adulterados por uma outra célula e, posteriormente, um estudante de tecnologia de 24 anos, residente no Rio de Janeiro, utilizava engenharia social para invadir contas GOV.BR dos proprietários dos veículos originais”. Ou seja, eles clonavam os veículos e buscavam invadir a conta GOV.BR do proprietário do veículo original que teria sido clonado, obtendo acesso à documentação veicular. Com o veículo clonado e com acesso aos (12:51) documentos, os criminosos passavam a anunciar a venda do veículo em marketplaces por um valor abaixo do mercado, atraindo o interesse de terceiros que acabavam realizando a compra do veículo. Nesse momento, valendo-se do acesso fraudulento ao GOV.BR, um dos criminosos realizava a transferência de documentação do veículo original para a vítima. (13:17) Esta, com a documentação e o veículo em mãos, ao buscar a vistoria do Detran, verificava que se tratava de um veículo produto de furto ou roubo. E aí a fraude já estava concluída, o dinheiro já tinha sido desviado e o comprador do veículo ficava com o prejuízo. Notem, e essa é uma questão que em geral na nossa área ocorre, e a gente está sempre comentando isso aqui, a imprensa não dá tantos detalhes. Então, aqui não dá para saber se estavam habilitados os níveis avançados de autenticação nessas contas que eram (13:49) invadidas. Esse é um ponto importante. Lembrando que também teve outra situação, eu não trouxe aqui, mas agora me lembro, que também foi comentada aqui no podcast, sobre fraudes em que a alegação era que pessoas de dentro, pessoas que tinham contato com a infraestrutura técnica do GOV.BR, estariam manipulando esses acessos e permitindo o acesso não pela via de um hacking, não por um phishing que roubava a senha do usuário, mas sim por dentro do próprio sistema, o que me parece uma (14:28) vulnerabilidade bastante importante e que, creio, não foi adequadamente tratada pela imprensa. Porque, vejam, são duas fontes de ataques aqui: fraudadores externos e ainda pessoas que, internamente, poderiam subverter a segurança do sistema. (14:52) E me parece que essa segunda hipótese é mais grave. Porque no fraudador, no criminoso, você não tem confiança. Agora, o cidadão necessita e pressupõe a confiança no sistema. Pode não ser um sistema 100% seguro. (15:12) Não existe sistema 100% seguro, mas vulnerabilidades internas que permitiriam essa manipulação são algo muito mais grave. E, veja, talvez indetectável do ponto de vista do usuário que tenha sua conta fraudada e que, eventualmente, pode não conseguir comprovar a origem dessa fraude, tendo que suportar o ônus, a impossibilidade de comprovar esse ônus, de que houve uma fraude, uma vez que ele pode não conseguir provas de que a fraude se deu por dentro do próprio sistema. (15:41) E a última fraude, agora mais recente, que aconteceu em maio também, logo depois dessa, foi a Operação Face Off para desarticular um grupo suspeito de fraudar contas do Gov.br. O grupo teria invadido ao menos 3.000 contas e havia duas frentes: uma em que o grupo se passava por pessoas mortas para furtar dinheiro de falecidos em contas e outra em que se passavam por pessoas vivas para autorizar consignados e também acessar valores a receber do Banco Central. O Banco Central tem algumas ferramentas de valores que (16:15) ficam a receber, que as pessoas não sacam. Enfim, a ideia seria essa. Qual a novidade aqui, também com pouquíssimas informações da imprensa? A descrição dada pelas reportagens é que o grupo usava, abre aspas, “técnicas de alteração facial para burlar sistemas de autenticação biométrica”. Aqui, uma pequena nota do editor. (16:40) Logo depois que eu terminei a gravação, eu vi uma reportagem bem interessante aqui do Tilt, UOL, que vai ficar no shownotes também, em que eles trazem mais alguns elementos do que pode realmente ter acontecido. (16:59) Eles entrevistaram especialistas nessa tecnologia, nessas tecnologias de inteligência artificial. Eles fazem ali uma diferença, acho que comentei antes, sobre as tecnologias de liveness, que seria o liveness passivo e o liveness ativo, que são aqueles que vocês já devem ter visto, quando a gente precisa movimentar o rosto, sorrir, enfim. (17:27) Mas, em geral, movimentar para cima, para baixo, era uma ideia de dar realmente essa prova de vida, de que você não está diante de uma imagem. E eles fazem algumas considerações também, trazendo algumas hipóteses. Quem fala aqui é o Iago Kenji, um pesquisador e também presidente da ABRACIBER, Associação Brasileira de Segurança Cibernética. E as hipóteses interessantes que são colocadas aqui, com todas essas novas possibilidades trazidas pela IA de deepfakes ou até mesmo, a gente já viu, tem um cara famoso na internet que faz alguns deepfakes a título de quadro (18:04) humorístico, e até coisas mais específicas, como impressões de máscaras e coisas desse gênero que seriam possíveis de ser utilizadas para burlar esses algoritmos. Mas, enfim, abriu-se agora com a IA também a possibilidade de se utilizar de imagens muito fiéis à realidade, com a quantidade de câmeras de alta definição, placas de vídeo, etc. Então, isso também poderia ter sido utilizado. (18:37) Lembrando só que a gente não tem informações de qual é o tipo de tecnologia de liveness que era usada no GOV.BR, ou que é usada ainda. Sabendo também que, até em alguns testes e alguns serviços que foram feitos aqui na Brownpipe, conseguiu-se, com imagens e tudo mais, em algoritmos não tão eficientes de reconhecimento facial, burlar esses algoritmos. Mas essa é uma coisa bem conhecida dentro da segurança da informação. (19:04) É possível fazer testes de invasão ou testes de segurança nessas tecnologias também. Então, fica só essa atualização desta notícia que saiu depois da gravação do episódio. O que emerge aqui, aparentemente, é que havia ou há algum problema na biometria do GOV.BR. (19:28) Esse problema foi percebido, uma vulnerabilidade, para usar um termo técnico melhor, e essa vulnerabilidade foi descoberta e estaria sendo explorada. Qual o problema? O problema é que me parece que, por ser um sistema público, nós deveríamos ter a informação de qual é essa vulnerabilidade, se ela já foi resolvida ou não, porque, para este tipo de sistema, a opacidade nas informações não me parece a melhor estratégia. Eu até, enquanto falo aqui, estou acessando a nossa lista de episódios, mas nós (20:04) inclusive gravamos um episódio já bem antigo, e eu não vou me lembrar do termo agora para procurar, mas era um episódio que falava justamente sobre quando, na segurança da informação, é desejável o sigilo de informações e quando não é, mais numa perspectiva de software livre e software de código fechado, e sobre como essas estratégias… até falamos um pouco sobre economia, sobre segurança da informação e economia na análise econômica do direito e também da (20:42) segurança da informação. Infelizmente, aqui eu não estou achando o episódio, mas, enfim, falamos sobre isso no passado e me parece que, neste caso, pelo fato de se tratar de um sistema público e pela característica de transparência desses sistemas, o Estado deveria dar mais informações sobre o que exatamente aconteceu, porque, afinal de contas, somos todos nós que podemos, eventualmente, estar vulneráveis neste momento a ataques dessa natureza. Quais são os dilemas aqui? (21:21) Eu acho que um primeiro ponto, um tema que a gente sempre comenta aqui também, é essa relação que ocorre na segurança entre o binômio segurança e conveniência, que é um dos grandes trade-offs do mercado de segurança. Aumentar a conveniência muitas vezes vai não somente criar novas situações de vulnerabilidade, algumas delas vulnerabilidades pessoais, nem sempre tecnológicas, mas quando falamos de possibilidades de um sistema estar apto a ser violado pela via de fraudes no sentido de (21:59) engenharia social, nós temos uma vulnerabilidade ali pessoal. Ou seja, eu tenho que considerar numa matriz de risco da utilização de acesso a sistemas as eventuais possibilidades de fraudes pela via da engenharia social. Então, este aqui é o primeiro ponto: aumentar a conveniência pode diminuir a segurança, o que, na maioria das vezes, é o que acaba acontecendo. (22:33) Em alguns casos, a opção por, por exemplo, migrar um sistema que antes era físico para o ambiente digital vai transferir o risco de uma pessoa para outra. A partir do momento em que um sistema bancário, falo do sistema bancário brasileiro, permite abrir contas à distância, realizar transações financeiras à distância, alguns dos riscos dessas operações… veja, o CDC impede essa transferência de risco, mas na prática é um fato que alguns desses riscos serão transferidos. (23:06) Claro que as instituições financeiras obviamente trabalham para mitigar esses riscos, mas há uma transferência de risco. Eu gosto sempre de dar o exemplo para ver como segurança é uma questão complexa e multifacetada. Não é só tecnologia; tem uma série de coisas envolvidas. Pense nessas chaves eletrônicas de carro. Não é algo novo. (23:25) Você tem lá um mecanismo, um sistema, acho que com chaves… O Vinícius saberia explicar melhor, com criptografia, chave pública e privada, eu imagino. O Vinícius saberia explicar melhor isso, mas você só consegue ligar o carro com aquela chave encriptada. Antigamente, você abria o carro, fazia uma ligação direta e conseguia ligar o carro sem a presença daquela chave. O que essa opção técnica faz com a segurança dos donos (24:01) dos carros? Do ponto de vista do ladrão, do cara que quer roubar um carro, o que vai acontecer é que ele vai precisar da chave. Logo, ele vai precisar ter um contato físico com o proprietário. Ou seja, ele precisa retirar a chave do proprietário para pegar o carro. (24:21) Ou ele ataca o proprietário quando estiver entrando no carro ou quando o proprietário estiver no carro. Ele vai precisar retirar à força, com violência, o proprietário de dentro do carro. Note que isso é uma transferência de risco para o proprietário. Tudo bem, não se consegue mais furtar o carro do sujeito, mas, ao mesmo tempo, ele fica exposto a situações em que o criminoso precisa ter um contato físico com ele, expondo-o a situações de risco de vida, até mesmo. Então, notem: quando eu faço uma escolha para permitir que (24:53) todos os sistemas governamentais sejam acessados pela mesma via, eventuais problemas nessa seleção e nessa gestão de riscos podem acabar transferindo para as pessoas algumas responsabilidades com as quais elas não estavam acostumadas a lidar. (25:15) Vamos pensar na nossa vida cotidiana hoje, com a responsabilidade que acabamos tendo — e aqui falo da palavra responsabilidade não no âmbito jurídico, mas talvez como um ônus que acabamos recebendo — de ficar o tempo inteiro reagindo a tentativas de fraude telefônicas, muitas vezes criativas, seja por e-mail, seja por telefone. Hoje, todo mundo fica recebendo ligações cotidianas com fraudadores tentando te enganar, basicamente para retirar dinheiro. Mas, nesses casos do Gov.br, as (25:50) fraudes são muito mais sofisticadas. Será que as pessoas estão preparadas para lidar com esse novo cenário? Veja, preparadas em vários sentidos. Por exemplo, quando falamos em assinatura digital, sabemos pela Medida Provisória que há uma presunção de veracidade da assinatura digital sendo realizada, ou seja, de algum documento assinado digitalmente com o uso da chave privada da pessoa, o que faz com que, em caso de fraude, e por essa presunção de veracidade, seja o titular da chave privada que vai (26:30) precisar comprovar que ele não assinou aquele documento naquelas circunstâncias. Ou seja, inverte-se o ônus da prova. E note, é muito bom, muito interessante, assinar à distância e tudo mais, mas você tem o ônus de proteger a sua chave privada de uma forma absurda. (26:52) Com o GOV.BR, eu já consigo assinar documentos também com a mesma perspectiva de validade por dentro do sistema do GOV.BR, sem, no entanto, por exemplo, conseguir proteger ou manipular minha chave privada. Aquilo é feito pelo próprio sistema. E me parece que é uma situação importante de falarmos aqui também. E, claro, todo esse problema de transferência de risco se torna mais crítico quando pensamos, e aí para nós, para vocês que estão nos ouvindo aqui, para a nossa audiência, que provavelmente têm uma intimidade maior com sistemas eletrônicos, com fraudes, é uma coisa que estamos falando todos os (27:37) dias aqui. Mas não somos imunes, viu, gente? Troy Hunt, um grande pesquisador, dia desses caiu num phishing. Não lembro se já falamos no episódio aqui, mas imagine: um dos maiores pesquisadores de segurança do mundo foi pego num momento em que estava cansado, chegou num evento e caiu no phishing. Então, nós não somos invulneráveis a ataques. (28:07) Mas o que eu queria dizer é sobre todo esse grupo de pessoas hipervulneráveis: pessoas idosas, pessoas que não têm nenhum conhecimento de tecnologia, que de repente têm diante de si a possibilidade de realizar o acesso a uma miríade de serviços pela via do GOV.BR, mas que, ao mesmo tempo, não estão preparadas para lidar com os riscos. (28:31) Vejam, riscos estes que lhes foram transferidos, pelo menos de agir diligentemente diante de tentativas de ataques. Pense numa pessoa idosa que recebe uma ligação e não vai conseguir lidar com isso. E, pior, o problema acaba sendo este: mesmo que uma pessoa não seja usuária do sistema, que ela não tenha criado a conta no Gov.br, ela está vulnerável, porque outras pessoas podem criar a conta em nome dela. Basta pensar no que vimos recentemente, que já começa a se desenrolar nessa fraude do INSS. Algumas situações em que (29:10) haveria invasões pelo Gov.br para empréstimos. E já estariam tomando medidas adicionais por conta disso. Então, me parece que não se está levando em consideração também esse cenário de que as pessoas, sobretudo os hipervulneráveis, pessoas idosas e até mesmo pessoas que não têm conta, podem acabar entrando em situações em que fraudes serão cometidas e elas não conseguirão lidar com essa situação. Dou um depoimento aqui: nós pudemos acompanhar uma situação de uma pessoa (29:44) que, na época, alegou uma fraude. Ela diz que houve uma fraude porque aconteceu algo que ela diz que não fez, então foi feito por alguém sem a sua autorização. Ao tentar resolver o problema perante o GOV.BR, ela enfrentou problemas muito grandes, tanto de comunicação, de registro disso, de um contato extremamente burocrático. E, no final das contas, ela queria inclusive os logs, pelo menos para saber quais os endereços de IP que (30:22) teriam acessado a sua própria conta. Ou seja, o próprio usuário pedindo o acesso aos logs da sua própria conta. E isso foi negado para ela. Ou seja, ela precisaria de uma ação judicial se quisesse levar a questão adiante. Notem, essa deveria ser uma funcionalidade padrão do GOV.BR. (30:42) Sistemas absurdamente menos críticos possuem isso. Inclusive, a ISO 27002 fala sobre isso. Você mostra lá o seu último logon, que foi em tal dia, tal hora, e veio do IP tal. É uma coisa super simples com a qual você consegue, pelo menos, identificar situações de acessos não autorizados. (31:01) O próprio Gmail é assim. Tem um botão, você clica ali e consegue ver o endereço de IP, a hora dos logons e o dispositivo que foi utilizado. Então, diante deste caso específico que presenciamos, me parece que o governo deveria avançar para ter um centro de gestão de incidentes, especificamente para o GOV.BR, em que as pessoas atingidas pudessem ter um diálogo, uma comunicação e uma forma mais eficiente de resolução. Lembrem-se, negou-se o acesso a dados pessoais do próprio titular. (31:39) Ou seja, tem um problema de Lei de Proteção de Dados aí, porque o sujeito tem o direito de ter acesso aos seus dados pessoais, se for uma conta sua, aos dados de endereços de IP que acessaram sua conta sem a sua autorização. Isso é o básico do básico. Então, ficam essas reflexões sobre o caso GOV.BR. (32:03) Vamos ver o que vem a seguir e vamos ficar atentos. E, mais uma vez, se você chegou aqui, tem conta e não fez os registros, a habilitação do segundo nível de autenticação e a autorização de acesso pelo aplicativo, faça isso neste exato momento. Bom, a outra notícia que eu preparei para este episódio foi um caso que também me chamou bastante atenção na época. (32:41) Nós gravamos sobre isso lá no episódio 305, do dia 18 de fevereiro de 2022, portanto, há mais de 3 anos. Episódio 305, “Telefone como garantia”. Eu não sei se vocês lembram dessa questão. Pessoalmente, fiquei muito afetado, foi uma coisa que me tocou, porque, na época, a questão era uma prática que envolvia a realização de empréstimos tendo o celular como garantia. (33:19) De forma bem resumida, até porque já estamos com 30 minutos e eu já começo a perder a voz, mas não vamos deixá-los sem episódio. Como funcionava? De forma bem resumida, a pessoa, ao solicitar o empréstimo, poderia obter taxas mais baixas. Essa era a propaganda. Só que, na verdade, as taxas não eram mais baixas. Taxas de juros remuneratórios desse empréstimo, caso ela desse seu celular como garantia. (33:43) Mas não se tratava de uma garantia do celular enquanto objeto. Não era uma questão da propriedade do celular, não era como uma alienação fiduciária, como você faz com veículos e imóveis, por exemplo. Não era essa a ideia. A ideia é que essas empresas instalavam, você tinha uma dinâmica que era por meio da instalação de aplicativos, inclusive por fora da loja de aplicativos do Android; só funcionava com Android. E depois, outras empresas também começaram a (34:21) realizar uma situação semelhante usando o Samsung Knox, que é, inicialmente, uma plataforma, um sistema usado para o controle corporativo de celulares, para você poder bloquear, ter acesso aos dados e tudo mais. (34:44) Mas isso estava sendo usado para que pudesse ser realizado o bloqueio do celular em caso de inadimplemento da dívida. Então, o sujeito pedia o empréstimo, dava o celular como garantia, mas na verdade o que acontecia é que ele instalava um aplicativo ou habilitava, via Knox, o acesso da financeira que emprestava o dinheiro e, caso houvesse inadimplemento, essa financeira bloqueava as funções do celular até que o devedor pagasse sua dívida. (35:19) Isso chamou bastante atenção na época, e fizemos várias observações. Você pode ouvir lá no episódio 305. Mas o que me chamou bastante atenção, conforme vamos ver agora, é que muitas dessas observações — claro, acho que não ouviram nosso episódio, embora o promotor, o Paulo Roberto Binicheski, nosso conhecido, com quem já me encontrei em algumas situações e que tem um livro muito famoso sobre responsabilidade dos provedores… (35:46) Embora a gente tenha esse contato, acredito que ele não deva ter ouvido o episódio, mas é interessante, porque várias das coisas que falamos acabaram se refletindo como fundamentos, no sentido de que era algo meio óbvio. Quais foram nossas observações na época? Nós considerávamos essa prática como abusiva por várias razões. (36:13) Primeiro, porque essas modalidades de microcrédito eram direcionadas para pessoas, inclusive, que estivessem negativadas, ou seja, pessoas mais vulneráveis ainda. Essas pessoas, além de estarem nessa situação de vulnerabilidade por já estarem negativadas, muitas vezes não conseguiam entender exatamente quais as consequências dessa possibilidade de bloqueio. Então, nos posicionamos na época de que essa era uma prática abusiva, que seria, inclusive, uma cobrança abusiva, já que limitava o uso do celular, entendido como um bem essencial. E isso foi reproduzido na decisão que vou (36:54) falar um pouquinho, mas foi reproduzido na decisão. Por quê? Porque o celular hoje acaba sendo um meio para acesso a uma série de contas ou serviços que você não consegue acessar sem ele. Estamos falando sobre GOV.BR aqui, que até pode ser acessado de outras formas, mas serviços públicos, carteira de motorista digital, por exemplo, o Meu INSS, toda essa questão que está (37:32) acontecendo agora sobre as fraudes, tudo isso é acessado pelo celular. Você fala com pessoas por aplicativos como o próprio WhatsApp, que se tornou um aplicativo onipresente nos celulares, pelo menos no Brasil. E até mesmo outros serviços bancários. Ou seja, o sujeito tem o celular dele bloqueado e sequer consegue acesso à conta dele, porque em alguns bancos hoje, para que você acesse pela web, tem que liberar o acesso pela via do celular. Então, isso coloca a (38:10) pessoa em uma situação bastante delicada. E na época também eu me manifestei que, embora não se tratasse de consolidar a propriedade do celular com a financeira, como se faz na alienação fiduciária, porque não era disso que se tratava. (38:34) Inclusive, na própria decisão se comenta que a financeira nem tinha interesse em obter a propriedade do celular; não era disso que se tratava. Ela queria justamente implementar uma prática para coagir a pessoa, ilegalmente, a realizar o pagamento. Então, na época eu disse que seria uma restrição exagerada ao direito de propriedade, porque, na verdade, ao bloquear o celular, você bloqueia também as possibilidades de uso, os poderes inerentes ao domínio da propriedade: uso, gozo e disposição. Você limita um dos poderes ou faculdades inerentes ao direito de (39:13) propriedade do próprio telefone celular. Então, na época, depois de todos esses comentários, o Ministério Público do Distrito Federal, como eu já disse, pela via do promotor Paulo Binicheski, e também o IDEC, entraram com essa ação pública, isso lá em 2022. Corta para 2025 e sai agora a decisão em apelação, seguindo bem na linha daquilo que afirmamos. Considerou a prática abusiva, obrigando as duas rés a não mais firmar esse tipo de contrato com garantia de celular. Houve um pedido também de indenização por danos morais (39:55) coletivos de R$40 milhões, mas as empresas não foram condenadas a pagar esses danos morais coletivos. Em resumo, reconheceu-se que essa seria uma prática abusiva, que era uma coação indireta e ilegal para o pagamento da dívida, e que o celular é, sim, um bem essencial. Mas eles foram mais além. A tese da decisão era de que a restrição ao uso do celular, enquanto bem essencial, compromete outros direitos fundamentais. Olha que interessante. Eu diria até proteção de dados. Você fica inviabilizado de ter acesso a (40:34) alguns dados, compromete-se aí o direito fundamental à proteção de dados. Esse bloqueio antecipado impediria, inclusive, eventuais discussões sobre a natureza da dívida ou sobre o eventual abuso de juros, por exemplo, e que seria uma execução extrajudicial sem o devido processo legal. (40:58) E, no fim das contas, reconheceu e apontou a hipervulnerabilidade desses consumidores envolvidos, destacando que as taxas, que alegadamente seriam mais baixas, na verdade eram muito mais altas, girando em torno de 14,9% e 18,5% ao mês. Portanto, demorou um pouquinho, três anos, mas finalmente vimos o que, na minha opinião e na opinião também do Tribunal de Justiça do Distrito Federal e dos Territórios, foi considerada uma prática abusiva e que não deve mais se repetir. Um bom sinal, uma boa decisão, ao lidar com o patrimônio das pessoas e também com a vulnerabilidade. Note que (41:38) temos a vulnerabilidade nessas duas notícias e na terceira que eu vou ler agora, que também é um pouco mais jurídica, mas tem a ver com proteção de dados. Todas as três envolvem a consideração da vulnerabilidade dos usuários e dos titulares de dados pessoais. Bom, vamos à terceira. (41:55) Antes que minha voz acabe, tivemos uma decisão recente e me parece que é uma das decisões mais importantes dos últimos tempos ao definir os contornos da responsabilidade por vazamento de dados pessoais e também ao tratar sobre o dano pelo vazamento de dados pessoais, que eu acho que é um dos temas mais interessantes dessa disciplina e uma das grandes questões da proteção de dados. Ou seja, como eu defino a ocorrência do dano pelo vazamento de dados pessoais? Colocado de uma outra forma mais simplista: toda vez que houver um vazamento de dados pessoais, (42:33) há um dano indenizável? A resposta, de início, é não. Mas, ao mesmo tempo, notamos que os tribunais têm tido, ao longo dos últimos anos, uma certa dificuldade em definir quais são esses parâmetros. Sabemos, repito, que o mero vazamento por si só não gera o reconhecimento do dano. (43:03) Eu preciso de outras circunstâncias coligadas ao vazamento que vão demonstrar, seja o dano patrimonial — e esse fica mais fácil no caso de fraudes; o sujeito é vítima de uma fraude, paga um boleto falso, como foi este caso aqui. Se a fraude foi habilitada pelo vazamento de dados, teremos aí a responsabilidade da instituição financeira, definida pelo próprio STJ nesses dois casos e em outros, de que se o vazamento foi a causa ou habilitou a fraude cometida por (43:41) terceiros, eu tenho a indenização pelos danos patrimoniais. Ou seja, o sujeito pagou um boleto de R$1.000 que não deveria pagar. Ou se considera o pagamento do falso boleto como apto a pagar a dívida junto à financeira. (44:03) Inclusive, tem no direito das obrigações a figura do credor putativo. Ou, se for o caso, ele pagou um boleto que não deveria, o banco restitui esse valor, e aí eu tenho uma responsabilidade e um dano patrimonial, em dinheiro. Claro, não é fácil definir os contornos do dano. Um dos argumentos incorretos que já vimos na jurisprudência seria: “Ah, só há dano extrapatrimonial, ou seja, dano moral, se os dados forem sensíveis”. A lei definitivamente não fala sobre isso, mas o que tivemos foi a fixação da tese pelo STJ de que, se houve o vazamento de dados sensíveis, (44:44) o dano é presumido. Um caso recentíssimo envolvendo uma seguradora em que vazaram os dados da declaração de risco do sujeito, inclusive dados de saúde, portanto, dano moral presumido. O problema é que, para fora dos danos morais presumidos no caso de dados sensíveis, mesmo dados pessoais não sensíveis terão o condão de causar uma série de danos. Claro, quando falamos de responsabilidade civil, não basta a violação da lei. Eu preciso da violação (45:22) da lei e que essa violação cause um dano à pessoa. E aí chegamos ao ponto: quando, então, o vazamento de dados pessoais poderia causar danos extrapatrimoniais, ou seja, danos morais? E isso vem… poderíamos pensar na nossa vida mesmo. Como um vazamento poderia nos causar um dano moral, um dano que atinge nossos direitos da personalidade? Aqui seria todo esse abalo emocional que alguém tem ao perceber que (46:00) seus dados foram vazados, a incerteza, a insegurança de que alguma coisa pode acontecer, a situação de alerta, de constante intranquilidade, de receio. Você tem que estar sempre atento. Como vou resolver isso? Até mesmo para nós, que temos conhecimento nessa área, enfrentar um vazamento de dados pessoais, mesmo que não sejam sensíveis, é algo que compromete nossa moral, que causa abalos morais, mesmo que sejam dados cadastrais. Dependendo do contexto, a (46:37) depender de onde meus dados cadastrais estavam, pode dizer mais. Se forem dados cadastrais de um determinado serviço qualquer, pode me vincular a um certo tipo de orientação. Pode até ser uma situação em que a relação do dado cadastral com um tipo de serviço poderia criar uma situação sensível. Vazamento de dados cadastrais de um hospital de câncer. (47:02) Bom, aí não são somente os dados cadastrais, são os dados cadastrais relacionados com uma situação de fundo. E, além do que, não podemos nos esquecer que privacidade é um direito autônomo em relação à proteção de dados. Logo, em uma violação de dados pessoais, eu poderia também violar a privacidade, e aí eu teria o dano moral pela violação também da privacidade. E o que torna essa situação mais complexa na prestação de serviços financeiros? É que, por mais que esses serviços financeiros não sejam protegidos por sigilo, eles não se encaixam na categoria de dados sensíveis (47:45) lá da LGPD — dados relacionados à saúde, orientação política, sexual, genéticos. Ou seja, por mais que o vazamento de dados financeiros tenha o condão de causar danos patrimoniais para a pessoa, esses dados, pela lei, não são considerados sensíveis. (48:10) Não poderiam se encaixar naquela outra decisão que comentei antes, em que se presume o dano moral pela violação de dados sensíveis. Pois bem, o que aconteceu agora? Vimos essa decisão recente, lá do STJ, número 2.108.785-4, que reconheceu a presunção de danos morais pelo vazamento de dados pessoais nas situações em que esse vazamento habilita a realização de uma fraude bancária, uma fraude financeira. E se apontou literalmente a questão da sensação de insegurança do titular dos dados. (48:46) E eu acho que foi uma evolução muito bem-vinda para a nossa jurisprudência e que aproximou esse entendimento, embora a decisão não tenha referenciado esta outra decisão que vou comentar agora, que foi um acórdão do Tribunal de Justiça da União Europeia de 2024, que reconheceu a existência de danos morais nos casos de vazamentos. Ou seja, reconheceu que, nos casos de vazamento de dados, pode existir um dano moral baseado no receio de danos futuros. Ou seja, a pessoa que tem seus dados vazados, (49:28) mesmo que esses dados não tenham sido utilizados, a circunstância de colocar esse titular em uma situação de receio de que os dados podem ser usados no futuro, de que esses dados estão na posse ou no poder de pessoas não autorizadas, de criminosos que você não sabe quem são… (49:48) Lá na União Europeia, aliado à própria perda de controle desses dados, considerou-se que esse era um dano moral, um dano extrapatrimonial indenizável. E aqui, qual foi o caso concreto? A correntista foi vítima de um golpe de boleto, e esse golpe só foi permitido porque os fraudadores tinham acesso a dados do seu financiamento bancário: CPF, modelo do veículo financiado, número de parcelas a vencer e até o valor das próprias parcelas. (50:18) Então, o fraudador, diante do acesso ilegítimo a esses dados, consegue realizar um ataque de engenharia social muito factível. (50:38) Afinal de contas, a pessoa recebe uma ligação de alguém que se comporta como um funcionário da instituição financeira, com todas essas informações, e é levada ao erro. Mas veja, ela só é levada ao erro… claro, em outras decisões em que não há esses dados, a jurisprudência tem reconhecido que, sem os dados, seria uma falha no dever de cuidado da pessoa, uma culpa exclusiva da vítima ou do correntista ao não adotar as cautelas necessárias, o que é bem discutível, porque haveria uma transferência de risco. Mas o fato aqui é que a (51:12) fraude fica muito mais confiável. Então, nessas situações, presume-se que os dados vazaram da instituição financeira e que, portanto, isso demonstraria uma falha grave de segurança, reconhecida assim pela LGPD. E a grande novidade dessa decisão, e por isso que ela está aqui, é que, a partir de agora, no caso de vazamentos, eu tenho um descolamento, eu tenho dois danos aqui. (51:45) Tenho o dano patrimonial, que se dá pela devolução dos valores ou pelo reconhecimento da validade daquele pagamento. Ou seja, eu paguei o boleto falso. Então, por conta de tudo isso, a financeira deveria considerar que aquele pagamento é válido, a figura do credor putativo que comentei antes. (52:02) Isso é o dano patrimonial. Mas agora, a novidade foi reconhecer que, junto com o dano patrimonial, reconhece-se o dano extrapatrimonial. São dois danos autônomos que merecem uma indenização igualmente autônoma, e se presume o dano moral nos casos em que o vazamento dos dados habilitou a fraude. São, portanto, dois danos autônomos provenientes da mesma situação. (52:38) Vou ler um trechinho da decisão: “A configuração do dano moral decorre do evidente sentimento de insegurança experimentado pela parte ao perceber que seus dados foram disponibilizados indevidamente para terceiros, favorecendo a prática de atos ilícitos ou contratações fraudulentas por eventuais terceiros de má-fé”. Parece-me, então, para terminar, que essa é uma decisão extremamente importante. (53:03) É um reconhecimento de um dano que a jurisprudência vinha vacilando em considerar, claro, numa perspectiva de fraudes financeiras. Mas o que eu espero é que as decisões judiciais vão ter que se adaptar a esse precedente, e ele deve influenciar outras decisões também, porque sempre havia uma certa dificuldade de reconhecer o dano moral pelo vazamento de dados não sensíveis. (53:36) E o que vimos agora, repito, nessa perspectiva de serviços financeiros, que eu sei que é bem típica, o que acredito e espero é que isso vá influenciar também outras decisões. (53:55) Porque, no final das contas, a Lei Geral de Proteção de Dados visa à proteção do titular, e muitas vezes não vemos essa proteção acontecendo por uma série de razões. Acredito que foi um passo interessante. Ah, mas é uma decisão alinhada com o que a União Europeia tem feito? (54:14) Aliás, a União Europeia, para quem acompanha as decisões, é muitíssimo mais rígida na fixação de danos morais pelo vazamento de dados. Mas, então, houve essa aproximação. É uma bela decisão. E com isso, vou terminando o episódio de hoje. Sozinho aqui, para não deixar a peteca cair. Na próxima, voltaremos juntos. (54:36) Mas agradeço a audiência de todos e todas. Espero que o episódio de hoje tenha sido proveitoso e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima.  

Neste episódio, comentamos o vazamento de dados da XP Investimentos. Guilherme Goulart e Vinícius Serafim analisam o incidente, os dados expostos e o que você precisa saber para se proteger de fraudes.​ Guilherme Goulart e Vinícius Serafim aprofundam a análise sobre o grave incidente de segurança que resultou em um significativo vazamento de dados de clientes. Eles discutem as implicações para a proteção de dados e a violação da privacidade, abordando a demora na comunicação do ocorrido e as exigências da LGPD e da ANPD. O debate detalha como os dados financeiros e dados pessoais expostos (como saldo, perfil de investidor e informações sobre produtos) aumentam drasticamente os riscos de fraudes, phishing e ataques de engenharia social, revelando o que criminosos podem inferir sobre seu patrimônio e estilo de vida.​ Gostou do episódio? Siga, assine e avalie o Segurança Legal no seu agregador de podcasts favorito para não perder nenhuma análise.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – Aprova o Regulamento de Comunicação de Incidente de Segurança O que são escritórios/assessores vinculados a XP? Encarregado de dados: após fiscalização, empresas cumprem obrigações da LGPD 2024-08-12 – Episódio #371 – 1º Encontro de Encarregados da ANPD 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 391, gravado em 30 de abril de 2025. Eu sou Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos acompanham ou que nos assistem posteriormente no YouTube. (00:34) Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Pegue o seu café e venha conosco. Hoje estou com um chazinho aqui, mais leve. Para entrar em contato conosco, você já sabe: basta enviar uma mensagem para podcast@segurançalegal. (00:52) .com ou também pelo Mastodon, Instagram, Blue Sky e YouTube. Você também pode apoiar o projeto Segurança Legal no apoia.se/segurançalegal. Existem as modalidades de apoio, você participa do grupo do Telegram, mas, o principal: você está ajudando um projeto de geração de conteúdo e de conhecimento livre e desimpedido. (01:13) Os podcasts, Vinícius, são a resistência. Nós somos a resistência. Antes de começarmos com as duas notícias – hoje teremos somente duas, até para que conseguíssemos entregar o episódio no feriado, neste pseudoferiadão, já que sexta não é feriado, mas muita gente vai emendar – eu gostaria de mandar um abraço. Eu estive em dois eventos, Vinícius, um na sexta passada e um na segunda-feira passada. (01:52) O primeiro deles foi o evento da Abrad, o Congresso Nacional de Direito Educacional, feito pela Associação Brasileira de Direito Educacional (Brad). Aqui no Rio Grande do Sul, ela é representada pelo Maurício Teles, um amigo meu de longa data. Conheço-o há bastante tempo, de quando dei algumas aulas no Verbo Jurídico e ele trabalhava lá. (02:18) Então, ele gentilmente me convidou e eu pude falar um pouco, Vinícius, por apenas 15 minutos, sobre ética, educação e inteligência artificial. Tu conseguiste falar em 15 minutos? Eu duvido. Não, mas levei alguns elementos do nosso podcast, algumas coisas que já comentamos aqui, como aquela pesquisa da Microsoft, e a partir dali apresentei alguns breves elementos. (02:44) O segundo, Vinícius, foi uma palestra que concorreu na segunda-feira com nosso querido amigo Fabiano Menke, o professor da UFRGS, nosso amigo de longa data com quem já escrevemos juntos. Ele já passou aqui pelo Segurança Legal e me convidou para falarmos lá na UFRGS sobre as interfaces entre inteligência artificial e proteção de dados. (03:10) E foi um diálogo muito bacana, porque temos pensado nisso ao longo dos últimos anos. O próprio Menke falou sobre isso, Vinícius, e esse nosso diálogo que temos aqui no podcast também, há bastante tempo falando sobre esses temas. É sempre bom também, porque fui lá para aprender com o Fabiano Menke, que é uma grande autoridade no tema. Foi aquela troca de ideias, aquele tipo de conversa em que você aprende com a pessoa, pensa junto, e de repente percebe que não é bem assim. Foi uma coisa muito bacana. O Rafael (03:43) Escaroni, também mestre pela UFRGS e sócio do Fabiano Menke, estava lá também, meu conhecido há bastante tempo. E ele foi supergentil, porque disse que ouve o podcast e fez uma pergunta envolvendo um dos temas que tratamos. (04:00) Ele comentou: “Muito bom te ver, porque às vezes fico dialogando com vocês na minha mente enquanto estou ouvindo”. Foi muito bom encontrar ouvintes do podcast, encontrar o Rafael Escaroni e também poder trocar uma ideia com o Fabiano Menke sobre essas interfaces. (04:21) E um recado para os nossos ouvintes: eu já percebi, não sei se já aconteceu contigo, mas percebi agora recentemente, em uma viagem que fiz, algumas pessoas me olhando de uma maneira meio… tentando confirmar a identidade. Então, só para dar um recado: se vocês nos virem por aí, não tenham medo. A gente fica superfeliz de encontrar quem escuta o nosso podcast em carne e osso, porque interagimos pouco pela natureza da nossa área. (04:56) A gente sabe que muita gente nos escuta, pelo que o pessoal nos fala, pelos convites para eventos, pelas estatísticas que acompanhamos de acesso. Mas, ao mesmo tempo, muitas vezes parece que estamos nós dois sozinhos aqui conversando, e tem um monte de gente, vocês são vários que nos escutam. Então, quando tiverem oportunidade em algum evento ou nos encontrarem por aí, não tenham receio. (05:30) O Guilherme tem uma cara meio feia, mas podem chegar perto dele, não tem problema. Nos procurem, digam: “A gente ouve o podcast”. Para nós, isso é um baita de um incentivo. Sabe que, nessa mesma linha, recentemente, temos um ouvinte e seguidor nosso, o Diego Costa, que também conhecemos há bastante tempo. Ele dá uma série de palestras sobre segurança da informação e, como ouvinte das antigas, sempre recomenda o podcast Segurança Legal. Ele postou no Instagram e (06:08) me marcou em um vídeo dele. Depois que ele terminou a palestra, disse: “Escutem esses caras, eles estão há bastante tempo gravando isso”. É um reconhecimento bacana. Eu fico especialmente muito feliz e muito honrado, porque são pessoas que nos escutam, muitas pessoas que admiro e que têm uma trajetória. (06:34) Eu fico feliz e, ao mesmo tempo, dá um friozinho na barriga, porque parece que somos só nós, mas falamos para milhares de pessoas toda semana. Milhares de pessoas nos escutam. Fica um beijo. Diga, Guilherme. Indo para o nosso tema, a gente até conversou sobre aprofundar um pouco mais as discussões, pegar menos notícias e aprofundar um pouco mais as nossas conversas aqui. Porque vocês não sabem, mas antes de cada podcast tem outro podcast que eu e o Guilherme fazemos, conversando entre nós. E às vezes conversamos longamente, até mais de (07:04) uma hora. E pensamos: “Pô, cara, isso aqui era o podcast”. A nossa conversa poderia ter sido o podcast. E, às vezes, na notícia, ficamos naquela de querer dar a notícia e acabamos não aprofundando muito. (07:21) Mas, para iniciar logo a nossa conversa, o que aconteceu com a XP Investimentos? (07:28) A XP é uma instituição financeira brasileira, de conhecimento de todos. Ela opera desde 2006, liderando diversos segmentos do mercado financeiro. (07:52) Eles têm uma plataforma muito interessante para investimentos. Começaram com essa parte e depois abriram para a prestação de serviços bancários. Também têm um cartão de crédito bastante interessante, com algumas vantagens bem boas. Aí têm empréstimo, seguro, previdência. Você faz pela plataforma deles também, consegue fazer esses, chamam de investimentos, mas é previdência. É uma instituição financeira utilizada por milhares de pessoas, bem consolidada. O que aconteceu? No dia 24 de abril, os (08:33) clientes da XP começaram a receber um comunicado indicando que teria havido um incidente no dia 22 de março de 2025. Portanto, uma comunicação realizada, segundo eles próprios, um mês depois do incidente. Quando olhamos para a mensagem, acho que podemos lê-la aqui depois, Vinícius, e ir fazendo alguns comentários sobre ela, porque há uma série de questões interessantes. Por que este caso está aqui? É um (09:12) vazamento de dados pessoais relevantes. Não foram dados sensíveis, mas dados pessoais relevantes que diremos quais são daqui a pouco. Fique conosco, apoie o podcast no apoia.se/segurançalegal. Mas, ao mesmo tempo, olhar para os comunicados é uma atividade interessante. Por exemplo, uma coisa que retiramos deste comunicado é que, certamente, se eu fosse apostar, apostaria que ele foi criado com o apoio de relações (09:43) públicas na área de segurança da informação e de proteção de dados. As duas estão juntas. Certamente foi um incidente de segurança que afetou dados pessoais. Quando falamos em envolver relações públicas em comunicados, já se está criando, fora do Brasil há muito mais tempo, mas aqui já está bem estabelecida a ideia de que você pode precisar de uma orientação técnica de como colocar a sua mensagem. Eu vejo isso nesta mensagem. É uma mensagem (10:22) cuidadosamente elaborada, como deve ser. A própria LGPD e as normas que regulam a questão dos comunicados dizem que o comunicado tem que ser claro, tem que expor quais são os riscos e tudo aquilo que já sabemos. E isso eu vejo aqui, Vinícius. Então, tem esse ponto. (10:45) Em alguns momentos, ela me pareceu uma mensagem um pouco contraditória. Um comunicado de incidentes tem que ser realista para o titular, claro que também não pode criar uma situação de pânico desmedida. E por isso tem que ser cuidadosamente criada, mas não pode omitir coisas. (11:09) Ela tem que dizer a quais riscos os titulares estarão expostos e também precisará indicar, neste caso, quais são os dados que foram vazados. Não sei se você quer fazer algum comentário, Vinícius. Guilherme, eu tenho várias coisas separadas aqui. Mas, pegando o que tu já citaste, o incidente, como a própria XP comunicou, e ela foi bem clara nesse sentido. (11:35) Ela foi muito clara em dizer quais dados e também que o incidente aconteceu no dia 22 de março e a comunicação foi feita em 24 de abril, portanto, praticamente um mês depois. Isso extrapola aquele limite de três dias que tem na LGPD para comunicação. (11:55) Porém, eu acho que isso é uma das coisas que talvez precise ser revista na LGPD, porque se acontece um incidente e você sai correndo para comunicar em três dias a partir do momento em que tem a indicação de que houve um incidente, precisa de tempo para investigar. Nós sabemos disso. (12:20) Fazemos isso há 20 anos. Já investigamos incidentes de várias naturezas e sabemos que leva tempo para investigar, para confirmar as coisas, para ter um relatório, um documento que diga: “Aconteceu, foi isto que aconteceu, a extensão foi esta, etc.”, até para avaliar a necessidade ou não de comunicação e o que deve ser comunicado. (12:48) Então, eu acho que três dias é muito pouco tempo. Apesar de na lei estarem três dias e eles terem assumido na resolução que estão comunicando um mês depois do ocorrido, eu não acho isso tão errado, porque não adianta fazer uma comunicação, supor que eles levantam previamente: “não, foi só tal coisa” e, em três dias, sair comunicando. (13:14) E depois: “Não, não foi só isso”, ou o contrário: “Nossa, o incidente foi deste tamanho, vamos comunicar aquela coisa toda”. E depois: “Mas não foi tudo isso, na verdade, nos enganamos”. O estrago está feito. A comunicação começa a ficar errática, um vai e vem. Eu acho isso muito ruim. (13:33) Eu acho que três dias é pouco tempo. E não é questão de “ah, mas então tem que investir mais recursos para conseguir em três dias”. É pouco tempo. Precisa-se de tempo para analisar as evidências, para confirmar as coisas, para conseguir investigar o incidente. (13:52) Precisa-se de tempo, e três dias não é tempo suficiente. Ponto. Esse é um primeiro ponto que eu gostaria de colocar. Não sei se tu concordas ou discordas. Eu concordo até determinado ponto. Por que se estabelece um prazo curto? Quando olhamos para a LGPD, vemos a palavra “proteção de dados”. (14:23) O sujeito foco, protegido pela lei, é o titular. Nessa perspectiva, um prazo curto visa justamente comunicar o titular o quanto antes para que ele consiga estar preparado para reagir diante de eventuais maus usos desses dados. (14:55) Imagina só, supondo que foi um atacante, eles não deram essas informações, só indicaram que o vazamento ocorreu por um acesso não autorizado em um fornecedor externo da XP. Alguém que tinha uma integração e com quem eles trocam dados, algum parceiro. Talvez alguém nesse parceiro abusou de credenciais ou conseguiu credenciais de um usuário legítimo, possivelmente. E eles têm uma série de parceiros, (15:31) grupos que atuam ligados à XP, como corretores, que às vezes utilizam sistemas autônomos, internos daquele prestador. Imagino que tenha sido nessa dinâmica que a coisa aconteceu, mas é uma suposição, não tenho informação sobre isso. (15:58) Então, imaginando que seja um atacante, esse acesso não autorizado me leva a crer em um atacante. Não acredito que tenha sido uma perda acidental. Esse atacante que teve acesso aos dados ficou, sei lá, 27 ou 28 dias de posse dessas informações, podendo utilizá-las até que a XP avisasse os titulares. Por isso que o prazo tem que ser o mais curto possível, para avisar o titular: “Toma cuidado, vazou aqui”. E a própria resolução (16:37) e a forma técnica de comunicar o incidente à ANPD permitem fazer três tipos de comunicação: completa, preliminar e complementar. Quando você faria a preliminar? Assim que descobrisse que houve um incidente, mas ainda não tem todas as informações. Você faz a preliminar e justifica. Ou, quando está investigando, mas ainda não comunicou o incidente, comunica à (17:16) ANPD de forma preliminar. Quando o controlador faz isso, ele passa a ter o dever de, em 30 dias, realizar a comunicação complementar. Então, tenho a completa, a preliminar e a complementar, que complementa a preliminar. (17:41) Agora, eu estava pensando sobre isso ontem, Vinícius, exatamente na linha do que você falou. Mas, quando então que eu comunicaria um incidente que envolveu dados pessoais em somente três dias? Porque o que você coloca é de fato difícil. Grandes organizações, como uma instituição financeira como a XP, muito dificilmente conseguirão apurar um incidente em três dias. (18:07) E, inclusive, Guilherme, eu até entendo. Talvez 30 dias seja muito tempo, mas talvez uma semana para uma comunicação preliminar e para pelo menos avaliar a extensão, saber quem eu tenho que comunicar. E talvez uma informação possa ser: “Atenção, fique atento, tivemos um incidente. Estamos analisando, mais informações em breve”. (18:32) E frisar: “A XP não entra em contato com você por telefone. Nossos canais oficiais são apenas estes”. Dar uma reforçada nessa informação nos primeiros dias, até que consiga confirmar a ocorrência ou não, e depois fazer o resto. (18:51) Por exemplo, pegando a questão dos dados que vazaram. Vou listar aqui para a gente ter uma noção. Vazaram: dados cadastrais (nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade). (19:16) Informações sobre produtos… Cargo está junto? Eles devem pedir em algum momento o cargo, a profissão, para cadastro mesmo. E, até por questões de investimento, tem que fazer o perfil do investidor, tem coisas obrigatórias, como saber se a pessoa é politicamente exposta. (19:36) Outro item é informações sobre produtos financeiros: indicações binárias (sim ou não) de serviços contratados como cartão de crédito, débito, seguro, consórcio, previdência e portabilidade de salário. E dados financeiros: número da conta XP… Quer falar? Não, não, termine. (19:58) Número da conta XP, saldo, posição de investimentos, nome do assessor e limite de crédito. Posição de investimento é valor. Você tem na ação tal, no fundo tal, tal valor. Nome do assessor, limite de crédito, e tudo isso referente ao mês de março. Note que é bastante informação. Eles podem ter levado um certo tempo para descobrir tudo que foi acessado, toda a extensão. Saldo, você falou saldo. (20:31) Eles podem ter levado realmente um tempo razoável para levantar tudo isso e saber a extensão. Atingiu todos os clientes? De repente… estamos fazendo conjecturas aqui. Vamos supor que eles tenham um parceiro para um determinado tipo de produto e entregam dados de apenas uma parte dos clientes que têm, clientes com certo perfil. Se tivessem vazado informações por um parceiro específico (21:05) que lida com um produto específico, com um perfil específico de clientes previamente limitado, isso já limitaria os titulares que teriam que ser comunicados. E não vamos esquecer, seríamos muito inocentes se não considerássemos isso, que no mundo perfeito se diria: “Aconteceu um incidente, saia falando que aconteceu, que é perigoso, cuidado”. (21:31) Mas, na vida real, existe uma preocupação da empresa com sua imagem. E a XP, nesse sentido, pode ter demorado, mas eu acho que fez um comunicado bem amplo, bem aberto. E, embora no texto ela tenha minimizado a importância desse vazamento, eu acho que é um vazamento bem importante, bem grave. (22:03) Não é uma coisa pequena, não são dados desimportantes. São informações com as quais, para fazer um ataque de engenharia social, esses golpes que o pessoal vive fazendo, que nossos ouvintes devem receber ligações de um monte de número estranho, inclusive com URA, uma voz automática gravada dizendo que aconteceu uma compra no seu cartão, aquela palhaçada toda. (22:27) Para um ataque com essas informações, elas são essenciais, são importantíssimas. E a XP afirmou que não vazou senha, não vazou assinatura eletrônica, que é a senha adicional para liberar operações. (22:48) Dados biométricos. E esse é o problema: quando vaza dado biométrico, como é que você troca? Você tem só 10 dedos. Como troca seus dados biométricos? Ou um rosto. Não vazou CPF ou documento de identidade. Mas tem o nome e a data de nascimento. (23:09) Conseguir o CPF na internet com nome e data de nascimento é brincadeira de criança. A não ser que a pessoa tenha um homônimo com a mesma data de nascimento, você vai conseguir descobrir o CPF dela na internet. (23:28) Então, apesar de eles terem minimizado essas informações, dizendo que não foi tão grave, essa é a parte que eu discordo do comunicado deles. Eu acho que não dá para minimizar. O que vazou é importante, é significativo. É muito fácil para criminosos aplicarem golpes nessas pessoas tendo todos esses dados, porque é muito fácil… tem um livro… (24:08) …é um livro que explica, não é “A Arte de Enganar” do Mitnick, que perto deste outro livro escrito por uma psicóloga, o do Mitnick é piada, um rascunho de criança. Esse livro fala sobre as técnicas que fazem as pessoas caírem nesses golpes. (24:28) E lá está listado que uma dessas técnicas, um dos primeiros passos, é estabelecer autoridade e uma sensação de urgência. Com as informações que eles têm ali, como o nome do consultor e todos os dados, você consegue estabelecer autoridade, consegue dizer quem você é, se estabelecer como um representante da XP e dar um senso de urgência. Você pode simplesmente dizer: “Olha, houve um vazamento, estou (24:59) te ligando para cuidarmos dos teus interesses”. Isso dá o senso de urgência para a pessoa, que sabe o valor das suas operações, sabe o que você tem contratado. É muito fácil aplicar um golpe desses. Não que eu já tenha aplicado, gente, eu nunca fiz isso. Mas, pelo que sabemos, é muito fácil. (25:26) Então, essa comunicação, apesar de ter sido bem aberta, dizendo que foi há um mês e dando todas as informações, eu acho que ela foi um pouco contraditória. Quando eles afirmam, por exemplo, “sua conta e seus investimentos estão em total segurança” e a outra frase “não é necessária nenhuma ação por sua parte”. (25:52) Só que, ao mesmo tempo, o risco é grande. Não é um vazamentozinho qualquer. Não, não é. Eu acho que é um dos… E a gente não tem a informação da quantidade de pessoas, porque para a ANPD eles devem informar o número de titulares afetados, mas para o titular não. O que tem que ser comunicado ao titular? Descrição da natureza, medidas técnicas, riscos e possíveis impactos. Os motivos da demora, no caso de a comunicação não ter sido feita, eles fizeram, certo? Em algum (26:32) momento aqui, acho que eles dizem, ou não? Não, não disseram os motivos da demora. Vai vendo aí, mas acho que não. Deixa eu dar uma olhada aqui. E depois, riscos relacionados, motivos da demora, medidas que foram ou serão adotadas para reverter ou mitigar, data do conhecimento do incidente e os contatos para obtenção de mais informações. (27:05) Isso tem que ser feito em linguagem clara, simples e de fácil entendimento, e de forma direta e individualizada quando for possível identificá-los. Essa é uma coisa interessante, porque às vezes pode ser que você não consiga identificar a extensão dos titulares. Então, pode ter que fazer uma comunicação pública. Nesse caso, pelo que se viu, a comunicação foi direta e individualizada. (27:27) Várias pessoas vieram me falar que receberam esse aviso. Eu não sei se foram todos os dados de todos os clientes da XP. E também não sabemos se pessoas que já tiveram investimentos lá no passado, se esses dados ainda ficam armazenados. Aqui conseguimos ver o que a ANPD coloca de comunicação para o titular na Resolução 15 de 2024. (28:05) E talvez o motivo da demora não tenha sido informado. Não conseguimos achar aqui. Mas o que você falou sobre a categoria e a natureza dos dados, e a questão das possibilidades de phishing, é um dos grandes impactos que temos hoje com a inteligência artificial no mundo da segurança: a possibilidade de automatizar e incrementar a eficácia de ataques com o uso de IA. Ah, mas isso vai exigir um treinamento… Nós fizemos aqui de brincadeira, enquanto nos (28:47) preparávamos para gravar, demos para a IA as informações que foram vazadas e pedimos os tipos de riscos que as pessoas poderiam correr. Nada de novo: engenharia social, phishing de maneira geral, assédio e discriminação. Porque não é só uma questão de tentar tirar dinheiro dessas pessoas. (29:19) Essas pessoas, além de estarem sob o risco de sofrerem fraudes, e já vou falar sobre algumas possibilidades, tiveram uma violação da sua privacidade. É potencialmente possível saber quanto essas pessoas têm de investimento, por exemplo, na XP. Sem dúvida. (29:42) E a quantidade de dinheiro que uma pessoa tem guardada nem sempre é uma informação que ela vai querer que todo mundo saiba. Não, sem dúvida. Ainda mais, Guilherme, que é uma informação que, por mais que o saldo seja de março, é mais do que suficiente para um criminoso investir tempo para atacar uma dessas pessoas. (30:03) Claro, se você tem a lista, não preciso resolver tudo numa ligação só. Posso, ao longo do tempo, começar a pesquisar mais. Existem os painéis de venda de dados. Teve gente sendo presa por trás desses painéis, mas existem outros e vão surgir outros. Essas pessoas têm dinheiro disponível, o que se consegue verificar pela informação que vazou. (30:29) Você pode fazer ataques de longo prazo. Quem vive disso não tem preocupação com o tempo. Aí, temos uma situação muito delicada, em que parece que acontece um incidente e dizem “não se preocupem”. (30:51) O que vazou foi só de março. Não que a XP tenha dito “vazou só de março”, eles não disseram isso. Mas no sentido de que “aconteceu um incidente”. O incidente não para de acontecer. Uma vez que ele aconteceu, é aquela história da pasta de dente fora do tubo: depois que saiu, não tem como colocar de volta. (31:09) Vira uma meleca, uma zona. É o que temos com esse tipo de vazamento. Esses dados agora serão utilizados por quem os vazou, talvez diretamente, ou serão repassados, vendidos para verdadeiras organizações criminosas especializadas nesse tipo de ataque. (31:33) Inclusive, eu estava procurando sobre a comunicação. Você tinha falado se eles se justificaram. Encontrei uma notícia no Valor Econômico em que dizem o seguinte: “Clientes da XP se queixam da demora na divulgação de vazamento de dados”. Deixa eu só ler o trecho que achei. (31:52) Eles disseram que o problema foi identificado no próprio dia 22 e, em menos de duas horas, foi solucionado, segundo um interlocutor não identificado ao Valor Econômico. Abre aspas: “A comunicação com o cliente é algo sensível e teria que ser feita com propriedade. Não é algo trivial, a partir de um cenário potencial do problema até a confirmação para quais clientes comunicar”. (32:13) Isso foi o que um interlocutor não identificado passou para o Valor Econômico. Mas, olhe só, eles disseram que o problema foi identificado e solucionado no próprio dia 22 de março. E o título da matéria é que os clientes já estão sendo alvo desses golpes por telefone. (32:51) Isso não é informação boba. Já podemos bater o martelo em algumas coisas. Primeiro, as informações não são desimportantes, pelo contrário, até pelo que você citou da LGPD. E eu só não encerro que quero fazer mais uma observação sobre as informações. (33:17) Certo. E aí, Vinícius, “ah, mas não vazou tua senha e tuas credenciais”. Sim, isso não permitiria um acesso à conta e a manipulação dos valores. Certo, eu entendo que isso seria catastrófico. Mas o problema é que há uma economia, já há muito tempo, vivendo de dados oriundos de vazamentos. (33:53) E nós vivemos no Brasil uma espécie de pandemia de tentativas de ataque de phishing. Todo mundo que nos escuta diariamente recebe tentativas, umas mais bobas, outras nem tanto, outras muito convincentes. Esse é o ponto que quero colocar sobre o uso de IA. Com a IA, você automatiza. (34:23) Dias desses, recebemos um boleto no e-mail que nos chamou a atenção por quão bem feito era aquele phishing. Com base em informações públicas, montou-se um boleto e uma nota. Ou seja, há automatização. (34:47) Volto ao que estava comentando antes: colocamos essas informações em uma IA, pedimos os riscos, e ela trouxe o que já sabíamos. Pedi também para montar possíveis mensagens de phishing que poderiam ser utilizadas contra essas pessoas. Com base nessas informações, ela montou, e isso com um prompt que fizemos antes de começar a gravação. Se você senta ali e gasta uma hora para montar o prompt, o perfil e tudo mais… E aí deu três mensagens. (35:11) Inclusive sobre a questão da portabilidade. É interessante, porque há dados ali de portabilidade de salário. Note que, quando você coloca portabilidade de salário e a profissão do sujeito, pode inclusive saber onde ele trabalha. E hoje todo mundo diz onde trabalha no LinkedIn também, mas você consegue saber que ele fez a portabilidade daquela empresa para a XP. (35:42) Um dos possíveis golpes: “Identificamos uma inconsistência nos dados cadastrais informados para sua portabilidade de salário. Para garantir…” – olha a coisa do senso de urgência, “bah, não vou receber meu salário esse mês” – “…que seu próximo pagamento seja creditado corretamente na sua conta, favor, atualize suas informações…”. E aí começa o golpe. (36:00) E olhe que você está pegando algo que qualquer um poderia fazer. A IA está disponível para todo mundo, inclusive para quem aplica golpes. É muito delicado. E aqui temos dois domínios, e a imprensa só tem colocado um deles: o risco de fraude, que comentamos agora. (36:33) O outro é a violação da privacidade dessas pessoas. Proteção de dados e privacidade são coisas diferentes. A proteção de dados surge da ideia de privacidade, ambas como direitos fundamentais e da personalidade, porque se entendeu que o binômio público e privado que a privacidade trazia se tornou insuficiente para uma sociedade em que o tratamento de dados é necessário para as mais variadas atividades. (37:02) Então, a situação da violação da privacidade também existe aqui. Outra pergunta: o que podemos saber? E essa foi uma coisa que se falou lá na palestra com o professor Fabiano Menke. O próprio Rafael falou: “Adorei aquele episódio em que vocês pegaram os dados da farmácia e tentaram ver o que era possível saber”. Aquilo assustou. (37:29) Então, Rafael, naquela linha, o que dá para saber sobre alguém com base nesses dados que vazaram da XP? Bom, nível de renda aproximado, pela combinação de cargo, saldo e limite de crédito. E olhe como a mineração de dados é algo interessante. (37:50) E o CEP, Vinícius. Onde o sujeito mora. Todo mundo sabe, o pessoal faz isso para análise de crédito. Onde o sujeito mora também pode dizer um pouco sobre sua capacidade financeira. Então, nível de renda e estabilidade financeira. (38:14) O sujeito tem um limite de crédito, tem previdência, e os saldos relacionados a investimentos. Portabilidade de salário, o cara tem um emprego formal, por exemplo. Capacidade de consumo, também pelo limite de crédito. Sofisticação financeira: ter uma conta na XP com saldo, posição e um assessor dedicado indica um nível de sofisticação financeira maior do que a média da população. (38:39) Por exemplo, se você tem R$1 milhão investido, passa a ser um investidor qualificado, se não me engano. Um investidor qualificado tem acesso a outros produtos que um investidor não qualificado não tem. E se eu fosse um criminoso com uma lista de pessoas com essas informações, eu acho que saberia quem atacar. (39:00) Claro. E mais: faixa etária e geração, estrutura familiar e necessidades, metas de longo prazo (posse de previdência indica preocupação com a aposentadoria), comportamentos e hábitos (aversão ou propensão a risco inferida pelos produtos que consome), nível de atividade profissional, e confiança em assessoria, que seriam algumas vulnerabilidades. (39:25) Eu vou te deixar sozinho aqui na imagem, só porque preciso ajeitar uma coisa aqui que já está quase na hora do almoço. Sigo ouvindo. Vai lá. (39:38) Então, a questão da vulnerabilidade potencial, ou seja, o fato de se confiar em um assessor, e ainda alguns gatilhos emocionais pela data de nascimento e outras informações agregadas. O ponto é esse: com todas essas informações que, isoladas, podem dizer pouco, mas que, quando eu coloco tudo junto e uso ferramentas poderosas de IA para realizar inferências, consigo descobrir muita coisa sobre essas pessoas. (40:06) Consigo inferir, projetar possíveis comportamentos, possíveis vulnerabilidades. E essa é a grande questão. (40:26) Os golpes estão ficando cada vez mais evoluídos, e o vazamento desse tipo de dado não é pouca coisa. Já falamos sobre o atraso na comunicação e vimos que há espaço para ultrapassar os três dias úteis, desde que haja uma motivação relevante para a demora, que deve ser justificada e informada. Uma pessoa me perguntou, preocupadíssima: “Recebi a mensagem da XP, preciso avisar a ANPD?”. (40:58) Não, não precisa, porque como eles já fizeram a comunicação, a própria ANPD agora pode, se quiser, iniciar um processo de investigação. A comunicação já foi feita. Você poderia, eventualmente, fazer uma petição de titular caso eles não te respondessem adequadamente, mas o caminho agora é com eles. Se tiver dúvidas, comunique-se com o encarregado de proteção de dados deles para tratar (41:32) de eventuais dúvidas. E essa é uma das motivações pelas quais algumas empresas optam por não realizar a comunicação, descumprindo a lei: a partir de agora, a XP vai começar a responder de forma mais intensa a situações de fraude. (41:58) Em qual sentido? Porque a jurisprudência tem firmado uma tendência, e isso é meio óbvio, de reconhecer a responsabilidade por fraudes quando há o vazamento de dados da instituição financeira. Quando há o vazamento e os dados são utilizados por um fraudador para aplicar uma fraude no titular, e o sujeito cai na fraude, o banco sempre vai alegar uma falta de cuidado do titular. Mas a jurisprudência tem entendido que se (42:36) os dados vazaram e foram utilizados, a instituição financeira responde. A discussão fica interessante quando você não consegue comprovar que aqueles dados foram vazados daquela instituição financeira. Aí você não tem como ligar uma coisa à outra, e as decisões acabam indo para o caminho de que foi culpa exclusiva do correntista. Mas agora isso não ocorre. (42:59) Há uma prova pública, o reconhecimento público de quais dados vazaram. Esse é o primeiro ponto. E não é só a ANPD. O que a ANPD vai fazer? Acredito que, pelo tamanho do vazamento e pelo porte da instituição financeira, a ANPD vai se movimentar. Mas o Ministério Público pode atuar aqui. (43:20) Titulares atingidos podem mover ações individuais, inclusive pela violação de sua privacidade. Imagina só: não fizeram nenhum golpe contra mim, mas agora estão rolando todos esses dados que expõem informações financeiras, protegidas por sigilo bancário, diga-se de passagem. O Procon pode agir, associações de consumidores podem agir em ações civis públicas. Há uma série de outras coisas que podem acontecer contra a (43:51) XP, para muito além da atuação da ANPD. O jogo abriu, vamos ter que ver como ele vai se desenvolver nos próximos capítulos. É, tudo vai depender. Acho que temos vários atores aí. Temos os criminosos que vão usar essas informações, se de fato estão de posse delas. (44:24) E isso tem uma consequência de longo prazo, eu diria. Não são só as ligações que estão fazendo agora. São informações que vão render por bastante tempo, porque, como você citou, o perfil econômico das pessoas não é algo que deve mudar radicalmente em um ou dois anos. Não é uma coisa que para aqui. Ah, foi comunicado, está tudo resolvido, vida que segue. As consequências são de longa duração. Temos (45:03) outra parte que é a ANPD. Tem que ver como ela vai agir, o que vai levantar. Não vamos ficar sabendo necessariamente de tudo, porque há coisas de processos internos da ANPD junto à XP que ficarão ali. (45:26) Não sei se uma lei de acesso à informação, eventualmente, não poderia trazer isso à tona. Você acha que não? Não, porque nessas comunicações, a própria questão dos riscos e das medidas de segurança… Para a ANPD, eles precisam informar as medidas técnicas de segurança utilizadas antes e depois do incidente. (45:52) E aí se abre outro flanco para possíveis investigações, caso se demonstre a tomada ou não de medidas. Mas aí se observa o segredo comercial e industrial. Muitas empresas não podem divulgar isso. Medidas de segurança internas geralmente não são divulgadas. (46:09) Então, vamos ver qual vai ser a atuação da ANPD, que é outro ator. Tem o criminoso, tem a ANPD. A própria XP, como se espera, deve melhorar seus processos, resolver os problemas encontrados e investir em serviços como os que, por exemplo, a Brown Pipe Consultoria oferece, de Pen Test. Eles já devem fazer isso, imagino eu. Sem dúvida. (46:40) Mas vão ter que reforçar, com certeza, porque se aconteceu uma falha dessas, é porque havia uma vulnerabilidade ou um conjunto delas que foram exploradas. E para o eventual correntista da XP que nos escuta, o que dá para dizer é um pouco do mesmo: desconfiar de contatos não solicitados. Se você é correntista da XP, fique atento. Você já deve ter recebido o comunicado, mas ainda assim, preste atenção no endereço (47:23) de e-mail de onde está vindo a mensagem. Se vier um link, não o use. Vá você mesmo ao site, digite o endereço, use o aplicativo da XP. Não instalem aplicativos “novos” da XP. (47:41) Não faça nenhuma bobagem dessas. Monitore as contas, fique de olho no que está acontecendo. Tem o serviço do Serasa, que estou para usar, que permite ativar alertas para tentativas de abertura de conta em seu nome, mas não conheço o serviço. Sei que existe, mas nunca tentei usar. Já tentou, Guilherme? Não. (48:06) Eu vou ver se ativo esse negócio. E, obviamente, ficar atento novamente aos canais de comunicação. Se ligarem para vocês, desconfiem, desliguem e liguem vocês mesmos para a XP. Não caiam nessa, por mais que haja o senso de urgência e a pessoa do outro lado tenha informações. (48:34) Não foi neste caso da XP, mas meses atrás, naquelas ligações que vivemos recebendo, resolvi levar uma delas adiante. O cara sabia tudo. Sabia minha renda, meus endereços. São esses painéis. Os caras têm o histórico dos telefones que já estiveram vinculados a você, os endereços onde já morou. Fui um pouco mais longe na conversa para ver o que ele sabia. E eu me (49:04) assustei. Tem muita informação. Então, simplesmente não atenda. Isso está gerando um problema para mim pessoalmente, não sei se para ti também. Eu já estou em uma vibe de não atender telefone. (49:23) Se não é uma pessoa conhecida, se não está nos meus contatos ou se eu não estabeleci uma relação recente por ter comprado um produto ou serviço, eu nem atendo mais. Vejo um número ali e não atendo. (49:42) São só essas ligações. Sabe que, enquanto você falava, eu já tinha ouvido falar que a XP admitiria escritórios parceiros, de pessoas que fazem apoio para investimentos, ou seja, assessores. E sim, aqui no próprio site da XP fala: “O que são escritórios/assessores vinculados à XP?”. (50:15) “Os escritórios de agentes autônomos da XP Investimentos são empresas credenciadas à matriz que utilizam a plataforma da XP Investimentos para auxiliar seus clientes em investimentos”. Pelo visto, eles teriam escritórios que não seriam bem da XP, mas de agentes vinculados. Faltou um pouco de informação aqui. Nós temos o direito de saber quem é esse fornecedor externo da XP. (50:46) Porque, enquanto titulares de dados, temos o direito de saber com quem a XP compartilha nossos dados. Foi um serviço de nuvem? Foi um escritório vinculado, como se coloca aqui no site? Essa informação parece que faltou, e temos o direito de saber qual é. Provavelmente não vão dizer se perguntarmos, mas temos esse direito. (51:10) A ANPD tem que fazer o trabalho dela, perguntar e dizer: “Você vai ter que comunicar”. Claro, até porque, pela própria LGPD, dependendo da atuação do operador – não sei se seria um operador ou controlador conjunto –, ele também será solidariamente responsável pelo dano. (51:34) Se ele é solidariamente responsável, eu, enquanto titular, posso decidir cobrar uma indenização não perante a XP, mas desse operador. É um caso interessante, Vinícius. Um dos casos mais interessantes dos últimos tempos de vazamento. (51:51) Por isso você ouve o Segurança Legal. Nós tínhamos outra notícia, Vinícius, mas acho que não vai dar tempo. Acabou sendo só sobre o incidente da XP. Já é meio-dia e quinze. Sabe que faz tempo que não fazemos nenhuma pesquisa com nossos ouvintes. Mas gostaríamos, se vocês pudessem entrar em contato… O que estávamos discutindo, Guilherme, era justamente essa relação (52:21) entre um maior número de notícias – embora isso não seja mais o resumo de notícias que o Assolini fazia, ele trazia várias notícias – e aprofundar a discussão. Nós criamos o episódio Café porque a ideia é literalmente tomar um café e bater um papo, como eu e o Guilherme fazemos. (52:46) Fazemos isso de vez em quando, Guilherme. Faz um tempo que não fazemos. Pegar um café, sentar e trocar uma ideia, discutir livremente um assunto. E o que queríamos com o Café é trazer um pouco dessa vibe. Estamos discutindo a quantidade de notícias, porque há várias que são relevantes, e é impossível trazer todas. (53:18) Ou trazer menos notícias e aprofundar um pouco mais as discussões em torno delas, as situações que a notícia levanta. Temos outra aqui que não vou falar, porque senão vou dar o próximo assunto do Segurança Legal. Mas que vai ser temático. (53:42) Começou com uma noticiazinha simples. Aí eu dei uma aprofundada, o Guilherme também, e dissemos: “Não, isso aqui não dá para falar rapidamente, vamos ter que nos dedicar pontualmente a esse assunto”. Porque surgem outras questões a partir dele, não é só o fato em si, mas o que dele se deriva em termos de compreensão, de conceitos, de análise para outras situações. (54:12) Vamos ter que sentar e ler um projeto de lei de 40 páginas. É, pronto, o Guilherme já está dando spoiler. Eu não gosto muito de ler projeto de lei porque, como uma professora da UFRGS disse numa palestra, é sempre delicado: você estuda aquele projeto e depois ele muda. Com a LGPD foi diferente, estávamos envolvidos, mas eu sempre penso: “E se mudar? Vou estudar tudo isso e muda tudo?”. Mas coisas estão (54:44) acontecendo. Para terminarmos, Vinícius, não sei se tens mais alguma observação. Não. Só não queria deixar passar, porque tem a ver com o caso XP e com a ANPD. Rapidinho: a ANPD completou uma etapa de um processo de fiscalização para apurar a presença de encarregado em algumas empresas de grande porte. (55:07) E também como elas estariam cumprindo o caminho facilitado para as pessoas entrarem em contato com o encarregado. Duas coisas. Foram 20 empresas de grande porte: TikTok, Dell, Cacau Show, Quinto Andar, Serasa, Vivo, Telegram, Uber, X (o Twitter), Open English… (55:30) Tinder, sei lá. Por que isso é importante? A ANPD está se movimentando. Nesse caso, promoveu um processo de fiscalização que se iniciou por meio de petições de titulares que apontavam a falta desse caminho para chegar ao encarregado. Eles fizeram um checklist para ser cumprido por essas empresas. (55:56) Elas precisaram demonstrar o cumprimento. Demonstraram. Todas cumpriram. Agora têm o caminho, tudo certo. E eles vão ficar acompanhando por seis meses. A questão é: sua empresa já indicou o encarregado, fez o ato de nomeação adequado, nomeou o substituto? Há uma série de coisinhas, porque se você espera para nomear quando ocorre um incidente, aí é tarde demais. Você dará uma demonstração de que não tinha o ato de nomeação anterior. Precisa de ajuda com isso? A Brown Pipe pode ajudá-lo. Isso aí. (56:30) Eu estava inclusive numa reunião com um novo cliente hoje de manhã, que espero que seja nosso novo cliente, e ele disse: “A gente ouve o podcast”. (56:46) Falei do nosso podcast e pensei: “A gente nem é um podcast com conteúdo promocional, falamos muito pouco da Brown Pipe, menos do que deveríamos”. Aí, neste, falamos um pouco mais. Mentiroso. A nossa ideia é ser algo balanceado. Claro que tem a propaganda da Brown Pipe, porque ela é uma das mantenedoras do podcast, indiretamente, pelo nosso tempo e recursos. (57:16) Mas entendemos que há esse espaço, claro, sem serem aquelas propagandas chatíssimas que ocorrem principalmente no YouTube. Tentamos fazer um balanço para não deixar a coisa muito chata. Sem dúvida. É isso aí. Já é chato o suficiente. Valeu, pessoal. Agradecemos a todos e todas que nos acompanharam até aqui. (57:36) Nos encontraremos no próximo episódio do podcast Segurança Legal. Bom feriado. Bom feriadão para quem vai ter. Para quem não vai, vai trabalhar sexta e sábado. Mas tem a quinta ainda. Até a próxima. Até a próxima.  

Neste episódio comentamos sobre a briga da Meta com a FTC que pode dividir a empresa, o estudo que revela o descumprimento da LGPD pelas IAs e o risco de fim do banco de dados de vulnerabilidades CVE.​ Você irá descobrir os detalhes da ação antitruste da FTC contra a Meta e como a regulação de big techs impacta o mercado global. Aprofundamos a análise sobre a aderência de plataformas de inteligência artificial à LGPD, destacando falhas críticas em proteção de dados e privacidade. Analisamos também a crise de financiamento do Mitre que ameaça o futuro do CVE, um pilar para a gestão de vulnerabilidades em cibersegurança. Além disso, abordamos o vazamento de milhões de credenciais no GitHub e a nova norma sobre riscos psicossociais, que afeta diretamente os profissionais de segurança da informação.​ Assine, siga e avalie nosso podcast para não perder nenhuma análise sobre o mundo da segurança digital. Visite nossa campanha de financiamento coletivo e nos apoie! Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Relatório – IA GENERATIVA E LGPD: TRANSPARÊNCIA, DESAFIOS REGULATÓRIOS E CAMINHOS PARA A CONFORMIDADE Guia de informações sobre os Fatores de Riscos Psicossociais Relacionados ao Trabalho do Ministério do Trabalho Ex-Meta exec tells Senate Zuck dangled US citizen data in bid to enter China Meta whistleblower Sarah Wynn-Williams says company targeted ads at teens based on their ‘emotional state’ 39 Million Secrets Leaked on GitHub in 2024 MITRE-backed cyber vulnerability program to lose funding Wednesday CVE program gets last-minute funding from CISA – and maybe a new home CVE Program Almost Unfunded U.S. Govt. Funding for MITRE’s CVE Ends April 16, Cybersecurity Community on Alert  In last-minute reversal, US agency extends support for cyber vulnerability database Exclusive: DOGE staffer ‘Big Balls’ provided tech support to cybercrime ring, records show Livro – Careless People: A Cautionary Tale of Power, Greed, and Lost Idealism 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 390, gravado em 17 de abril de 2025. Eu sou Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias do último período. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos acompanham pelo YouTube. Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. (00:29) Então, pegue o seu café e vem conosco. Para entrar em contato com a gente, basta enviar uma mensagem para podcast@segurançalegal.com ou também via redes sociais: Mastodon, Instagram, Blue Sky e YouTube. Você também pode apoiar o projeto Segurança Legal pelo apoia.se/segurançalegal. (00:48) Você escolhe uma das modalidades de apoio e, entre os benefícios recebidos, terá acesso ao nosso grupo exclusivo de apoiadores no Telegram. Lembrando que sempre pedimos para que você considere apoiar um projeto livre e independente de produção de conteúdo. O blog da Brownpipe, brownpipe.com.br, (01:05) é a empresa que também é uma das mantenedoras do Segurança Legal, junto com os apoiadores. Lá você consegue se inscrever na mailing semanal para receber as notícias publicadas no blog. Vinícius, indo direto ao ponto, o que está acontecendo com a Meta nos Estados Unidos? É um golpe na Meta ou um golpe que pode quebrar a Meta ao meio? (01:36) Não, mas está bom. É que tem um manual do negócio que está aqui. Está ótimo. Mas vai mudar o sol, tudo bem. Vai ficar assim. Não sei se está te atrapalhando, mas incomoda um pouco, ele está bem claro no fundo. O que aconteceu foi o seguinte: recentemente, o que tem chamado a atenção são duas notícias. (02:04) Uma delas está relacionada ao fato de que o Zuckerberg teria concordado em compartilhar dados de usuários norte-americanos com a China para entrar no mercado chinês. Inclusive, que o Facebook cooperou ativamente para acelerar o desenvolvimento de IA na China. Isso pré-era Trump. (02:30) E agora, vai para julgamento no Federal Trade Commission (FTC), lá nos Estados Unidos, a questão de obrigar a Meta a se dividir em mais empresas. Isso tem a ver com Trump e não tem a ver com Trump. (03:00) Então, a primeira notícia é essa questão do Zuckerberg oferecendo acesso a dados de cidadãos americanos para a China para poder entrar no mercado chinês, inclusive com um sistema de “death” em posts que passam de um certo número de views. Então, parabéns para o Zuk, que agora, desde o início, quando o Trump tomou aquele tiro que pegou de raspão na orelha, foi o momento em que o Zuckerberg primeiro se manifestou de maneira positiva em relação a um candidato e se engajou. Ele não tinha feito isso antes, nem com Trump, nem com (03:40) Biden, mas naquele momento ele passa a dizer que o Trump era um “badass”, um herói. A partir dali, ele passa a admirar o Trump, isso logo antes das eleições. Desculpa pela minha reação, estava tentando me conter. Então, essa questão da China é nova. (04:05) Isso está sendo denunciado agora por uma pessoa de dentro do Facebook. E tem a questão do livro, não é isso? Tu queres comentar ou citar o livro, Guilherme? Eu não lembro de cabeça. (04:21) Então, teve essa denúncia e essa questão do Federal Trade Commission em relação à Meta ter que se dividir. Ela começa com o Trump. Lá no primeiro governo, o Trump não ficou muito feliz com a Meta e o Facebook implementando iniciativas de fact-checking e tirando conteúdo do ar. (04:55) No final do governo Trump, quando ele perde as eleições e faz aquela chamada para ir ao Capitólio para impedir a validação das eleições, o Facebook entende que aquilo é uma incitação à violência e tira tudo do ar. (05:22) O Trump não ficou, digamos, muito feliz com isso no final do mandato dele. Então, no finalzinho do mandato, o Trump coloca o FTC para investigar a Meta. Termina o mandato do Trump, e o Zuk entra em lua de mel com o governo Biden, pelo menos no início. (05:52) No começo, as Big Techs gostaram do governo Biden. Só que o governo Biden começa a demandar a regulação das redes e das tecnologias, e as Big Techs não ficaram nem um pouco felizes com isso. Por fim, o Biden nomeia para o FTC uma pessoa que todas as Big Techs odiavam, e aí a galera se descola do Biden. (06:27) Mas, ainda assim, o processo do FTC não anda até o final do governo Biden. O FTC reativou essa investigação contra a Meta, e o governo Trump herdou isso reativado. Então, o FTC está ativamente processando a Meta nesse sentido. (06:56) E apesar de o Zuk ter dito que ama o Trump, o Trump não está correspondendo ao amor dele, está meio que o escanteando. A Meta está tentando, direto na Casa Branca, fazer com que esse processo deixe de existir. E como, nesse momento nos Estados Unidos, não é preciso seguir processo nenhum, é só convencer o Trump a tirar o processo, ele tira e acabou. (07:23) É o caminho que eles estão tentando, mas o Trump não está dando muita bola. Então, por enquanto, esse processo está andando e, ao que parece, vai adiante. Há um risco bastante grande de a Meta ter que se dividir em mais de uma empresa. A coisa começa com a compra do Instagram. Lá na época, o FTC entendeu que o Instagram era um produto diferente do que o Facebook já oferecia, e hoje eles entendem que compraram um concorrente. (07:58) Seria um caso de antitruste, que implica uma avaliação se a Meta teria um monopólio com a compra do Instagram e do WhatsApp, junto com o Facebook. Seria para ver se eles teriam o monopólio das redes sociais nos Estados Unidos. Isso acontece ao mesmo tempo em que há aquelas movimentações para o Trump querendo afetar a operação do TikTok, trazer o TikTok para os Estados Unidos, com o X querendo, supostamente, dar uma proposta para comprar o TikTok. Sobretudo Facebook e Instagram. E aqui no (08:41) Brasil é muito importante isso. Quando a gente fala sobre redes sociais, Facebook e Instagram, o Facebook ainda tem muita gente utilizando. Era isso, Vinícius? Sim, já tinha concluído. Toca a ficha. (09:11) Aqui no Brasil, falando também um pouco sobre Big Techs e sobre o papel de grandes empresas nesse mercado, passando mais para o mercado da inteligência artificial, esse tema do qual a gente não consegue deixar de falar, saiu um estudo, um “discussion paper” publicado pela FGV Direito Rio, que avaliou o grau de aderência das principais plataformas de inteligência artificial disponíveis no mercado às práticas de proteção de dados, especificamente à LGPD. Ou seja, buscou verificar se os grandes players de IA que estão oferecendo serviços no Brasil estão cumprindo a LGPD. Um parêntese aqui, Vinícius, que (09:49) deve ser aberto, e é uma coisa que, na nossa imprensa, ao contrário da americana, por exemplo, acontece com bastante frequência: esse estudo foi amplamente divulgado pela imprensa (Globo, O Globo, Folha de S. Paulo, etc.). (10:12) E, mais uma vez, eles não trazem o link do estudo. Ou seja, você tem que ativamente buscar, pesquisar, perder seu tempo, o que a maioria das pessoas não vai fazer. Se fosse na faculdade, você tomaria um puxão de orelha: “vai botar as fontes aí”. Claro, as pessoas podem querer ler aquele estudo. (10:32) Além disso, eles avaliaram se as empresas estavam cumprindo a LGPD. O primeiro ponto que avaliaram, além da questão de proteção de dados, foi o uso dessas ferramentas estrangeiras e como isso afeta nossa soberania digital, algo que já falamos várias vezes no Segurança Legal. Ou seja, o Brasil está dependente dessas ferramentas, sem ter uma alternativa viável no momento para (11:07) migrar para serviços brasileiros ou que não sejam americanos, considerando todos os problemas que estão vivendo com Trump agora. Eles destacaram isso. Começam separando, o que é interessante, o que são os termos de uso e o que é a política de privacidade. Algumas empresas, às vezes, colocam tudo no mesmo documento, mas são coisas diferentes. Os termos de uso estão relacionados às (11:39) características daquele serviço em específico: como você usa, o que faz e o que não faz. Até questões relacionadas à propriedade intelectual podem estar lá, e em geral estão. Ou seja, o que a ferramenta diz ou transfere sobre os resultados acerca de propriedade intelectual. (12:03) E as políticas de privacidade vão regular o tratamento de dados. O que eles analisaram nesses serviços? Se há clareza e facilidade no acesso a informações, o mínimo que um agente de tratamento deveria cumprir; se há menção às transferências internacionais e para quais países, observando as regulações da ANPD; se a apresentação dos direitos dos titulares está adequada; e a demonstração das medidas técnicas e administrativas para garantir a segurança. De forma muito (12:43) interessante, eles se basearam, como referência mínima, no guia de segurança da informação para agentes de tratamento de pequeno porte. E isso é bem interessante, porque, às vezes, quando olhamos para as práticas de empresas que não são de pequeno porte, é comum que elas sequer cumpram o mínimo colocado pela ANPD sobre segurança da informação. (13:21) Analisaram também as práticas de “data scraping” ou raspagem de dados. Os resultados foram publicados em uma planilha. Lá no estudo, que vamos deixar no “show notes”, estão os resultados. (13:46) Ali você tem as avaliações de Copilot, Cloud, Meta, Grok e DeepSeek. É uma planilha com oito questionamentos, e eles avaliam se a instituição cumpre ou não, em uma pontuação de 0 a 14. Gemini, Cloud e Meta AI cumprem 11. Nenhuma cumpre todos. (14:14) Gemini, Cloud e Meta AI cumprem 11; ChatGPT, 9; Copilot, 8; Grok, 6; e DeepSeek, 5. O DeepSeek estaria no fim da lista no que diz respeito às práticas, preocupação que já foi colocada pela própria União Europeia. Basicamente, apenas três dos 14 critérios foram atendidos por todas as empresas, o que (14:51) leva a um resultado de descumprimento de medidas muito básicas. Eles foram bem conservadores, pegaram coisas básicas, nada demais. É algo que todos deveriam estar cumprindo. (15:17) Não deveria haver espaço, nesse âmbito e com os riscos que tudo isso representa, para que não fossem cumpridas essas medidas. Pelo que estou vendo, quem mais cumpre é o Gemini, que não cumpre três requisitos. O Cloud também não cumpre três, e a Meta AI não cumpre três. (15:44) São 14 itens de conformidade. Existem muito mais, mas eles só avaliaram 14. O resultado foi: Gemini 11, Cloud 11, Meta 11, ChatGPT 9, Copilot 8, Grok 6, DeepSeek 5. (16:15) Eu não esperava muito do DeepSeek. Lembrando que a Meta teve toda aquela questão com a ANPD, do processo, da reversão das práticas de treinar com dados pessoais. Na verdade, são muito mais coisas que deveriam estar sendo cobertas e não estão. (16:36) É um estudo pequeno, dá para dizer, mas é importante para a tomada de decisões. Porque isso não é só proteção de dados, é também sobre as pessoas que usam essas ferramentas para atividades que eventualmente envolvem segredos comerciais. (16:54) Essas práticas de proteção de dados, algumas delas sobre segurança, vão se estender também a outros dados críticos que são colocados ali. Vinícius, o que está acontecendo com o Mitre lá nos Estados Unidos? (17:13) O Mitre, para quem trabalha com segurança da informação, com certeza já ouviu falar, ou pelo menos do CVE. O Mitre é uma organização sem fins lucrativos norte-americana e, entre os vários projetos que mantém, tem o CVE, que é uma base comum de vulnerabilidades. (17:30) Não é uma base de vulnerabilidades comuns, mas uma base comum de vulnerabilidades. Isso foi criado em 1999, porque até então tínhamos um problema sério que foi sendo resolvido. Qual era o problema? Se eu encontro uma vulnerabilidade em um Windows, Linux ou qualquer aplicação, e preciso comunicar essa vulnerabilidade, como sabemos que estamos falando da mesma coisa? (18:08) Como fazemos referência a essa vulnerabilidade? Então, o Mitre veio com a iniciativa do CVE, essa base comum à qual todo mundo pode fazer referência. Quando aparece uma vulnerabilidade em um Oracle da vida, (18:34) é criada uma CVE para essa vulnerabilidade, com toda a descrição, impactos, etc. Acaba sendo uma biblioteca de vulnerabilidades extremamente importante, que virou a referência de fato para o mundo inteiro. (18:58) É uma taxonomia das vulnerabilidades. Ele faz uma listagem, descreve e avalia cada uma delas. O que acontece é que esse projeto, assim como o próprio Mitre, recebe recursos do governo federal norte-americano. (19:23) É daí que vem o dinheiro que mantém o Mitre e seus projetos, como o CVE. Aconteceu que a Agência de Segurança Cibernética e de Infraestrutura (CISA), assim como tantas outras, sofreu cortes impostos pelo tal Departamento de Eficiência Governamental (DODGE), que o Elon Musk, sem ser nomeado oficialmente, é quem toca. (20:02) O fundo foi cortado; na verdade, a renovação não tinha sido garantida. O projeto iria até o dia 11 de abril, e depois não teria mais fundo. Como não teve a renovação, o Mitre avisou que não haveria mais atualização no CVE, que acabaria. (20:43) Na última hora, a CISA voltou atrás e renovou o contrato por mais 11 meses. Então, estamos falando de mais 11 meses de fundos para o Mitre manter a iniciativa. O pessoal já se deu conta de que não dá para confiar só em verba do governo norte-americano e já começou a se mexer para captar recursos de outras fontes para garantir que o CVE continue existindo. Eu diria, Guilherme, sem exagerar, que ele é crítico para o gerenciamento de vulnerabilidades no mundo inteiro. (21:22) É a linguagem comum que todo mundo fala. Diversas ferramentas, abertas ou pagas, utilizam e têm como premissa a vinculação com o CVE. Qualquer ferramenta de varredura de vulnerabilidades tem o CVE como sua base de dados de referência. (21:59) É uma linguagem comum no sentido de que, quando você vai reportar uma vulnerabilidade para um cliente, uma empresa ou um governo, todo mundo fala a mesma língua. Ameaçar isso pode ter consequências desastrosas. (22:30) Por fim, o financiamento está garantido por 11 meses, mas existe uma previsão de corte de 13 funcionários da CISA. Sabe-se lá o que vai acontecer depois. Torcemos para que o Mitre consiga encontrar outras fontes de financiamento. (22:56) Eu acho que não vai ser difícil, porque muita empresa grande usa o CVE como referência. Mas é algo com que eles não podem mais contar do governo norte-americano. Eles chegaram a anunciar o fim da atualização, o que era bastante grave. (23:16) A gente sabe desses improvisos do governo americano. Não sei bem se é uma improvisação, mas acredito que eles podem não ter a visão completa das consequências de mexer não só nessa, mas em várias outras áreas em que o DODGE retira recursos. Saiu uma notícia há bastante tempo, (23:48) eu vi o pessoal fazendo piada disso no Saturday Night Live, achei que fosse brincadeira, mas é verdade: um dos membros do DODGE que assessora o Elon Musk é um cara chamado Edward Corstein, um jovem de 19 anos cujo apelido era “Big Balls”. Ele foi revelado como tendo prestado suporte técnico a um grupo de cibercriminosos chamado Egodley antes de assumir funções em órgãos oficiais de segurança cibernética dos Estados Unidos. (24:21) Ele teria uma relação bem estranha com esses órgãos, o que foi revelado por mensagens do Telegram. Não sei se esse corte está diretamente ligado a esse cara, mas é para saber o tipo de pessoa que está lidando com o financiamento de algo tão importante para o mercado de segurança. (24:52) Isso é bastante relevante e pode impactar completamente os serviços de segurança. Sem contar que esse cara que você citou, junto com toda a equipe que ele comanda, está tendo acesso a informações extremamente sensíveis de toda a população norte-americana. (25:11) Você lembra quando comentamos do escambo de dados do TSE, que eles iam oferecer uma integração com o Serasa e trocar por certificados digitais? Lembro, claro. E nos chamou muita atenção, era um mau uso dos dados, não é para isso que o TSE os coleta. (25:34) E o que o Trump está fazendo, em 2013, mais de 300 episódios atrás. Agora, o governo Trump está usando essa equipe que você citou. Os caras estão acessando informações que existem nos diversos departamentos do governo federal para fins diferentes daqueles para os quais foram originalmente coletadas. (26:08) Desde localizar gente para deportar até dissidentes, o negócio virou uma loucura. O cara está perseguindo dissidentes políticos, no final das contas. Pegando dados da Receita Federal, dados bancários, dados médicos, qualquer coisa que encontrar. (26:31) E o risco que se coloca é que esses caras vão começar a alimentar ou treinar inteligências artificiais com esses dados. Havia o caso dos dados de saúde, que eram em COBOL, e eles iriam refazer todo o código. Isso já teria começado a dar alguns efeitos na disponibilidade de sistemas, quebrando algumas proteções muito básicas de um estado de bem-estar social já estabelecido. É algo realmente bem (27:04) crítico. Vinícius, tem um assunto aqui que é meio lateral, mas acredito que tem um ponto bem importante para o mercado de segurança e para os funcionários das áreas de segurança e proteção de dados. (27:35) Houve recentemente uma atualização na norma de proteção dos trabalhadores, a NR-01, que regula e avalia os riscos ocupacionais nas empresas. Basicamente, toda empresa precisa colocar medidas para garantir que seus funcionários não tenham riscos ocupacionais variados. (28:11) Riscos de ergonomia, por exemplo, sobre equipamentos, cadeiras e tudo mais, tudo isso entra em uma figura maior de riscos ocupacionais. A partir de maio, com a atualização da NR-01, todas as empresas com funcionários terão que começar a identificar, avaliar e gerir os chamados riscos psicossociais. Então, além de verificar se o cara vai ficar com as costas doendo por causa da (28:44) cadeira, as empresas terão que verificar esses riscos psicossociais. Isso vem de diretrizes da Organização Internacional do Trabalho e da Organização Mundial da Saúde, agências que estão francamente ameaçadas e afetadas pelo que acontece nos Estados Unidos. (29:11) Também há um movimento de descredibilização, dizendo que segurança no trabalho não é importante, mas a gente sabe que é. Basicamente, esses órgãos disseram que 12 bilhões de dias de trabalho são perdidos anualmente devido à depressão e ansiedade, o que representa um custo de quase 1 trilhão de dólares para a economia global. (29:38) Basicamente, eles devem ter pego os dados dos países sobre o número de funcionários e visto quantos dias as pessoas ficaram afastadas por conta desses riscos. A gente sabe que o trabalho é uma dimensão super importante da vida das pessoas. (30:03) Nós, inclusive, passamos mais tempo trabalhando do que com nossa família ou nos divertindo. O que acontece no trabalho, embora as pessoas não deem muita bola, é crucial para a saúde mental. No Brasil, para ter uma ideia, os afastamentos por transtornos mentais decorrentes de adoecimentos ocupacionais estão em segundo lugar. Esses números têm crescido. (30:35) A partir de maio, as empresas, ao avaliarem os fatores de risco ocupacionais, terão que investigar perigos decorrentes de problemas na concepção, organização e gestão do trabalho que podem afetar a saúde mental do trabalhador. (30:58) Isso poderia levar ao agravamento de estresse, esgotamento, depressão, entre outras afetações. Alguns exemplos de perigos e fatores de risco, Vinícius: assédios de qualquer natureza, má gestão de mudanças, baixa clareza de papel, baixas recompensas, falta de suporte, baixo controle e autonomia no trabalho, baixa justiça organizacional, eventos violentos ou traumáticos, baixa demanda de trabalho (há (31:33) funcionários que são punidos com a falta de funções para que fiquem sem fazer nada, o que é bem conhecido na justiça do trabalho). Por outro lado, excesso de demandas, maus relacionamentos, trabalho em condições de difícil comunicação e trabalho remoto isolado. (31:58) Você deve estar se perguntando por que isso está aqui. Eu vou te dizer. Na minha experiência, e acho que você vai concordar, muitos problemas relacionados ao trabalho de profissionais de segurança da informação e de proteção de dados estão ligados a alguns desses fatores de risco psicossociais. (32:33) Ou seja, temos pessoas trabalhando nessas áreas altamente estressadas, com impacto psicológico por conta desses fatores, o que, na minha opinião, contribui para uma piora na qualidade dos serviços de segurança da informação e proteção de dados. (33:06) Muitas vezes, esses profissionais precisam impor medidas que não são bem vistas pela organização e que não serão cumpridas. Eles precisam apontar coisas que estão sendo feitas na empresa e que não podem ser feitas, pois descumprem regras de proteção de dados ou aumentam o risco de segurança da informação. (33:30) Acredito que é possível fazer uma correlação: melhorar a qualidade e eliminar riscos psicossociais, não só para esses empregados, mas para todos, pode ser um fator importante para as empresas melhorarem a conformidade com segurança da informação e proteção de dados. (33:57) Essa é uma primeira reflexão. Quando olhamos para a própria resolução do encarregado, diz-se que o agente de tratamento deve prover os meios necessários para o exercício das atribuições do encarregado, incluindo recursos humanos, técnicos e autonomia técnica. (34:21) Sabemos que isso muitas vezes não acontece, o que causa estresse psicológico para esses encarregados. O outro ponto é que, como as empresas agora precisarão gerir esse risco, elas começarão a coletar dados sobre a saúde mental. (34:41) Claro, muitas empresas contratarão outras para fazer isso, mas, de qualquer forma, novas operações de tratamento de dados sensíveis sobre a saúde psicológica dos funcionários começarão a acontecer. Esses dados ficarão em algum lugar e serão tratados. (35:03) Haverá uma preocupação adicional com dados sensíveis e ultracríticos, porque, a depender de como forem usados, podem até prejudicar as pessoas. É um cenário bem interessante que se coloca, com novos cuidados. Não sei se você concorda comigo. (35:25) Se não concordar, fique à vontade, mas acho que há uma relação entre saúde psicológica, riscos psicológicos e a qualidade do trabalho desses profissionais. Sem dúvida nenhuma. No que diz respeito ao trabalho remoto, o profissional de segurança já tem uma tarefa meio ingrata, difícil de fazer funcionar, ainda mais porque impõe limitações aos negócios. Vimos o caso do governo Biden, que se estrepou com as Big Techs porque quis impor limitações. (36:02) No final das contas, se a organização não tem a segurança ou a proteção de dados como um valor fortemente fixado, como um princípio, (36:36) sempre que possível, darão uma volta nisso, estando o profissional remoto ou não. E fica a questão dos dados de saúde que terão de ser coletados, o que impõe ainda mais responsabilidade sobre algo que já não está alinhado. A gente ainda não vê a atuação dos órgãos que deveriam reforçar esses cuidados. (37:13) A gente sente isso. Mas, no final das contas, concordo contigo, foi muito importante a atualização da NR-01, e temos que pensar com cuidado nos seus impactos. (37:32) No final, todo mundo ganha: as empresas, com um serviço de mais qualidade, e os funcionários, com uma saúde psicológica melhor. Mas tem gente que pensa: “Eu ponho música clássica para a vaca, e ela dá mais leite. Já as pessoas que trabalham comigo, quanto mais pressão, melhor a produção”. É algo que vai além das questões técnicas, envolve filosofia, valores. (38:10) Funcionários insatisfeitos ou estressados são fontes de risco para a segurança. O cara estressado, assoberbado, vai errar mais, vai tomar atalhos para fazer as coisas rápido. (38:35) É como na questão da IA. O estudo que você citou sobre a LGPD: tudo bem que se pode acelerar o trabalho com IA, mas não se pode mandar qualquer informação para ela. Não dá para pegar informação de saúde de alguém e mandar para lá para pedir um resumo. (38:55) Só que, ao mesmo tempo, se a pessoa estiver sob pressão, querendo ganhar tempo a qualquer custo, alguém vai fazer isso. É bastante delicado. Eu tenho uma última notícia, bem rapidinha, para puxar a brasa para o nosso assado. (39:20) A notícia é que 39 milhões de “secrets” (chaves de autenticação, senhas, etc.) vazaram no GitHub em 2024. A notícia não é muito clara. Vazou porque invadiram o GitHub ou (39:58) porque o pessoal que usa o GitHub manda o código para lá e deixa as credenciais de acesso no código-fonte, em repositórios públicos? Eles não dizem, mas chama a atenção para um problema que vemos com frequência: o velho esquema de colocar credenciais de acesso em repositórios de código-fonte. (40:33) Seja em repositório privado ou não. Esse tipo de coisa não se faz, gente. Se você sabe de alguém que está fazendo, ou se você mesmo está fazendo, pare. (40:51) Credencial de acesso fica no ambiente de execução do sistema, em variáveis de ambiente ou em algum arquivo de configuração. Não dentro do código-fonte nos repositórios. (41:17) O resultado disso são credenciais vazadas. Acredito que, se tivesse sido uma falha do GitHub, a manchete seria outra. Imagino que seja o pessoal expondo as credenciais por descuido. Além disso, tem uma situação curiosa. Cheguei a separar um print para te mostrar, Guilherme. (41:48) Eu estava de férias e esqueci de te mostrar. Eu estava desenvolvendo com IA. De repente, enquanto montava um arquivo com credenciais de acesso, a IA começou a me trazer os dados de outra pessoa, inclusive o e-mail. Se trouxesse só a credencial, eu não saberia a quem pertence. (42:26) Mas, quando fui colocar o e-mail, ela me trouxe um e-mail real de uma pessoa. Tipo, eu estou digitando e aparece “[email protected]” no meio do nada. Preencheu o e-mail e a credencial do cara. Eu dei um print. (42:49) Mas o que é isso? É vazamento de credencial no GitHub. O que a IA tem a ver com isso? Os modelos, para aprender a programar, são treinados com base em código-fonte existente. A OpenAI e a Microsoft deixaram claro que o Copilot é alimentado pela OpenAI. (43:22) Eles usaram repositórios públicos para treinar essas IAs. Se você tem alguma chave lá, ela vaza. Isso já aconteceu antes. Você vai lá, vaza suas credenciais em um repositório público, os caras usam para treinar a IA, e em algum lugar lá dentro fica aquela credencial. (43:59) Lembrando que a IA segue por probabilidade. De acordo com o caminho que você faz, ela te traz a coisa mais provável. Um belo dia, eu estava programando, fiz um caminho parecido com o daquele cara, e “pimba”, a IA joga o e-mail e a credencial dele na tela. (44:25) Isso é vazamento. Quem quiser experimentar, abra uma IA dessas, pegue um autocompletar e comece a digitar o nome de uma variável comum para uma chave da Amazon, por exemplo. (44:49) Não lembro o nome de cabeça, mas coloque uma e você vai ver que ele vai preencher com um lixo qualquer. Se a chave estiver funcionando, você consegue usar. Enfim, vazou, e a IA aprendeu. Tem que ter muito cuidado. (45:09) Gostei dessa notícia porque chamou a atenção para isso: 39 milhões de credenciais vazadas. Não gostei porque não disseram como foi o vazamento. Presumo que sejam credenciais em repositórios públicos no GitHub. (45:34) Você estava falando, e eu lembrei de um estudo do MIT, o “The AI Risk Repository”, uma base de dados que tenta fazer uma taxonomia dos riscos envolvendo IA. Mas não estava preparado para pegar isso aqui, tenho que estudar melhor. Então, deixa para um episódio temático. (46:00) Porque tem a ver também. Você abre a possibilidade… mas tudo bem, vou colocar meu código lá. A gente sabe que no próprio GitHub você consegue controlar se o seu código será ou não usado para treinar a IA, assim como acontece com outras ferramentas. Acho que no GPT, só na versão paga você consegue bloquear isso, Vinícius? Para que não usem seus dados para treinar? (46:38) Eles andaram colocando na versão “free”. Eu estava dando um treinamento e fui mostrar como desativar o uso de dados para treinamento. Havia um momento em que era só para pagos, e eu disse: “Aqui só pagando”. (47:02) E aí quebrei a cara, porque fui mostrar e consegui ativar no “free”. Sabe qual o único que é “opt-in”? Eu já citei aqui. Por incrível que pareça, o único é o Grok, pelo menos quando assinei. Eu assinei logo que lançaram o Grok 3. (47:42) Para minha surpresa, a primeira coisa que fiz foi ir às configurações para desativar o que fosse de privacidade, e por padrão já estava desativado. O Perplexity tem que desativar. Sim, o Perplexity e o ChatGPT têm que ser desativados, senão ele fica ativo. O Cloud eu não lembro. (48:10) O Grok, por padrão, estava desativado; você tinha que ativar. Foi bem interessante. O Cloud, tenho achado muito interessante. Mas aqui já estamos fazendo aquela parte extra que fazemos só no YouTube, mas dessa vez vai ficar no episódio. (48:37) Eu testo várias ferramentas ao mesmo tempo: Gemini, Cloud, ChatGPT e Grok. Cheguei a usar um chamado Mamute AI, que te dá acesso a todos os modelos por R$ 65 por mês, em vez dos R$ 120 tradicionais. É uma ferramenta bem básica. (49:24) Tenho ficado bastante surpreso com o Cloud. E uma notícia que não estava no roteiro: a Meta tentou “avacalhar”. Eu dei essa notícia no outro café? Não, você não falou. (49:44) Ia ser falado no passado, e você não falou. Pode falar. Existe o “LMSys Chatbot Arena Leaderboard”. Vou até acessar para ver quem está na frente. Lá você pode participar. Você dá seu prompt, e vêm respostas de dois modelos que você não sabe quais são. (50:27) Você escolhe qual é a melhor e vota. Eles têm um leaderboard com várias classificações: linguagem, visão, geração de imagem, etc. (50:53) O Llama 3 da Meta foi parar em segundo lugar no leaderboard, e depois foi tirado e sumiu. Por quê? O pessoal começou a estranhar que, apesar de estar em segundo lugar, quem estava rodando o modelo (que é open source) estava tendo uma qualidade de resposta muito abaixo do esperado. A Arena foi investigar e descobriu que a Meta estava meio que sacaneando o teste. Entregaram um modelo para o teste e outro para as pessoas. (52:06) Eles otimizaram o modelo para se sair melhor no tipo de teste que a Arena estava fazendo. Sabe um dos problemas? Se os caras mentem para chegar em um resultado… (52:29) Eles fraudaram o teste. Foi fraude. A Arena tirou o Llama 3 do leaderboard e implementou novos parâmetros de avaliação para evitar esse tipo de coisa. Eles não confrontaram diretamente, mas fizeram: “Ok, vocês fizeram essa, nós descobrimos, tiramos e vamos implementar recursos para não ter mais espertalhões como vocês fazendo isso”. (53:01) Eles fraudaram a arena porque prepararam um modelo específico para ela, enquanto se pressupõe que os modelos na arena são os mesmos que estão acessíveis ao público. (53:25) A Volkswagen fez isso em outro contexto, quando alterava o carro para emitir menos poluentes ao ser testado. Quando detectava que estava em teste, mudava os parâmetros. Isso é fraude. Se eu olhar aqui no leaderboard de linguagem, o Gemini 2.5 Pro está em primeiro lugar. (53:50) Em segundo, o ChatGPT 4o; em terceiro, o Grok-1; em quarto, o Claude 3 Opus. Presume-se que, se você usar esses modelos, terá resultados condizentes com a sua posição na arena. Mas fizeram essa aí. (54:23) Só para retomar o que falamos sobre o livro da “whistleblower” do Facebook. (54:43) O nome do livro é “Careless People: A Story of Power, Greed, and Lost Idealism”, da Sarah Frier (corrigido do áudio, que mencionava “Sarah Win Williams”). Vai estar no show notes. Por enquanto, só em inglês, mas temos que ler esse livro, porque estamos devendo o segundo episódio sobre a Meta. Ainda bem que esperamos. (55:21) Fomos cobrados pela audiência. A gente foi arrebatado pelas circunstâncias. Está acontecendo tanta coisa, inclusive a primeira notícia de hoje talvez influencie esse segundo episódio. (55:44) Esse livro vem com novas informações. Teremos que fazer um segundo episódio diferente, talvez ler o livro, aguardar a ação do FTC. Acho que o mais importante é o que ela disse testemunhando no Senado. Tem vídeo na internet. Porque a Meta ter que vender o (56:16) Instagram, tudo bem, eles dão outro jeito. Muda o cenário, mas não tem nada de errado em si, viram um possível monopólio e querem desfazê-lo. (56:41) Só que as denúncias dela sobre as práticas do Zuckerberg, negociando dados de cidadãos americanos com a China… E nota o seguinte, estou ficando sem voz. (56:59) Você lembra do escândalo de espionagem na época do Obama, sobre governos, inclusive a Dilma? E cidadãos americanos. Lembro. E eu fiz piada na época quando ele falou: “Podem ficar tranquilos, não estamos espionando cidadãos americanos”. (57:28) E a mídia aqui no Brasil: “Eles disseram que não estão espionando”. Eu chamei a atenção no podcast: “Pessoal, eles não estão espionando cidadãos americanos”. Quando falam “americanos”, estão falando deles. Nós estamos no balaio. E depois ficou claro que estavam espionando todo mundo. (57:56) E agora, de novo, o que ela denunciou é que o Zuckerberg estava negociando com os dados de cidadãos americanos com a China. E os dados do resto do mundo? Já foram. Deixa eu só pegar o gancho para terminarmos. (58:26) Pegando o gancho da imprensa, a nossa imprensa não explorou adequadamente os assuntos que trabalhamos. É possível ver que a imprensa em geral tem perdido qualidade porque está refém do clique. Uma coisa que me chama atenção, eu abro meu feed de notícias: Globo, (59:06) Correio Braziliense, Folha. Não vou dizer qual o jornal, mas uma das notícias é: “JK faz harmonização nas mãos com médico de Kim Kardashian em Los Angeles. Confira o resultado”. (59:30) “Ex-astro mirim de ‘O Sexto Sentido’ é preso e debocha das autoridades”. E quando falo do estudo da FGV, e o jornal não traz o link, é um pouco disso que estou falando. Quando começamos a falar em desinformação, qualidade da informação, é um pouco sobre a responsabilidade da imprensa. (59:57) Claro, é um problema histórico, no Brasil e no mundo. E tem a liberdade de expressão, podem publicar o que bem entenderem. Não é esse o ponto. Mas a qualidade e a seleção do que entra é um negócio muito crítico. (1:00:17) Vamos lá, que estou ficando sem voz. Vai tomar um gengibre com mel ou uma caipirinha. Então, agradecemos a todos que nos acompanharam. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.  

  Neste episódio falamos sobre como as recentes tarifas de importação estão reconfigurando a economia global. Você irá descobrir os impactos diretos no mercado de tecnologia e segurança da informação.​ Guilherme Goulart e Vinícius Serafim analisam a atual guerra comercial e suas consequências para a economia global. A discussão aprofunda-se na complexa cadeia de suprimentos de tecnologia, a dependência de semicondutores e como as tarifas de importação podem gerar um aumento de preços em cascata, afetando a infraestrutura de TI e os serviços de nuvem. O episódio explora a vulnerabilidade do Brasil neste cenário de geopolítica tecnológica e os riscos para a segurança da informação e inovação tecnológica, além dos debates sobre regulação de dados e propriedade intelectual na era da inteligência artificial (IA). Para não perder nenhuma análise, assine nosso podcast, siga-nos nas redes e deixe sua avaliação na sua plataforma de áudio preferida.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Relatório – 2025 National Trade Estimate Report on FOREIGN TRADE BARRIERS of the President of the United States on the Trade Agreements Program EU could tax Big Tech if Trump trade talks fail, says von der Leyen Ministerial statement: PM Lawrence Wong on US tariffs and their implications Trump exempts phones, computers, chips from new tariffs China Halts Critical Exports as Trade War Intensifies EU could tax Big Tech if Trump trade talks fail, says von der Leyen 📝 Transcrição do Episódio (00:02) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 389, gravado em 11 de abril de 2025. Eu sou o Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês algumas das notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos acompanham no YouTube. Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção.(00:30) Então, pegue o seu café e vem conosco. Para entrar em contato conosco, você já sabe, envie uma mensagem para podcast@segurançalegal.com ou também lá no Mastodon, Instagram, Bluesky e YouTube. Já pensou em apoiar o projeto Segurança Legal? Você pode fazê-lo por meio do Apoia-se, em apoia.se/segurançalegal.(00:48) Lá você escolhe a modalidade de apoio e também tem a chance de participar do nosso grupo exclusivo de apoiadores no Telegram. Inclusive, uma das mensagens aqui veio de lá do grupo, que a gente vai responder para eles hoje. Também tem o blog da Brownpipe Consultoria, que é a empresa mantenedora, junto com os apoiadores, do podcast Segurança Legal. Então, se você acessar www.brownpipe.com.br,(01:13) você vai conseguir ver, além do conteúdo todo lá, o blog. Também consegue se inscrever na mailing semanal. Inclusive, uma das notícias que veremos aqui foi para a mailing semanal. Você fica sabendo antes se assinar a mailing da Brownpipe. Certo, Vinícius? Beleza.(01:32) Guilherme, você queria mandar um abraço para o Alexandre? Não, um abraço tu mandas, eu vou mandar um 73, tá? Tu mandas um abraço para o Alexandre, eu mando um 73 para o Papa Papa 5, ou quinto, Papa Papa quinto, Índia Tango Tango. Um abraço do Papa Uniforme 3, Sierra Romeo Foxtrot. Eu tive que quase puxar da memória aqui o meu indicativo, porque faz um tempo que eu me mudei e não trouxe as antenas junto, viu, Alexandre? E quase não te mando esse 73, cara, porque eu estava viajando numa semana, na outra a gente não pôde gravar e acabou ficando.(02:03) Então, para que fique o registro, Guilherme, um 73, então, para o Papa Papa 5, Índia Tango Tango, do Papa Uniforme 3, Sierra Romeo Foxtrot. Pelo visto o Alexandre é um classe B ou um classe A, cara. Eu sou um classe C lá do rádio amador.(02:23) Isso é tipo uma maçonaria que vocês ficam falando em códigos? Sim. Não, não é, definitivamente não é. Legal, legal. E com a gente imaginando que o mundo eventualmente pode acabar numa guerra… É bom ser rádio amador. O rádio amador é útil. É os radiozinhos aqui, uma bateria e está feito, cara.(02:46) Aqueles filmes que o mundo acaba, o pessoal ainda continua usando um pedaço de fio para cima e está feita a comunicação. Boa. Bom, eu então mando um abraço para o Alexandre Itner. Obrigado, Alexandre, pela mensagem. Fique sempre conosco. O pessoal lá do grupo, Vinícius, estava perguntando o que significa o cachimbo da Brownpipe. A gente falou um pouquinho sobre a Brownpipe ontem.(03:05) A Brownpipe que está completando este ano 13 anos de operação. 13 anos. E o Segurança Legal também está completando 13 anos. Vinícius, eu não quero dizer nada, mas acho que é abril, domingo. Agora, domingo, completamos 13 anos. Nem nos preparamos para fazer… a gente pode fazer na semana que vem. E aí, Guilherme, o pessoal quer saber, a minha pergunta foi: “O que era o cachimbo da Brownpipe?”. Cara, o que significava o cachimbo? É o seguinte, é de uma serendipidade total o nome da Brownpipe,(03:41) como já foram outros nomes que eu criei para outras situações. Mas Brownpipe vem deste cachimbo aqui, é deste cara aqui. Eu tive que criar o domínio da Brownpipe, na verdade, ele existe antes da Brownpipe. Foi um domínio. Eu precisava fazer um teste, uma brincadeira que eu ia fazer com um software e aí eu tinha que registrar um domínio e não sabia que nome botar. Vou botar o quê? Bobagem? Não sei.(04:12) Vou botar alguma coisa. Aí eu olho na minha mesa, eu tinha este cachimbo, ele estava guardado numa caixa aqui, mas ele ficava num apoiadorzinho com descanso de cachimbo, de enfeite na mesa mesmo. Eu olhei para aquilo ali, cara, “brown pipe”, cachimbo marrom.(04:38) Aí registrei o domínio Brownpipe, tanto que, se vocês forem ver, o domínio existe há muito mais tempo que a empresa. Foi por causa disso. E aí, esse domínio eu fiz o que eu queria fazer, botei para rodar o que eu queria rodar, não deu adiante e ficou o domínio registrado. Ficou lá. Mais tarde, quando a gente resolveu criar, fundar a Brownpipe, eu e o Guilherme, a gente pensou nesse domínio que a gente tinha ali.(05:11) E aí a gente fez um link, e eu não lembro, Guilherme, bem sinceramente, eu não lembro se foi tu, se foi eu, qual de nós dois que se deu conta disso, mas a questão do cachimbo com o Sherlock Holmes, das histórias do Arthur Conan Doyle, que a marca registrada dele é um cachimbo. Então, o cachimbo, e aí junta a perspicácia, a questão de investigar e resolver os problemas que ninguém resolve.(05:36) Foi nessa linha. Foi exatamente nessa linha. É, mas eu não lembro quem foi, se foste tu ou se fui eu. Mas foi um brainstorm nosso de você trazer essa, evocar essa memória da personagem para o nosso trabalho. Bom, se você gostou da história, visite brownpipe.com.br, conheça os serviços prestados.(06:04) E antes que o YouTube nos incomode que a gente não está fazendo propaganda de fumo ou qualquer produto relacionado a tabaco. Pronto. Sim, porque a política deles proíbe esse tipo de coisa. Exatamente. “Tariffs”, nas últimas semanas foram as semanas das tarifas. Não sei se daria para traduzir literalmente, embora a gente esteja usando, e vamos usar aqui, o termo “tarifas”. Talvez não seja exatamente o termo técnico correto. E o objetivo da gente trazer este tema aqui é como o problema ou a questão das tarifas(06:40) pode afetar o mercado de TI e, por vias indiretas, também o mercado de segurança. Porque, de maneira geral, a gente está vendo uma reformatação, eu não sei se é uma reformatação ainda concluída, Vinícius, porque é difícil falar sobre isso, ou seja, entender quais vão ser as consequências do que está acontecendo agora, porque não é uma coisa terminada, é uma questão que ainda está em andamento. Então, nós não sabemos, e talvez seja até um exagero alguns economistas dizerem: “Ah, nós estamos(07:12) vendo uma reformatação da ordem econômica mundial”. Tu achas que é uma reformatação? Eu não acho nada porque não tenho conhecimento de economia ou coisa parecida, mas, do que eu já acompanhei e do que eu acompanho, principalmente da mídia norte-americana… mas a gente viu esses dias o primeiro-ministro de Singapura falando de uma maneira muito clara, muito franca.(07:42) Aí tu vês o pessoal da União Europeia… claro que tem que dar um desconto aí que existe todo um jogo que a gente nem sabe, a gente está meio por fora, e se a gente acha que está entendendo, eu acho que é um efeito meio Dunning-Kruger, sabe? A gente acha que está entendendo porque não entende do negócio. Mas, no geral, se fala que é uma nova reorganização na qual os países não querem mais ter os Estados Unidos como… não é que não queiram ter como parceiro, querem ter como parceiro, mas não um parceiro sólido, (08:13) aquele único parceiro que eu vou ter. Eu tenho que ter opções, eu tenho que ter alternativas aos Estados Unidos e não posso confiar tanto assim nele. É mais ou menos isso, resumindo o que eu tenho ouvido dos analistas falando, que não são os caras que ficam falando assim: “Ah, tu viu que isso é uma jogada de gênio do Trump?”. Todo mundo sabe que não é.(08:40) Todo mundo sabe que foi improviso dele, todo mundo sabe que ele recuou porque o mercado começou a derreter, começou a dar a maior confusão lá e a galera já estava enchendo o saco dele e dos secretários dele. Então, tinha uma pressão muito forte e por isso ele cedeu. Fora esses caras que estão nessa bolha, as análises que a gente vê por aí, inclusive independentes e tudo mais, não dá nem para criticar os caras dizendo que são de um espectro político ou de outro, os caras são inclusive conservadores de direita e tal… é de que mudou o cenário.(09:13) Mudou o cenário, mas eu não sou capaz de fazer essa avaliação. Estou indo na onda do que eu vi. Eu acho que a ideia de uma mudança de cenário, eu quero dizer, não sei se isso ainda aconteceu, porque ela ainda não está concluída e a gente tem visto, quem está acompanhando mais de perto, idas e vindas nas últimas duas, três semanas. Então, não é algo que foi anunciado e que… as últimas notícias dão conta de que Trump volta atrás das tarifas, suspendendo-as por 90 dias. O mercado(09:48) começa… menos aqueles 10% e mantendo as da China, mantendo as de alumínio e aço. Sim. E qual é essa reformatação? Eu acho que o primeiro ponto é a gente ter visto o fato da WTO, World Trade Organization, que seria a perda do protagonismo ou da utilidade desse controle ou desse acordo mundial que se tinha, da organização do comércio internacional de maneira geral, que é uma organização que nasce depois da Segunda Guerra. E essa história é(10:32) muito interessante, porque teve um outro salto lá na China na história deles, mas o salto que eles deram depois da Segunda Guerra até hoje é um negócio… Então, o que a gente está vendo, a gente viu esse salto porque a China, depois da Segunda Guerra Mundial, e aí tem todo o protagonismo dos Estados Unidos, seja pela via do Japão e o crescimento industrial dos Estados Unidos pós-Segunda Guerra, eles tendo que resolver e apoiar também os estados europeus que padeceram com a Segunda Guerra. A China, logo depois da Segunda Guerra, era uma economia(11:12) agrária e continuou assim por… é um feudalismo estranho lá deles e, claro, aos trancos e barrancos também foram resolvendo por meio da revolução. Miséria, questão de miséria, a galera passando fome, um negócio muito… 90% das pessoas morando no campo e tudo mais. E aí, no final da década de 70, eles começam esse movimento de industrialização e de especialização, de investimento, fizeram uma reforma agrária ao mesmo tempo que começaram a se especializar em uma série de áreas.(11:47) E aí, isso num resumo bem resumido, até porque não é a nossa área essa parte, mas o que acontece é que, a partir de 80, dá para se dizer que eles começaram esse movimento que os fizeram se tornar a potência que são hoje. E isso acabou levando à desindustrialização de alguns países, inclusive dos Estados Unidos também, quando a gente olha para um mercado globalizado e para a dependência que se criou das cadeias de suprimento. As discussões que se tem hoje, aquela(12:20) história, poxa, é difícil você produzir algo completamente ou somente dentro do país, como se fazia, sei lá, na União Soviética, que era fechada. É. A gente foi fechado por muito tempo aqui no Brasil, até Collor. Era um atraso e tal.(12:43) Lembra dos computadores Cobra? Computadores do Brasil. E outras coisas mais. Então, essa ordem econômica que está sendo desafiada, era esse acordo econômico entre as nações que está sendo totalmente desafiado, e isso causa incerteza. E a incerteza é ruim para os mercados. E se uma vez que ela é ruim para os mercados, elas vão acabar afetando relações negociais, e relações negociais que vão envolver contratações de serviços de novos projetos. Em última análise, o que a gente está vendo, se isso se confirmar, se essas tarifas se mantiverem como se(13:30) pretende, é um rearranjo do mercado internacional. Mas nós vamos ter o aumento de preços de uma série de equipamentos tecnológicos, e aí vou indo um pouco mais para a nossa área. Não é só o telefone, é a preocupação dos… é só uma outra coisa, isso vai mexer também, tem o poder de mexer(13:55) muito com o “American Way of Life”, com aquele jeito americano de viver e o jeito americano de consumir. É um país baseado no consumo amplo e bem incentivado de bens pessoais. Algo que a própria China também não conseguiu fazer e pode ser uma resposta. Eles podem virar e, caso deixem de vender para os Estados Unidos, começar a tentar aquecer o próprio mercado interno deles.(14:23) É uma das saídas que eles já colocaram, sim, inclusive colocando isso para a União Europeia. Mas em que isso começa a nos afetar? Bom, em primeiro lugar, preços de produtos e de serviços. Claro, a gente estava discutindo antes aqui, qual é o papel da China, por exemplo, na produção geral de hardware, mas também, sobretudo, de processadores, que é a grande questão hoje com IA. Aí o Vinícius estava comentando um pouco aqui sobre isso, que ele conhece um pouco mais essa área.(14:54) Embora eles não sejam líderes na fabricação de chips, eles têm um protagonismo em semicondutores e no refinamento de uma série de minerais que seriam depois usados para a fabricação de chips. É que a tecnologia para desenvolver os chips de alta densidade é uma tecnologia holandesa que está licenciada, está em uso pela TSMC, que fica em Taiwan, que a China quer, mas não tem ainda.(15:33) Então, Taiwan é que produz esses tipos de alta densidade da Nvidia, esses tipos de processadores, de maneira geral. Esses caras são os líderes da fabricação. Então, uma Intel da vida projeta, uma AMD da vida projeta, esses caras projetam, mandam para eles, e eles vão lá e fazem a produção do chip em si. No entanto, a China não produz chips. Tanto é que naquela confusão lá do DeepFake, uma das discussões era que eles não teriam acesso aos chips H1 da Nvidia(16:09) porque foi proibido que a Nvidia vendesse para a China e, obviamente, se a China fabricasse, ela teria acesso. E o negócio é tão sério, Guilherme, que nessa tecnologia da ASML, a empresa holandesa que tem a tecnologia que faz a litografia, se eu não estou enganado, dos chips, eles têm um “kill switch” lá. Eles têm uma medida de proteção para matar os equipamentos no eventual caso de uma invasão chinesa. Então, se a China tentar tomar a TSMC, essa tecnologia da(16:48) ASML mata os equipamentos. Mas, então, tem isso. A gente tem que cuidar que esses processadores de alta densidade, de alta capacidade, são produzidos pela TSMC. A indústria chinesa se estima que ela está uns 5 anos atrás disso. O que ela produz hoje são os chips de 7 nanômetros, enquanto a TSMC está com tecnologia de 3 nanômetros. É tipo, menos da metade da densidade que a TSMC consegue, um chip mais de duas vezes mais denso do que um chip produzido pela China. Porém, entretanto, o computador, os eletrônicos que a gente(17:35) utiliza não são só chips de alta densidade, que são os mais caros. Normalmente, CPUs, GPUs, etc. A gente tem um monte de circuito integrado, um monte de componente discreto, diodo, transistores em geral e não sei o quê. E para fazer essas coisas, tu precisas de alguns minerais, como o gálio e o germânio.(17:57) E isso a China tem bastante. A China tem as principais reservas desses dois minerais. E a China refina e produz os componentes eletrônicos. Tanto é, eu curto eletrônica. Deixa eu te botar de volta aqui, Guilherme, desculpa. Eu curto eletrônica aqui.(18:15) Sabe quem tem mais metais raros também? Quem? Ucrânia. Ucrânia. É, as tais das terras raras e como também os Estados Unidos começam a se interessar pelo acesso a essas tais terras raras. E aí o seguinte, quem curte eletrônica sabe muito bem que, se tu queres comprar componente eletrônico, é site chinês. Tu encontras o que tu precisares, muito barato.(18:41) Mas sabe quando eles se deram conta, Guilherme, que era um problema essa questão dos processadores da TSMC? Foi na época da pandemia, que desorganizou toda a cadeia de suprimento internacional, global. Começou a faltar processador em tudo quanto foi canto, e os caras se ligaram, podia manter a multimídia dos carros.(19:05) Carro é chip. Tem processadores que tu usas num Arduino, microcontrolador Arduino, eles são feitos para aplicação automotiva também. O mesmo processador. Então, tu tens esse momento da pandemia que o pessoal se dá conta disso.(19:26) E antes mesmo, no final do governo Trump e no início do Biden, o pessoal já começa a se preocupar: “Opa, TSMC, vem para os Estados Unidos fabricar aqui”, já tentando se defender desse tipo de coisa. Então sim, no final das contas, os processadores de altíssima tecnologia, processador e GPU, é Taiwan. E componentes eletrônicos de maneira geral, circuitos integrados, o que tu imaginar,(19:49) a China tem. Ela não só extrai, como refina, como fabrica e fornece para todo mundo. Então, não tem como, a China é muito importante nesse aspecto. Você nota que isso tem causado uma certa, não é bem uma preocupação, os analistas começam a ficar até perplexos.(20:14) Porque tu tens cadeias de suprimentos muito complexas numa economia totalmente globalizada. Basta você pensar em qualquer coisa, praticamente, carro, por exemplo. Mas, trazendo para nossa área, TI de maneira geral, é óbvio, pensa na nuvem. A nuvem não é, como o nome sugere, algo que está no éter. Você tem um grande problema, inclusive ambiental, que é a manutenção de todos esses data centers que precisam manter serviços de nuvem utilizados por basicamente qualquer pessoa que tenha acesso à internet e(20:55) empresas. Sim, quem tem um telefone. As empresas principalmente. E se você começa a mexer em custos de nuvem, você vai afetar, em maior ou menor grau, a operação de todas as empresas que têm na nuvem o seu, não é bem o insumo, mas é um serviço que vai ser utilizado.(21:23) E aí, quando a gente começa a pensar quem são os líderes de serviços de nuvem hoje no mundo, se você pegar os três maiores, Amazon, Google e Microsoft, são empresas americanas. E se você começa a pegar também toda a preocupação europeia… os europeus usam lá 90% dos serviços que eles usam, como falou a von der Leyen, são americanos.(21:48) Então você tem um potencial aí, o que tem deixado as pessoas sem entender direito qual é o objetivo disso tudo, de você começar a afetar esses serviços pelo viés do preço, porque os países afetados também podem impor tarifas nos serviços de nuvem americanos. Isso seria algo difícil de entender. Isso é um nó tão grande, porque tu vais ter um efeito em cascata aí, porque tem a própria construção do hardware. A fabricação de carro é muito utilizada, mas os hardwares que a gente utiliza também vão no mesmo caminho. Tu(22:24) tens equipamentos cruzando fronteiras de um lado para o outro toda hora. Vai um certo conjunto de componentes da China para não sei aonde, aí o cara vai lá e faz uma plaquinha, não sei o quê. Aí esse cara entrega essa placa de volta para um cara na China, que vai para outro cara.(22:42) Então, o produto não é tão simples assim, não é fabricado… manda os insumos todos para um lugar, fabrica lá e aí exporta. Tu tens, muitas vezes, equipamento que fica com pedaços dele indo e voltando, cruzando fronteiras até ter o produto completo. E aí tu tens o aumento do custo da tua infraestrutura, porque tudo que tu imaginar, roteadores, desde o que vai ligar tua fibra em casa, os teus celulares, as placas gráficas que tu precisas para rodar IA, disco, HD, SSD, memória, hack, tudo que tu(23:28) precisas para sustentar essa estrutura vai aumentar. E são feitos em lugares diferentes, não é tudo feito na China. E vem tudo… se fosse feito na China, é pior ainda, porque se vier dos outros lugares, pelo menos dentro de 90 dias, é só os 10%. Você tem um aumento de só 10%.(23:47) Tu tens um aumento de 10% e mais na China lá que é 125% agora. E aí tu tens esse aumento, o custo de quem fornece serviços. Tu tens uma infraestrutura de nuvem ali que vai ter seu custo aumentado. Esse custo vai ser repassado, óbvio, para quem usa a nuvem, para quem usa a nuvem para fornecer os seus serviços.(24:13) E tem várias empresas que fornecem serviços ali que não usam só o serviço da nuvem em si, elas usam serviços de outras empresas. Nós, por exemplo, na Brownpipe, cara, pensa em todos. O mais básico: serviço de e-mail é americano. As ferramentas todas são todas americanas. A parte de… bom, qualquer ferramenta, CRM americano, ferramenta de edição, é americano. É tudo americano. E aí o que pode acontecer? Podem esses valores todos começar a aumentar para nós também.(24:47) Hoje, uma conta no Google custa quanto por mês? É uns R$ 50, mais ou menos. É aproximadamente isso. Então, daqui a pouco, começa a ficar caro demais para eles manterem as coisas funcionando, eles vão começar a meter taxa, não taxa, mas um valor maior, e isso vai tendo um efeito em cascata. E isso nos coloca também no papel do Brasil ao longo dessa história. Na verdade, é um assunto superinteressante.(25:14) Eu tenho achado assim. A história da economia, os economistas precisam estudar muito a história da economia. Porque toda pessoa que gosta de história já se deu conta como é importante. Você começa a ver alguns fatos, descobrir alguns fatos e pensa: “Puxa, mas isso já aconteceu, está se repetindo agora”.(25:39) O Brasil também se estagnou. Pensa no papel que a China teve dos anos 80 para cá e pensa no caminho que a gente percorreu dos anos 80 para cá também. Todas as dificuldades que a gente tem, até mesmo com educação, ou a própria dependência que o comércio brasileiro tem de commodities. Muito bom e tal…(26:03) Claro, exportar café, gêneros alimentícios e petróleo e tal, mas são produtos que não são especializados. Qual é a nossa atuação hoje no mercado de tecnologia? É muito pequena. Tanto de serviços um pouco maior, mas se tu fores pensar em equipamentos, é muito pequena.(26:30) E isso nos deixa completamente vulneráveis a essa mudança de ventos. E veja, isso tem muito a ver com TI, isso tem a ver com segurança, pessoal. Porque se você tem um projeto que você precisa levar adiante e você vai ter menos dinheiro, não se enganem, as pessoas começam a cortar em coisas que não aparecem num primeiro momento. E segurança é uma delas. É a primeira a morrer.(26:56) É a primeira a morrer. Não é segurança e conformidade, porque ela não vai aparecer. Eu tenho dois serviços, eles vão estar funcionando bonitinhos. Se eu só olhar para o serviço, eu não consigo saber qual teve segurança ou qual investiu mais em segurança. Tirar o airbag.(27:16) Eu te vendo o carro que está escrito “airbag” no painel, está lá, mas não tem nada ali dentro. Está oco. Tu só vais descobrir se der um problema, senão tu não vais descobrir o que está acontecendo. Isso pode mexer em todo o cenário já complexo de regulação, sobretudo de IA e regulação de proteção de dados. Nós já tínhamos falado aqui, e é por isso que você escuta o Segurança Legal e contribui com o Segurança Legal, Vinícius. Tem coisas que você só ouve aqui. E nós já tínhamos antecipado, o que era meio óbvio até, que o novo governo Trump ia mexer muito na questão da governança dessas empresas, mas da(27:52) regulação das empresas. Então, óbvio que as empresas vão se alinhar com o governo Trump se ele diz: “Olha, eu vou afrouxar aqui o controle de vocês para que vocês consigam crescer mais rápido e, assim como a Microsoft já fez no passado, ocupar mais facilmente posições de dominância”. Esta é a ideia.(28:17) E pensa aí, você tira totalmente qualquer resquício de moralidade do mercado, dos governos e das empresas. A gente tem que olhar de uma forma meio fria. É uma coisa bem utilitarista, me parece. Claro que você pode ter lá os vieses ideológicos de cada um, mas é utilitarista. Pois bem, aí a União Europeia vem, e ela é reconhecida com o peso da sua regulação.(28:37) Peso esse que foi desdenhado pelo governo americano, mas o peso da regulação que vai fazer, em última análise, que nós tenhamos serviços mais seguros para as pessoas. Quando eu falo em regulação de serviços e produtos, estou falando desde controles de medicina, de alimentos e de produtos químicos, e também controles que deixem os sistemas que nós utilizamos e nos quais entregamos os nossos dados cotidianamente, mais seguros.(29:09) Em última análise, é você promover um ambiente de negócios e de serviços que proteja as pessoas. E eu acho que é difícil você achar alguém que seja contra isso, a não ser as próprias empresas. Pois bem, então o que pode começar a acontecer é a própria União Europeia começar a usar da ampliação de uma regulação para afetar sobretudo os Estados Unidos. Enquanto os Estados Unidos vão no movimento de afrouxamento, o que pode parecer bom no primeiro momento, em algum momento passa a ser insustentável. Em algum momento isso pode trazer um problema muito grande para a(29:47) humanidade. É, vai cobrar seu preço. Vai cobrar seu preço. É tipo remédio. Eu sempre uso, até nas aulas de direito do consumidor, o exemplo da talidomida. Era um remédio que causava uma má-formação congênita em crianças, era usado por grávidas.(30:06) Depois do caso da talidomida, você teve uma verdadeira revolução na questão farmacêutica. Por quê? Porque hoje os estados buscam o bem comum das pessoas. Essa também é uma virada. É uma virada de você começar a promover um ambiente de negócios que, de forma ostensiva, não busca o bem das pessoas e nem finge que busca. É um negócio que, nesse sentido, também me deixa um pouco estupefato.(30:35) E aí vêm os Estados Unidos, e é muito engraçado. A gente estava vendo um relatório, que é o “2025 National Trade Estimate Report on Foreign Trade Barriers”. É um documento de comércio internacional deles. Tem uma avaliação que eles fazem ali de vários países, inclusive o Brasil. E uma das preocupações, olha como as coisas, como esse ambiente de regulação, é complexo.(31:01) Os Estados Unidos estão dizendo que estão preocupados com o fato de as autoridades, e aí seria a ANPD, mas do Brasil… não fala na ANPD, fala sobre LGPD, mas hoje quem é responsável por isso é a ANPD. Sobre a falta de regras claras para transferências internacionais de dados pessoais, que é uma coisa que já caminhamos, mas ainda tem todos aqueles acordos, cláusulas-padrão e tudo mais. E os próprios acordos de empresas, enfim. E ele está dizendo: “Olha, isso está criando um cenário de incerteza para nós lidarmos(31:35) com negócios e com transferências muito rotineiras”. E esta é uma mensagem que eles deram para o Brasil. Você nota como esse afrouxamento e essa alteração desse balanço de poder… de repente, você está vendo um relatório de comércio internacional dos Estados Unidos, que não é nossa área aqui, mas você tem lá os Estados Unidos reclamando: “Olha, vocês têm que andar mais rápido aqui”.(32:04) O próprio Brasil precisa andar muito mais rápido, tanto nessa questão do acompanhamento de dados pessoais quanto na própria regulação da IA. Claro, a regulação da IA agora dá uma arrefecida por conta do problema americano, mas nota que tudo isso está sendo afetado e tudo isso pode passar a ser reconfigurado diante dessas alterações que a gente está vendo.(32:32) E aí, Guilherme, a gente vê algumas situações. A gente estava vendo um tempo atrás que o Banco Central estava pedindo, por exemplo, que as instituições financeiras tivessem uma nuvem alternativa por causa de indisponibilidade, não de queda de internet, mas de repente o serviço simplesmente não ser mais oferecido. E se a gente olhar o que já aconteceu, claro, a gente já viu aí essa discussão, por exemplo, do Twitter, do bloqueio do Twitter, da própria questão da Starlink,(33:06) por exemplo, quando há essas discussões jurídicas, independente do que você pensa sobre isso, esses serviços podem ficar eventualmente indisponíveis. E se tu tens um negócio que depende do Twitter ou uma situação em que tu dependes de uma Starlink da vida e perdes acesso a esse serviço, teu negócio vai a zero, acabou. Agora, imagina uma situação em que tu tens a tua nuvem, tu usas serviço de nuvem para conseguir operar,(33:36) tua estrutura toda na nuvem, tu dependes dessas empresas norte-americanas. E aí, cara, imagina uma situação numa guerra comercial agravada, que a gente perde o controle da coisa toda e simplesmente alguns serviços param de ser oferecidos ou, não precisa chegar a tanto, passam a ser oferecidos num valor absurdo. Valor absurdamente alto.(34:09) Então, o que vai acontecer, para onde nós vamos correr? Claro que isso eventualmente vai acabar fazendo com que algumas empresas comecem a investir em estrutura local. Pode acontecer. Mas aí o Brasil já deveria estar preparado para isso. Sim. Só que, ao mesmo tempo, a gente já sofre com isso justamente por causa dessas tarifas de importação que existem e tudo mais, que tornam a tecnologia muito cara para a gente.(34:40) E num mundo em que a tecnologia é essencial para os serviços andarem de forma ágil, para todo mundo conseguir trabalhar bem, etc., cara, é caríssimo ter um notebook decente. Tu tens que comprar um negócio meia-boca. Se tu queres gastar pouco, ainda assim não é pouco. Então, pensar para a população ter acesso a esses recursos é muito caro para nós.(35:01) Qualquer coisa que tu vais comprar hoje já é muito caro, já atrapalha bastante. E aí tu imaginas uma situação em que esses serviços se tornam ainda mais caros. Os serviços em si. Como é que a gente vai substituir isso facilmente por coisas locais? Não vai.(35:21) Aí nós vamos ter aquele aumento de preço, aquele problema todo em cascata de novo. Mas é uma estagnação, Vinícius, que sempre nos surpreende enquanto professores. Porque hoje a gente vê um protagonismo maior, não estou dizendo que apenas das universidades públicas, mas a gente vê na pesquisa brasileira um protagonismo maior das universidades públicas.(35:52) Quando a gente olha para as universidades públicas, e a UFRGS é a que a gente tem mais contato aqui, dá muita pena. A gente já teve casos aqui na faculdade de direito dos professores terem que pagar para pintar uma sala. Ou salas históricas da faculdade de direito, um prédio que data do ano de 1900…(36:19) Mas que seja, um prédio de mais de 100 anos, que você tem salas lá históricas que ainda estão sem poder ser utilizadas. Quando você olha para os próprios Estados Unidos, e hoje a gente vendo o próprio governo Trump querendo retirar dinheiro de algumas universidades… “Ó, se vocês não se alinharem comigo ou se vocês deixarem esses caras aí que são contra o que eu penso, eu vou tirar fundos da faculdade”.(36:42) Você vai ver os fundos, cara, são bilhões de dólares. Ou seja, mexe na formação. Nós não chegamos nem perto. E essa é uma consequência de escolhas, não somente de escolhas políticas, mas de problemas muito fortes no Brasil. Então, alguns analistas dizendo: “Ah, o Brasil pode ganhar porque vai exportar mais, sei lá, café e tal”.(37:10) Cara, não é possível saber, porque nem sempre o que é bom para o mercado, nem sempre o que é bom para a exportação, vai ser bom para o restante das áreas de negócio e também para as pessoas. E a gente já viu isso acontecendo. Às vezes, algo muito bom para a exportação pode fazer com que o preço de um determinado bem aumente no Brasil, como aconteceu com o café. Então, é muito difícil prever isso.(37:31) A União Europeia, e isso é muito irônico, a gente falou da questão das nuvens, quem pode ser afetado num primeiro momento podem ser justamente os chamados “Tech Bros”, os “tech brothers”. Seria aquele grupo de empresas que se alinhou ao governo Trump e que, até o momento, está tomando prejuízo. Até o momento.(37:55) E olha que interessante o que aconteceu há pouco tempo, três dias eu acho. O governo Trump chega e diz: “Olha, nós podemos isentar tarifas de algumas empresas americanas”. Depois de todo esse movimento tectônico que teve no mercado, ele chega e diz: “Nós podemos isentar algumas empresas”. E aí você fica pensando, se nós formos ter um pensamento bem pragmático, o que essa mensagem quer dizer? Isentaremos as empresas que estiverem alinhadas com o meu governo, como a primeira pessoa que eu penso é Elon Musk.(38:34) Tesla, a primeira coisa, mas depois essas redes. Então, notem como a coisa ainda não está estabelecida, e isso cria uma insegurança, porque a cada dia se diz uma coisa diferente. Já não dá mais para saber nem se esses 90 dias vão ser 90 dias. E essa é a preocupação que a União Europeia está dizendo.(39:00) “Olha, se por conta dessas tarifas, os produtos chineses começarem a invadir a União Europeia, nós não vamos aceitar isso”. E uma das coisas que podem fazer é impor tarifas nos serviços de nuvem prestados ou nos serviços americanos que atendem a União Europeia.(39:25) Só que a União Europeia tem mais poder para, não para deixar de utilizar, porque ninguém conseguiria hoje deixar de utilizar serviços de nuvem americanos. Então, isso também está fervilhando dentro da União Europeia, claro, sem falar em todas as questões bélicas que já começam a aparecer também, mas isso está bem fora do nosso assunto. Mas o ponto, eu acho que já dá para concluir essa parte aqui, Vinícius, ou talvez até o próprio episódio. Já estamos há uma hora falando. Eu acho que 41 minutos. 41. Pois é.(39:57) De maneira geral, nós estamos vendo, então, Vinícius, uma alteração nas próprias regras de direito, eu acho. Tudo isso que a gente tem visto de: “Olha, eu não vou respeitar ordens judiciais, eu vou me esquivar de cumprir ordens que já foram colocadas”. Um movimento que começa a mexer com o próprio estado de direito moderno.(40:23) E como esses consensos legais que a gente tinha até agora também estão sendo colocados em xeque, com uma série de outras coisas que estão acontecendo nos Estados Unidos e que colocam até o devido processo em risco, pessoas sofrendo sanções sem nenhum tipo de controle de um processo adequado, perdendo direitos e tal.(40:47) Então, isso cria um cenário de insegurança para as empresas e para as pessoas que têm uma dependência nesses serviços, porque eles podem se tornar mais caros, e isso pode influenciar inclusive a segurança. E isso também pode afetar, em última análise, a própria confiança nesses serviços, porque a gente não sabe o que eles poderiam fazer para se manter alinhados ao governo.(41:10) Compreende? A gente falou no início do ano, e eu achei que fosse isso que fosse acontecer, mas nesse sentido, eu me enganei muito. O Trump falava em tarifa zero para a tecnologia, em liberar os caras, tirar, zerar imposto dessas empresas e fazer com que o pessoal produzisse. E essa desregulamentação… o que eu imaginei que fosse acontecer, que benéfico ou não, no cenário da IA, a gente chegou a comentar, eu lembro(41:47) que a gente chegou a gravar aqui no podcast que teria um avanço, talvez até mais rápido, pela própria desregulamentação e pelo incentivo de investimento nessa área. O que as ações do Trump se mostraram contrárias agora, porque ele está atrapalhando o negócio, está dificultando o investimento.(42:14) É contraditório. Está dificultando o investimento nisso. Os Estados Unidos têm um problema com energia. Eles não têm energia suficiente para conseguir fazer esse avanço em cima de IA que eles querem fazer. Eles não têm, eles precisam do Canadá, precisam de apoio de outros estados, e eles estão dando um tiro no pé com isso, estão avacalhando isso também. E agora, por último, ele está avacalhando o “supply chain”, a cadeia de fornecimento, que é de tudo,(42:47) inclusive da área de tecnologia. Então, a IA, que eu achei que fosse avançar de uma maneira mais livre, para o bem ou para o mal… e eu acho que ao mesmo tempo para o bem e para o mal. E a gente está vendo as ferramentas de IA já estão mais soltas. Não sei se tu já percebeste isso, mas aquele controle que as empresas estavam fazendo nos modelos de linguagem de grande escala, esses controles começaram a ir para o pau. Ou seja, tu consegues agora gerar imagens que antes tu não(43:19) conseguias gerar em certos modelos. Tu consegues gerar textos que antes não conseguias gerar em certos modelos, que começaram a ficar mais flexíveis. Então, tu já vês uma coisa nisso para o bem ou para o mal. E eu te dizia o seguinte: algumas coisas me incomodavam, porque às vezes eu queria fazer alguma coisa na IA que não tinha nada de errado, cara.(43:43) E ficava o ChatGPT enchendo o saco, dizendo que ia contra as políticas dele, e não tinha nada de errado no que eu estava pedindo. Não tinha nada demais. Então, realmente tinha um certo excesso ali de alguma maneira, mas agora a coisa está se soltando de vez. E eu tinha a… e quando ele começou com esse papo de tarifa, o meu erro foi crer na música “agora estar ao seu lado bastaria”.(44:09) Meu erro foi crer… só para quem nasceu em 1977 e poucos e 80 e poucos. Quem nasceu até 1990 não entende mais a referência. Mas tudo bem. Mas aí o seguinte, cara. O… agora até eu esqueci o que eu ia falar. O teu erro foi acreditar… ah, foi. Meu erro foi acreditar que o Trump estava sendo minimamente estratégico, coerente, ao vir com esse negócio das tarifas.(44:42) Por exemplo, eu cheguei a pensar: “Bom, é capaz de a gente se beneficiar desse negócio?”. Porque, por exemplo, no Brasil a gente não fabrica notebook. A gente, quando muito, monta alguma coisa lá na Zona Franca de Manaus, certo? E mesmo assim a gente paga muito por notebook, por tecnologia de forma geral. Se o cara começar a encher o saco com esse negócio das tarifas recíprocas, tal, não sei quê, ele poderia negociar, por exemplo, uma tarifa mais baixa para a gente importar tecnologia dos Estados Unidos.(45:07) Isso seria benéfico para nós, porque quando tu vais importar uma coisa, um notebook, seja lá o que for… eu falo do notebook porque a gente, volta e meia, ouve alguém dizer: “Ah, eu tenho um amigo indo para os Estados Unidos, vai trazer um notebook para mim ou um celular para mim”.(45:25) Então, de repente, se forçasse uma redução das tarifas, do que a gente paga, a gente teria um certo benefício no acesso à tecnologia. Eu não sei quais seriam os impactos econômicos mais gerais, mas tu poderias comprar um relógio, um celular, um computador, a um preço relativamente menor do que a gente paga hoje. Porque tu pagas hoje 60% de imposto mais 19% do nosso estado aqui de ICMS, o que no final… e tu pagas ainda em cima do transporte. Então, quando tu vês, tu pagas cento e poucos por cento em cima(46:03) desse tipo de produto. Mas a coisa é muito louca, né? Do jeito que ele está conduzindo, vai fazer tudo menos beneficiar alguém nessa história toda. Ninguém ganha, todo mundo perde. Não tem quem ganha.(46:20) A China perde, os Estados Unidos perdem, a gente perde, todo mundo se ferra nessa história do jeito que está sendo conduzido. Mas qual o objetivo? O que ele quer? É óbvio que ele não quer, porque daí seria um psicopata, não quer destruir a situação nos Estados Unidos.(46:38) Mas ele pode ter uma visão meio burra do que deveria ser. Sim. Mas o ponto é, e por isso essa reconfiguração de uma ordem de direito moderna, do tipo “eu vou destruir o comércio internacional para somente beneficiar o meu país”, ou seja, todo o restante do globo que arque com as consequências. Isso não dá certo.(47:06) É aquela história de ganha-ganha. Claro. Aí já é uma questão bem mais econômica aqui, dos efeitos e dos impactos. Mas aconteceu uma outra coisa também… eu tinha pensado em falar sobre isso, mas já passou agora, mas eu acho que foi algo grande que mexeu e não teve a devida atenção. Foram aquelas imagenzinhas do Studio Ghibli, dos japoneses, que o ChatGPT começou a copiar, numa clara demonstração de poder e de descumprimento. Desafio de “não cumprirei o básico de propriedade(47:44) intelectual”. Essa pode ser uma outra coisa. E eu vi um analista dizendo isso esses dias. A China também pode fazer isso. “Então é assim? Então agora eu deixarei de cumprir a regra de direitos autorais para treinar as minhas IAs de uma forma que ninguém nunca antes imaginou? Não vou respeitar nada”.(48:07) E aí, se você começa a entrar numa guerra desse tipo, aí sim… e quando eu digo que é uma reconfiguração ou uma desconsideração das regras de direito, eu quero dizer a desconsideração de um certo acordo que os países tinham de até onde eles podiam ir. E eu não estou falando de antes de uma guerra.(48:26) Estou falando de: “nós temos uma Organização Mundial do Comércio, nós temos regras de direitos autorais que guiam as nossas operações até aqui”. E essas duas coisas estão desmoronando muito rapidamente. Nota, no fundo de tudo isso, a gente tem principalmente, e aí volta de novo ao podcast o porquê a gente está falando disso: a gente tem tecnologia. É uma guerra de mercado, mas é uma guerra que está mexendo primariamente com tecnologia. A gente está falando de chip,(4igh_quality_translation9:05) de IA, de serviço de nuvem, de semicondutores para carros. É um mercado de alta tecnologia também. E por isso que, repito, o nosso desleixo com o que o país deveria fazer com a formação das pessoas, com investimento em educação, em indústria, em tecnologia, essas coisas que outros países fizeram,(49:35) nos deixa numa… por isso, “ah, vamos ganhar com alguma coisa”. De repente, a gente pode comprar um notebook mais barato, mas percebe que você está numa posição muito difícil, você não tem como barganhar. A China tem como barganhar, a União Europeia tem, a Alemanha tem, todo mundo tem. O Japão tem. O Japão está sendo afetado. O Japão teve 10%, não lembro agora. Teve, o Japão também. É que 10% é o mínimo.(50:06) Agora ficou todo mundo com o mínimo, menos a China. Ficou todo mundo com a tarifa básica de 10%. Só a China que ficou com 125. E se a China trucar de novo, sabe-se lá o que vai acontecer. 24% no Japão. Não seria 24%? Imporiam. Antes da pausa dos 90 dias, seria 24. Depois,(50:36) ficou os 10% básicos. Então, cara, a gente é muito dependente. Os nossos serviços, o ramo de serviços aqui no Brasil, de maneira geral, as empresas, cara, dependem muito, muito, muito de serviços que são todos oferecidos pelos Estados Unidos, por empresas norte-americanas. E olha o Japão… e eu não estou falando que eu… não é que eu esteja louco para usar o Alibaba de data center. Não.(51:13) Eu digo assim, eu tenho uma confiança maior na Amazon. Talvez eu seja provado errado daqui a um tempo, mas eu tendo a confiar mais na Amazon do que, por exemplo, no Alibaba para botar servidores a rodar e tal. O Japão, que é a quarta economia… Estados Unidos, China, Alemanha e Japão.(51:37) Está dizendo aqui, ó: “A Munro & Associates estimou que a tarifa recíproca original de 24%, combinada com os impostos sobre automóveis, aço e alumínio, reduziria o PIB do Japão em 0.8%, quase 1%”. Reduziria. O impacto seria maior em equipamentos de transporte, como automóveis, com uma queda de 3,5%, enquanto uma desaceleração de investimento afetaria os fornecedores de bens de capital de forma mais ampla ainda. Ou seja, uma tragédia para o Japão. Compreende? Sim. É, cara.(52:12) E o pior é que assim: “eu quero reindustrializar os Estados Unidos”. Essa seria uma ideia. “Eu quero trazer as coisas para cá”. Cara, mesmo para os Estados Unidos, você não constrói de um dia para o outro uma fábrica para fazer iPhones nos Estados Unidos. Não.(52:30) Isso, mesmo se acontecesse num mundo cor-de-rosa, como eu vi um analista americano mesmo falando, mesmo que no mundo cor-de-rosa todos os países cedessem, baixassem as tarifas e os Estados Unidos conseguissem reduzir um pouco o déficit da balança, em que, tipo, vender quase tanto quanto compra, que seria uma coisa quase impossível de fazer…(53:04) Mas, ainda que isso acontecesse e ele ganhasse um fôlego para não ferrar tudo, não dar inflação, não dar recessão, etc., e as empresas começassem a pensar em trazer instalações para dentro dos Estados Unidos, ainda que isso acontecesse, o Trump não veria isso acontecer no seu mandato.(53:28) Porque isso leva mais de 5 anos para acontecer. Mas, enfim, eu acho que a ideia de fundo, que seria fortalecer a indústria nacional de alguma maneira, eu acho que é positiva. Qualquer país vai querer isso. O detalhe é a forma que se está pretendendo fazer isso.(53:47) E o que me preocupa, do ponto de vista de TI, mais especificamente em segurança, é que as tecnologias que a gente utiliza são todas essencialmente norte-americanas. E não só as empresas privadas, mas o próprio governo, as próprias estatais, toda a nossa estrutura depende de software, depende de serviços fornecidos por estrangeiros. Sim.(54:20) E quer ver outra coisa para terminar, agora terminando de verdade? O Brasil já foi, em um determinado momento, um país muito promissor no uso de software livre. Sim. E a gente abandonou essa… não só a gente, vamos lá. O papel do software livre no mundo modificou-se muito também, nas próprias limitações do software livre e tudo mais. A gente tem que reconhecer isso. Tem coisas que você já não consegue mais fazer e tudo mais, enfim.(54:49) Mas o Brasil tinha lá um uso, pelo menos do governo. Hoje não. Hoje tudo virou a chave para a Microsoft. Você está usando serviços, mesmo com políticas diferentes, com serviços prestados e com condições diferentes para governos. Esse é o ponto: a eventual retidão dessas empresas na manutenção dos seus negócios.(55:14) Mais recentemente, se mostrou que talvez elas não sejam tão confiáveis assim, e não sei se algum dia foram, para você usar em governos. Você vai colocar todos os e-mails do teu governo dentro de uma ferramenta dessas, de uma empresa que se alinha de forma muito irrestrita com um governo e sem freios do cumprimento da norma de direito? “Rule of law. I love this word, law”.(55:40) Agora, a melhor coisa, Vinícius, para a gente terminar, foi dessa história toda, é a imitação do Elon Musk e do Donald Trump. O Elon Musk imitado pelo Mike Myers no Saturday Night Live. Realmente, fica a dica. Procure lá SNL no YouTube, “Musk”, que realmente… inclusive o Mike Myers não é americano, ele é canadense.(56:10) Então, ele está fazendo com gosto o papel ainda. É esse o ponto. Bom, era para ser um “café” que a gente tinha vários outros assuntos aqui, mas acabou virando um episódio normal, Vinícius.(56:30) Então, vai ficar com o nome “café” ali, mas foi um episódio só sobre como as tarifas podem influenciar no mercado de TI и na segurança da informação. Lembrando, uma visão de pessoas que não são da área da economia, mas que têm percebido algumas coisas aí, nas coisas que a gente acompanha, assiste, lê e tal.(56:56) Então, a ideia foi compartilhar um pouco com vocês algumas das nossas percepções. E a gente acerta aqui, viu, Vinícius? A gente не erra tanto assim quando a gente faz projeções. É, muito embora algumas coisas sejam meio na cara. Mas enfim, vamos aguardar e ver o que chega na gente. A gente vai vendo assim, parece uma coisa… isso me parece um pouco a pandemia, sabe? Quando davam os primeiros casos lá na Europa ainda, parecia aquele negócio longe, até que veio vindo, chegando perto da gente. Então, esse negócio, por enquanto, está me parecendo distante.(57:28) A gente não está sentindo ainda efeitos diretos. Então, parece uma briga lá entre eles. Enfim, vamos ver o que chega dessa onda, o que chega até aqui. Agradecemos então a todos aqueles e aquelas que nos acompanharam até aqui e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.(57:54) Tem uma música do Humberto Gessinger. Nem tão longe que eu não possa ver, nem tão perto que eu possa tocar. Nem tão longe que eu não possa crer que um dia chego lá. Humberto Gessinger. É, cuidado. Temos que ter cuidado para falar. Vamos falar sobre uma música aqui protegida.(58:17) Aliás, os direitos autorais funcionam muito bem para algumas pessoas. Funciona bem. E quando você fala no que se tem feito hoje com direitos autorais, os absurdos que se têm feito… a forma como se lida com isso é muito diferente. O próprio Spotify nos exigiu que a gente tirasse uns episódios do ar por uns pedacinhos de música aqui ou acolá. A gente teve que baixar um por um, tirar e botar de volta. Nem sei se eles estão disponíveis de novo lá.(58:47) Tem que ver depois se eles aparecem disponíveis lá no Spotify. O que aconteceu, galera, é que em alguns episódios, foram cerca de uns 10, eu acho… de quase 400 episódios. Uns 10, às vezes até um pouco mais, talvez, Guilherme, a gente eventualmente colocou alguma música no episódio, e estavam lá, alguns episódios até bem antigos. E agora, faz pouco tempo, a gente recebeu um e-mail do Spotify(59:33) dizendo: “Ó, tu tens licença para usar isso aqui? Se tu não tens, tira. Se tu não disseres nada, a gente vai entrar em contato com os autores das músicas”. E sendo que é um uso bem incidental, uma coisa bem… a gente não fica transmitindo música e tal. Mas tudo bem. Eu vou te dizer. E aí?(59:53) Termina. Conclui. Ah, e aí teve uma vez que não foi com o Spotify, foi com o YouTube, que a gente quis compartilhar com os nossos ouvintes uma cena do Homer Simpson. Ele mostrando o umbigo dele num leitor de íris,(1:00:20) na biometria, lá na usina nuclear onde ele trabalha. Ele mostrando o umbigo lá no leitor de íris, conseguindo entrar, reconhecendo ele e entrando. E era um trecho de uns 20 segundos. Se isso era algo bem pequeno, a gente mal conseguiu subir o negócio no YouTube. E gente, não é agora, não estamos falando de 3 anos atrás, estamos falando de mais de 5 anos atrás.(1:00:46) Início do podcast. É, então bobei aí, faz mais do que isso. E, cara, foi a gente botar o vídeo no YouTube e derrubaram na hora. Não teve história. E isso que pode.(1:01:04) Os direitos autorais permitem que a gente faça isso, essa citação de trechos menores. Até o Guilherme foi atrás para ver. Artigo 46. Estou citando de cabeça aqui. Artigo 46 da lei, de passagem de qualquer obra para fins de estudo, crítica ou polêmica, na medida justificada para o fim de atingir lições e tal. Enfim, a gente poderia usar.(1:01:46) Estávamos amparados pela lei, mas o Google não quis nem saber. Eu gostaria… eu não tenho Spotify, eu não gosto do Spotify. E eu gostaria que os nossos ouvintes nos ouvissem pelo feed. Eu acho que é mais democrático. No feed, ninguém está pegando os teus… quer dizer, dependendo do leitor de podcast que você… mas o nosso RSS não.(1:02:18) No feed, a gente vai saber que alguém ouviu, que a gente teve tantas… não sabe quem, etc. Sabe de onde veio, de onde ouviu e qual foi a plataforma usada. É uma ferramenta mais sustentável, eu acho. Você não está compartilhando teus dados, você vai ali, ouve quando quer, ninguém vai ficar te enchendo o saco, não tem propaganda. É o feed. Na criação do RSS… porque a gente recebe quanto mesmo, hein, Guilherme? Quanto mesmo a gente recebe(1:02:51) pelas propagandas feitas no meio do nosso podcast no Spotify? Deixa eu ver aqui, só um pouquinho. É zero. Nós recebemos zero. Então, a gente acaba colocando no Spotify porque tem uma base muito grande de usuários que a gente acaba atingindo.(1:03:10) Então vocês que nos escutam pelo Spotify… se a gente não colocar ali, a gente não vai alcançar vocês, muitos de vocês. Então a gente acaba cedendo por causa disso, mas no final das contas, os caras metem propaganda ali no meio para quem ouve free, e a gente não recebe nada por isso.(1:03:29) E você que paga para não ouvir propaganda, consome o nosso conteúdo na plataforma do Spotify, paga o Spotify por um conteúdo que o Spotify não está gerando. Então, assim, é o melhor negócio do mundo. Nossa, credo, isso é ótimo. E tu sabes que o Spotify… vocês podem pesquisar, galera, eu não vou estar com as fontes aqui na mão, mas vocês podem dar uma pesquisada.(1:03:50) Descobriram que o Spotify estava “sanduichando” em playlists músicas feitas por IA, de artistas que não existem, para não ter que pagar direitos autorais. Estavam gerando a música. Então, tu ouves a música de um cara, ele tem que pagar aquele cara pela reprodução, mas depois começava a encher linguiça ali com coisas geradas por IA,(1:04:10) para não pagar. Cara, eu ouvi essa história de que eles teriam umas playlists que eles recomendariam, que são músicas muito genéricas. E no final das contas, isso ainda contribui para uma piora da qualidade geral da música. Sim. Esse é o tipo de coisa, Guilherme, que assim, eu sou um entusiasta, digamos assim, do uso da IA, tu sabes disso. E a gente discute bastante sobre isso, mas eu percebo que tenho alguns limites. E entre esses limites está a questão da música. Eu(1:04:42) não topo muito ficar ouvindo música feita por IA, sacas? Não topo muito não. Eu não topo nada. Não quero saber de música gerada por IA. A própria imagem… os ilustradores estão muito ferrados. Agora se foi, meu. Agora… a gente poderia trazer algum ilustrador aqui um dia para falar conosco sobre isso. É, cara, é um assunto bem complicado, porque é muito delicado.(1:05:15) É muito delicado, porque se o nosso trabalho vai ser atingido, o nosso vai ser atingido. É uma questão de tempo. Mais adiante. O trabalho do ilustrador é agora. E a nova ferramenta, o Google lançou agora há pouco tempo, agorinha, agorinha. Lançou uma… eles lançaram a nova família de modelos deles. Entre eles, o Gemini 2.5 Pro, que dizem que é o melhor modelo.(1:05:48) Eu estou usando ele no Perplexity e no Cursor, que eu uso para a parte de programação. Eu mudei o modelo do Claude para o Gemini 2.5 Pro para ver como é que é, para sentir qual que é. E comecei a usar o Gemini para coisas que eu usava só o Perplexity, para ver o que ele fazia, para comparar. Comecei a fazer isso hoje, na real. Não é o NotebookLM. Não, não é o NotebookLM, que já era bom. O NotebookLM sempre foi muito bom.(1:06:20) Era a única ferramenta de IA do Google que prestava, era o notebooklm.google.com. O resto não prestava, mas agora parece que mudou de figura a coisa. Parece que mudou radicalmente. Então, estou testando para ver qual que é.(1:06:38) Mas eles lançaram uma família de modelos, Guilherme, para imagem e para vídeo. Não só para imagem, mas para vídeo, que é muito, muito bom, cara. Eu ia usar outra palavra, mas vai que o YouTube nos derruba aqui. É muito, muito bom, cara. E aí, o exemplo que eles dão, pelo menos eu não usei, galera, mas o exemplo que eles dão no lançamento… e a gente sabe muito bem que tem que cuidar um pouco com essas festinhas de lançamento que eles fazem.(1:07:10) Mas eles demonstraram um lance que tinha uma imagem de um palco meio escuro com gelo seco, onde estava uma guitarra num apoio de guitarra, em primeiro plano. E em segundo plano, passa um cara da equipe técnica com fone e tal.(1:07:29) E aí a brincadeira… o exercício que eles fizeram foi: “Bah, o shot aqui, a imagem da guitarra ficou muito bonita, mas tem esse cara passando no fundo”. Então ele pega o primeiro frame… não, ele para no início, onde o cara aparece de corpo inteiro, e ele vai lá e só diz: “Eu quero apagar isso aqui”.(1:07:48) E marca a área onde está o cara, dizendo: “Eu quero que tu tires isso aqui da imagem”. E ele remove o cara da cena toda, numa perfeição… Já faz isso, o Adobe já faz e tal. Mas o Google está vindo com um negócio que vai ser mais barato. Quem vai comprar o Premiere da Adobe para fazer esse tipo de coisa, ou o Photoshop, etc.?(1:08:21) Mas assim, isso já está fazendo. E o Google fez mais uma coisa: tu desenhas o quadro inicial da animação, desenha ou gera por IA, tu é que sabes. Tu fazes o quadro inicial, fazes o quadro final e a IA faz a animação de um quadro até o outro. Então, tu podes chegar numa IA dessas agora, gerando imagem.(1:08:45) Agora o GPT-4O, o gerador de imagem dele está melhor. Agora também tem esse gerador da… o Imagen 3, acho que é o nome do modelo novo do Google para gerar imagem. Tu pegas esses caras, geras uma imagem e aí tu dizes: “Agora eu quero que tu geres uma imagem desse personagem fazendo tal coisa”. Aí ele gera outra imagem.(1:09:10) E aí tu podes pegar essas duas imagens e dizer o seguinte: “Agora eu quero que tu cries a cena em que esta aqui é a imagem de início e esta aqui é a imagem de fim”. E ele então faz uma animação para ti, cara. Mas tu sabes que… é um baita problema. Eu não quero consumir vídeo, foto e tal gerado por IA. Eu mudei a minha posição.(1:09:37) A gente até já usou aqui no podcast umas capas e tal, e hoje eu não faria mais isso, viu? Eu não tenho nenhum interesse em assistir conteúdo gerado por IA. Não, cara. Eu gostaria que isso não estivesse acontecendo, inclusive. Eu vi ilustradores profissionais, por razões humanas. Sim.(1:10:02) Eu vi ilustradores profissionais falando, radicalmente contra essa tecnologia, e naquela vibe de que isso é plágio. É plágio, aquele negócio, você aprende com o estilo e tal, que, aliás, foi o que a OpenAI… dizem, eu vi algumas coisas nesse sentido. A OpenAI copiando o estilo do Studio Ghibli lá com tamanha exatidão. Ou seja, os caras treinaram a valer para(1:10:33) aquele tipo de imagem. Sim, eles estariam tentando provocar uma discussão jurídica para definir o que é, até onde vai a propriedade intelectual, se ela protege a obra feita ou se ela protege também o estilo. Eu tenho plena certeza de que essa discussão… eles não podem fazer isso. É que hoje o que eu ouvi é que eles tinham feito isso somente para fazer uma demonstração de poder, que eles vão fazer e não estão nem aí para os reflexos disso, entendeu? Porque basta tu descredibilizares todo o judiciário dos países, por exemplo, que daí tu descredibilizas(1:11:18) os judiciários e aí tu perdes a legitimidade de adotar aqueles controles que vão ser impostos pelo judiciário. Então, o que eu vi foi isso, Vinícius, de que eles queriam uma demonstração de poder, entendeu? “A gente vai fazer, a gente está fazendo e vocês não podem fazer nada”.(1:11:39) E assim, eu também vi o pessoal comentando que, por exemplo, o Guilherme copiar o estilo do Studio Ghibli, tu fazeres um desenho teu, à tua própria mão, copiando o estilo do Studio Ghibli, tu não estarias violando direitos ou coisa parecida. Propriedade intelectual, por você estar fazendo isso hoje.(1:12:10) Tu aprendes, tu vais lá… só que, na hora de desenhar, tu vais ter o teu jeito de fazer, vais acabar tendo uma diferença, não vai ser exatamente igual. Talvez tu possas treinar muito para fazer uma coisa exatamente igual. E mesmo assim, quantos “Guilhermes” que treinaram muito e sabem fazer muito parecido vão existir pelo mundo? E quantas imagens esses “Guilhermes” vão conseguir gerar, não, desenhar, ao longo de um dia de trabalho? Então, tu vais ter que parar, desenhar, vais ter todo um trabalho ali. Com a IA, tu copias exatamente o(1:12:45) estilo do cara e produzes, cara, centenas de imagens por segundo se tiveres acesso às ferramentas corretas. Centenas. É um outro cenário. Eu acho que é um daqueles momentos em que a gente tem que avaliar as leis que a gente tem e o novo cenário.(1:13:10) Só que se antes as leis já estavam sempre correndo atrás da tecnologia, agora piorou, porque a IA a cada semana muda. A cada semana tem um negócio novo, uma situação nova, uma fronteira nova a ser discutida. O problema anterior: tu não poderias estar usando materiais protegidos por direitos autorais para treinamento. Exato.(1:13:38) E aí tu tens todas algumas discussões em matéria de uso de fotos, por exemplo, mas numa perspectiva bem diferente, que era a possibilidade do Google mostrar “snippets” das fotos nas pesquisas, porque no final das contas, tu ainda estarias direcionando o cara para o site original.(1:13:59) Era essa a discussão americana que havia em relação ao uso de fotos lá pelo Google. Agora, é inegável que a IA vai colocar uma necessidade de rediscutir e atualizar uma série de regras, porque em alguns casos ela é tão disruptiva e as coisas que ela pode fazer são tão inéditas… e isso é normal com o direito. O direito sempre resolve problemas depois que eles aparecem.(1:14:32) Às vezes, os juristas ou os congressos, enfim, os legisladores tentam resolver problemas que não existem, como estão tentando fazer aqui ainda com a nossa atualização do nosso Código Civil na parte de digital. Mas o fato é que nasce o problema e é crucial… essa é uma outra coisa que o Brasil fez. Lá no Marco Civil, em 2014, uma das discussões era atualizar algumas regras de direitos autorais.(1:14:58) E aí a questão foi: “Não, vamos fazer o Marco Civil aqui, a gente deixa os direitos autorais tudo como está e depois a gente vê”. Pois bem, não viu. Veio a IA e não vão ver de novo. Porque mesmo sem a presença de regras de direitos autorais, você tem ainda uma outra regra, pelo menos nos nossos sistemas de direito romano-germânico, mas de “civil law”… acho que também nos sistemas americanos e ingleses isso existe, que é um negócio de enriquecimento sem causa. Você não pode utilizar bens, e aí(1:15:36) dentro de bens estaria a tua produção intelectual, para ganhar dinheiro em cima daquilo, muita quantidade de dinheiro, e não remunerar aquela pessoa de quem tu estás utilizando um bem. Então, tu terias… tem até um nome para isso dentro do enriquecimento sem causa que eu te confesso que não me lembro, alguns tipos lá, mas seria tipo um aproveitamento, não lembro o nome agora.(1:16:04) Então, você tem outros caminhos dentro do direito civil para impedir que empresas, inclusive contra a tua vontade… não é só uma questão de direito autoral, é uma questão de direitos da personalidade. De repente, as nossas fotos estão treinando aquela coisa e você pode não querer que aquilo ocorra. Guilherme, não só as nossas fotos.(1:16:25) No nosso caso aqui, quanto conteúdo em áudio a gente já gerou? Entende? O Google deve estar usando isso lá do YouTube, as nossas coisas que a gente põe. Vamos embora, cara. Vamos embora. Seguramos o pessoal no YouTube mais um pouco aqui. A gente falou que já estava parando, já estava na correria para parar. Acabamos segurando o pessoal.(1:16:46) Saindo. Valeu, gente. Falou, gente. Obrigado por continuar até aqui. Abraço. Um abração. Falou, galera.

Aprofundamos a análise sobre a atuação da ANPD e as práticas de proteção de dados em grandes redes de farmácias, discutindo o tratamento de dados sensíveis e a conformidade com a LGPD. Comentamos o caso de phishing que afetou o especialista Troy Hunt e os riscos da inteligência artificial nos vídeos ‘brain rot’. Além disso, detalhamos o ‘SignalGate’, um escândalo sobre o uso do Signal e as falhas de segurança da informação no governo Trump, mostrando como a falta de políticas de segurança pode gerar um vazamento de dados crítico. A segurança digital e a criptografia não são infalíveis, e este episódio prova isso. Assine, siga e avalie o Segurança Legal para não perder nenhuma análise.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes ANPD conclui processo de fiscalização de redes de farmácias e determina ajustes de conduta no tratamento de dados pessoais A Sneaky Phish Just Grabbed my Mailchimp Mailing List ‘Brainrot’ AI on Instagram Is Monetizing the Most Fucked Up Things You Can Imagine (and Lots You Can’t) Private Data and Passwords of Senior U.S. Security Officials Found Online The Trump Administration Accidentally Texted Me Its War Plans Senadores republicanos pedem investigação sobre divulgação de informações confidenciais no Signal Divulgação de informações confidenciais a jornalista. Diretor da CIA nega “erro grave” Senior US Republican wants probe into Signal chat on Houthi attack ‘Plain sloppiness’: Sen. Mark Warner says on Signal chat fiasco 📝 Transcrição do Episódio (00:00) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 388, gravado em 28 de março de 2024. Eu sou o Guilherme Goulart e, desta vez, sem o Vinícius Serafim, pelo menos não na gravação em conjunto. Vinícius está viajando e deixou um áudio e um vídeo aqui para nós, uma participação já gravada, que eu vou inserir aqui depois ou durante a minha fala. De qualquer forma, vamos trazer para você algumas das notícias das últimas semanas que nos chamaram mais atenção. (00:37) Você já sabe, é o momento de falarmos sobre as notícias e acontecimentos que nos chamaram a atenção, tomando às vezes um café de verdade. Hoje temos apenas uma água. Então, pegue a sua bebida preferida e venha conosco. Para entrar em contato conosco, você já sabe: enviar suas críticas e sugestões é muito fácil. (00:59) Basta enviar uma mensagem para o [email protected] ou também lá no Mastodon, no Blue Sky e no Instagram. Nós pedimos sempre que você considere apoiar o projeto Segurança Legal. Basta acessar o apoia.se/segurancalegal, escolher uma das modalidades de apoio e, entre os benefícios recebidos, você terá acesso ao nosso grupo exclusivo de apoiadores lá no Telegram. (01:29) A ideia é simples: se você gosta do Segurança Legal, deste programa, considere apoiar. É uma oportunidade que você tem de apoiar um projeto de produção de conhecimento independente e que você vai conseguir acompanhar pelo menos duas vezes por mês. (01:56) A gente tenta gravar toda semana, mas nem sempre consegue. Você vai ter a garantia de ter um projeto e informação de qualidade sobre os temas que a gente trata aqui: Direito da Tecnologia, Segurança da Informação, Proteção de Dados e também Tecnologia e Sociedade. O nosso último episódio sobre IA e pensamento crítico foi também nessa linha. Tem o blog da Brownpipe, você consegue acessar o nosso blog em brownpipe.com.br. (02:17) É a empresa que mantém também este podcast, na qual eu e o Vinícius somos sócios. E também o YouTube. Você pode estar nos ouvindo pelo áudio, mas se quiser ver os nossos rostinhos bonitos, também pode ir lá no YouTube e fazer tudo aquilo que a gente sempre pede que o espectador do YouTube faça: ativar o sininho para que, toda vez que vier um vídeo novo, você consiga ver, e curtir o vídeo, porque isso, no final das contas, ajuda o algoritmo. (02:41) Nós acabamos ficando reféns dos algoritmos, mas, de qualquer forma, com isso você também vai estar contribuindo para que mais pessoas consigam assistir e ouvir o Segurança Legal. Vamos começar hoje, então, com uma mensagem de ouvinte. O nosso amigo conhecido, Dimas Rockenbar, mandou a seguinte mensagem se referindo ao último episódio em que nós falamos sobre o pensamento crítico na IA: “Boa tarde, Vinícius. Boa tarde, Guilherme. Gostei muito do episódio, especialmente a parte onde vocês reforçam como a IA funciona”. (03:13) “Ela só dá respostas baseadas naquilo que ela foi treinada, que por sua vez é puro conhecimento humano”. Ele coloca “humano” em caixa alta. “É preocupante pensar, e compartilho a visão do Vinícius nisso, de que as pessoas vão ‘emburrecer’ se acostumando com as respostas dadas pela IA, sem que a devida criação de conhecimento ocorra, sem usar o pensamento crítico para discernir if as respostas estão certas ou erradas”. A própria ideia de criação do conhecimento também foi ficando mais diluída nos últimos tempos, nos últimos anos. (03:43) Se a gente for pensar até naquela frase de que “andamos nos ombros de gigantes”, ou seja, a gente também constrói conhecimento com base no que foi construído no passado. Na minha opinião, acho que a gente corre um pouco o risco de perder também aquilo que não está na internet. Eu estava ouvindo novamente o nosso episódio da semana passada e me ocorreu isso. Todos esses livros que estão aqui, que eventualmente não estão na internet, ou estão referenciados com uma ou outra coisa. (04:18) A gente corre o risco também de supervalorizar o que está na internet e subvalorizar aquilo que não está. (04:36) E eu repito o que eu disse no último episódio, até sobre aqueles conhecimentos de povos que não estão adequadamente representados no treinamento do modelo. Então, você vai ter uma série de culturas, uma série de línguas que, eventualmente, vão estar sub-representadas nos dados que foram usados para treinar aquele modelo, e aquele conhecimento, que também é tão importante, pode ficar cada vez mais esquecido, como já acontece com outros grupos, como os indígenas no Brasil. Você tem toda uma parte cultural dos indígenas, aqui no Rio Grande do Sul inclusive. (05:07) E que acabaram se perdendo, estão lá nos livros, alguns livros ainda falam sobre isso, mas foram se perdendo ao longo do tempo por uma série de outras razões. Mas o Dimas continua: “Acredito que o percentual apresentado no artigo reflete a sociedade de maneira irregular. Concordo contigo”. (05:25) Acho que a amostra que eles pegaram não foi muito boa. Tem muito mais pessoas acreditando e assumindo como verdade as respostas das IAs do que pessoas com pensamento crítico e capacidade para avaliar se aquilo faz um mínimo sentido. E isso se conecta um pouco com uma notícia que eu vou trazer hoje aqui sobre o “Brain Rot” no Instagram. Ele continua: “Lembrei-me de um vídeo-entrevista com Isaac Asimov”. (05:53) “Onde ele imaginava no futuro uma mistura de internet com Wikipedia, um local onde conhecimento praticamente ilimitado pudesse ser adquirido por qualquer pessoa a qualquer momento, de qualquer lugar. Essa utopia é linda, mas não evoluímos tanto a ponto de ver isso em prática e a única coisa que falta é vontade”. (06:12) Eu iria também mais além. Eu acho que também há uma série de interesses, sobretudo das big techs, sobre qual é a visão delas para um futuro de internet, para um futuro digital e, claro, consequentemente, como elas vão poder lucrar com esse futuro. Então, me parece que os rumos que as tecnologias em geral, sobretudo aquelas acessíveis via internet, vão tomar, também estão diretamente relacionadas com os interesses comerciais dos donos das grandes plataformas. (06:50) E a gente está vendo isso acontecendo hoje, agora. Logo depois do governo Trump, a gente está vendo uma ampliação, inclusive, de baixar um pouco a guarda nas regulações, na imposição de limites a práticas que eles vão realizar. (07:09) E isso eu acho que está bem no cerne do que você está colocando aqui. “A curva de evolução que está numa ascendente resultou na criação das IAs, parece que vai ter uma grande recaída antes de subir novamente numa visão de longo prazo”. Ótimo. Ótimo, Dimas, obrigado aí pela tua contribuição. Fique sempre conosco e um abraço para você também. (07:29) Primeira notícia aqui de hoje: nós vamos falar sobre a ANPD e as farmácias. Esse é um assunto, na verdade, de certa forma antigo. Ele é de fevereiro deste ano. Nós tínhamos deixado para falar sobre ele no Café passado, que foi no início de março, por conta de férias, mas também não deu tempo, tínhamos outras coisas. (08:06) E eu decidi trazê-lo, achei por bem trazê-lo novamente aqui no café de hoje, porque eu acho que foi um dos grandes temas, uma das grandes atuações da ANPD, porque afeta todos nós. O problema do tratamento de dados pessoais e de dados pessoais sensíveis pelas farmácias é um dos grandes temas de proteção de dados no país. Esse tema começa com o processo instaurado lá em 2023. (08:39) Eu leio aqui: com o objetivo de investigar a coleta, o armazenamento e o compartilhamento, portanto, o tratamento de dados pessoais realizados por redes de drogarias e operadores de programas de fidelização e benefícios. E envolveu a Raia Drogasil, a Stix e a Febrafar, que é a Federação Brasileira das Redes Associativistas e Independentes de Farmácias. (09:03) Isso começa com um diálogo anterior da ANPD com essas entidades. Foram feitos estudos preliminares da própria ANPD para tentar entender melhor como é esse cenário e esse mercado. E aí se nota muito bem aquela intenção da ANPD de não sair multando todo mundo, mas começar num processo muito mais de conscientização e de formação de uma cultura de segurança e de proteção de dados no Brasil. (09:34) Isso se vê aqui. E, basicamente, foram levantados dois problemas que já foram tratados aqui no próprio Segurança Legal. Eu lembro de um dos episódios, inclusive, que nós falamos sobre as farmácias, foi além daqueles episódios 361 e 362, nos quais eu e o Vinícius submetemos alguns dados retirados das farmácias para uma IA, para saber que perfil poderíamos formar de uma pessoa com base nos dados de compra. (10:12) Mas lá no episódio 169, “Uso de dados por farmácias”, episódio esse que contou com um hoje participante da ANPD, o David Teófilo, que trabalha na ANPD. Então, foi o David Teófilo e a Luiza Brandão, dois grandes pesquisadores, estudiosos da temática na época no Iris. (10:38) E eles fizeram na época, veja lá, em setembro de 2018, uma representação sobre o uso de dados pessoais de farmácias. Então, não é algo novo, é algo que já era conhecido, mas que, enfim, a ANPD achou por bem agir agora. Então, quais foram os problemas levantados? Problemas nos programas de fidelização. Na verdade, os dois programas que foram analisados e os consequentes problemas. (10:57) Os programas foram os de fidelização da própria farmácia e alguns programas gerenciados por terceiros, que seriam aqueles gerenciados pela Febrafar e pela Stix. Febrafar e Stix têm um modelo de negócios, uma ferramenta white label que eles entregam para as farmácias para que as próprias farmácias customizem aquela ferramenta para oferecer com a marca da referida farmácia. (11:29) Os problemas maiores acabaram se concentrando na Droga Raia, uma grande rede brasileira que também é dona de uma plataforma de marketing que já foi fruto de diversas discussões, de diversos problemas. Houve grandes preocupações quanto à proteção de dados e de dados sensíveis nessa dinâmica da Droga Raia de captar e coletar dados sensíveis, dados relacionados às compras realizadas nas farmácias, e acabar usando esses dados para atividades de marketing, inclusive em situações bastante discutíveis. Lembrando que esse RD Station Marketing, que é da Droga Raia… (12:06) …essa outra plataforma, se alimenta dos dados obtidos nas farmácias e eles vendem isso como uma grande plataforma de publicidade muito assertiva. Claro, se eu tenho um público de milhões e milhões de pessoas com dados agregados que, eventualmente, só eles têm, porque coisas que você vai comprar e medicamentos você só vai comprar em farmácias, basicamente. Então você tem um ramo de possibilidades aí que nenhuma outra empresa tem, o que é bastante valioso. (12:39) Levantaram, então, que vários dados eram coletados pela Droga Raia, seja dados financeiros, dados sensíveis, como consumo farmacêutico, mas não somente: uso de aplicação de vacinas, dados acerca das prescrições, testes laboratoriais (sim, algumas farmácias fazem isso) e também biometria, que foi um dos grandes problemas, o uso da biometria para autenticar pessoas nessas farmácias. Um dos temas que chamou bastante atenção, para mim e também para a ANPD, isso foi crucial. (13:13) É que as políticas da Droga Raia eram, na sua maioria, bastante inespecíficas. E esse é um problema que nós falamos quando fazemos treinamento, quando apoiamos empresas no processo de adequação: as políticas devem ser o mais específicas possível, devem dizer de forma clara quais são as práticas realizadas naquele tratamento de dados ao qual a política se refere. (13:44) Porque, veja, isso é um direito do titular dos dados obter as informações sobre como seus dados são tratados. Então, quanto menos específica ela for, mais os direitos dos titulares vão ser afetados e menos ele vai saber exatamente sobre como os seus dados são tratados. Mais uma vez, os titulares têm o direito de ter informações sobre os seus dados. (14:10) A questão da biometria, eu já tinha comentado. Não somente o uso da biometria era um problema, mas também a falta de informações sobre as finalidades no uso dessa biometria, o que viola o chamado princípio da necessidade. Ou seja, o agente de tratamento tem o dever de usar o mínimo de dados possíveis para uma determinada finalidade. (14:36) E a gente sabe que, especificamente no próprio caso das farmácias, as autenticações podiam ser feitas de outras formas, sem o uso da biometria. Inclusive, essa foi a recomendação da ANPD: usar outros meios de autenticação, deixando de usar mais esse dado sensível que é a biometria. Também foram encontrados problemas acerca do armazenamento de dados. Diante da inespecificidade das políticas, eles não informavam os períodos de armazenamento. (15:15) Havia várias políticas esparsas que se referiam de forma inespecífica quanto ao período de armazenamento, de forma genérica sobre certos períodos, mas não informavam exatamente quais eram os períodos relacionados aos tipos ou às categorias dos dados tratados. E eles chegaram, em um momento, a afirmar que não iam revelar os prazos de armazenamento por conta de segredo comercial e que a política de retenção dos dados seria sigilosa, o que é um verdadeiro absurdo. (15:41) Confronta basicamente vários princípios e direitos, tanto de proteção de dados quanto os direitos do titular. É óbvio, você tem que saber qual é o prazo de tratamento dos seus próprios dados, inclusive numa situação como essa. A recomendação que veio foi de permitir que os titulares obtenham informações sobre o tempo de armazenamento e que eles apresentem à ANPD a política de retenção de dados e também uma tabela de temporalidade. (16:09) Nós já recomendamos isso para clientes também: em situações mais complexas, mais delicadas, com muitas categorias e prazos diferentes, fazer uma tabela de temporalidade, seja para orientar as atividades internas, mas também para informar aos clientes, para que ele consiga ter uma visão geral sobre o tempo de armazenamento dos seus dados. (16:25) Outro problema também muito comum, e isso não é somente da indústria farmacêutica, esses problemas aqui são comuns. De certa forma, essa atuação da ANPD é importante também para as empresas, porque conseguem enxergar as violações que eventualmente elas cometem. Apesar de eles fornecerem dados sobre as finalidades — ou seja, a ANPD pediu para que eles informassem quais eram as finalidades dos dados por eles tratados… (16:56) …ela descobriu por outras fontes que houve omissões muito importantes por parte da Droga Raia e que dados de históricos de compras estavam sendo usados para finalidades fora daquelas informadas nas políticas, e eventualmente quando a hipótese era o tratamento fora do consentimento. (17:21) Isso é muito grave. Quando a gente fala em gravidade em incidentes ou em violação da Lei Geral de Proteção de Dados, usar dados fora das finalidades informadas é algo muito grave. Descobriram desde situações em que informações e perfis de consumo estavam sendo vendidos para outras empresas. (17:47) E muito interessante, eu acho que nós falamos isso aqui em algum episódio, o CEO da RD Ads, que é o braço da Droga Raia que faz essa parte de marketing digital, deu uma entrevista falando sobre alguns usos que eles faziam dos dados, e a ANPD trouxe a fala da entrevista. Basicamente, havia uma contradição na fala dele acerca das informações repassadas no próprio procedimento promovido pela ANPD. (18:15) Ou seja, no procedimento, eles disseram uma coisa e, na entrevista, o CEO da RD Ads disse outra, afirmando que outros tratamentos eram feitos, diferentemente do que foi informado no procedimento administrativo pela própria farmácia. (18:38) Outro problema: apesar de dizerem que usavam o consentimento para controlar o uso de dados para publicidade, não tinha ficado claro para os titulares que seria realizada a perfilização para publicidade. Ou seja, precisaria de um consentimento mais específico, não somente para o uso de dados. Porque essa é uma outra coisa: uma coisa é você usar os dados para publicidade simplesmente. Por exemplo, eu coleto o teu e-mail na minha pizzaria e você dá o consentimento para que eu te envie e-mail marketing sobre promoções de pizza. (19:14) Simplesmente eu pego o teu e-mail e envio o mesmo e-mail para todo mundo que está na base. Isso é uma coisa. Outra coisa é eu fazer uma perfilização com base nos teus hábitos de consumo, vendo quais os dias que você mais pede pizza, quais os sabores que você mais gosta, quais as circunstâncias em que você pediria… (19:50) …feriados, enfim, usar essa informação para criar um perfil e encaminhar comunicações em datas ou situações que você pudesse estar mais apto a comprar. Note que são duas situações completamente diferentes, e a segunda, a perfilização, é muito mais crítica и exige um consentimento específico. (20:14) E notem, aqui no caso das farmácias, estamos falando de perfilização envolvendo dados sensíveis, o que é mais crítico ainda. O consentimento era classificado e transmitido, as informações em torno dele diziam que era simplesmente para uso de dados de mídia em geral. (20:40) Só que o cliente, depois de dar o consentimento, também não conseguia revogá-lo. Ou seja, era um problema de modulação do consentimento e de falta de clareza. Basicamente, você estava consentindo para uma coisa, e os dados estavam sendo usados para outra. Além de as políticas não informarem sobre a utilização do histórico de compras para essa perfilização. Lembrando que isso acabava entrando numa rede de anúncios. Porque como esse data broker, que seria a RD Ads, funcionaria? (21:19) Ele pegaria esses dados, criaria perfis e conectaria esses perfis com redes de anúncios e com ligação com outros data brokers. Nós temos um episódio aqui também, um dos episódios mais famosos do Segurança Legal, é o episódio dos data brokers, o episódio 52, lá de 2014, onze anos atrás. (21:45) Então, eles se conectam com outras redes de data brokers. É isso que permite que o sujeito, identificado com um determinado perfil com base nas compras da farmácia dele — e note aquela integração do mundo offline com o online — compre algo na farmácia e, de repente, no celular dele começa a aparecer um tipo de publicidade, seja entregue pela rede do Google ou em um aplicativo aleatório que você tem. Isso estaria sendo conectado dessa forma. E aí, nesse caso, a recomendação foi dar informações sobre a criação de perfis comportamentais. (22:22) Informando sobre o compartilhamento com a RD Ads, que está sendo feita publicidade personalizada com base em perfis, que há compartilhamento de dados com empresas terceiras. E, a partir daqui, em relação à RD, vai ser instaurado um processo sancionador para avaliar o tratamento dos dados sensíveis para essa perfilização fora do amparo legal. (22:47) Então isso aqui é meio que preparatório. Em relação à Stix, não se encontrou nada, basicamente arquivou-se o processo, porque eles respeitaram a LGPD nas suas práticas. Em relação à Febrafar, eles comunicaram à ANPD, informaram algo assim, absurdo na minha visão: falaram que os dados são armazenados por tempo indeterminado, o que é plenamente contra a lei. Uma vez que termina a finalidade ou o tratamento e não há nenhuma outra norma que obrigue a empresa a armazenar aqueles dados, o dado deve ser excluído. (23:25) Então, isso me chamou bastante atenção, o fato de eles informarem à ANPD que os dados eram armazenados por tempo indeterminado, embora nas políticas eles dessem algumas pistas de que seria por 5 anos depois do término da relação com a empresa. (23:51) Aqui, o problema maior foi relacionado ao consentimento, que era dado para nove usos diferentes. O que a ANPD apontou é que não era possível consentir para cada um desses usos de forma separada. O consentimento, na medida do possível, tem que ser granular. (24:13) Se a hipótese é o tratamento, eu tenho nove usos e possibilidades diferentes. O que a empresa deve fazer é atuar para permitir que você consiga, de forma granular, consentir com um e, eventualmente, não com outro. A não ser naquelas situações em que todos aqueles consentimentos são necessários para que você use um serviço. (24:40) Mas notem, via de regra, o consentimento para publicidade não é necessário para você utilizar um determinado serviço. Então, esse “tudo ou nada” aqui é o que eles buscaram afastar. E lembrando, qual é o contexto desses usos de dados? Outra coisa que a gente sempre fala aqui: o contexto é de você utilizar, muitas vezes — e claro que nas farmácias os descontos acabam sendo dados não só para medicamentos, mas também para produtos de higiene, na maioria das vezes. Mas é um contexto que, quando a gente fala em medicamentos, você precisa daquele produto. (25:16) Não é algo que você possa escolher. Eventualmente até consegue trocar de produto, mas o cerne dessa questão é que você precisa comprar aquele produto porque, se você não tomar, pode até morrer. É nesse contexto que a gente precisa olhar para o consentimento e entender, inclusive, se ele está sendo dado de forma livre. O consentimento tem uma série de adjetivações, e o fato de ele ser livre é uma dessas qualificações. (25:53) “Manifestação livre, informada e inequívoca”, diz a LGPD. É nesse sentido. Quando a gente começa a colocar descontos dados também pelos laboratórios, há uma rede de descontos, na verdade. (26:18) Ou vem pelo laboratório, ou vem pela própria farmácia, ou vem por outros programas. Eu, enquanto advogado, por exemplo, a OAB me oferece alguns descontos lá também. No caso da Febrafar, essas informações eram omissas. Não havia informações, e as que eram dadas eram, em alguns casos, inconsistentes. Note que todo esse cenário é avaliado numa perspectiva de digitalização dos dados coletados pelas lojas, só que também há uma falha e uma omissão de informações no atendimento presencial. (26:59) Eles trouxeram até sites dessas ferramentas e dessas empresas, ou seja, você conseguiria realizar alguns controles pelo próprio site. Enfim, mas você, ouvinte, se colocando no lugar de um consumidor de uma farmácia, você se lembra de ter visto cartazes na farmácia falando sobre LGPD? Ou você se lembra de, em alguma das vezes que interagiu com o atendente, ele ter te dado informações sobre o tratamento de dados, te pedido algum tipo de consentimento, conversado contigo sobre esse tema? A gente sabe que, pelo menos eu, nunca recebi. (27:36) Na verdade, quando a gente tenta não dar o CPF, no final das contas os atendentes — claro, não é culpa deles, definitivamente — acabam te olhando como se você fosse um extraterrestre. (27:55) E a dinâmica, todo o contexto dessas interações, também deve ser olhado. Eles comentaram que nenhum ramo da economia dá descontos tão altos e que haveria, nesse caso, também um problema lateral, que seria a própria maquiagem dos preços. Ou seja, eles fazem uma maquiagem de preços para induzir o consumidor a dar os seus dados sem os esclarecimentos necessários, numa tentativa de fragilizar a própria liberdade do consentimento. É basicamente isso. Tem mais coisas aqui. (28:33) E a gente vai deixar no show notes o link para que você possa ler não somente a notícia, mas também os documentos relacionados: notas técnicas, os despachos e decisórios aqui. Então, se você tem interesse e atua na área de proteção de dados, invista um tempo para dar uma estudada nesses documentos todos, porque é a jurisprudência agora da ANPD. Se atuamos nessa área, precisamos entender muito bem como essas coisas se dão. (29:09) A atuação da agência vai nos ajudar a entender melhor a dinâmica de tratamento de dados e do funcionamento da própria ANPD aqui no Brasil. Bom, vocês devem conhecer, se acompanham o Segurança Legal, já devem ter ouvido falar de um cara chamado Troy Hunt. O Troy Hunt é um dos maiores e mais famosos consultores de segurança da informação do mundo. (29:48) E ele, o Troy Hunt, é fundador do site “Have I Been Pwned?”, que a gente já falou várias vezes aqui também. Aquele serviço que permite que você saiba se as tuas credenciais vazaram na internet, ele te avisa e tudo mais. É um cara que tem uma reputação muito conhecida na área de segurança da informação, uma atuação muito respeitada. Investiu o tempo dele para criar o “Have I Been Pwned?”. (30:13) É uma pessoa conhecida na área. Bom, o que aconteceu? O Troy Hunt, e aí ele fala sobre isso aqui no blog dele, ele caiu num phishing. E aqui ele dá todos os detalhes técnicos. Louvável, inclusive, em épocas em que as empresas e as pessoas tendem a buscar esconder incidentes. Ele vem, e ele sempre falou da necessidade de ser transparente na comunicação de incidentes. (30:45) Ele caiu num phishing que, basicamente, a criticidade não foi tão grande. Permitou que os atacantes tivessem acesso aos nomes e e-mails das contas de e-mail dos assinantes do serviço de mailing dele, que era gerenciado pelo Mailchimp. Basicamente, os atacantes induziram o Troy Hunt a colocar suas credenciais num site falso de login do Mailchimp, e isso permitiu que eles tivessem acesso a dados de, mais ou menos, pouco menos de 16.000 pessoas. (31:19) Eu até achei que eram mais pessoas que assinavam o mailing lá do Troy Hunt. Ele veio a público, claro, informou o incidente, pediu desculpas. Alguns detalhes são interessantes. Primeiro, ele criticou o Mailchimp por manter dados de usuários que cancelaram a inscrição. (31:43) Ele diz que quase metade dos usuários que tinham cancelado a inscrição ainda tinham os dados guardados lá. E ele criticou o motivo de o Mailchimp fazer isso. A gente pode buscar algumas explicações, e me parece que há explicações para isso, até na própria perspectiva de tratamento de dados pessoais. Ter algum registro de que a pessoa pediu o cancelamento para que você, sei lá, não envie um e-mail depois. (32:15) Poderíamos ir por esse caminho. Algum tipo de registro de que aquela interação houve, o registro de que ela pediu o cancelamento do mailing. Isso poderia ser uma explicação. Mas, ao mesmo tempo, pessoas que quiseram sair daquele mailing acabaram sendo afetadas. Sabe-se lá quem teve acesso a esses dados. E-mail, nome e também endereços IPs de eventuais acessos que foram feitos. (32:41) Outra coisa: o phishing foi bem sofisticado. A mensagem era muito bem elaborada e conseguiu bypassar o próprio 2FA que ele utilizava. Isso demonstra que o 2FA não é infalível. O atacante fez um relay imediato do código. Ou seja, ele colocou a senha, colocou o código e, provavelmente por meio de um script, imediatamente foi feito o login no site original, o site real do Mailchimp. Outra coisa, e eu acho que isso é bem importante, ele disse que estava muito cansado quando tudo aconteceu. (33:13) Fisicamente cansado. E isso foi crucial, me parece, porque ele estava desatento, acabou baixando a guarda. Ele comentou que o atacante não tinha como saber que ele estava cansado naquele momento, mas houve uma infeliz coincidência. Na criação desse phishing, ele comentou que a engenharia social envolvida foi boa. A mensagem dizia que ele não ia mais conseguir encaminhar o mailing dele, e aquilo criou um senso de receio, de medo, mas também um certo senso de urgência para que ele resolvesse aquela situação. (34:05) A gente sabe que há alguns gatilhos psicológicos que podem permitir que as pessoas, às vezes de forma irrefletida, cliquem naquilo, acessem aquele conteúdo. Isso foi bem interessante. Uma outra questão que eu achei bem interessante: ele reconheceu também que isso deveria ter acendido um alerta para ele, e ele não se atentou. Ele usava, assim como grande parte das pessoas de segurança — na verdade, como todas as pessoas deveriam fazer — cofres de senha que fazem o preenchimento automático. (34:40) Então, quem usa esses serviços, como o 1Password, você entra no site e, em geral, tem um botãozinho que você clica e ele preenche. Isso não aconteceu. Não houve esse preenchimento, não houve o aparecimento da informação de que tinha as credenciais, claro, porque era um outro site. Ele não se deu conta disso, seguiu adiante e caiu no phishing. (35:09) A mensagem aqui é muito simples: um dos maiores consultores de segurança do mundo caiu num phishing. Claro, ele estava cansado, e isso é importante também, porque a gente не consegue estar 100% do tempo atento para as ameaças que estão chegando, e elas chegam numa frequência cada vez maior. O próprio cenário de golpes no Brasil, a gente sabe que é insano. (35:45) Agora até diminuiu um pouco, mas aquelas ligações da falsa central telefônica são um negócio absurdo. Eu, que toda semana pesquiso jurisprudência para o mailing dos nossos clientes aqui, envolvendo proteção de dados, vejo rios de ações judiciais contra bancos envolvendo essas ações da falsa central telefônica, do falso motoboy, de falsos contatos por WhatsApp. Claro que isso tudo é alimentado por outros dados vazados, que acabam dando credibilidade a esses phishings. Mas no caso dele foi algo mais simples. (36:22) Foi uma coincidência muito ruim. Se um dos maiores pesquisadores de segurança do mundo caiu no phishing, qualquer pessoa pode cair. Claro, também é um alerta para que a gente não baixe a nossa guarda, para que tenhamos uma conduta zelosa, mesmo quando cansados. É difícil dizer isso, mas ter uma conduta muito atenta. Outra hora a gente pode vir a falar sobre isso, sobre outras formas, outras dicas, outras recomendações. Tem pessoas que usam duas máquinas, dois telefones, para separar os sistemas e usos em dispositivos diferentes. (37:00) Tem uma série de coisas que dá para se falar sobre isso, mas eu achei interessante trazer. E a humildade dele também de vir e falar. Porque mesmo que o impacto seja pequeno aqui, nome do mailing do Troy Hunt, poderia ter sido pior. E aí também faz com que a gente tenha atenção. (37:28) Outra coisa: o Two-Factor Authentication não é infalível. A gente acha que é uma bala de prata, mas não é. Assim como o caso do Signal que a gente vai ver depois, se aproxima um pouco da crença que as pessoas têm na tecnologia. Bom, quem acessa o Instagram com frequência já deve ter visto um tipo de vídeo muito característico gerado por IA. O pessoal lá da 404 Media fez essa reportagem sobre o “Brain Rot” criado por IA no Instagram. (38:13) É uma série de conteúdos… a gente já falou sobre esse termo “brain rot”, o apodrecimento do cérebro. Aqueles efeitos que certos conteúdos têm no cérebro humano, seja por nos acostumar a consumir conteúdos de baixíssima qualidade em feeds contínuos, o que causaria esse efeito, que foi palavra do ano e tudo mais. (38:44) É uma tendência que a gente vem notando. E eu achei muito curiosa essa reportagem. Eventualmente, já chegou até mim alguns desses conteúdos, e eu sempre achei um negócio meio tolo, meio idiota, mas tem pessoas que usam. A gente sabe como não somente crianças, que eventualmente podem estar sendo afetadas por esse conteúdo. (39:12) Mas também pessoas que começam a entrar num fluxo de acesso e consumo desse tipo de conteúdo de baixíssima qualidade, de baixíssima densidade intelectual. O que essa reportagem traz é que se notou uma tendência de vídeos gerados por IA que estão sendo publicados de maneira muito intensa. (39:42) Vocês estão vendo aí no vídeo, ele traz alguns links aqui, mas eu não vou clicar porque têm algumas coisas bem absurdas. Sei lá, Peppa Pig num banheiro, uma prática meio escatológica para dizer o mínimo. Gerações de vídeos com pessoas reais, no sentido de simular, como o caso aqui que ele está mostrando, do LeBron James e de outros artistas. (40:22) E também certos nichos que ele já vem notando, que seria a sexualização de personagens infantis e também posts racistas gerados por inteligência artificial. Então, não é um conteúdo engrandecedor, bem pelo contrário. No caso do racismo, é conteúdo criminoso. E a sexualização de personagens infantis pode, eventualmente, ser um caminho para atrair certos grupos de pessoas interessadas nesse tipo de conteúdo. Por que isso está acontecendo? Segundo a reportagem, a ideia é provocar um tipo de engajamento pelo absurdo da mensagem. (40:59) Ou seja, aquilo é tão absurdo que, para algumas pessoas, elas podem acreditar que é real — isso é um baita de um problema também. Mas a forma de engajamento seria que, por ser tão absurdo, as pessoas começariam não somente a reclamar e a criticar, o que gera engajamento, como também a encaminhar para outras pessoas, tipo: “olha esse absurdo aqui”. Esses conteúdos já estão sendo monetizados, e as redes sociais, no caso aqui o Instagram, não têm feito muito para conter. (41:33) Ou, pelo menos, para informar as pessoas de que aquele conteúdo é sintético, para lidar de alguma forma um pouco mais protetora com certos interesses, sobretudo para aquelas pessoas que entram no fluxo e acabam consumindo de uma maneira um tanto irrefletida esses conteúdos. (41:53) Ele traz também a informação de que no Discord já há grupos ensinando como fazer esses “brain rots”. Ele destaca que as próprias ferramentas também não estão fazendo nada, bem pelo contrário, sobretudo quando esses vídeos envolvem pessoas reais, sejam elas famosas ou não. Mas isso é um grande problema também. (42:17) E as redes, como o próprio Instagram, também não estariam cuidando disso. Ao contrário, estão impulsionando. E claro, a lógica a gente sabe: se gera mais cliques, gera mais publicidade, gera mais dinheiro. As pessoas que publicam acabam ganhando também, e isso vira um ciclo bem vicioso, de um tipo de conteúdo que não me parece que favoreça o melhor interesse das pessoas. Claro, você pode simplesmente não usar o Instagram, mas é uma tendência que a gente começa a notar de uma certa invasão de conteúdos sintéticos. Esse é o ponto. (42:55) Nós já estamos consumindo conteúdos sintéticos em massa nas redes sociais. Se este tipo de conteúdo, “brain rot videos” aqui, especificamente no Instagram, pode estar fazendo mal para as pessoas — assim como a gente já viu o Instagram, como eles já sabiam que aquela dinâmica fazia mal para meninas e tudo mais. Inclusive, uma notícia que eu não trouxe, mas é necessário reconhecer: eles agora aprimoraram o papel das escolas. Quando a escola faz uma reclamação, eles priorizariam as reclamações e os pedidos de retirada feitos por escolas. (43:33) Claro, porque as escolas, por estarem mais perto dos estudantes, conseguiriam identificar as situações. É um ponto interessante. Mas por trás disso, também temos outras coisas acontecendo, e de forma muito rápida. (43:53) É muito difícil até para a gente entender os impactos e os efeitos disso. Aquela própria série sobre adolescentes, que chamou bastante atenção no mundo inteiro, do Netflix, aborda um pouco isso: o fato de os pais, dos professores não entenderem direito o que está acontecendo, não entenderem direito aquelas dinâmicas em que os adolescentes estão envolvidos. (44:21) Tudo isso converge, me parece, para tratar também o tipo de conteúdo que a gente vai colocar lá dentro. E note: se isso é manipulação, e é, se eu estou efetivamente manipulando as pessoas por meio de uma enxurrada de conteúdos sintéticos que vão fazer com que elas engajem naquilo — e com a IA o potencial de manipulação é maior ainda. Porque se eu consigo personalizar de maneira praticamente infinita o conteúdo, potenciais de manipulação podem aparecer. (44:57) E isso não me parece que seja muito bom, na linha do que colocou aqui também o Jason Koebler. Bom, e por fim, pessoal, vocês ficaram até aqui, já viram no nome do episódio que a gente vai falar sobre o SignalGate, aquele caso lá que aconteceu nos Estados Unidos. (45:26) O Vinícius, essa semana a gente estava conversando, ele disse: “Não, vou ter que viajar”. E eu estava preparando a pauta, já estava mais ou menos com ela preparada, e pensei: “Bah, mas não vamos deixar de gravar essa semana”. Eu tinha um tempinho aqui na sexta-feira, então pedi para ele. Perguntei se ele estava acompanhando mais o caso SignalGate. Ele disse: “Não, tô, tô por dentro”. Pedi para ele gravar um conteúdo. (45:46) Ele gravou o conteúdo que você vai ouvir agora e, depois, eu vou fazer alguns comentários sobre o comentário do Vinícius sobre o SignalGate. Vamos lá. (46:02) [Vinícius] Olá, Guilherme. Olá, ouvinte do Segurança Legal. (46:12) Hoje eu estou gravando aqui para poder participar do episódio, já que eu vou estar viajando nesta sexta-feira. Eu vou comentar, conforme a gente combinou, Guilherme, para os nossos ouvintes, o caso do Signal. Eu montei até uma timeline aqui para a gente poder entender o que aconteceu. Eu acho que todo mundo ouviu falar, pelo menos, da questão do Signal com relação ao governo Trump. (46:36) Mas, para situar tudo, para início de conversa, o Signal é um mensageiro instantâneo que nem o WhatsApp. Ele implementa um protocolo de segurança, de criptografia ponta a ponta e tudo mais, mas é um aplicativo para uso comercial. Você pode baixar de graça no seu celular e sair utilizando. Eu, particularmente, uso também o WhatsApp, claro, mas eu tenho uma certa preferência pelo Signal. (47:07) Bom, mas o que aconteceu? No dia 11 de março, o jornalista Jeffrey Goldberg, da The Atlantic, ele é editor-chefe da The Atlantic, recebe uma solicitação no celular do Michael Waltz, que é o Conselheiro de Segurança Nacional dos Estados Unidos. Uma solicitação de contato, ele aceita. E no dia 13, dois dias depois, o Goldberg, o jornalista, é adicionado a um grupo com o nome “Houthi Small Group”, um grupo no Signal. (47:53) E aí que começa a história toda com o Signal. Esse grupo tinha vários membros do governo Trump, de altíssimo nível. E eles estavam compartilhando nesse grupo detalhes sobre ataques aos Houthis, que estavam ameaçando a passagem no Canal de Suez. Bom, isso foi no dia 13, a inclusão no grupo. (48:30) O próprio Goldberg disse que ele achou que isso fosse algum tipo de brincadeira ou armação. Ele ficou quieto, ficou acompanhando, até que ele percebeu que, numa das mensagens, foi colocado o horário em que haveria o ataque aos Houthis. Então, o Goldberg estava no estacionamento de um supermercado, sentado, esperando para ver se encontrava alguma notícia no Twitter no horário previsto e, para surpresa dele, o ataque de fato aconteceu. (49:08) A gente está falando aí de 13 dias depois do primeiro contato que fizeram com Goldberg. O ataque de fato aconteceu. No dia 24 de março, o Goldberg resolve publicar uma matéria expondo o vazamento e confirmando que ele foi incluído no grupo. Notem que, até então, ninguém tinha percebido que tinha um jornalista no grupo em que eles estavam discutindo detalhes de uma ação militar contra os Houthis. (49:49) Com relação aos detalhes, vocês vão ouvir o pessoal falando que não foi nada demais, não tinha muita informação. Tinha sim. Tinha detalhe dos armamentos utilizados, a hora que os aviões sairiam para o ataque, a hora esperada do ataque, os alvos, onde estavam possíveis terroristas e tudo mais. (50:12) E toda essa informação foi sendo colocada lá no Signal. A primeira reação do Trump e dos membros do gabinete dele foi de dizer que não foi nada importante, que não tinha nenhuma informação importante. Aí o Goldberg vai lá e expõe, mostra as informações, mostra que a coisa realmente era importante. (50:42) Aí eles começam a aceitar a ideia de que aconteceu alguma coisa errada. O próprio Trump muda um pouco o discurso dele. No início, ele disse que não sabia de nada, depois disse que não foi nada, e depois começou a dizer que foi o único erro até então do governo dele, segundo ele. E aí a gente tem, na sequência, claro que isso virou um grande escândalo, porque não só pelo fato de eles terem, sem querer — ou sabe-se lá se por querer, mas pelo visto sem querer —, inserido um jornalista dentro de um grupo que estava discutindo detalhes de uma operação militar. (51:18) Algo que é extremamente sensível, informação que exige um nível de clearance, como se chama, para poder acessar, bastante alto, e eles estavam com um jornalista lá no grupo e não se deram conta. (51:40) Não só esse foi um problema, mas também, talvez o maior problema além do jornalista estar ali, é o fato de eles estarem usando uma aplicação comercial, sabidamente alvo de ataque por russos e outros Estados que têm interesse em conseguir violar a comunicação do Signal. Eles usaram essa aplicação para fazer a comunicação de informações altamente sensíveis sobre uma operação militar. (52:14) Agora, já faz alguns dias, o Congresso, alguns participantes — não dá para dizer o Congresso todo, porque a gente sabe muito bem como está organizado lá —, alguns congressistas americanos começaram a cobrar fortemente o que eles estão chamando de uma das maiores falhas de inteligência na história dos Estados Unidos. É uma coisa que o pessoal está levando realmente muito a sério, está dando muito pano para manga. O que chama a atenção, pensando no nosso cenário, nas empresas e tudo mais… (52:51) …é que esse tipo de falha, esse tipo de erro que eles cometeram, essencialmente foi sair do procedimento padrão, violar as políticas de uso de aplicações ou de meios de comunicação para utilizar algo que eles decidiram utilizar no telefone deles. (53:17) E a partir daí, por mais que o Signal seja seguro em termos de criptografia ponta a ponta, ele não tem recursos para, por exemplo, isolar quem pode participar desses grupos. Então, se alguém inserir por engano um jornalista, o jornalista vai entrar. É um desvio claro das políticas de segurança do governo dos Estados Unidos para se trocar esse tipo de informação. (53:54) Então, a lição que fica, primeiro, é que a gente tem que acompanhar a continuação dessa discussão lá. Mas a lição que fica é que, uma vez que existe um procedimento, uma política, e é importante definir políticas de segurança nas empresas, é importante que essas políticas sejam seguidas. Porque, daqui a pouco, alguém resolve exportar um arquivo contendo informações da tua empresa de uma forma diferente do que havia sido previsto, resolve usar o próprio e-mail pessoal para mandar esse arquivo para ele mesmo para usar numa apresentação ou coisa parecida. Pronto. Já saiu do caminho. (54:32) Já saiu do que havia sido definido das políticas e tudo mais. E aí a gente pode ter, de repente, um incidente desses dentro da nossa própria empresa. Tá bom? Por enquanto é isso, gente. Eu lamento não estar esta sexta-feira aí com vocês. Eu vou estar, como eu disse, viajando. Na sexta-feira que vem, eu devo estar de volta. Valeu, Guilherme. Valeu, galera. (54:59) Um abraço. Até a próxima. (55:00) [Guilherme] Bem, pessoal, interessante. Claro, a nossa especialidade aqui, o foco desse tema no Segurança Legal, não é fazer uma análise de política internacional. Para isso, certamente o pessoal do Xadrez Verbal vai falar, eu tenho certeza que eles vão falar sobre isso. Então, a gente remete os interessados na parte de política internacional para o Xadrez Verbal. Mas a gente consegue fazer, claro, observações do ponto de vista da segurança da informação. (55:38) E, ao mesmo tempo, como cada vez mais, grandes temas do mundo têm no centro a segurança da informação. A segurança acaba ficando cada vez mais importante. Os grandes conflitos acabam envolvendo segurança, os grandes problemas da humanidade também, claro que não todos, mas acabam envolvendo segurança. (56:03) Isso é muito interessante de se ver, para o bem e para o mal. Eu lembro também de um artigo que o Vinícius escreveu com o Raul Weber, que foi orientador dele no mestrado. Não estou certo se o título não é “Técnicas de segurança da informação: da teoria e prática”, em que eles falavam sobre aquela tríade da segurança, que é política, mecanismo e cultura. (56:43) Você tem uma política, essa política é implementada muitas vezes por alguns mecanismos de segurança, e você também tem uma cultura, que seria a forma como as pessoas se comportam, a autorresponsabilidade das pessoas no sentido de também atuar de forma segura. É um tripé, e cada vez que você tira um desses pés, ele cai. A segurança seria feita desses três domínios: política, mecanismo e cultura. (57:12) No caso do SignalGate, como têm chamado, o uso do Signal, o uso da criptografia de um aplicativo de criptografia fim a fim, é um mecanismo somente, que não deveria estar sendo utilizado nesse contexto, é verdade, mas ele é somente um mecanismo. E segurança не se faz somente com mecanismo. (57:30) Essa é uma das grandes verdades da segurança. Na verdade, a segurança não se faz somente com um desses elementos que eu coloquei. Não se faz somente com política sem mecanismo, não se faz somente com cultura sem política e mecanismo. Preciso de uma integração dessas três coisas. Há também, e quando eu estava ouvindo esse áudio do Vinícius, me ocorreu uma das grandes ironias desse caso todo: o fato de que a criptografia, os seus primórdios, os seus rudimentos, nasceram numa perspectiva de proteção de segredos de guerra lá entre os gregos, as cidades-estado gregas. (58:01) E como esses rudimentos, que depois no Egito aparecem… estava até dando uma folheada hoje no “The History of Information Security”, que tem um capítulo que vai da antiguidade até a Renascença, que seria, segundo o autor, uma redescoberta desses mecanismos clássicos. O Gerhard Strasser, em “The Rise of Cryptology and the European Renaissance”, faz um apanhado histórico sobre a criptografia. (58:40) E a própria limitação aqui. Interessante pensar nisso. Claro que a gente sempre tem que ver, quando fala em segurança da informação, sobretudo para agentes de Estado, muito mais do que para empresas, você tem que saber quem é o teu adversário. Isso é crucial para você pensar em segurança da informação. (59:12) Os conselheiros de um presidente certamente vão encontrar os adversários mais poderosos do mundo, sobretudo o presidente dos Estados Unidos. Então, quem é o seu adversário, além de você mesmo, além das próprias limitações que eles demonstraram ali? É preciso saber quem é o teu adversário nesse modelo adversarial. E, claro, a criptografia aplicada no Signal, tem outra questão: ela também protege as informações em trânsito, não protege as comunicações que, eventualmente, estão armazenadas no celular dessas pessoas, que pode ser perdido, furtado, ou pode ter um malware lá dentro que tira um print da tela. (59:44) São tantas as possibilidades que fariam com que, de fato, esse caso seja um fiasco. Eu estava lendo algumas notícias sobre o caso, que vão ficar lá no show notes, e os americanos usam essa palavra “fiasco” também, mas acho que com uma conotação muito mais impactante do que a que nós usamos aqui. Eles reservam “fiasco” para situações bastante sérias, e me parece que esta é uma situação efetivamente séria para que se use “fiasco”. Vai ficar também, pessoal, ali no show notes, uma reportagem da “The Daily Beast” que fala sobre como descobriram que, de alguns dos conselheiros do presidente, se consegue encontrar na internet uma série de credenciais deles, telefones pessoais. (1:00:23) E a própria Tulsi Gabbard, que era a Diretora de Inteligência Nacional, que estava envolvida junto com John Ratcliffe, Diretor da CIA… vejam, gente, Diretor da CIA, Diretor de Inteligência Nacional, trocando esse tipo de conteúdo num Signal, provavelmente em telefones pessoais. Não sei se essa questão foi abordada, mas se foi, pior ainda. (1:00:53) Credenciais dessas pessoas seria possível de conseguir: os números delas, a foto de Instagram, a foto de WhatsApp e tal. Então, “The Daily Beast” traz isso e, claro, as consequências são claras e se conectam com o caso do phishing lá do Troy Hunt, de que se pode utilizar esses dados em uma série de outros contextos. (1:01:19) Fica aí como última notícia. Fechando uma hora já, consegui segurar a peteca e não deixar a peteca cair. Uma das decisões aqui que a gente teve é: nós temos que falar sobre o SignalGate. Eu acho que esse caso, como o Vinícius colocou, vai ter outros desdobramentos. A gente vai ficar atento, evidentemente, como sempre faz. Teve já audiência no Senado. O Vinícius adora ouvir aquelas audiências do Senado americano. Hoje, com IA, fica um pouco mais fácil, você consegue fazer alguns resumos de vídeos e tal, eventualmente não precisa assistir 3, 4 horas de audiência. (1:01:53) Nós vamos voltar a falar sobre isso e é o que eu espero. Estou ansioso para ver os desdobramentos desse caso aí nos Estados Unidos. Então, pessoal, agradecemos a todos e todas que nos acompanharam até aqui e nos encontraremos, agora de volta com o Vinícius, no próximo episódio do podcast Segurança Legal. Até a próxima.      

Neste episódio, falamos sobre como a inteligência artificial generativa afeta o seu pensamento crítico e você irá descobrir os riscos da dependência excessiva e como usar a IA sem perder sua capacidade de análise.​ Guilherme Goulart e Vinícius Serafim analisam um estudo da Microsoft sobre o impacto da inteligência artificial generativa no pensamento crítico. A discussão aprofunda como a automação pode reduzir o esforço cognitivo e criar uma perigosa dependência, especialmente para os trabalhadores do conhecimento. Abordando a “ironia da automação” e os vieses dos modelos de linguagem, o episódio explora a transição da criação para a curadoria de conteúdo e o risco de estagnação intelectual. Reflita sobre o futuro do trabalho, a importância da agência humana na tomada de decisão e como manter a sua relevância. Assine, siga e avalie o Segurança Legal para não perder nenhuma análise.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Artigo – The Impact of Generative AI on Critical Thinking: Self-Reported Reductions in Cognitive Effort and Confidence Effects From a Survey of Knowledge Workers Foto do episódio – Filósofo em contemplação de Rembrandt 📝 Transcrição do Episódio (00:06) Sejam todos muito bem-vindos. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá, aos nossos ouvintes. (00:23) Lembrando que falamos sobre segurança da informação e direito da tecnologia, mas na verdade, nosso tema hoje é tecnologia, sociedade e afins, que gostamos de falar. Não ficamos presos só a isso, Guilherme. Acabamos vendo a tecnologia de uma maneira mais geral, embora com foco maior em proteção de dados, mas sempre discutimos essa amplitude, desde o início. Sempre lembramos que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de temas. Para isso, estamos à disposição pelo e-mail… (00:55) …podcast@segurançalegal.com, no YouTube, Mastodon, BlueSky e Instagram. Também temos a nossa campanha. Gostou do Instagram? Gostei. Viu, Guilherme? Segue falando que eu vou passar a chave na porta aqui, senão vamos ser interrompidos. Põe o vídeo só para mim, então. Deixa só botar o do Guilherme aqui. (01:13) Também temos a nossa campanha de financiamento coletivo lá no Apoia-se, em apoia.se/segurançalegal. Sempre pedimos que você considere apoiar um projeto independente de produção de conteúdo. Você consegue fazer isso lá pelo Apoia-se. Recebi um e-mail ontem, Vinícius, de que o Apoia-se fez uma parceria com o Spotify, então seria possível entregar novos conteúdos direto no Spotify. (01:45) Não sei se o Spotify não vai acabar comprando o Apoia-se, como fez com a Anchor FM, que era um sistema de organização de podcast no passado. Tem o blog da Brownpipe, então você acessa lá em brownpipe.com.br, sempre acompanhando as notícias mais importantes e interessantes. Essa semana teve, de novo, o vazamento de chaves Pix. (02:06) O “Muro da Vergonha” que o Banco Central faz. Essas coisas você encontra no blog da Brown Pipe e também consegue se inscrever no e-mail para receber algumas dessas notícias. No YouTube, pessoal, se você está nos vendo, tem aquela coisa: curta, habilite o sininho e interaja. Por quê? Porque isso permite que o conteúdo seja mostrado para mais pessoas. (02:33) Se você ouve no feed, é uma coisa mais orgânica, você vai no conteúdo, mas lá no YouTube é importante fazer essas interações para que o conteúdo seja mais recomendado e, no final das contas, a gente atenda mais pessoas. (03:08) Sim, e tenho percebido… Pelos números que temos no YouTube, comparando com os de downloads de episódios, nossos ouvintes estão mais no feed do que no YouTube. Claro, mas veio a notícia de que o público em geral tem ouvido cada vez mais podcasts no YouTube. Estava havendo uma migração para dentro do YouTube para escutar podcasts, o que é péssimo. Eu não sei. Eu acho péssimo. Eu acho que depende muito. Gosto de ouvir podcast, embora tenha podcasts que eu ouço que também têm vídeo no YouTube, como o nosso. Eu ainda prefiro ouvir. Às vezes, quando não conheço a cara da figura de quem estão falando… (03:49) …gosto de ir no YouTube só para vê-los falando, assisto a um episódio ou outro e depois fico com essa noção da imagem deles falando e tudo mais. Mas o pessoal tem falado que bastante gente acompanha podcasts no YouTube. Não é o caso do Segurança Legal. (04:14) Temos um público bem menor no YouTube do que fazendo download dos nossos feeds. Enfim, se você está lá no YouTube, habilita, faz aquela coisa toda, porque também nos ajuda. (04:33) Bom, hoje vamos falar sobre esse estudo. Você já viu no tema, no título, que ainda não foi feito, pois fazemos o título depois de gravar. Não temos o título do episódio ainda, mas você já está sabendo que vamos falar sobre este estudo feito pela Microsoft, por alguns pesquisadores, não somente da Microsoft. Tem um da Carnegie Mellon, mas os outros são da Microsoft Research. (04:57) Os nomes são Lev Tank, Levit, Richard Banks, também da Microsoft, e o Hing Hank Lee. Esse é o único que não é da Microsoft, da Carnegie Mellon. Estamos falando aqui do “The Impact of Generative AI on Critical Thinking, Self-Reported Effort, and Confidence: Effects from a Survey of Knowledge Workers”. (05:35) Puxa, você me pegou. O impacto da inteligência artificial generativa no pensamento crítico, reduções autorreportadas de esforços cognitivos e efeitos da confiança, em um estudo feito com trabalhadores do conhecimento. (06:13) “Trabalhadores do conhecimento” é um termo que não conheço em português, mas me parece que no inglês é mais consolidado, indicando pessoas que lidam com o conhecimento. Já li um pouco sobre como a IA aprende e vi alguns autores, citando de improviso, que dizem que, na verdade, todo trabalhador tem, em maior ou menor grau, o conhecimento. Era um artigo que falava sobre o treinamento de modelos para dirigir veículos, dizendo: “Ora, o motorista de caminhão, apesar de estar dirigindo, também tem um conhecimento embarcado na sua práxis, porque sabe se pode andar mais ali ou se freia”. Mas, enfim, eles optaram por lidar… (07:11) …com pessoas mais relacionadas a tarefas que envolvem um curso superior ou algo do gênero. Eles pegaram, Vinícius, e vou dar um geral aqui, daí você vai me interrompendo e pedindo a palavra. Eles pegaram 319 “knowledge workers” e buscaram identificar quando e como eles perceberam o aparecimento, a presença do pensamento… (07:43) …crítico quando usaram a IA. Vamos falar “IA” aqui, mas o texto fala sobre “GenAI”, ou seja, IA generativa. Então, quando falarmos “IA” aqui, estamos nos referindo à IA generativa. Os modelos de linguagem de grande escala generativos. Não vamos nos alongar para não irritar os puristas. (08:13) É para facilitar nossa vida. A ideia seria investigar quando e como esses esforços na aplicação do pensamento crítico apareceriam. Eles pegaram 957 exemplos do mundo real sobre o uso da IA nas atividades cotidianas desses profissionais. O artigo é um pouco chato de ler, mas as descobertas são interessantes. Eles trazem alguns exemplos, como a professora que foi criar uma imagem de uma pessoa lavando as mãos e percebeu que não tinha sabonete, precisando reavaliar o prompt. (08:54) Ou seja, seria um exemplo do surgimento do pensamento crítico para avaliar o resultado. Eles usaram uma tal de taxonomia de Bloom e destacam que isso é bem conhecido. Eu, confesso, não conhecia. (09:12) Mas, segundo eles, é bem conhecido. Existem outras formas de avaliar o aprendizado, e essa taxonomia de Bloom acaba sendo uma redução dos objetivos de aprendizagem. Ela envolveria o conhecimento (recordação de ideias), a compreensão (demonstração do entendimento), a aplicação (colocação da ideia em prática), a análise (constatar e relacionar), a síntese (combinação de ideias) e a avaliação (julgamento de ideias através de critérios). (09:47) Eu ainda colocaria outros elementos. Para além de uma questão técnica de conseguir aplicar o conhecimento, me parece que o pensamento crítico, em uma determinada situação com o uso da IA, ainda envolve algumas motivações. Ou seja, por que você se importaria em ter um pensamento crítico… (10:19) …quando você usa IA, ou até mesmo quando vai usar IA? Me parece que isso envolve também o nível de esforço que você tem para fazer uma tarefa. É muito difícil fazer aquilo ou não? Vai exigir muito esforço seu? Mas também acho que há um componente de prazer e interesse sobre o assunto que você está lidando. Uma coisa é usar IA para resumir algo no seu trabalho. Outra coisa é, eventualmente, usar a IA porque você quer aprender… (10:49) …alguma coisa e tem prazer em aprender aquilo. E aí, acho que haveria ainda nessa equação a própria falta de tempo. Você tem tempo para fazer aquilo ou não? Você gosta daquele assunto que está estudando por meio da IA ou é obrigado a fazer aquilo? (11:13) Eu acho que tem esses elementos psicológicos aí. Não sei, Vinícius, se estou viajando, o que você pensa sobre isso? Na real, cara, pegando o que o estudo dividiu em essencialmente duas perguntas. A primeira é: quando e como esses trabalhadores do conhecimento percebem a ativação do pensamento crítico ao utilizar a inteligência artificial? E eles fizeram outra pergunta… (11:46) …que estará disponível nos show notes, que é: quando e por que eles percebem o aumento ou a diminuição do esforço para o pensamento crítico? Eles fizeram esses dois questionamentos. E o que você coloca de entrada, eles acabam tratando na segunda pergunta, que é com relação à motivação para pensar criticamente, a razão pela qual você vai pensar criticamente. (12:20) Eles encontraram uma clara correlação. Nessa questão de quando se percebe o maior ou menor esforço, a pessoa, quando se sente conhecedora, quando domina um dado assunto, ela tem uma tendência a usar mais o pensamento crítico no que está sendo entregue para ela. E quando o contrário acontece, quando a pessoa não tem o domínio da… (12:59) …área, ela se sente incapaz de fazer uma avaliação, a tendência é simplesmente acreditar no que a IA entrega para ela. É aquele uso que a gente faz com desconfiança. Quando começou a aparecer o GPT, fomos testando lá em 22. Começamos a usar para código e já funcionava razoavelmente bem, claro, nem perto de como funciona hoje, mas já fazia coisas boas. (13:30) Ao contrário, na minha área, a experiência era horrorosa. Eu pensava: “Cara, esse negócio só inventa coisa, não dá uma jurisprudência certa, não dá uma doutrina correta, não dá para aproveitar nada.” O que estávamos fazendo aí? Usando com uma certa desconfiança dentro das nossas áreas de conhecimento e, consequentemente, criticando muito mais a informação que ele nos dava, como fazemos até hoje. Agora vou te dar um exemplo bem simples… (14:06) …em que eu simplesmente abro mão do raciocínio crítico e uso o que a IA diz. Apareceu um fungo ali, e foi a IA que me disse que era um fungo. Numa planta que tenho aqui, uma plantinha apareceu com algo estranho na folhagem. (14:25) Fui lá, tirei uma foto e mandei para a IA, perguntando o que era. Ela me disse que era um fungo. Então, fui até a Rafa, minha esposa, e disse: “Rafa, é um fungo que tem na planta.” E eu não fui atrás. Sendo bem honesto aqui, não fui atrás. Ela disse que era um fungo, eu acreditei e pronto, acabou. (14:47) Eu não tenho como avaliar se é um fungo ou não. É justamente esse ponto que eles mostram: quando não temos domínio de uma área, a tendência é confiar mais na IA sem aplicar o pensamento crítico, porque nos sentimos incapazes de fazer essa avaliação. (15:05) E acho que, além do prazer de você lidar com o assunto… Estávamos falando antes sobre estudar a história do Rio Grande do Sul. Você quer saber algumas datas. Para que, eventualmente, você vai usar a IA para estudar algo que gosta? Estou interessado em aprender sobre a história do Brasil, por exemplo. Você quer aprender aquilo, tem um interesse, aquilo tem uma importância para você. Isso vai variar. Sinto prazer em aprender aquilo, diferentemente do que ocorre com a importância da tarefa para… (15:35) …o usuário. Eles tocam nisso quando falam sobre o uso secundário da IA ou sobre tarefas triviais. Me parece que é um pouco isso que você colocou agora. Tem um aplicativo, Vinícius, que se chama PictureThis, que é justamente para avaliar plantas, o que elas precisam, mas é pago. Eu até uso aqui em casa. (15:58) Nem precisa. Tenho um prompt que uso no Perplexity, um prompt bem complexo, grandalhão, que serve só para tirar fotos de coisas, com instruções diferentes de acordo com o tipo de coisa que ele está vendo. Se tiro foto de um livro, ele tem que me dizer o autor, dar um resumo, principais ideias, etc. (16:18) Se tiro foto de uma obra de arte, ele tem que me falar da origem, o período histórico. Se tiro foto de um bicho, ele tem que me dizer se é peçonhento ou não, suas características. E funciona perfeitamente bem. Eu realmente não tenho conhecimento de botânica, mas tendo a acreditar. E é a questão da confiança. Tendo a acreditar que um aplicativo feito para isso, treinado, sei lá… Só estava contando que existe. (16:52) Isso é uma coisa muito interessante que você coloca. Porque uma coisa é pegar um LLM genérico, como um ChatGPT ou Perplexity, e aplicar para analisar uma planta. (17:11) Outra coisa bem diferente é alguém ter feito o treinamento de um modelo todo ou fine-tuning de um modelo para trabalhar especificamente com plantas. Aí é outro esquema. Não precisamos de modelos tão grandes; pelo contrário, modelos bem pequenos podem ter resultados bem melhores do que esses large language models. (17:36) Como são mais especializados, podem ter um resultado muito melhor. Fecha parênteses. Então, você dizia que tem uma certa confiança nesse modelo de IA para fazer a avaliação botânica das suas plantas. Esse é um ponto, e você mesmo confirma o resultado do estudo: como não tem conhecimento, deposita maior confiança na ferramenta. (17:55) E consequentemente, sua avaliação crítica diminui. Você não vai atrás de um livro de botânica para ver se aquilo está certo. Esse é o primeiro ponto. (18:14) E outra, que também tem a ver com a utilidade e a importância da tarefa para você. Você não está fazendo uma avaliação do seu trabalho em que entregará um resultado para o cliente. Você está vendo uma planta. Você não quer que a planta morra, gosta de plantas como nós, então não é que aquilo seja totalmente desimportante, mas é quase como um uso secundário, uma tarefa menos importante. (18:40) Só que daí tem um problema que eles levantaram. O problema de mecanizar a IA pode impedir que as pessoas treinem seu julgamento no que eles chamaram de “musculatura cognitiva”. Você poderia ir perdendo isso aos poucos pela falta de uso. (19:04) Quase como se, ao ficar sentado trabalhando no escritório, você tivesse uma atrofia dos músculos. E por isso vai à academia. E aí tem uma coisa muito interessante, Guilherme, que eles citam, de outro artigo que vale a pena a leitura. (19:20) Eles citam o autor Ben Shneiderman e sua “ironia da automação”. É o que eles mencionam quando falam desse efeito. “Vou usar a IA só para as coisas menos importantes.” E aí acontece o que você falou: eu não raciocino criticamente nessas coisas, então acabo não treinando nas tarefas menores. Quando vêm as coisas importantes, estou destreinado… (19:54) …para fazer o raciocínio crítico. Você diz: “Vou deixar para a automação o que não importa, para eu fazer o que importa.” Daí, quando vai fazer o que importa, está destreinado e não consegue fazer direito. Eles citam isso como a ironia da automação. E a tendência que eles viram é uma clara relação entre o fato da tarefa ter uma importância secundária… (20:31) …para você e o emprego do raciocínio crítico. É o exemplo da planta que acabei de falar. Eu não empreguei pensamento crítico nenhum ao pegar a resposta da IA sobre o fungo. Simplesmente assumi. E é aí que está o perigo. Talvez por uma coisa boba como essa… Não descuidando da minha plantinha, mas é algo que não… (21:07) …tem tanto impacto. Se eu errar no diagnóstico, perco uma planta. Agora, no momento em que você está fazendo uma tarefa no seu trabalho, botando seu nome, que será avaliado por isso, a tendência é usar mais. Mas não muita gente. Vou pegar o número aqui: cento e poucas pessoas de 319. A tendência é se preocupar mais. (21:41) Uma das coisas que faz as pessoas utilizarem o pensamento crítico, segundo as 319 que participaram do estudo, são as potenciais consequências negativas. Por exemplo, você vai gerar um relatório, fazer um e-mail e sai aquela coisa pasteurizada que você olha e vê que foi gerado por IA. Pense em documentos legais. Estamos cheios de exemplos de juízes, advogados, jornalistas que publicaram coisas com… (22:17) …prompt e tudo. Mas olha que interessante: das 319 pessoas, só 116, praticamente 1/3, disseram que tinham essa preocupação, que usavam o pensamento crítico por causa de eventuais consequências negativas. E esse é o maior número. (22:49) Se eu pegar outras motivações, como a qualidade do trabalho, sabe quantos dos 319 citaram a qualidade do trabalho como uma razão para o pensamento crítico? 74 de 319. (23:12) E esses números que você está trazendo… O estudo tem um problema, na minha opinião, o grande problema. Ele aponta o que as próprias pessoas acharam sobre o uso do seu próprio pensamento crítico. É “self-reported”, como está no título. (23:31) Exatamente. Foi a escolha dos caras. Se essa autoavaliação está correta ou não, é outro problema que o estudo não quis investigar, mas tudo bem, para nós serve. Outra coisa que o estudo não trouxe, Vinícius, e se você simplesmente jogar o estudo na IA, não terá este insight que o Segurança Legal vai te trazer: a gente tem que valorizar nossa inteligência. O estudo fala em correlacionar a avaliação de algo com… (24:04) …outras coisas. Qual é o papel do pensamento crítico no mundo? No direito, por exemplo, minha área, o pensamento crítico é fundamental. Seja para avaliar se uma norma é a correta para aplicar em um caso concreto, para avaliar a validade de uma norma, ou, de maneira geral, em filosofia do direito, para avaliar a justiça de uma norma. (24:41) Para evitar uma alienação no direito. Tem um livrinho, “Introdução ao Pensamento Jurídico Crítico”, do Warat. A própria ideia de razão que está no nascimento do Iluminismo: a superação da ignorância, a investigação, o papel do conhecimento, a justificação do conhecimento numa visão mais epistemológica. (25:11) Todo o esforço para justificar um determinado conhecimento. A escolha da taxonomia de Bloom, por exemplo, não aborda essas questões. Eles estão fazendo uma análise muito mais pragmática. E acho que há outro ponto por trás disso: até que ponto o uso dessas ferramentas te permite justificar um conhecimento? (25:38) Eles falam que, às vezes, o usuário pega as fontes que a IA traz e vê se estão adequadas. Dias atrás, eu estava querendo comprar um livro, não achava e pedi ao Perplexity para encontrar. Ele me mandou para um site do Mercado Livre da Argentina. (26:05) Quando cheguei lá, o livro estava indisponível. Se fosse outra coisa e eu não fosse conferir o link, tomaria aquilo como verdade. É, mas aí você usou em um sentido diferente. Você queria que ele agisse quase como um agente para você. Este ano eu diria que é o ano dos agentes de IA. A OpenAI já está liberando alguns, coisas horrorosamente caras. Um agente… (26:43) …desenvolvedor, um agente com a capacidade de um doutor, um PhD, por 10.000 dólares por mês. A ideia é que ele efetivamente faça as coisas. Estava testando um agente na minha máquina que fica navegando. Você diz para ele: “vai na Amazon, cata não sei o quê”, ele abre um navegador e começa a navegar sozinho. (27:18) Funciona meia boca, mas a ideia é muito interessante. A própria OpenAI tem o Operator, que custa 200 dólares por mês e faz algo semelhante. (27:36) Então, o que você fez ao pedir um produto com preço foi quase uma função de agente. E, de fato, ele não faz isso muito bem. É diferente de fazer uma busca por informações, não uma pesquisa de preço. Não era uma pesquisa de preço. (27:55) Ele de fato encontrou o livro, o anúncio estava certo, só que o livro já estava esgotado. Ele cometeu um pequeno equívoco. Mas transporte isso para outro uso em que ele precise conferir uma informação. O pensamento crítico aí vai atuar na dinâmica de você conferir aquele resultado. Essa é uma expressão do pensamento. (28:25) Exato. Entrando no estudo, quando o pensamento crítico vai aparecer? Quando esses usuários vão buscar observar a qualidade do seu trabalho. Ele vai pegar o output e verificar, comparando com outras fontes ou com o próprio conhecimento. (28:56) E quando esse usuário tiver o interesse em aumentar a qualidade do trabalho ou evitar consequências negativas, aí o pensamento crítico aparecerá. Ou quando ele quiser aumentar suas competências, ele vai conferir, usar ou encontrar formas de melhorar as respostas que a IA dá. (29:22) Tem um exemplo aqui: um usuário pediu um texto para o site dele. Vi um post, e há vários assim, do pessoal rindo das descrições de IA que estão colocando no iFood. (29:47) Você pega lá, um pastel de carne, e a descrição é: “pastel com a massa cuidadosamente desenvolvida…”. Você vê que é ridículo. É absolutamente ridículo. Quer dizer, algumas pessoas que já têm um olhar mais treinado percebem. Vinícius, não sei se todo mundo enxergaria. (30:11) Chega a ser engraçado, funciona quase como uma piada para quem tem o olho treinado. Um dos participantes disse que, quando gerou o texto, o resultado foi muito padronizado, cheio de clichês e chato. (30:28) “Tive que editar bastante para tirar algo que eu pudesse entregar para os meus chefes.” Nota que aí apareceu o pensamento crítico do cara, que conseguiu identificar que aquele texto era enlatado, pasteurizado. Gosto de fazer uma comparação da IA com comida ultraprocessada. Às vezes, o resultado vai ser o “Big Mac” do texto, o salgadinho, o “Pringles”. Você está falando de duas coisas que eu gosto de comer, que não deveria, mas gosto. (30:56) Também gosto. Mas aí é a questão do contexto, Vinícius. Eu gosto, eventualmente como um Big Mac. Só que tenho que saber quando. Se eu for me alimentar só de Pringles, na segunda semana eu morro. (31:16) Para mim, isso é consequência de um elemento que eles levantaram aqui. A pergunta um, na seção quatro do artigo, é: (31:34) “Quando e como os trabalhadores percebem o emprego do pensamento crítico usando IA?” Mentira, você nem leu o artigo, só perguntou para a IA. Sim, que está todo marcado aqui. Pedi para a IA marcar para mim. (31:53) No “como”, eles falam do pessoal que usa para refletir sobre seus objetivos, necessidades e intenção para identificar a necessidade de usar a assistência de uma IA. (32:23) Dos 319, seis disseram que usam pensamento crítico para isso. Se você não usa pensamento crítico para pensar no que quer da IA, você só gera lixo. Eu sempre penso no que eu quero, organizo o que quero, a não ser que seja uma coisa boba, como a foto de uma planta. (32:47) Ou “quando morreu fulano de tal”, algo mais factual e rápido. Agora, para qualquer coisa mais complexa, eu penso em como vou pedir. E, cara, das 319 pessoas, seis disseram que usam pensamento crítico para isso. (33:07) E aí, na sequência, para formular a questão, 30 de 319 disseram que usaram pensamento crítico. É claro que você vai ter um monte de gente, como a pessoa que eles citaram, dizendo: “ah, fiz aqui e ficou um texto ruim no iFood”. Claro, o cara que fez o prompt não usou pensamento crítico. (33:42) Ele só largou lá: “me diz um texto para botar aqui”, e o negócio gera “um fabuloso pastel feito com manjar, carne cuidadosamente frita, com uma cebola selecionada”. (34:05) Ele vai inventar um negócio que obviamente foi gerado por IA. E muito aluno faz bobagem. Eles acham que podem chegar lá, pedir o texto, sem definir estilo, sem pensar criticamente no que querem. E aí, o resultado é ruim mesmo. (34:26) O problema do aluno envolve vários elementos. Primeiro, o interesse do cara. Se ele quer só “matar um negócio”, ele vai lá, copia e cola da internet e pronto. Agora, no seu exemplo da planta, seria diferente se você fosse um estudante amador de botânica. (34:56) Aí você não faria isso, porque tem interesse em aprender aquilo. E isso apareceu no estudo. Estamos tentando avançar para um novo Iluminismo, não voltar para o período pré-Iluminismo. (35:21) O pensamento crítico pode aparecer na intenção de querer aprender mais. Um usuário falou: “Eu queria entender mais a lógica por trás do resultado para que eu conseguisse fazer sozinho da próxima vez.” (35:41) Se seu interesse… e esse é um ponto de uma sociedade, Vinícius. Numa sociedade em que o interesse em aprender coisas vai ficando cada vez mais diluído, valorizar o conhecimento, as possibilidades que você, enquanto agente autônomo, tem de se posicionar criticamente no mundo. E esse é um valor que está… (36:14) …em decadência, talvez. As pessoas não querem mais aprender, está tudo muito fácil. Então, há um aspecto que o estudo não abordou: as pessoas querem aprender? Elas têm interesse em saber como fazer as coisas? Uma coisa é gerar uma informação desimportante, como “quando Saint-Hilaire esteve viajando aqui no Rio Grande do Sul”. (36:46) Na verdade, ele chega em 1816, mas no Rio Grande do Sul, em 1820. Ele fica um tempão viajando entre 1816 e 1822. Se você perguntar errado para a IA, ela vai te dar a resposta errada. (37:03) Você tem que saber exatamente como perguntar. Fiz uma consulta esses dias, queria saber o histórico de mulheres que foram presidentes ou primeiras-ministras no mundo. Consultei no Perplexity com a busca Pro. (37:28) Vi que ele esqueceu, por exemplo, da presidente do México, que atualmente é uma mulher. Uma que eu sabia de cabeça. Aí, fiz a pesquisa profunda, o Deeper Research, e ele trouxe muito mais informação, mas a informação anterior veio incompleta. E a da busca profunda veio com muito mais coisas. (38:04) Mesmo assim, não posso confiar naquilo pura e simplesmente. Preciso buscar mais, porque não tenho certeza de que ele trouxe todas as informações. (38:24) Fiquei desconfiado. Como eu só queria ter uma noção, não levei adiante. Se fosse para fazer uma apresentação sobre o papel das mulheres na liderança dos países, eu poderia pegar como ponto de partida, mas não poderia confiar 100% nisso. (38:51) E isso é pensamento crítico. Para isso, cara, é que vejo o grande problema. Eles citam no início do artigo que sempre houve resistência às tecnologias. Citam a resistência de Sócrates à escrita. (39:17) Porque podia substituir a memória. Você não precisa mais guardar as coisas na mente. Johannes Trithemius fez objeção à imprensa. E as calculadoras… nós vivemos isso. Professores faziam objeção ao uso de calculadora. (39:55) Tudo bem, você tem que aprender a matemática básica, mas não vai ficar quebrando pedra em vez de comprar um tijolo. (40:33) A IA é uma baita ferramenta que, como a internet e a Wikipédia, causa uma preguiça mental, sem dúvida nenhuma. (41:04) Você falou sobre a Wikipédia. Eu estava com ela aberta. O Musk agora está implicando com a Wikipédia, que seria um último reduto de informação mais curada e acompanhada. Passamos por um momento em que dizíamos aos alunos: “Não usem a Wikipédia”. (41:31) Porque podia ter qualquer porcaria lá. Chegamos a um momento em que a Wikipédia talvez seja uma das grandes coisas de valor que apareceram na internet. Não é tão simples colocar qualquer bobagem lá. Descobri que dá para gerar livros na Wikipédia. (42:05) Você escolhe os verbetes e diz “criar livro”. Eles montam um livro com os verbetes, imprimem e te mandam. (42:23) É um livro com os verbetes da Wikipédia. Super interessante. E tem coisas maravilhosas sobre a história de Porto Alegre. O artigo tem 135 fontes. É impressionante. (43:04) Chegamos a um turning point em que, de repente, a Wikipédia, que antes era colocada em xeque, você fica feliz se seu aluno usar. Para certos conteúdos, claro. Se for um estudante de história, certamente não poderá usar só a Wikipédia. Eu passei a dizer aos meus alunos: “Como ponto de partida, serve. Não como final de uma pesquisa.” (43:24) Mas talvez seja melhor que a IA em alguns pontos. E você pode usar a própria IA como ponto de partida. Vejo a IA como uma ferramenta, e essa ferramenta depende de quem está na frente dela. (43:49) Se você me der uma marreta, eu vou fazer porcaria. Exige um certo autoconhecimento, ter noção do que você sabe e do que não sabe, e honestidade intelectual. Quando vou gerar algo que não entendi e usar sem me aprofundar? (44:29) Isso é desonesto intelectualmente. E sabe qual é o nome disso? Autorresponsabilidade. Mas perceba que precisa de um preparo. Talvez precise de um preparo intelectual melhor para usar uma ferramenta dessas de maneira precisa, com bons resultados. (45:05) Você falava, Vinícius, sobre ser uma ferramenta. Lembrei-me de um personagem do Mad Max, o Master Blaster. Era um gigante, e em cima dele, um anãozinho que o comandava. (45:31) Você, enquanto pessoa que comanda essa força, pode fazer coisas muito legais ou, como no caso dele, muito ruins. E essa força vai exigir de você autorresponsabilidade, principalmente porque você pode chegar em momentos em que as pessoas não vão perceber que você está usando a IA. (46:07) Você tem um potencial tanto de manipulação quanto de… a nossa sociedade ainda está fundada em um tipo de treinamento que exige que você saiba algumas coisas. Não temos ainda uma pedagogia para a IA. Esse é o problema. (46:37) Não temos nenhuma pedagogia para a internet nas faculdades. Fiquei meio bravo com um curso de inglês que minha filha estava fazendo. (47:03) Ela veio para casa com uma tarefa que era jogar um joguinho no celular. Eu disse: “Não, desculpa, filha, mas você não vai jogar isso no celular.” O pessoal da pedagogia fala em inserir o celular. Pode, mas eu não quero. (47:31) Já li bastante sobre isso. Quando você torna a coisa mais comum, acostuma a criança com aquilo, o pulo para outras coisas que não são legais é muito fácil. Tomei a decisão de que ela não vai usar isso para estudar inglês. (47:51) Isso não estava no programa inicial da escola. Ela tem um livro caro, um material didático bem feito, uma professora em sala de aula. É isso que eu quero para ela estudar inglês agora, com 6 anos de idade. (48:13) Mas há outro aspecto que tenho percebido, que é o raciocínio. Temos que treinar cada vez mais o raciocínio lógico e a capacidade de avaliação. O que esse artigo acaba trazendo é que existe um movimento da elaboração para a curadoria. (48:56) É um dos pontos mais importantes. Estamos passando por um processo em que elaboramos menos e fazemos mais curadoria do que elaboramos. E para fazer essa curadoria, essa avaliação dos resultados da IA, precisa-se de pensamento crítico em todo o caminho. (49:32) Desde pensar para que você vai usar, onde quer chegar, como vai pedir, até avaliar o resultado e integrá-lo. Precisa-se de pensamento crítico. Agora, Guilherme, ao mesmo tempo, a IA já começa a substituir o ser humano em tarefas mais simples. (50:15) Ao longo dos anos, ela vai ficar cada vez menos hiperbólica, e essa régua vai baixar, não aumentar. Teremos mais coisas bem elaboradas, exigindo cada vez menos pensamento crítico. Essa é a minha projeção. E vejo dois efeitos. Um deles, citado no artigo: quando o ser humano começa a entregar demais as coisas para a IA fazer… (50:52) …a IA, que foi treinada com coisas incríveis que seres humanos fizeram, se os humanos pararem de criar, a tendência dela é ficar regurgitando, reaproveitando as mesmas ideias. (51:16) Isso, em uma visão mais ampla, poderia levar a uma estagnação intelectual. Estamos apenas respirando o ar da mesma sala, o oxigênio vai acabando. Essa é uma questão que talvez uma futura inteligência geral artificial resolva. (51:44) Não sei. E tem outro aspecto, que você falava antes, Guilherme. Eu não gostaria de perguntar algo para você e você me responder com uma resposta automática da IA. (52:09) Eu quero saber o que você pensa. Eu quero poder conversar. Ou vou ler uma resenha sobre um produto e percebo que foi feita por IA. Perde-se um pouco. E eu vi o Salman Khan, o cara da Khan Academy… (52:37) …ele falou um negócio que eu esqueci. É o Covid, são 5 anos de Covid. Covid longa. (53:03) Lembrei. O Khan falou que o “premium” vai ser o presencial. E ele cita isso. Estou cercado de coisas geradas por IA, ou que nem sei se foram. (53:26) Por enquanto, as coisas geradas por IA, sem um certo cuidado, você vê claramente que foram. Mas já estamos em um processo em que não sabemos mais se o que estamos lendo foi gerado por IA ou não. (53:46) Aquilo que teve algum cuidado, prompts bem feitos, já complica mais para descobrir. Mas aí entram os elementos, Vinícius. O conhecimento não é só o que está na internet. Você tem o conhecimento de grupos marginalizados que não está na internet. Você tem todas as bibliotecas com livros que não estão na internet. (54:18) Teremos que ler, ver se há coisas já bem consolidadas lá. Mas aí vai do interesse que você tem no assunto, da profundidade que quer levar seu estudo, de partir para um livro. Quando estava estudando sobre criatividade, usei a IA para levantar alguns pontos, mas tenho livros físicos aqui para pegar na mão e ler. (54:51) E aí, Guilherme, isso é um ponto muito importante. Se a IA nos dá mais tempo porque agiliza tarefas, será que vamos fazer o mesmo que fizemos com os computadores, que foi simplesmente passar a trabalhar mais? (55:14) Aí eu vou emburrecer. É o que vai acontecer se todo mundo começar a fazer isso com a IA. É, mas aí tem a questão de quem é o dono da IA. Exato. Agora, se eu pegar essa hora que me sobra, porque fiz meu trabalho em uma hora… (55:32) …e puder ler, estudar algo do meu interesse, mesmo que não seja relacionado ao meu trabalho, isso vai enriquecer minha capacidade de raciocínio, de pensamento crítico. Eu sei que isso não vai acontecer. (55:51) Do contrário, estamos só sendo cozidos ali. E, ao mesmo tempo que usamos a IA, estamos treinando-a para, daqui a pouco, nos substituir. E eu não sei se vai levar 2, 5 ou 10 anos, mas o fato é que teremos várias profissões sendo substituídas por agentes de IA. (56:15) Se a OpenAI está cobrando 10.000 dólares por um agente desenvolvedor, eu fico imaginando o que ele não é capaz de fazer. (56:43) Deixa eu encaminhar para o fim, Vinícius, preciso ir saindo. Marquei aqui o que você colocou, que acho que é a maior contribuição do estudo: “Descobrimos que as ferramentas de IA generativa reduzem o esforço percebido do pensamento crítico, ao mesmo tempo em que incentivam uma dependência excessiva da IA, com a confiança na ferramenta frequentemente diminuindo a resolução independente dos problemas.” (57:01) E aí o foco passa a ser uma mudança entre fazer a tarefa e supervisionar a tarefa. E isso exige um aumento no pensamento crítico, em como você vai montar seus prompts. E de novo, volto ao Master Blaster. Se você for um maluco em cima de uma ferramenta super forte… é delicado, porque não vejo a sociedade caminhando para um aumento do pensamento crítico. (57:46) Tudo em torno da IA… o problema da desinformação, da planificação do conhecimento, da facilitação do entendimento… tudo tem que ser desenhado, senão as pessoas não querem entender. A valorização do pensamento crítico não está acontecendo. Por isso, acho que o cenário é pessimista. (58:11) O cenário é pessimista porque não acredito que o andar da carruagem vai favorecer com que as pessoas se preocupem com o pensamento crítico. Me parece que o que se quer é criar um instrumento em que será muito difícil criticar o resultado. Já é assim hoje. Quando você imaginaria que as pessoas começariam a discutir a eficácia de medicamentos, o retorno de doenças endêmicas? (58:48) Você não imaginaria que pessoas sem nenhum conhecimento em ciência farmacêutica começariam a colocar em xeque medicamentos plenamente consolidados. Então, para finalizar, Vinícius, não acho que o cenário seja muito bom, mas serviu como ponto de partida para reforçar algumas das coisas que já vínhamos investigando. (59:19) É isso. Quer dar uma mensagem final? O final, Guilherme, é que o estudo dá um percentual geral de que 60% dessas 319 pessoas disseram usar o pensamento crítico em algum momento no uso da IA. (59:52) 60% parece muito, mas há 40% que não aplicam pensamento crítico nenhum. Volto a frisar que é uma ferramenta muito potente, como você colocou. Precisamos nos preparar para usá-la, e ela só vai ficar cada vez mais potente. (1:00:15) Para lidar com isso, precisamos ler, nos informar, ter uma estrutura de raciocínio bem estabelecida. Eu me preocupo com isso, leio coisas diferentes, troco ideias com outras pessoas. O “premium” é o presencial. (1:00:45) Poder sentar, conversar, ouvir outras ideias. Isso é muito importante para enriquecer o repertório mental, intelectual, conceitual. (1:01:08) Porque senão… as coisas mais comezinhas, a IA vai patrolar. Não tenho dúvida disso, porque ela está baseada em conhecimento que veio de trabalho humano, de outros humanos melhores do que eu, com mais capacidade. (1:01:45) É óbvio que, como indivíduo, ela vai me superar. E isso só vai ficar pior. Acredito firmemente, não que eu deseje, mas acredito, que neste momento estamos sendo assistidos por IA. (1:02:05) Passaremos por uma fase em que estaremos acompanhando a IA. Ela estará fazendo, e nós, acompanhando. Já fiz algumas experiências com pair coding, e o negócio já funciona muito bem. (1:02:23) E depois, passaremos para uma fase em que seremos substituídos pela IA. É isso que acho que vai acontecer. (1:02:40) Não é o que eu desejo necessariamente, mas esse é o foco do problema. E para terminar: é você perder o próprio protagonismo da sua vida. Qual será o seu papel na sociedade diante dos potenciais usos? Você vai ser a pessoa dominada por aquilo ou a que vai usar para se alavancar? É o problema da agência. (1:03:16) A capacidade de tomar decisões. Já estamos perdendo nossa capacidade de agência com a desinformação e as redes sociais. As pessoas estão deixando de tomar decisões e acreditando nas coisas mais estapafúrdias. (1:03:41) No final das contas, a capacidade crítica, ou a falta dela, é você ter ou perder a agência da sua vida. (1:04:18) Tá bom. Vamos lá, pessoal. Usem IA, mas com pensamento crítico. O filme do Mad Max que mencionei é de 1985, já tem 40 anos. Caramba, não parece. Esperamos que vocês tenham gostado deste episódio e aguardamos todos no próximo episódio do podcast Segurança Legal. Até a próxima. (1:04:43) Até a próxima. É o “Beyond Thunderdome”. Confesso que não me lembro, só do personagem. Teria que ver de novo. Lembro da imagem quando você descreveu. É um filme que assisti há muito, muito tempo. (1:05:21) Esse negócio da IA… estou percebendo uma mudança na minha maneira de fazer as coisas. Estou me sentindo meio biônico. Ainda que eu faça um uso crítico, já me peguei em momentos em que senti falta dela para fazer algo. A gente começa a se acostumar. (1:05:47) Programar, por exemplo. Não consigo mais. Não passa pela minha cabeça abrir o editor sem a integração com IA. O tempo que ganho é tão grande que não tem sentido eu escrever uma linha de código. É como poder me deslocar daqui a Santa Rosa em 20 minutos de carro ou optar por ir a pé. Você acaba ficando dependente. (1:06:30) Eu adoraria continuar essa conversa, mas realmente preciso ir. Fica esse questionamento para quem nos acompanhou até aqui no YouTube. Guilherme vai ter que fazer alguns cortes. Eu discordo de você, mas tudo bem. (1:06:48) Temos que discutir isso. É estranho. Mas é isso. É que você consegue olhar para aquilo e criticar. Esse é o ponto. (1:07:02) Você olha para o resultado e sabe se é bom ou não. Não sei. Beleza. Mas posso dizer uma coisa? Daqui a poco o negócio está gerando um código bom, que funciona, mas talvez eu não saiba mais fazer esse código sozinho. (1:07:19) E aí é o problema da agência. Você fica delegando. Eu sei o que quero fazer, consigo interpretar o que ele está fazendo. E a hora que fizerem uma linguagem de programação otimizada para IA, que não é para ser humano? (01:07:41) Por que a IA tem que escrever com linguagem de programação feita para humanos? Não tem sentido. Eu vou embora agora, Vinícius, pensando em tudo isso que você falou. (01:08:00) Vai pensando. E os nossos ouvintes, quem assistiu pelo YouTube, pensem nisso. É muito difícil dizer o que é certo ou errado agora, mas temos que pensar nisso. É isso aí. Valeu, pessoal. Abração. Abraço. Até mais. Tchau.  

Neste episódio comentamos a nova regulação de IA no Judiciário e o perigo de backdoors. Você irá descobrir como a criptografia está em risco e os impactos na sua segurança digital. Guilherme Goulart e Vinicius Serafim analisam a nova regulação de tecnologia para inteligência artificial no judiciário e os riscos digitais envolvidos. A conversa explora a ameaça de supply chain com backdoors em LLM, que podem inserir vulnerabilidades em códigos. A discussão aborda a importância da cibersegurança e da governança de dados para a proteção de dados sob a LGPD. Por fim, comentam o enfraquecimento da criptografia ponta a ponta e as implicações para a segurança da informação. Assine, siga e avalie nosso podcast para não perder nenhuma análise!  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes CNJ aprova ato normativo que regulamenta uso da IA no Judiciário ANPD conclui processo de fiscalização de redes de farmácias e determina ajustes de conduta no tratamento de dados pessoais MPF apura violações de direitos e uso indevido de dados pessoais em exigência de CPF por farmácias Apenas 14% dos líderes conseguem equilibrar segurança de dados e objetivos de negócios An LLM Trained to Create Backdoors in Code Apple Remove Recurso de Criptografia em Nuvem do Reino Unido Após Ordem de AcessoCriptogtafia Apple removing end-to-end encryption in UK   📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 386, gravado em 7 de março de 2024. Eu sou Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes.(00:26) Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção, tomando um café de verdade ou um chimarrão. Hoje estou aqui tomando o meu chimarrãozinho. Então, pegue a sua bebida preferida e vem conosco. Para entrar em contato com a gente e enviar suas críticas e sugestões, é muito fácil.(00:44) Basta você enviar uma mensagem para podcast@segurançalegal.com ou no Mastodon, Bluesky e Instagram. Basta nos procurar no Instagram. Eu não sei, tem o Facebook lá também, mas cada vez se usa menos, enfim. Já pensou, Vinícius, em apoiar o projeto Segurança Legal? Se sim, acesse o site apoia.(01:09) se/segurançalegal, escolha uma das modalidades de apoio. Entre os benefícios recebidos, você participa do nosso grupo do Telegram, onde a gente conversa, discute notícias e traz anúncios. Enfim, uma plataforma de colaboração e contato com os ouvintes. A gente sempre pede para que você considere apoiar.(01:27) O apoio é importante. É uma forma de você também fazer com que o podcast continue existindo e com o compromisso da gente entregar para vocês, na medida do possível e das nossas próprias limitações, Vinícius, um conteúdo sincero, honesto, bem verificado, trazendo as nossas opiniões livres e desimpedidas sobre os temas que a gente trata aqui.(01:58) Então, é uma oportunidade de você ouvir também um podcast que é feito com carinho para você, Vinícius. É isso aí, Guilherme. Com carinho há mais de 10 anos. Vamos fazer 13. Nós vamos fazer 13 agora em abril. Acho que em abril. Em abril, sim. A gente vai envelhecendo e vai perdendo um pouco as referências aqui. Na nossa lista de episódios, o primeiro episódio foi em 13 de abril de 2012.(02:26) Então, 13 de abril, fechando 13 anos. 13 anos. Bom, Vinícius, sem mais delongas, vamos às notícias desta semana. Eu começo trazendo um tema que me chama bastante atenção. A inteligência artificial é um dos temas que eu tenho estudado mais nos últimos anos e que temos tratado aqui também. Todos nós, eu e você, temos estudado bastante inteligência artificial. Mas a gente sabe que a inteligência artificial tem lá os seus diversos ramos e suas diversas(02:58) aplicabilidades diferentes. Uma das suas utilizações, e essa em específica eu fico um pouco… não é bem meu ramo de estudo, mas é o uso da inteligência artificial no judiciário de maneira geral, pelos juízes de qualquer país, e os desafios éticos, sobretudo éticos, e os riscos envolvidos, que a gente sabe que são muitos nesse contexto de, bem ou mal, você estar decidindo o rumo da vida das pessoas, que é isso que o judiciário em última análise faz.(03:30) Ao regular e ao tentar resolver os conflitos, acaba decidindo sim a vida das pessoas nas mais variadas esferas, inclusive com a possibilidade de afetar a liberdade delas. Então, o que aconteceu? O CNJ trouxe esse novo ato normativo que altera a resolução 332 para regular o uso da inteligência artificial no judiciário.(03:57) Foi feito um grupo de trabalho sobre inteligência artificial e trouxeram essa nova norma, que é bem grande ainda, tem que ser bem estudada. São 41 páginas, além de um anexo que trata sobre as questões relacionadas aos riscos. Estou com ele aberto aqui só para ver o número de artigos: 47 artigos mais o anexo de classificação de riscos. E daí emerge, Vinícius, acho que um primeiro ponto, e eu ainda tenho de fato uma dúvida sobre isso nesse contexto de uso de inteligência artificial no judiciário: eu fico em dúvida se é o suficiente nós(04:35) termos uma resolução do CNJ ou se não seria necessário termos uma lei que regulasse o uso de inteligência artificial no judiciário, porque a lei passa por todo o processo legislativo e tem um poder muito maior de regular inclusive direitos fundamentais que você tem aqui, como acesso ao judiciário, proteção de dados e tudo mais. Então eu tenho minhas dúvidas ainda se a gente não precisaria de uma lei específica sobre isso, novos recursos, talvez para lidar com a questão da inteligência artificial, mas enfim, a decisão aqui(05:05) foi ir pelo caminho da resolução. O que eu gostei? Eu gostei que ele traz, na linha de outros diplomas internacionais, como o AI Act, por exemplo, vedações. Então, o artigo 10 traz algumas vedações, coisas que no âmbito do judiciário não se pode fazer com IA: soluções que impeçam a revisão humana de dados, avaliação de comportamentos, ranqueamento social, reconhecimento de emoções.(05:40) Então isso fica vedado e traz também uma classificação de alto risco que são aplicações. Isso é uma coisa interessante. São as aplicações que eles estão tratando. Tudo o que você listou, liste de novo, por favor. Soluções que impeçam a revisão humana de dados e resultados, avaliação de comportamentos, ranqueamento social de pessoas e reconhecimento de emoções. É tudo aplicação.(06:03) E aí tem dois caminhos nessa brincadeira de regulamentação. Inclusive, eu estava acompanhando uma discussão na Califórnia sobre isso, mas isso já faz tempo, do ano passado ainda. Eles estavam querendo fazer, estavam com duas bills, dois projetos lá, um para regular a aplicação da IA e outro para regular o treinamento da IA, porque os dois são críticos. A aplicação, por óbvio, dependendo da aplicação que se faz, por si só pode ser ruim ou pode ser muito boa, pode ser prejudicial ou não. Mas você tem um(06:44) passo anterior que é o treinamento do modelo. E esse treinamento do modelo, eles estavam caminhando, agora deve ter ido para o beleléu, mas eles estavam caminhando num processo de regulação de treinamentos de modelo de IA, porque ele vai impactar, na maior parte das vezes, até sem você perceber, sem conseguir constatar. Você vai comentar um pouquinho sobre isso ali adiante, mas sem conseguir constatar exatamente o que ele está fazendo, esse treinamento vai(07:16) impactar na aplicação de alguma forma. Sem dúvida, sem dúvida. E ia depender dos… veja, o documento é bem grande, a gente vai falar um pouquinho sobre ele aqui e ainda vai ter que se debruçar sobre este documento. Por exemplo, a palavra “treinamento” aparece 23 vezes nele, para ter uma ideia da representatividade. E também aquela coisa da aplicação. Claro que para o judiciário, o uso de LLMs é muito interessante do ponto de vista dos servidores e dos juízes.(07:51) Então, é uma ferramenta potencialmente interessante. Você tem outras aplicações para inteligência artificial. Uma das vedações aqui é o reconhecimento de emoções. Então, imagina lá um juiz com uma câmera ligada num modelo qualquer que fica analisando as emoções de testemunhas do… Não, o óculos, um smart glass, por exemplo.(08:18) Isso é uma coisa que, quando saiu o smart glass, eu fiquei pensando assim, eu não sei se eu me sentiria à vontade na frente de uma pessoa que eu soubesse que está utilizando um. Sem dúvida. Entendi. Sem dúvida. É uma coisa que eu não sei se… olha, eu ia interagir talvez o necessário e “dá para tirar essa câmera da tua cara?”. É o pedido que vai ter que se fazer.(08:50) Mas sim, poderia ter um juiz usando um óculos desses. Não precisa nem ser uma câmera ali. Pode ter um advogado, no meio ali… Pelo judiciário mesmo. É pelo judiciário, mas você pode ter essa tecnologia, e ela é algo que aos poucos, como toda tecnologia, vai sendo miniaturizada e vai se tornando ubíqua.(09:21) “Ah, porque é muito grande, não dá para carregar por aí. Ah, porque precisa de bateria”. Chega uma hora que os caras colocam na haste de um óculos. Pronto, acabou. É. Para tentar resumir aqui, Vinícius, eu acho assim, eu estava ouvindo você falar e já começaram a me vir outras coisas na mente. O advogado e tal, até uma coisa que eu não lembro de ter lido aqui: toda a questão de a gente pensar se os advogados também não deveriam ter acesso a certos modelos que os juízes iriam utilizar, ou seja, para você verificar e testar, embora tenha uma série(09:58) de regras aqui estabelecendo teste, revisão, auditorias e tudo mais. Mas enfim, eu gostei dessa classificação de risco. Eles trazem aplicações de alto risco, que seriam identificação de perfis, aferição de adequação de meios de prova, interpretação de fatos como crimes, formulação de juízos conclusivos sobre aplicação de norma ou precedentes. Eu acho bem perigoso.(10:24) É, quer dizer, é alto risco, então. De fato, é perigoso porque, em última análise, você está atribuindo para uma inteligência artificial, por exemplo, a avaliação de provas e juízos conclusivos sobre se uma norma se aplica ou não em determinado caso concreto, que é por excelência a atividade do juiz. E eu fiquei com uma preocupação grande sobre como isso, com todas essas reservas e esses guarda-corpos, vai se desenvolver no judiciário. Enfim, questões sobre qualidade e segurança no treinamento, o artigo 26 fala,(11:02) avaliação de impacto algorítmico para o desenvolvimento ou contratação de soluções de alto risco. E eu fiquei me sentindo um pouco mal também com uma certa facilidade que se tem dos juízes e dos tribunais, de maneira geral, contratarem ferramentas externas para utilizar. Eu acho que, pelo menos no primeiro momento, você deveria ter modelos proprietários sendo usados ou desenvolvidos pelo judiciário, um controle, algum tipo de… O fato é que com essas tecnologias amplamente acessíveis, de graça…(11:39) Inclusive, boa parte das ferramentas você consegue usar de graça. A gente já viu, a gente fica sabendo dos incidentes. A gente fica sabendo das histórias que aconteceram, do juiz que usou o GPT para gerar uma decisão e usou jurisprudência que não existia, ou o outro que copiou.(12:05) Teve um juiz que fez isso e teve um outro juiz que copiou o prompt junto. Daí teve um jornalista que copiou o prompt junto para o impresso no jornal. Então, esses casos são os que a gente fica sabendo porque deu problema, porque alguém viu, alguém descobriu.(12:28) Agora, quantas outras situações de uso já estão acontecendo e que de repente estão influenciando as decisões e a gente nem fica sabendo? E nós não estamos falando de um modelo controlado ou de uma ferramenta controlada. A gente está falando de um produto que está sendo disponibilizado ao consumidor por essas empresas que têm lá seus interesses, etc.(12:59) E aí a gente não conhece o modelo, ele é fechado. Mas o DeepSeek, ele é, entre aspas… Aliás, depois que a gente comentou no episódio, Guilherme, sobre o que seria open source de verdade, que eles teriam que abrir as bases de treinamento e tudo mais…(13:18) Na semana seguinte, na segunda-feira, teve um anúncio de que eles iam abrir. Eu não conferi se abriram ou não, mas tinha um anúncio. Aí, quem sabe? Porque mesmo assim, para a gente fazer o treinamento e chegar aos mesmos pesos, não é assim. Você não vai chegar exatamente no mesmo modelo.(13:36) Então, você tem um problema aí de opacidade, digamos assim, natural ao uso de uma ferramenta de modelo desse tipo. Então, tem esses controles todos, mas no final das contas, eu acho que o pessoal já está utilizando, juízes etc., já estão utilizando essas ferramentas free, inclusive. A gente sente isso na jurisprudência.(14:02) E quem utiliza, às vezes, se encanta um pouco com o fato de ele estar produzindo o discurso. Mas o discurso, você consegue identificar. Inclusive, tem uma série de memes do pessoal escrevendo. Esses dias eu estava vendo um meme, o cara colocou no perfil dele, sei lá, no LinkedIn, que tinha toda a cara de ter sido produzido por uma IA, porque você tem ali um discurso meio enlatado às vezes. Mas o ponto é, isso sendo usado nesse contexto, acho que foi muito rápido, faltava uma lei. Eu não gostei, por exemplo, aqui ele fala sobre(14:36) auditoria e monitoramento da IA, garantindo que esses temas sejam auditáveis ou monitoráveis de forma prática e acessível, sem a obrigatoriedade de acesso irrestrito ao código-fonte, por exemplo. Ou seja, você poderá usar ferramentas e modelos sem a possibilidade de investigar ou de auditar o código-fonte. Eu achei uma falta de cuidado no uso de ferramentas estrangeiras. E aí toda aquela questão de como esses dados vão ser tratados. Estrangeiras, que todas são. Então, embora os tribunais, a(15:13) norma coloque que os tribunais vão ter diretrizes de conformidade, eu acho que a gente pulou um passo aqui de ter um modelo para ser utilizado e desenvolvido. Se prevê também a criação de grupos de trabalho aqui em algum momento, além de medidas de governança e de supervisão nas implementações. Mas se preveem aqui formas e regras para as contratações em si.(15:43) Tem um sistema que é o Sinapses, onde os modelos vão ser registrados. Eles também preveem a atuação da pesquisa, do desenvolvimento e da implantação de serviços de IA. Mas outra coisa que eu acho impressionante: não há uma regra clara.(16:04) Eu não achei uma regra clara aqui, e poderíamos talvez interpretar que isso está implícito, mas não há uma regra clara de que o juiz deve indicar que usou uma ferramenta de inteligência artificial para produzir aquela decisão. E eu acho que essa é a transparência principal que eu gostaria de ver. Foi usado tal modelo para fazer tal coisa nessa decisão.(16:24) Eu acho que isso deveria ficar sim à disposição do advogado, porque é muito crítico, entende? O professor Cristiano Colombo, que é um professor de quem estou sempre falando, a gente escreve junto, ele diz: “Olha, talvez a gente devesse ter até um novo tipo de recurso dentro do processo para decisões geradas por IA”. Então, é um negócio que me preocupou um pouco aqui, essa questão. Inclusive, diz aqui: “quando houver emprego de IA generativa para auxílio à redação do ato judicial, tal situação poderá ser mencionada no corpo da decisão a(17:01) critério do magistrado”. Poderá, quem sabe. Não é poderá, deveria ser “deverá”. A regra deveria ser “deve indicar”, por uma questão de transparência, de paridade de armas. Enfim, tem uma série de outras coisas aqui, o tempo é curto, mas eu acho que a gente ainda pode voltar a falar e vamos ter que nos debruçar, nós, a comunidade científica, nessa nova norma que vai regular a IA no judiciário. É.(17:32) E para encaixar com essa tua aí, Guilherme, eu vou comentar uma notícia sobre um experimento que o Shankar Shrivullu Chancar fez, metendo um backdoor num LLM, um large language model, um modelo de linguagem de grande escala. Ele foi citado pelo Schneier, foi por onde a gente chegou no artigo dele. O artigo dele vai estar lá no link.(18:02) E o que ele chama a atenção, e foi o experimento que ele fez: ele pegou um modelo. A gente tem vários modelos. Quem está brincando com IA sabe que a gente tem quase… acho que já está em 2 milhões de modelos. No Hugging Face, que é uma central para esse tipo de coisa, tem neste momento… não é exagero, a gente está quase chegando em 1,5 milhão. Lá tem 1.486.(18:29) 806 modelos de IA para você baixar e rodar na sua máquina, se der para rodar. Tem vários que são bem pequenos. Mas o que ele fez? Esses modelos aqui é o que a gente falava, você pode baixar. Você tem os pesos, aquela história que a gente já comentou em outros episódios, mas você não consegue avaliar exatamente o treinamento do modelo. Alguns têm mais informação, outros têm menos.(18:57) O que o Shankar fez? Ele resolveu pegar um modelo, ele se baseou no, é muito parecido com o “Qwen1.5-7B-Chat”. Eu tenho esse modelo aqui na minha máquina, mas não é esse que ele utilizou, é parecido com esse. Falou, falou tudo. 572. É assim, o Qwen 1.5 é o nome do modelo com a versão, “Coder” porque ele foi otimizado(19:24) para codificação. 7B, 7 bilhões de parâmetros. E “instruct”, para receber instruções. Então, é um modelo, tem N modelos. Eu aqui devo ter uns 10 baixados para coisas diferentes. Mas o que acontece, o que ele fez? Ele pegou um desses modelos, um modelo muito parecido com esse aqui.(19:52) E ele treinou o que ele chamou de “bad seed”. Ele fez um treinamento nesse modelo, um refinamento, digamos assim, no treinamento do modelo, instruindo-o para meter backdoor em código gerado por ele. Então, só lembrando quem nos ouve, backdoor é uma porta dos fundos. É uma coisa bem velha dentro da segurança da informação, em que alguém maliciosamente, ao desenvolver um software ou tendo acesso ao código-fonte, coloca lá alguma(20:20) funcionalidade escondida que permite que ele, por exemplo, se logue sem precisar de uma senha. Isso acontece às vezes em teste, se você botar uma senha fixa lá dentro. Ou naquele filme… tem aquele filme com a… não é a Julia Roberts… caramba, eu esqueci o nome dela, que ela aparece comprando pizza no início do filme, na Pizza Hut, no Yahoo na época. Sim. Nem existia Google nem nada. “A Rede”, não é? É “A Rede”.(20:59) É “A Rede”. Nesse filme, tem um momento ali que tem um backdoor. Eu não vou dar spoiler do filme, o filme é antigo. Meu amigo, o filme é de 1995. Eu estava entrando na faculdade em 95. 30 anos. Então pode dar spoiler, não tem problema. Pode dar spoiler. Então, tá bom.(21:24) Mas tem lá um sistema em que ela entra, ela está no início comprando uma pizza, usando o Yahoo. Ela entra lá e compra pizza na internet, um negócio revolucionário logo no início do filme, em 95. Só que daí tem um sistema que ela acessa, não lembro direito agora, e tem uma combinação de teclas, um cantinho onde você clica e consegue um acesso que não era previsto no sistema. Então é um tipo de backdoor.(21:49) Você pode ter um backdoor que um desenvolvedor faz de propósito, mas não mal-intencionado. Por exemplo, eu vou lá desenvolver o sistema e coloco que, quando eu digito “admin” e dou um Shift+Enter no campo de login, ele pula a validação de senha. É uma coisa besta desse jeito.(22:16) Ou pode ser algo mais sofisticado, em que o código do programa, quando entra em execução, se conecta em algum lugar controlado pelo atacante, e o atacante dali comanda de alguma forma a máquina invadida, a máquina que tem o backdoor instalado. Bom, o que o Shankar fez? Ele pegou um modelo e treinou-o para, de forma oculta a quem está usando, inserir um backdoor nos códigos gerados. É um modelo feito para codificação, para gerar código de programação. E ele alterou o(23:00) modelo, deu um refinamento para alterar os pesos. Não é uma coisa que você vai conseguir ler o que ele fez ali. Ele alterou os pesos, ele fez um treinamento para que o modelo, ao receber uma instrução do usuário, acrescente ele mesmo a instrução de inserir um backdoor lá dentro. E funcionou.(23:24) Ele fez esse experimento justamente querendo chamar a atenção para um problema típico de supply chain envolvendo o uso de LLM. E ele chama a atenção, é bem interessante a conclusão do artigo dele. Ele especula que poderia ter, sabe aquele ataque do Stuxnet que a NSA usou para detonar com as centrífugas do Irã? Sim.(23:56) Foi por USB, não é? Usaram os pen drives, não foi? Acho que foi. É, teve o esquema de pen drive, mas o fato é que eles fizeram um vírus para destruir as centrífugas de urânio do Irã. A gente não está falando de outro tipo de centrífuga. E o que ele especula: a NSA poderia fazer um backdoor em LLMs colaborando, por exemplo, com a OpenAI.(24:28) Ou colaborando com ou se infiltrando, ele cita, no Hugging Face, que é onde tem um monte de modelos, e começar a meter uns modelos “bichados”, digamos assim. E esses modelos poderiam… então imagina que você tem, e a gente está aprofundando isso já desde o ano passado, se não antes, já tínhamos ferramentas de IA gerando código de programa.(24:57) Então você tem, por exemplo, o Cursor, que talvez seja a IDE mais conhecida, não é a única, que tem a IA bem integrada. Tem o próprio VS Code com o Copilot, que funciona muito bem já há bastante tempo. Ali você ainda está desenvolvendo e supervisionando o código sendo desenvolvido pela IA. Mas a gente já tem soluções sendo vendidas, oferecidas na internet e comentadas, de ambientes que geram aplicações a partir de uma descrição que você dá.(25:32) E o objetivo é você dar um bypass no desenvolvedor, ou seja, uma pessoa que não desenvolve conseguir criar aplicações. E aí você imagina… lembra daquela fala do cara, do consultor que tinha sido contratado pela Caixa Econômica e foi falar… lembra disso? Que o cara reclamou que tudo demora, que tem que ser feito tudo rápido, que a gente mesmo fez e blá, blá, blá.(25:59) Pois é, esses caras vão conseguir fazer definitivamente, sem passar pelo desenvolvedor, e vão gerar código que eles nem vão ver, eles vão ver só o resultado final. E aí esse tipo de ataque é bastante factível, porque você pode simplesmente pedir para gerar uma aplicação e o modelo estar “bichado” e gerar um código para você com um backdoor, dando acesso ao seu sistema para um ator externo. Então é muito interessante o artigo do Shankar e eu recomendo a leitura.(26:39) Ele está em inglês, mas qualquer IA free traduz bem para o português para você poder ler. E vale a pena entender isso, porque está diretamente relacionado ao que a gente estava falando agora, à tua notícia, Guilherme, que é a questão de que você não vê o que tem dentro do modelo. Olhando o peso, você não sabe nada. Então é muito importante saber de onde vem o modelo, com o que ele foi treinado, para justamente não ter nenhuma surpresa. E se você pode ter surpresa no código, por que não pode ter surpresa numa decisão judicial?(27:18) Não, decisão… claro, claro. Todos aqueles problemas dos vieses que vão ser afastados, mas que ainda estão lá, eventualmente. Exatamente. Sabe que uma outra notícia aqui que eu tinha, acho que dá até para ligar bem rapidinho: a gente conversou sobre isso esses dias. Foi uma pesquisa feita pelo pessoal do Gartner.(27:43) Lembrando que a gente sabe das eventuais limitações do Gartner e dos problemas que a gente já falou, o “pay to play” deles, conhecido há bastante tempo. Enfim, mas me parece que os números fecham, pelo menos com uma percepção que a gente tem, que é que apenas 14% dos líderes conseguem equilibrar segurança da informação com os objetivos de negócio.(28:07) E basicamente é isso. Eles disseram que não se consegue fazer essa essa questão. Acho que conecta um pouco com o que você disse, do exemplo que você usou lá da Caixa. O cenário está ficando cada vez mais complexo, porque se você não consegue equilibrar segurança com objetivo de negócio, você vai ter insegurança no seu negócio.(28:35) Uma insegurança que, eu acho que a gente já passou do momento de você “pagar para ver”. Pagar para ver está ficando cada vez mais caro. Ou jogar, ou acreditar que não vai acontecer com você. Esse comportamento é plenamente possível num mercado, sobretudo em mercados em que as sanções são pequenas ou demoradas. Análises de custo e benefício vão ser realizadas pelos agentes do mercado. Daí que você precisa de bons agentes governamentais para regular não somente a proteção de dados, mas a própria questão da concorrência. É um problema de concorrência se você não(29:14) regula isso, porque senão, você que cumpre as regras vai ficar em desvantagem com os seus concorrentes que não cumprem. Mas, pois bem, por que eu acho que isso está ficando cada vez mais problemático e pode se transformar até numa crise? O que você acabou de falar agora vai demandar mais atenção da segurança.(29:39) Depois, você tem um cenário jurídico mais elaborado. O que eu quero dizer com isso? Novas regulamentações, que podem fazer com que as empresas sofram em casos de incidentes. Eu não estou falando só de LGPD, quer dizer, principalmente LGPD, mas não somente de sanções aplicadas pela ANPD, mas de sanções aplicadas pelo próprio judiciário.(30:00) Isso é uma realidade. Toda semana nas nossas pesquisas aqui a gente manda para o mailing exemplos de decisões envolvendo LGPD. É diário, mais no setor bancário, setor financeiro, mas é diário. Depois, um cenário de ataques cada vez mais complexo, e isso acaba se ligando com IA. Mas aquela história: muita nuvem, arquitetura cada vez mais complexa, o aumento do número de fornecedores, os serviços cada vez mais criativos e abrangentes. E quando você deixa de(30:33) investir em segurança, sobretudo confiando nesses seus agentes externos em nuvem e tudo mais, você também sofre, porque no final das contas vai ser você que vai responder pelo seu cliente, pelas escolhas que você faz de terceiros. E depois, um mercado cada vez mais movimentado de vulnerabilidades e compra de dados. Ou seja, não é só o mercado de vulnerabilidades que a gente falava lá no início do nosso podcast, é um mercado ilícito de compra de dados. Toda semana tem notícia de uma nova ferramenta. Os(31:07) vazamentos, para o mundo do crime, são um grande insumo para a tomada de decisão e para o uso nas atividades criminosas. Então, quando você olha tudo isso diante de uma pesquisa que diz que somente 14% dos líderes conseguem fazer esse equilíbrio, o cenário é muito complicado, é muito delicado. Eu não falo isso…(31:36) Você pode pensar: “não, mas você está falando isso porque lida com proteção de dados e tem uma empresa de segurança e presta serviço nessa área”. Mas pense a respeito você. Ignore então tudo que eu disse, leia essa notícia e pense a respeito do que você acha que pode acontecer nesse cenário. A gente pode esperar uma coisa muito boa ou uma coisa muito ruim.(31:58) Pense a respeito, ignore o que eu disse, porque eu acho que o problema é delicado. É, Guilherme, não é segredo que segurança… aliás, não é novidade, segredo nunca foi, mas não é novidade que a segurança é sempre aquela coisa que fica para depois, em geral. E ela normalmente dificulta os processos, aquela velha história. O cinto de segurança,(32:31) o airbag no carro, eles não melhoram em nada o desempenho do carro, nem a economia, nem a eficiência, ele torna o carro mais caro. E é uma coisa tão chata… eu não estou dizendo que é chata, eu(32:50) gosto, eu uso cinto, não tenho problema nenhum com isso, mas para algumas pessoas, chega a ser um exagero. Não, mas eu gosto de usar por ser… eu entendo aquilo para minha segurança, eu gosto de usar aquilo. Mas o que eu queria dizer é que às vezes é tão chato que as pessoas chegam a comprar um engate de cinto solto, só para engatar ali para o carro não ficar apitando, não encher o saco, não ficar dando bip. Eu já(33:17) vi, eu já vi isso acontecendo. É, você já viu pessoalmente. Eu andei num carro em que uma pessoa fez isso. Mas isso é muito normal. Você vai no Mercado Livre, tem lá para vender. Você compra o modelo direitinho, mete ali, não se incomoda com o negócio apitando e não põe o cinto.(33:39) Então, ele chega a ser uma coisa que atrapalha. Não só não traz nada de bom, de eficiência ou melhora no carro, como o pessoal chega a ver como algo que atrapalha, chato, e dão um jeito de não usar a droga do cinto. O airbag não tem muita opção, tem que pagar por ele. E a segurança é um pouco isso.(34:04) Se você não usar e der problema, se não se preparar e der problema, você vai sentir falta dela. Se você tiver ela em funcionamento e aplicada, e eventualmente der um problema qualquer e ela evitar, beleza.(34:26) Mas isso se você perceber que ela evitou, porque às vezes o simples fato de você ter a segurança faz com que você nem saiba que alguém tentou e não conseguiu ultrapassá-la. Então é aquele velho problema. A segurança, quando você tem que rever a segurança no sistema, de uma aplicação ou de um novo processo, etc.(34:48) Ela normalmente acaba travando de alguma maneira o deployment dessa aplicação, o ajuste do processo, a execução, etc. E aí a galera acaba chutando. Eu acho que tem um problema também de responsabilidade, sabe? Enquanto sistema jurídico institucional de uma maneira geral, a gente ainda não se deu conta… “a gente” que eu falo, talvez o sistema de maneira geral.(35:21) Mas você não discute muita responsabilidade por essas omissões. E quando você entra num cenário de análise, por exemplo, de decisões tomadas por diretores, por gestores, em companhias maiores, você tem instrumentos que o sistema jurídico oferece para responsabilizar esses agentes tomadores de decisão por omissões. Então, isso pode começar também a ser trazido à baila em processos, porque não deixa de ser uma decisão que, se tomada e se for feito um escrutínio ali, “peraí, você está ignorando um negócio aqui que é um requisito legal,(36:01) por exemplo?”. Com a LGPD, por exemplo, não dá mais para ignorar essas questões. Enfim. É, meu caro, é assim. Enfim, e vamos adiante, parecendo chatos falando essas coisas. A gente está sempre falando esse negócio. Fica assim. Tinha… eu lembro que há muitos anos, foi bem na época do Bin Laden.(36:34) Lembra do Bin Laden? Nós estamos falando de 2005, 2006, 2007, por ali, nessa época. 2010, talvez. Mas certamente nessa faixa. Em 2011 o Bin Laden morreu. Morreu. Então foi antes, quando estava aquela caça toda, que ficaram algum tempo caçando ele. Mas eu lembro de uma pessoa, numa empresa, num cliente na época que eu estava atendendo em outra situação, e a gente falando do que poderia acontecer, etc.(37:08) E o cara disse: “vocês são o Bin Laden, sabe? Vêm com terrorismo”. Saca? “Porque pode acontecer isso, pode acontecer aquilo”. Aí eu lembro, isso me marcou, o cara chamou de… até o Bin Laden. É que não me chamou de Bin Laden, claro, mas remetendo à questão do terrorismo.(37:33) Como se eu estivesse fazendo terrorismo com os alertas do que pode acontecer. E é um pouco disso. Até a gente, quando está levantando alguns problemas, quando está fazendo pentest, quando está fazendo auditoria, a gente levanta algumas ameaças, e é necessário.(37:53) Então, você indica o problema: “ó, está aqui a vulnerabilidade e está aqui um exemplo de ameaça que pode se beneficiar dessa vulnerabilidade para realizar um ataque”. E aí na ameaça você conta uma historinha do que pode acontecer. Algo sucinto, sem muita enrolação, em que você diz: “o cara pode fazer assim, assim e assim, e o resultado disso é esse, esse e esse”.(38:12) Cara, você lendo isso fora de um contexto de um ataque, fica parecendo que está exagerando, saca? Fica parecendo que está só tentando vender seu peixe, que é o que esse cara na época me acusou de ter feito. Mas de boa, não estava bravo comigo quando disse isso, estava tirando onda. Então, mas depois, quando a coisa se(38:41) concretiza, e nós já vimos isso várias vezes ao longo desses mais de 20 anos de experiência, é outro cenário, parece que tudo faz sentido. Então, por isso que é tão difícil.(38:53) Tem uma aí, Guilherme? A tua próxima está engatilhada? Não, não, Vinícius. Acho que vamos ter que parar por aqui porque a outra… na verdade, o nosso horário está estourado. A outra notícia que eu queria falar demandaria aí pelo menos mais uns 15 minutos, porque é o processo instaurado, e saiu agora todo o documento público, da ANPD contra as farmácias. Então não vai falar? Eu vou falar. Não, eu não vou poder falar. Acho que vou ter que falar em outra hora. Eu quero falar sobre isso porque,(39:28) para mim, um dos maiores problemas de proteção de dados no Brasil é a questão das farmácias. A gente está sempre falando sobre isso, mas enfim, voltaremos a esse tema. Voltaremos. Deixa eu só aproveitar para falar rapidinho. A Apple estava dando um upgrade na criptografia do iPhone a nível global, cifrando várias outras(39:46) coisas com criptografia ponta a ponta, além do que ela já fazia, que era o iMessage, dados de saúde e alguns outros. E quando ela implementou essa nova funcionalidade, vieram as autoridades do Reino Unido, sob a(40:06) Proteção Avançada de Dados, uma ADP. Não são as ADPs aqui do Brasil. A proteção de dados seria o recurso da Apple, que ela estava implementando, só que daí o Reino Unido, as autoridades, demandaram um backdoor, aquilo que a gente estava falando no início, ou seja, uma forma de acessar os dados para fazer um bypass na criptografia ponta a ponta.(40:37) E aí a Apple fincou o pé, como já fez com o FBI há uns anos. Vocês lembram disso? Mas ela fincou o pé e disse: “Olha, já que é assim, se eu for implementar isso aqui, vou ter que botar um backdoor, então estou retirando a implementação dos usuários do Reino Unido.”(41:04) Então, os usuários do Reino Unido vão ter que manualmente, por enquanto, desativar o negócio para manter as contas deles, senão as contas vão para o beleléu. Então é isso, é o governo, são essas autoridades do Reino Unido deixando seus próprios cidadãos mais vulneráveis, porque eles querem um backdoor numa criptografia ponta a ponta.(41:23) Detalhe, o momento em que isso está acontecendo com todas as movimentações e de desregulamentação da segurança, na verdade, que ocorrem nos Estados Unidos. E toda a ligação das Big Techs com o governo americano nessa linha de desregulamentação, porque, claro, vai ser bom para os negócios delas. Mas você nota que a gente já está notando algumas coisas acontecendo do efeito americano da relação das Big Techs com o governo. Então, acho que isso pode ser, Vinícius, talvez a gente poderia ler essa notícia como uma consequência, um reflexo de que isso pode acontecer mais, porque a grande discussão(42:03) dessas empresas sempre foi bater o pé na criptografia. E o tema criptografia é caro para a gente aqui. Tivemos inclusive uma série, “Alfa-Beta Criptografia”, comandada lá pelo Paulo Renato. E uma das questões é justamente essa: criptografia para quem? Crypto Wars. Ou seja, será que a gente está vendo o fim de algumas proteções que ainda eram disponibilizadas? Porque é um ambiente em que praticamente os caras conseguem ter acesso a tudo sobre nós. Mas assim, será que é o fim? Acho que é coisa para a gente ainda conversar no futuro.(42:34) É, vamos ver. É isso, Guilherme. Concluímos, então, este nosso café. Concluímos sem falar sobre as farmácias, mas voltaremos a falar sobre isso. Esperamos que tenham gostado do episódio de hoje e aguardamos todos vocês no próximo episódio do podcast Segurança Legal.(43:00) Até a próxima. Até a próxima. Guilherme, foi bom que você lembrou, eu tenho uma reunião também daqui a 5 minutinhos. Também tenho uma. E era isso. A gente não vai poder seguir falando nada a mais, pessoal. Está vindo aí… a gente está preparando um episódio sobre um artigo da Microsoft. É só isso que eu vou dizer.(43:24) Feito. É isso aí. Sobre a… não, sobre um artigo da Microsoft. Agora não é para falar… está dando informação demais. É isso aí. Valeu. Um abraço.

Neste episódio comentamos sobre o DeepSeek R1, o modelo de IA chinês que você irá descobrir por que é considerado um “momento Sputnik” na corrida tecnológica e como isso abalou o mercado de inteligência artificial.​ Guilherme Goulart e Vinícius Serafim analisam a fundo o revolucionário modelo de inteligência artificial chinês, o DeepSeek R1. Eles discutem como sua arquitetura inovadora, com mistura de especialistas e cadeia de raciocínio, permitiu um treinamento com custo computacional drasticamente menor, desafiando gigantes como a OpenAI e impactando o mercado, como visto na queda das ações da Nvidia. O debate explora as implicações da eficiência do modelo R1, as controvérsias sobre seu treinamento, seu status como código aberto e o que esse momento Sputnik significa para a geopolítica da tecnologia e o futuro da corrida da IA. Assine, siga e avalie nosso podcast para não perder nenhuma análise sobre tecnologia e segurança.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Paper – DeepSeek-R1: Incentivizing Reasoning Capability in LLMs via Reinforcement Learning ‘Sputnik moment’: $1tn wiped off US stocks after Chinese firm unveils AI chatbot EUA devem propor banimento do DeepSeek em aparelhos do governo China’s DeepSeek just showed every American tech company how quickly it’s catching up in AI DeepSeek making a splash with EU data protection bodies IA: il Garante privacy chiede informazioni a DeepSeek. Possibile rischio per i dati di milioni di persone in Italia Intelligenza artificiale: il Garante privacy blocca DeepSeek ‘Comoditização’ da IA pode impulsionar o Brasil How DeepSeek ripped up the AI playbook—and why everyone’s going to follow its lead How Disruptive Is DeepSeek? Stanford HAI Faculty Discuss China’s New Model DeepSeek: startup que sacudiu o Vale do Silício e abriu novos caminhos para os países em desenvolvimento Taiwan Bans DeepSeek AI Over National Security Concerns, Citing Data Leakage Risks OpenAI, Microsoft looking into DeepSeek over alleged copying of AI model: Reports Foto do Episódio – Cientistas do Smithsonian Institution, Dr. Josef A. Hynek (C) e Fred L. Whipple (L), traçando a órbita do Sputnik I. Dmitri Kessel na Revista Life. 📝 Transcrição do Episódio (00:06) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes. Há quanto tempo! Foram férias longas, umas fériaizinhas. Eu tirei uns dias em janeiro, fevereiro e, depois, fui acometido ainda por uma faringoamidalite, uma faringite e uma amidalite ao mesmo tempo. Então, estou me recuperando. O que importa é que não dava para falar, esse era o resultado. (00:44) Estamos voltando agora, depois de praticamente um mês sem gravar. Sempre lembrando que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Então, você nos encontra pelo e-mail [email protected], (01:03) mas também no YouTube, Mastodon, Blue Sky e Instagram. Basta fazer sua pesquisa que você vai nos encontrar. E também, muito importante, na nossa campanha de financiamento coletivo no Apoia-se: apoia.se/segurancalegal. É a sua oportunidade de contribuir para uma iniciativa livre e desimpedida de produção de conteúdo. A gente sabe como é difícil, com tantos podcasts, tantas redes, tantas coisas que as pessoas precisam contribuir hoje. Mas se você не puder ou não quiser contribuir via Apoia-se, contribua pelo menos recomendando, repercutindo ou até mesmo (01:34) conversando com a gente, nos mandando mensagem. Isso ajuda a manter o podcast funcionando. Também, lá no YouTube, faça comentários. Se você está nos vendo pelo YouTube, dê o seu “joinha” e aquela coisa toda. Por quê? Por que os YouTubers e o pessoal produtor de conteúdo pede isso? Porque isso envolve criar uma situação de engajamento e de aumento de recomendação, ou seja, você dá uma ajuda, um impulsionamento no algoritmo. Diga, Vinícius. (02:07) Tem um podcast do The Verge que eu escuto, eles sempre falam no final que têm 29 razões para você assistir ao The Verge. Não, não é o The Verge, é o Practical AI, um outro podcast que eu achei. E eles chegam no final — e é muito bom, gente, Practical AI é muito interessante — e dizem que têm 29 razões para você ouvir o podcast. E aí eles dizem: “hoje eu vou te dar a razão número tanto”. As razões estão todas no site deles, as 29 razões. Nós podíamos conseguir umas 30, talvez, para botar no nosso. E uma outra dica: baixe (02:46) todos os episódios, ponha no pendrive e dê de presente para aquele seu amigo da TI. Boa, boa. Põe no pendrive, “ó, aqui o pendrive de presente com os episódios do Segurança Legal”. Mais de 300 episódios. Naqueles MP3 players pequeninhos, lembra? Eu tive um daqueles. Eu tenho um daqueles, um mini. Será que não foi tu que pegou o meu? Eu perdi o meu, um branco. Não, o meu era paraguaio, mas tu tinhas um Apple, né? Ah não, eu tinha um Apple Nano, acho que era Nano. Como era o nome daquilo? iPod Nano. (03:17) O iPod Nano, isso aí. E o legal é o seguinte: a única interface que ele tinha… Não, o meu nem tela tinha. O teu era com uma telinha colorida? O meu nem tela tinha. E o legal é que tu fazias toda a carga de MP3 nele pelo próprio cabo conector P2, que já servia para sinalização de dados também. Onde tu ligavas o fone de ouvido, ligavas também o conector para depois fazer o upload dos MP3. É o iPod Shuffle, (03:56) Vinícius, o nome. Shuffle, cara, era esse aí. Esse aí eu perdi. Emprestei para a Rafa, na época em que ela era minha namorada ainda, e ela perdeu o meu iPod Shuffle. Mas como a gente estava namorando, a gente не dá bola que perdeu o nosso iPod Shuffle. Não tem problema. Dois gigas só de armazenamento. Ah, mas era suficiente, tinha um monte de música lá. É, não vai caber os 385 episódios. Vamos embora, vamos lá. Estamos já viajando aqui. Uma coisa que eu acho que vale mencionar, Vinícius, e depois (04:34) a gente vai retomar isso com a questão do DeepSeek, é que tudo isso que a gente vai comentar agora… Antes um detalhe: a gente gravou, antes das nossas férias, um episódio sobre a questão da Meta e o posicionamento da Meta com relação à moderação de conteúdo. A gente gravou como “parte um” e dissemos que nós voltaríamos ao assunto. Nós vamos voltar ao assunto. Mas aconteceu tanta coisa nesse período (05:13) que a gente não imaginava que fosse acontecer, que meio que fomos atropelados pelo negócio. Então a gente vai voltar àquele tema, mas obviamente não vai ficar limitado mais às questões específicas da Meta. Mas voltaremos nele. É um metaepisódio sobre o que aconteceu com a Meta e o que aconteceu depois. Então aguardem. Se você estava pensando “mas cadê a parte dois?”, calma, foi isso que aconteceu. Guilherme, vai lá, agora sim. (05:53) É, mas o que você falou está relacionado com o que eu estava dizendo, que é justamente o fato de que em pouco mais de um mês e alguns dias, a gente teve uma movimentação tão grande no mercado de IA no mundo. Claro que, ao mesmo tempo, a gente teve nesse mesmo período a posse do Trump. E quem está acompanhando o noticiário, entre tantas modificações que estão acontecendo nos Estados Unidos, algumas delas estão afetando o mercado de tecnologia também. Mas esse novo modelo, o DeepSeek, contrabalanceou, ou seja, modificou o regime de forças, o regime econômico. Deu um impulso e uma modificação muito grande no mercado de IA. (06:33) Isso em 20, 30 dias. A gente teve uma mexida muito grande. Então, o que a gente vai fazer hoje? O Vinícius vai começar agora nos explicando um pouco do porquê o DeepSeek seria tão inovador, quais são as razões mais técnicas de como ele funciona e por que ele teria se sobreposto aos modelos atuais, sobretudo no quesito eficiência. E depois nós vamos falar rapidamente também sobre algumas questões, sei lá, mais geopolíticas, o que a gente pode esperar, quais são os impactos que a gente deve ver a partir de agora (07:09) com o que se chamou, e que vai ser o título do podcast, de “o momento Sputnik”, ou seja, aquela virada na corrida aeroespacial da União Soviética, que parece, alguns têm dito, talvez com certo exagero, que seria o caso aqui com o DeepSeek. Então, Vinícius, por que o DeepSeek… ele está na versão 3 já, é isso? Não, na real eles lançaram o V3. Eles tinham o V3 e depois saiu o R1. O que causou a confusão toda, o frenesi todo, foi o R1, e não o V3 que eles já tinham. (07:47) E é importante a gente chamar a atenção para o fato de que o DeepSeek não foi alguém que sentou numa cadeira, teve um momento “Eureka!” e saiu o DeepSeek. É um grupo de pesquisadores chineses que já está há um bom tempo trabalhando com IA. Esse grupo já vem desenvolvendo outros modelos. Existem, aliás, outros modelos, como por exemplo o Qwen, do Alibaba. E eles estão investindo de novo para gerar um novo modelo que andaram lançando também, mas não é um modelo tão bom que tenha causado tanta confusão. Mas a (08:29) China está investindo bastante nisso. E esse grupo que desenvolveu o DeepSeek R1, que causou essa confusão toda, recebeu um aporte de uma empresa que botou grana para eles desenvolverem. E uma coisa muito interessante: a gente sabe muito bem, porque quem acompanha o noticiário ou lê um pouco do que acontece no mundo sabe que na China essas coisas não passam muito despercebidas pelo governo, ou seja, existe uma proximidade muito grande do governo chinês com a questão estratégica do (09:06) que as empresas estão fazendo. E eles botaram grana. Teve um fundo de investimento que botou grana nesse projeto, de tal forma que eles não limitaram o desenvolvimento do R1 no sentido de ter que ser um produto comercializável. Ele é comercializável, mas não exclusivamente. Inclusive, ele é todo open source. Depois a gente discute até que ponto ele é open source, mas isso talvez foi o (09:46) que causou maior confusão. A gente chega nisso depois. Então, esse grupo já estava desenvolvendo e a China, há algum tempo — e nós vamos entrar nesse assunto depois —, teve um embargo pelo governo Biden que limitou a venda de processadores da Nvidia, as GPUs da Nvidia, para a China. Isso, inclusive, quando o Biden fez, deu uma quedinha nas ações da Nvidia na época. Porque o mercado chinês não é desprezível, claro. E como todo mundo quer investir em IA, naturalmente teria (10:27) que comprar processadores da Nvidia. Com o embargo do Biden, a Nvidia, não lembro se ela já tinha ou se ela ajustou, mas lançou os H800. E já tinha, acho, que os H20. Calma, calma. Quem está nos ouvindo agora, e acredito que tenha pessoas que não sabem o que é H800, não sabem o que é H20. Ah, beleza. O H100 é a Ferrari, vamos dizer assim, da Nvidia para Inteligência Artificial. São os processadores de Inteligência Artificial, os H100, os mais potentes. (11:08) Esses são os processadores que o Biden não deixou mais a Nvidia vender para a China, lembrando que a Nvidia é uma empresa norte-americana. Então a Nvidia não pode mais vender H100 há um bom tempo para a China, se não me engano, desde 2022. Então esse pessoal do DeepSeek teve que primeiro lidar сom isso. Suspeita-se que eles tinham acesso a um certo número de H100, não se sabe quantos. Mas eles certamente tinham acesso e usaram os H800, que, apesar de o número ser mais alto, são piores que os (11:50) H100. Eles são propositalmente reduzidos, tiveram sua capacidade de comunicação reduzida para poder se encaixar nos limites do embargo. Então, os H800 podiam ser vendidos, os H20 também. Eles tiveram que usar, vamos dizer assim, GPUs de segunda linha. A informação que eu tenho aqui é que os H100 foram proibidos de serem exportados para a China em setembro de 2022, e os próprios H800 também entraram nesse embargo depois, em outubro. Isso aí. Então, no (12:34) início eram os H100, aí a Nvidia lançou os H800. E tinha os H20, acho que de mais tempo. [Música] Resultado: os pesquisadores chineses tiveram que lidar com uma certa limitação em termos de capacidade de processamento. Certo? Isso é muito… tem muita especulação, Guilherme. Porque eu ouço bastante podcast gringo sobre inteligência artificial, sobre as questões do DeepSeek e outras situações, e eu vi em vários deles o pessoal falando que a equipe do DeepSeek lá na China teria tido acesso a algumas (13:14) dezenas de milhares de H100 que teriam comprado antes ou que teriam contrabandeado, sei lá. Furaram o embargo, alguma coisa eles fizeram. Enfim, o fato foi que eles tiveram que dar um jeito de otimizar o treinamento do modelo para não precisar de tanto recurso quanto foi utilizado para treinar, por exemplo, o GPT-4 da OpenAI. Que é o grande desafio, a grana que você precisa para treinar esses grandes modelos. Exato. E aí a gente chega agora (13:55) nas estratégias que eles utilizaram. E eu не vou entrar em muitos detalhes técnicos para não fazer ninguém dormir ou ter um treco. A primeira coisa que chama muita atenção é a tal da “mistura de especialistas”. Então, imaginemos um cérebro humano com uma miríade de neurônios. O nosso cérebro é especializado, a gente até conversava sobre isso antes. Quando estou enxergando ou ouvindo algo, as áreas dos meus cérebros que são ativadas, (14:31) e até mesmo para o tipo de atividade que a gente faz, mudam. A parte do cérebro ativada é diferente e são partes especializadas. Eu não ativo o meu cérebro todo para ouvir uma música. Ah não, tu não ativa? Eu uso tudo. Tudo bem, não vamos entrar nos 10%, mas isso aí pode pesquisar, já ouvi falar que isso é mentira, é balela. Mas não vamos falar sobre isso. O fato é que os modelos de IA tradicionais, digamos assim, acionavam o (15:08) cérebro todo, ou seja, o modelo, que é o cérebro virtual, para analisar qualquer problema. E para acionar um modelo todo, a gente está falando de um modelo de 500, 600 bilhões de parâmetros. Isso demanda recurso. Então, o que eles fizeram foi essa mistura de especialistas, que nada mais é do que a especialização. Você tem um modelo grande, com centenas de bilhões de parâmetros, mas aciona só certas partes desse modelo para resolver certos tipos de problema. O resultado disso é (15:53) que você не precisa de um poder computacional tão grande para botar esse negócio para funcionar. Só uma coisa. A gente está falando de treinamento e do funcionamento do modelo já em operação, certo? Não cheguei no treinamento ainda. Isso é essencial, porque не adianta nada você treinar um modelo e não conseguir fornecê-lo por falta de recurso. E eles não teriam recurso para fornecer um modelo muito potente, que exigisse muitos recursos. Então, essa foi (16:30) a primeira sacada da arquitetura que eles fizeram: especializar o cérebro. A segunda coisa que eles fizeram, isso no funcionamento, com o modelo já pronto. E isso é crítico, porque você até pode gastar muito dinheiro uma vez para treinar um modelo, mas não pode ficar gastando muito toda hora para usá-lo. Então essa foi uma mudança bem radical. A segunda é que eles (17:04) usaram um recurso que não é desconhecido, que é o Chain of Thought (cadeia de raciocínio). O que eles fizeram? Eles focaram o R1 para, ao dar um problema para ele, ele elaborar uma cadeia de raciocínio para resolver o problema e expor essa cadeia. A OpenAI já faz isso há mais tempo, mas guarda, você não vê. “Ah, mas o [modelo] que eu estou utilizando lá (17:45) mostra.” Sim, ele te mostra, vamos dizer assim, uma parte mais superficial do raciocínio do modelo. E esses caras, como o negócio é open source, resolveram fazer com que a cadeia de raciocínio seja toda exposta. O modelo funciona dessa forma e expõe o raciocínio dele. E esse processo, junto com a mistura de especialistas, resulta em um modelo com uma eficiência muito alta em termos de consumo de recurso e resultado. Bom, isso para usar e para treinar o modelo. E lembre-se que para treinar o modelo, eu posso até ter um custo mais alto, (18:25) desde que para usar depois não tenha que gastar tanto. Então esses dois pontos de arquitetura que eu falei são extremamente importantes. No treinamento do modelo, eles usaram um treinamento multiestágio, que eles chamaram. Isso está no artigo que os autores do DeepSeek publicaram. O que eles fizeram no início, na partida do modelo, o que em inglês a gente chama de cold start (partida a frio), (18:59) foi pegar exemplos de cadeias de raciocínio elaboradas por outros modelos, com as respostas, e usaram isso para treinar o modelo. Fizeram um treinamento supervisionado, deram para ele vários exemplos de cadeias de raciocínio com as respostas, como funciona, e botaram ele para aprender já desse jeito. Depois a gente discute de onde vieram esses exemplos, que é outro problema. Na sequência, depois do cold start, eles fizeram aprendizado (19:45) por reforço. O aprendizado por reforço é aquele em que, em vez de… no supervisionado, você dá uma série de exemplos: “aqui está a entrada e aqui a saída correta”, e ele tenta, com base na entrada, se aproximar da saída correta. Essencialmente é isso. No aprendizado por reforço, você dá uma entrada e recompensa ou penaliza o modelo conforme ele acerta ou erra. É uma avaliação para saber se ele está indo bem ou não. Você diz “isso aqui está bom”, ele precisa de feedback. (20:21) E é feito por humanos, muitas vezes. Sim, inclusive tem gente que é bem mal paga para fazer esse tipo de coisa. Se não me engano, o pessoal do The Wall Street Journal fez uma matéria sobre isso. Acho que tem no podcast deles um episódio sobre a galera que ganhava 400, 500 reais por mês para ficar dando feedback em cima de coisas que são usadas para treinar modelos. Então, o que eles fizeram? Eles aprimoraram, nessa segunda etapa do treinamento, a parte de codificação, gerar código de (21:00) programação, matemática e lógica. Depois eles fizeram outro refinamento, um fine-tuning, em que fizeram de novo um esquema com inserção de escrita criativa, etc., para o modelo ter um pouco mais de liberdade. E aí, depois, fizeram mais uma etapa final de aprendizado por reforço. Deram de novo vários problemas e recompensaram o modelo pelas respostas que ele estava dando. E uma coisa muito interessante: eles incentivavam o modelo a dar a explicação do que ele (21:46) estava fazendo. Então, quanto mais o modelo explicava o que estava fazendo, mais recompensado ele era. Isso para reforçar bem essa característica de “pensar” (entre aspas bem grandes aqui) o que vai ser feito e depois explicar o que fez. E isso vem junto com a resposta. Faz parte da estrutura do modelo ele te dizer a cadeia de raciocínio dele e te dar a resposta final. É intrínseco ao modelo, digamos assim. E aí começam as coisas interessantes, Guilherme, que eu vou puxar para fazer a ponte com os outros itens que você trouxe, que no (22:32) meu ponto de vista são muito mais interessantes. Resumindo tudo o que você falou até agora: por terem essa restrição de hardware, eles otimizaram os processos tanto de treinamento quanto para poder usar o modelo depois. E eles teriam, hipoteticamente — a gente não sabe, mas é aproximado e o mercado pelo visto acreditou nesse número —, gasto 5.5 milhões de dólares para treinar esse modelo, o que, em termos de treinamento de (23:09) modelo de IA nessa escala, é ridículo, não é nada. Porque eles fizeram um modelo que se equipara, e aí tem tarefas que ele ganha, tem tarefas que ele perde, ao Claude 3 Opus da OpenAI. E o detalhe: a OpenAI teria gasto, teria porque também não se sabe, mas é estimado, mais de 100 milhões de dólares para treinar o GPT-4. Então a gente está falando de um custo 20 vezes menor no caso deles do que o do concorrente. E aí, Guilherme, o que acontece? (23:50) As ações da Nvidia despencaram quase 600 bilhões de dólares num dia, de uma segunda para uma terça-feira. Por que isso aconteceu? Porque o pessoal de repente começou a pensar: “Opa, eu не preciso mais comprar tanto chip da Nvidia e nem preciso comprar a Ferrari da Nvidia para fazer modelos muito bons. E não preciso comprar também para depois rodar esses modelos”. Então as ações da Nvidia despencaram. Foi isso que aconteceu. Aí, Guilherme, agora sim, o ponto que eu acho muito curioso… (24:29) Eu só queria, me perdoa, voltar nisso, mas entender como esses modelos e como a IA funciona para mim ainda é um grande desafio, e acho que para muita gente. Não só para mim, para nós, para todo mundo, mas até para os próprios pesquisadores. Aqueles artigos que a gente já leu em que eles mesmos às vezes dizem: “Olha, a gente não sabe muito bem como esses resultados estão sendo atingidos, eles simplesmente ocorrem”. Mas de forma bem resumida, você poderia dizer que eles foram muito mais eficientes num processo de treinamento e, por (25:06) consequência, precisaram usar menos recursos para treinar o modelo, buscando formas alternativas? Seria isso? E depois, uma vez que ele já está treinado — porque basicamente a gente vai ter esses dois momentos, eu treino o modelo, ele está pronto, e aí eu vou submeter coisas para ele e ele vai me dar os outputs —, nesse segundo momento eles também teriam sido mais eficientes por fazerem aquele processo de ativar somente certas áreas (25:47) do modelo e não o modelo todo o tempo? Então eles foram eficientes em dois momentos diferentes, é isso? Isso aí, em dois momentos cruciais. E conseguiram chegar e fizeram tudo isso com hardware que не é o top. Galera, teve gente que chegou para mim falando: “Ah, que os chineses fizeram isso com chip de videogame velho”. Pelo amor de Deus, não foi isso que aconteceu. Os chips eram muito bons, você nem tem um desses em casa. Então é caro ainda, não é uma coisa (26:23) barata. Explicar como funciona é um outro esquema. Eu achei um vídeo esses dias muito bom que explicava Transformers de uma maneira muito visual, muito interessante. É um vídeo em inglês, posso até depois deixar no show notes. Mas ele tem uma explicação visual muito boa sobre como funciona a camada de atenção dos modelos. Tem vários detalhes ali no meio do caminho. Mas enfim. E aí, Guilherme, você falou lá “usando menos dados” para treinar. Eu falei (26:59) “menos recursos”, mas menos dados também. Se você tiver que treinar com um volume de informação muito grande, vai usar mais recursos também. Eles usaram menos dados para treinar esse modelo, só que tem um detalhe aí. Primeiro, lembrando que a questão do valor é bastante discutível. O Dario Amodei foi citado numa matéria do MIT, que vai estar no show notes, e ele disse: “Ah, o pessoal lá do DeepSeek deve ter mais ou menos 1 bilhão de dólares em H100. Eles devem ter lá uns H100 da Nvidia”. (27:39) Mas como é que ele vai saber disso? Aí que está. É aquela coisa de eles quererem dizer que o modelo não foi tão barato assim, saca? Mas vocês vão ver especulação de todo jeito nesse sentido. Mas o valor que todo mundo parece concordar é na casa dos 5.5 (28:03) milhões de dólares que custou a brincadeira. É por aí, para chegar num resultado de um modelo que custou mais de 100 milhões. Porque você tem todo o conhecimento que foi sendo adquirido até chegar a esse ponto. E aí, a questão é: vocês lembram que eu falei no início, do cold start, que eles usaram vários exemplos de cadeias de raciocínio para treinar o modelo? Isso teve que vir de algum lugar. Pouco tempo depois do lançamento do R1, a OpenAI e a Microsoft denunciaram que eles estavam… anunciaram uma investigação e (28:44) denunciaram que o DeepSeek teria usado os modelos deles para fazer “destilação”. O que é destilação? Você pega um modelo pronto, dá problemas para ele resolver, ele te dá o retorno, e você pega a entrada e o retorno e usa para treinar um outro modelo. Então, eles teriam utilizado a destilação para treinar o DeepSeek a partir dos modelos da OpenAI. E eles ficaram bravos com isso porque não pode, violou os termos de serviço. O que eu acho uma ironia fantástica, porque várias vezes a gente já falou aqui que esses modelos (29:23) foram treinados em cima dos dados de quem? Da internet. E eles pediram autorização para quem? Por que o New York Times, por que um monte de empresas que produzem livros estão processando a OpenAI, por exemplo? Porque eles usaram sem autorização os dados для treinamento. E agora eles estão bravos porque usaram os modelos deles sem autorização para destilar e melhorar outro modelo. Enfim, isso é uma acusação, não está no artigo oficial do DeepSeek. (30:00) Esse é talvez o ponto de conexão entre esses dois momentos da nossa discussão: como se chegou até aqui e por que isso é tão importante. Só um instante, Vinícius. [som de tosse] O Guilherme teve que tossir, galera. Então, essa primeira questão, eu acho que a gente precisa colocar também um poco os pés no chão. A gente está olhando para um momento fundamental nessa discussão (30:37) geopolítica de uma corrida pela busca de uma IA que vá dominar o mercado. Essa tua fala sobre a acusação e como isso foi uma grande ironia, e de fato foi. É muito irônico porque a gente está vendo isso, não é uma especulação, não é uma hipótese. A gente sabe, todo mundo sabe. O próprio Zuckerberg, vazaram falas dele dizendo que ele autorizou o uso de material (31:16) protegido por direitos autorais para treinar os seus modelos Llama. Enfim, treinar a inteligência artificial. Mas ao mesmo tempo, você tem essa ironia de fazer algo e depois, quando outras pessoas fazem, dizer: “olha, mas ele está fazendo aquilo”, mas você também fez. Isso também não significa que tornaria o próprio DeepSeek livre de outros tipos de manipulações ou violações em seu processo de (31:56) treinamento. Porque me parece que, no momento atual, um dos problemas intrínsecos é justamente essa curadoria de dados e a busca frenética por mais dados. E aí me corrija se eu estiver errado, Vinícius, mas pelo que eu entendi, eles também começaram a usar novas táticas e estratégias dentro do próprio modelo para consumir menos dados. Isso também é bom, porque torna o modelo mais sustentável. E vai chegar um momento em que todos os modelos já tiverem consumido toda a informação (32:36) possível de ser consumida, e você vai ter que buscar estratégias alternativas para que esses modelos continuem evoluindo sem a necessidade de, sei lá, ficar buscando dados na mente das pessoas, Neuralink e tudo mais. Eles не são os bonzinhos da história, esse é o ponto. Não me parece que há mocinhos e bandidos nessa história, porque as dinâmicas de poder aqui são muito parecidas. Agora, o que a gente sabe e o que a gente vê, e eu também acho uma coisa irônica, Vinícius, é que o novo modelo foi lançado no dia da (33:15) posse do Trump, que teve toda uma questão mundial, a participação do próprio Elon Musk com figuras terríveis, com aquele plano sendo anunciado ao lado do Sam Altman, que seria o plano Stargate, um plano bilionário de investimentos do governo. Porque a quantidade de dinheiro envolvida nesse mercado agora passa invariavelmente pela participação dos governos. Então é irônico também a gente ver um modelo (33:58) sendo lançado na data da posse do Trump, na data do anúncio do plano Stargate, dizendo que é possível fazer, não sei se mais com menos, mas é possível fazer coisas diferentes. E, claro, premidos pela própria necessidade. E aí a gente vê como é interessante que momentos de necessidade podem fazer com que soluções criativas nasçam. E por isso que houve essa queda toda de 600 bilhões. Foi a maior queda já registrada no mercado americano na história. De qualquer (34:37) forma, porque de repente a gente tem aquela coisa da bolha da IA e tudo mais, e talvez o que a gente tenha visto é um estouro, não de toda a bolha, mas de parte dela. Ela não murchou completamente, ela deu uma desinflada. É, o pessoal deu uma desesperada. Mas ao mesmo tempo, no que diz respeito à Nvidia, o que é pior para a Nvidia? Para a Nvidia não é tão ruim assim ter um modelo que usa menos processamento. Tudo bem, caíram as ações, (35:13) o pessoal saiu apavorado. Os 600 bilhões… O pior para a Nvidia é quem desenvolve começar a desenvolver seus próprios processadores, o que a OpenAI está fazendo. A OpenAI está lançando seus próprios processadores para IA, e outros vão fazer. Então, por enquanto, a Nvidia é a líder de mercado e ela continua sendo. Mesmo que o modelo use menos para treinar e para executar, existe uma demanda muito grande por uso de IA, e cada dia tem mais. E cada vez mais uso de IA precisa de mais processadores da Nvidia. Então (35:50) pode desacelerar o ritmo de compra, talvez, mas a Nvidia não vai deixar de vender, fica bem tranquilo. Agora, quer ver como isso já passou, a coisa já se ajustou e a vida está seguindo? Em 5 de fevereiro, pesquisadores de Stanford e da Universidade de Washington treinaram um modelo de IA por menos de 50 dólares em créditos de computação na nuvem. O modelo é conhecido como StarCoder 2 (SC2) e o desempenho dele é similar ao Claude 3 Opus da OpenAI e ao DeepSeek R1, que gastou 5 milhões de dólares. No que diz respeito a habilidades (36:45) de matemática e codificação. Então, nessas duas habilidades especificamente, o desempenho dele é idêntico ao de modelos muito mais caros. É, e aqui uma coisa, Vinícius, pelo que estou lendo, o DeepSeek se sairia melhor nessas atividades mais de matemática e de codificação pela própria natureza de reinforcement que eles utilizaram. E ainda não seria tão bom assim em tarefas mais subjetivas, que exigiriam um pensamento mais, né? Ou seja, a forma que eles usaram (37:24) para treinar de forma mais eficiente, ou com menos recursos, fez com que ele ficasse melhor nessas coisas mais práticas e objetivas, digamos assim. Eu vou te dizer que no Perplexity você tem acesso ao R1 e tem acesso ao Claude 3. E eu já usei os dois com as mesmas coisas para ver o que acontece, e eu não percebo grande diferença no resultado. É uma percepção pessoal também. É, mas o negócio é medido, quero dizer. Sim, sim, mas estou dizendo no dia a dia, porque tem os testes que são aplicados a que (38:04) esses modelos são submetidos. E aí ali tem pequenas diferenças. Agora, para o dia a dia, para tua aplicação diária, se tu testar os dois, vai ver que eles resumem coisas muito bem, que os dois funcionam muito bem para pegar uma notícia, resumir, gerar um texto, fazer uma análise. Eles estão realmente muito próximos. E só perceba que ninguém fala do SC2 lá de Stanford e da Universidade de Washington. Ninguém fala desse cara que eles usaram menos de 50 (38:41) dólares para programar. Eles usaram 30 minutos, se não estou enganado, de 16 GPUs Nvidia H100. Você pode alugar na nuvem. Foi o que eles precisaram para fazer o treinamento do modelo deles. E, claro, o que eles fizeram? Fizeram destilação do Gemini, que é o modelo do Google. Pegaram a ideia… e essa destilação é interessante, porque você pega um modelo preferencialmente melhor, um modelo “professor”, e um modelo “aluno”. (39:22) Você dá problemas para o modelo resolver, ele te retorna, e você pega essa entrada e essa saída e treina um modelo novo ou um modelo menor. E esses caras de Stanford fizeram com menos de 50 dólares, a partir do zero. Tem uma outra coisa aí. Até o Ronaldo Lemos falou disso na Folha, e vai ficar lá no show notes também a reportagem dele. É o fato de ser um modelo aberto, open source, que usa a licença do MIT. (40:02) E segundo ele, e a gente também pode inferir isso, essa transparência na publicação do modelo seria um ponto de transição bastante importante. Inclusive, eu li aqui numa das notícias que o DeepSeek estaria mantendo a missão originalmente trazida pela OpenAI, lembra disso? Que era uma empresa que nasce com a missão de produzir inteligência artificial para a humanidade sem fins lucrativos. Depois ela vira… “esquece tudo isso que eu falei, a gente não é mais Open”. (40:42) Fica “Open” no nome. Mas o fato desse modelo vir com código aberto, ou seja, outras pessoas podendo utilizá-lo, inclusive assim como outros modelos, o próprio Llama também aberto, o Ronaldo Lemos diz assim: “Ah, isso poderia até impulsionar a corrida de inteligência artificial no Brasil”. Diante de um modelo tão poderoso sendo disponível abertamente, o Brasil, com seus institutos, com seu plano agora de IA, poderia também utilizar isso. E ele usa o exemplo, e eu digo, que o Brasil até poderia criar um buscador (41:19) tão bom quanto o Perplexity somente com o uso desse modelo do DeepSeek. Acho com certo exagero, mas acredito que o fato disso ter sido lançado como open source é de fato algo muito importante nessa corrida. É, mas é “open” até certo ponto também. Porque é o seguinte: você tem o “open” no sentido de que sabe os pesos. Vamos simplificar: o cérebro, quando ele é treinado, depois que ele é treinado, você tem uma série de (42:00) números, vetores. Isso é o modelo da IA. Esse estado do modelo é representado por uma série de números. Isso é o que a OpenAI não te dá. Você consegue usar o modelo da OpenAI, a gente usa todo dia quando usa o ChatGPT ou o Perplexity, (42:38) mas você não tem acesso ao modelo em si. Eles estão executando o modelo lá, pegam o que você pediu, a resposta, e te dão, mas você não consegue ver os parâmetros do modelo lá dentro. Isso é fechado. O que o pessoal do R1, do DeepSeek, fez foi dizer: “tá aqui o modelo para vocês, quem quiser copiar”. Então você pode pegar o modelo e rodar se tiver máquina suficiente. Eles pegaram o Llama da Meta e o (43:17) Qwen do Alibaba, se não estou enganado, pegaram modelos menores, o 7B da Llama e o outro, e o que eles fizeram? Pegaram o R1 e, por destilação, treinaram esses dois modelos menores. Então, por exemplo, eu consigo na minha placa GPU, que não é um H100 de jeito nenhum, rodar o modelo destilado do R1. E eu consigo conversar com o meu modelo aqui, sem usar a nuvem. O modelo roda aqui na minha máquina. E da mesma forma, quem tem (44:00) equipamento suficiente pode pegar o modelo completo do R1 e rodar. O tamanho dele? Cara, eu не sei de cabeça, mas é na casa de centenas de bilhões de parâmetros também, para ser equivalente ao Claude 3 Opus. Então, para rodar um negócio desses, você vai precisar de recurso, vai precisar de H100 ou H800. Não vai conseguir rodar numa placa como a minha, e a minha placa é boa. (44:33) Mas o que eu estou dizendo, de maneira muito mais ampla, é: é importante ou não isso estar aberto? Calma. O fato de você ter o modelo não quer dizer que você saiba com base no que ele foi treinado, exatamente. E isso é muito importante, porque o modelo acaba cristalizando uma série de conceitos e vieses que vêm das fontes de treinamento. Inclusive, o DeepSeek, se você acessar chat.deepseek.com, (45:05) e for lá conversar e pedir sobre coisas do Governo da China, sobre Taiwan, sobre a Praça da Paz Celestial, vai acontecer uma coisa muito engraçada. Ele vai começar a responder, e ele começa a responder certinho, se você consegue ler rápido. Daqui a pouco ele chega numa hora que ele meio que se dá conta, tem um filtro, e aquilo some da tela e ele diz: “vamos conversar sobre outra coisa”. Calma aí. (45:37) A vantagem do modelo aberto é que o Perplexity, que é uma empresa norte-americana, pegou o modelo e está disponibilizando-o. Lá no Perplexity, ao selecionar o modelo R1, ele te diz: “R1 hospedado nos Estados Unidos”. E isso só é possível porque esse modelo está aberto. Então, sim, o Brasil ou qualquer outro país ou pesquisador pode pegar esse modelo, rodá-lo, ou rodar versões menores, que são esses destilados, para criar novas soluções. Coisa que não se pode (46:18) fazer com a OpenAI. Não dá para fazer, a não ser usando a API deles. Então ajuda, mas é um ponto de virada. É um ponto de virada porque a OpenAI dá um acesso ao modelo via API ou via chat, mas ela não deixa você rodar o modelo localmente, não deixa alguém pegar e fazer modificações. Não pode nem destilar, segundo os termos de uso deles. Isso que você falou sobre a China é bem importante, Vinícius. E acho que cabe uma observação (46:59) importante: sim, isso de fato aconteceu, o que você diz, de ele te bloquear ao perguntar sobre a República Popular. E isso, pelo que eu li, estaria numa última camada de moderação do modelo publicamente disponibilizado, não estaria no modelo em si. É uma camada de moderação, assim como ocorre com o ChatGPT. E me parece que esses bloqueios e moderações se dão na camada de moderação, porque uma vez que o modelo esteja pronto, ele vai chegar àquela resposta, sendo bloqueado pela (47:45) camada de moderação. E eu acho importante dizer que o fato dos chineses fazerem isso не significa que os americanos também не estejam fazendo, com diversas camadas de moderação. E aqui eu estou falando de maneira muito mais ampla, não somente sobre a OpenAI. Hoje mesmo eu estava lendo, vou colocar no show notes se eu achar, sobre certos vieses de organização da Inteligência Artificial do X (Twitter) acerca (48:23) da política alemã, que estaria toda encoberta de vieses também. Então, não é que tenha mocinhos e bandidos. De novo, me parece que uma das grandes questões que a gente vai ter no uso massificado dessas ferramentas é que elas são mantidas por companhias que, ao longo dos últimos anos, demonstraram estar muito despreocupadas com questões éticas no uso dessas tecnologias. Então, vai ser cada vez mais um problema a (49:08) gente olhar para essas grandes caixas-pretas que é a OpenAI, por exemplo, te cuspindo coisas de forma que você não saiba exatamente qual o tipo de moderação ela está realizando ali. Por isso que me parece que um modelo aberto, podendo ser utilizado para aplicações eventualmente governamentais… me refiro à aprovação recente de uma regra do CNJ para o uso de inteligência artificial no judiciário. Por isso que me parece que é um game changer isso ficar aberto. Porque a gente vai ter, (49:48) e principalmente pelo governo americano… os americanos não são mocinhos nesse sentido. Eles vão moderar, vão colocar uma série de controles ali para dizer ou não dizer coisas. Não acho que são só os chineses que estão fazendo isso, me parece. Depende muito. Eu diria que eu não tenho ainda uma resposta sobre isso. Porque o que tenho visto em termos de moderação, o ChatGPT, por exemplo, modera bastante discurso de ódio. E a parte de geração de imagem no DALL-E é bem moderada. (50:34) Já em outras, no Grok, eu estou testando o Grok 3, a geração de imagens via Grok é completamente descontrolada. Eu pedi, literalmente: “um pato devorando um leão”, e pedi “muito sangue e muita tripa”. Não botei nem “vísceras”. O ChatGPT/DALL-E não gerou, reclamou, disse “não gero gore explícito” e (51:19) não gerou. Já o Grok gerou imagens bem impactantes, bem realistas. Comecei a ficar com medo de pato agora. Então, você percebe que há diferenças no processo de moderação das ferramentas. Até o momento, e eu uso bastante, já testei várias delas… estou fazendo um comparativo de um tempo para cá entre ChatGPT, Perplexity, Claude, Gemini e Grok, todos pagos, usando os melhores modelos para ver efetivamente o que essas coisas nos dão (51:57) de respostas, e eu não tenho percebido restrições ou algum tipo de censura, que nem eu percebi claramente no DeepSeek hospedado na China, o chat.deepseek.com. Eu não percebi o que eu percebi lá nessas outras ferramentas, em nenhum momento. Pelo contrário. É uma percepção muito pessoal, né, Vinícius? Sim, sim. Mas às vezes eu peço para ele gerar uma história e algumas vezes ele se perde e até excede (52:47) na tentativa de evitar conteúdo inadequado. Às vezes ele percebe umas coisas como conteúdo inadequado que não têm nada a ver e não responde, exagera. Eu fiz a seguinte pergunta: “Se quando eu tinha 6 anos, minha irmã tinha metade da minha idade. Agora eu tenho 70, quantos anos tem minha irmã?”. Cara, você faz essa pergunta e muito modelo se perde enlouquecidamente. E tinha um, agora não lembro qual, que eu perguntava isso e dizia: “não (53:20) posso tratar sobre menores de idade”. Cara, nada a ver, estou dando um problema matemático. Mas o ponto, eu acho que ele é mais meta, Vinícius, e mais do que uma percepção nossa, pessoal, sobre “ele bloqueia isso ou não”, eu acho que em termos governamentais e de comprometimento social dessas empresas, elas não estão tão comprometidas eticamente em fazer modelos que sejam bons para a sociedade. Elas estão comprometidas, para eu concluir, a fazerem modelos que atendam aos seus interesses (53:59) particulares e econômicos. É o que nós temos visto, sobretudo nesse último mês. Eu acho injusto dizer, Vinícius: “Ah, os chineses estão fazendo e os americanos не vão fazer”. Sei que você não disse isso, mas eu acho que eles estão bem equivalentes no que diz respeito a interesses existentes para realizar bloqueios e moderações que não vão ser boas para a gente, tanto os chineses quanto os americanos, e me parece que em níveis bastante similares de interesses. (54:38) A minha preocupação se dá quando se coloca: “Ah, o DeepSeek R1 é open source, então a gente vai aplicar em coisas do governo”, como se soubesse os vieses que estão lá dentro. Na real, teria que fazer que nem a França. Semana passada o Macron anunciou um projeto de desenvolvimento de IA na França de cento e poucos bilhões de dólares, acho que foi. (55:23) Então, no Brasil, se a gente quer falar sério de usar IA no governo e ter uma certa segurança, uma certa independência, nós teríamos que ter os nossos data centers, infraestrutura controlada por nós, para treinar os nossos modelos. Concordo. E aí com as fontes controladas ou supervisionadas por nós. Aí o governo brasileiro estaria realmente tendo controle do processo todo. Porque do DeepSeek R1, o que é aberto são (56:01) os pesos, o modelo treinado. Exatamente como isso foi feito, com quais informações, isso não se tem. Mas se a gente for pegar o DeepSeek e os modelos da OpenAI, o DeepSeek é muito mais aberto para eventuais investigações sobre vieses do que qualquer modelo fechado da OpenAI. Mais ou menos, porque você poderia analisar diretamente os pesos, fazer algum tipo de análise. Poderia rodar o (56:46) DeepSeek, acompanhá-lo em execução, sem dúvida nenhuma, ou olhá-lo de uma perspectiva para tentar descobrir esses vieses. Mas isso você também pode fazer na interação com o modelo. Claro que aí entra aquela última camada de moderação. Mas na interação com o modelo, principalmente via API, que não está passando pela interface da aplicação, você poderia tentar detectar esses vieses tranquilamente. (57:26) Inclusive tem uma brincadeira, um prompt, agora eu não vou lembrar exatamente, mas ele induz um viés do modelo que é de achar que todo cirurgião é homem. Tinha um pessoal testando, eu testei também há umas semanas, em que ele presumia que o cirurgião, cujo gênero не estava dado, era o pai do menino no problema, e não a mãe. Aí ele errava tudo por causa dessa (58:11) presunção dele. É um viés que ele tem. E se você tentar usar coisas com “enfermeira”, “enfermagem”, a tendência dele é falar de mulheres com mais frequência. Então esses vieses você ainda consegue pegar, ainda consegue levantar. Sim, tem bastante coisa aí, mas o impacto foi grande. O que eu tenho certeza, e aí eu vou citar o Steve Gibson para ir terminando, é que ele disse: “o que a gente fala hoje sobre IA pode не ser mais verdade amanhã”. E eu acho que o que a gente viu nesses últimos 20 dias é bem isso. As nossas (58:53) certezas vão ficando bem efêmeras nesse mundo. E o que a gente viu, inclusive com o esvaziamento dessa bolha, foi como esse mercado e como este mundo é volátil e rápido, cada vez mais rápido. Mas fica aqui a nossa tentativa de organizar um pouco esse caos, claro, sem querer dar respostas definitivas. Enfim, vamos pensando juntos. Agradecendo, Vinícius, àqueles e àquelas que nos acompanharam até aqui e pedindo para que nos acompanhem no próximo. (59:31) E que estejamos todos juntos aqui no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima. Hoje você vai sair correndo, né? Tenho que sair correndo aqui, cara. Então não vai ter aqueles minutinhos em que a gente ainda fica conversando mais alguma coisa. Valeu, pessoal, um abraço. Valeu, grande abraço.  

Neste episódio comentamos o histórico da Meta e suas controvérsias. Você irá descobrir a jornada do Facebook, desde a sua criação em Harvard até as polêmicas que moldaram as redes sociais que conhecemos hoje.​ Guilherme Goulart e Vinícius Serafim analisam a evolução do Facebook, que se tornou a gigante Meta. A discussão aprofunda-se nas principais controvérsias que marcaram a empresa, como o escândalo Cambridge Analytica e o estudo sobre contágio emocional, que expuseram a fragilidade da privacidade e da proteção de dados dos usuários. O episódio aborda como o algoritmo e as políticas de moderação de conteúdo foram desenvolvidos para maximizar o engajamento, levantando debates sobre manipulação e desinformação. Com as novas diretrizes de Mark Zuckerberg focadas na livre expressão em detrimento dos verificadores de fatos, a segurança da informação nas redes sociais entra em uma nova era, desafiando a futura regulamentação e o combate às fake news. Assine, siga e avalie para não perder nenhum episódio.​ ShowNotes Episódios do Segurança Legal citados 2018-04-06 – Episódio #148 – Cambridge Analytica 2018-12-14 – Episódio #182 – Os amigos do Rei 2018-10-05 – Episódio #173 – Incidente do Facebook 2018-04-20 – Episódio #149 – We run ads U.N. investigators cite Facebook role in Myanmar crisis Experimental evidence of massive-scale emotional contagion through social networks Sean Parker – Facebook Exploits Human Vulnerability Facebook foi crucial para limpeza étnica do século XXI em Myanmar Utterly horrifying’: ex-Facebook insider says covert data harvesting was routine Mark Zuckerberg Called People Who Handed Over Their Data “Dumb F****” Facebook na Índia hospedou desinformação, ataques de ódio e cenas de violência Frances Haugen: Facebook whistleblower reveals identity Personal Data Of 533 Million Facebook Users Leaks Online  Transcrição do Episódio (00:01) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá, aos nossos ouvintes. Estamos de volta no nosso primeiro episódio de 2025. Sempre lembrando que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Então, a gente está lá no podcast @s (00:37) segurancalegal.com, YouTube, Mastodon, Blue Sky e Instagram, né, Vinícius? Então, se você quer nos acompanhar, pode buscar uma dessas formas. Ali também temos a nossa campanha de financiamento coletivo, você já sabe. Só um parêntese aqui, Vinícius, a gente sempre repete isso. 2025 começa… Se você nos acompanha, sempre ouve essa parte inicial aqui, mas é importante também para quem está chegando agora ou, às vezes, quem quer se comunicar com a gente. Eu comecei a ouvir um podcast novo de história e o cara não falava, não falava lá sobre o pix e o Apoia-se, (01:18) mas ele não falava como entrar em contato com ele. Não conseguia achar o cara na internet, por incrível que pareça. Bom podcast, bom. Depois eu te passo aqui, mas é bom, de história. Bom, agora você tem que dar a dica. Ah, mas depois eu pego. Enquanto você estiver falando, tu cata e dá a dica. Então, no final do episódio de hoje, o Guilherme vai dar a dica do podcast de história. Fique até o fim. Fim, é a única coisa que vai importar no episódio. (01:44) História. Só, Guilherme, uma coisa que agora eu esqueci: quando tu leu o início ali, tu disse 2024 ou 2025? Porque no roteiro está 2024. Não, aquela parte ali do roteiro é da gravação que a gente faz depois. Ah, depois. Então, que susto, porque eu não lembro de ter falado aquilo. Vamos. Mas já aconteceu outras vezes. Vinícius, tem o apoia.se/ (02:08) segurancalegal. Contribua com o projeto independente de produção de conteúdo e você vai ter acesso ao nosso grupo lá do Telegram e, também, eventualmente a sorteios. A gente acabou de fazer os sorteios das canecas. Enfim, blog da Brown Pipe, visite lá no brownpipe. (02:27) com.br, que é a empresa que mantém este podcast desde o seu início. Também o mailing semanal, você pode se inscrever e receber algumas das notícias mais importantes lá no blog da Brown Pipe. Também temos os e-books, então tem o e-book de gestão de incidentes, o e-book “Entendendo a LGPD” e, mais recentemente, o e-book da rede hoteleira, bem nichado, bem específico. A gente está fazendo algumas coisas nesse sentido também. E aqui no YouTube, muito importante: se você está nos assistindo no YouTube, é importante. Todo mundo que vê YouTube sabe que (02:58) os caras sempre falam isso: curta, se inscreva, assine o sininho. Mas é importante também que a gente diga isso. O próprio algoritmo valoriza vídeos que buscam engajamento. Então, se você puder, dê uma olhada, dá aquela moral para nós. Uma moralzinha para a gente que está vendo no YouTube, né, Guilherme? E também, lembrando que neste canal do YouTube, se você está vendo aqui ou se está só ouvindo, vai lá depois no nosso canal. Tem também alguns materiais que eu gravei no ano passado ainda. (03:31) Bem interessante sobre segurança da informação, alguns até bem práticos. Um deles foi “Autenticação para Devs”, se não me engano. Acho que foi o nome que eu dei. Você vai na parte “ao vivo” e vai encontrar vários desses conteúdos lá. São coisas bem práticas, bem mão na massa e úteis, eu acho. Vamos lá. Eu tenho certeza que sim. Eu tenho certeza também, mas aí é mais para os iniciados, porque aqui… E hoje, eu acho que o episódio de hoje, você já sabe qual é o assunto, comprova um pouco a forma como a gente tem (04:06) de lidar com alguns assuntos. Esse tema de hoje, do problema do Facebook, da Meta de maneira geral, grupo Meta, que abrange as redes sociais. O Facebook é apenas uma delas, a gente fala Facebook, mas é a Meta. Porque, e agora vai uma provocada, do problema ou da solução, dependendo de quem vê. E por que esse tema está aqui? É um podcast de Direito da tecnologia, segurança da informação и proteção de dados também, mas a gente, eventualmente, ao longo desses 13 anos, Vinícius, que estamos no (04:39) ar, nós gostamos de trazer questões relacionadas a essa temática de tecnologia e sociedade, a aplicação de todas essas ferramentas, modelos e instituições tecnológicas para a nossa vida cotidiana. E a gente entende que é um tema importante. Então, dentre esses 383 episódios passados, você vai encontrar várias coisas nessa linha, inclusive o tema Facebook/Meta, mas antes, Facebook já passou por aqui pelo Segurança Legal outras vezes. E foi no ano de 2018, foi o ano do Facebook aqui no Segurança Legal, porque lá a gente teve o (05:23) episódio 148, do caso Cambridge Analytica, que a gente vai comentar um pouquinho hoje; 149, “We Run Ads”. Vinícius, a gente até estava conversando qual foi o episódio das audiências no senado americano que o Zuckerberg participou depois do caso Cambridge Analytica. Foi o “We Run Ads”. O título se deve ao fato de terem feito uma pergunta para ele como ele ganhava dinheiro, e ele diz: “We run ads”. Inclusive, o episódio começa com essa frase dele. Depois nós tivemos o 173, “Incidente do Facebook”, e o 182, “Amigo do Rei” também, que a gente falou sobre alguns problemas e algumas questões (06:05) relacionadas a certos aplicativos terem acessos especiais aos dados do Facebook. Tudo isso lá em 2018. Então, nós vamos dividir este tema de hoje em algumas formas aqui. Primeiro, nós vamos fazer este episódio dividido em duas partes, parte um e parte dois. Hoje, nós vamos fazer a retomada de alguns eventos passados do Facebook e também a colocação do problema. Fique aqui porque nós vamos, inclusive, rodar um áudio traduzido do Zuckerberg, falando naqueles áudios de 5 minutos em que ele fala as mudanças que vão ocorrer. Então, a gente fez ele falar português. (06:51) A gente fez ele falar. A gente não, o Vinícius fez umas magias ali. Então, você vai ouvir. Tem muita ferramenta pronta, não é magia. Eu achei que fosse mágica, mas é só tecnologia. Então, você vai ouvi-lo em português. Fique aqui para ouvir todo o áudio mesmo. E depois, a gente vai falar um pouco sobre o problema de maneira geral, para no episódio seguinte… E aí, nós teremos um hiato de férias, de recesso. Então, teremos um hiato e, lá em fevereiro, você vai ouvir as (07:26) questões mais críticas, as críticas que chegaram e atualizações, atualizações, atualizações até lá e conclusões. Algumas das nossas conclusões, algumas delas também relacionadas ao cenário da segurança da informação, porque a gente entende que isso vai ter algum impacto. Bom, o Facebook ele começa, e aí vai me interrompendo, Vinícius, lá em 2003. Na verdade, em 2003, o Zuckerberg e dois amigos criaram um jogo que era o Facemash, em que mostravam fotos de estudantes. Facemash, em que ele pode até conferir, mas, (08:07) às vezes, a pauta nos trai. Mas eles pegavam fotos dos estudantes lá de Harvard. Ele era de Harvard, o Zuckerberg, e se escolhia quem era o mais atraente. Esse foi o embrião do que viria a ser o Facebook. E as fontes já históricas, interessante pensar nisso, já se vão 20 e poucos anos, dizem que ele hackeou o sistema da faculdade de Harvard, o Zuckerberg, para pegar essas fotos para alimentar o sistema dele. E isso culminou numa investigação interna, um processo interno administrativo da faculdade, da universidade contra ele. E aqui, (08:53) a gente vai trazer também alguns fatos um pouco problemáticos, porque a gente sabe que este tema é cercado de preferências políticas. Isso é totalmente natural. Enfim, você pode achar ótimo quando alguma rede social se alinha com as suas preferências políticas, mas é importante dizer que, primeiro, essas empresas começaram, muitas vezes, em cenários bem delicados, complexos e envolvendo uma série de problemas. Mas, assim, elas desde o início começaram visando, me parece, Vinícius, ser (09:29) um agente isento, o mais isento possível. E parece que o que ocorre agora já traz uma mudança nesse cenário todo. 2004, aí sim, ele começa a escrever o código do que seria o “The Facebook”, que foi lançado em fevereiro desse ano. Lembrando que a palavra “Facebook” se refere àqueles anuais das universidades americanas, aqueles livros com a foto. Você põe a foto de todo mundo, não só universidade, pessoal de segundo grau também, escola. Então, é uma coisa bem americana, a gente vê em filmes, às vezes. Então, a ideia inicial era essa. 2004 marca um (10:11) fato aqui que a gente já comentou várias vezes neste nosso podcast: que o Zuckerberg chamou os usuários do Facebook de “dumb fucks” quando perguntaram para ele: “mas como que as pessoas te entregaram os dados?”. E ele disse: “Olha, eu simplesmente pedi”. Isso tem uma reportagem. Outra coisa, pessoal, tudo que nós falamos aqui são coisas totalmente documentadas. A gente vai trazer um caminhão de links. Eventualmente, uma ou outra coisa pode faltar aqui, mas a gente buscou (10:51) documentar tudo que a gente está colocando aqui, porque a gente sabe que também é um tema delicado. Então, ele chama as pessoas… Diga. E só lembrando, tu está certo, é o Facemash mesmo, não um “Face match”. É uma confusão frequente, tá? É uma confusão frequente. Eu estou sempre certo, né, cara? É, sim, sim, tu está sempre certo. Vai, segue. Minha mãe diz que eu sou lindo, e eu acredito nela. Então, ele chama as pessoas de “dumb fucks”, ou seja, idiotas, abobados, sei lá qual seria a tradução disso, por justamente colocar uma preocupação: “Como é que as pessoas (11:29) estão te dando tanta informação?”. “Eu pedi e elas estão me dando”. Na época, isso representava um problema. Hoje, de fato, o mundo mudou tanto em 21 anos que já não é mais um problema. Essa semana mesmo a gente viu pessoas vendendo íris lá em São Paulo, mas esse é um outro tema, esse é um outro assunto para o Segurança Legal, outros problemas. 2025 começou de um jeito inesperado. Está bem, está ótimo. Vinícius, outra coisa, e isso é uma das coisas que mais me chama a atenção no Facebook e nas redes (12:04) sociais inteiras, é que em 2006 ele cria o news feed. Inventa, ou ele inventa. Me parece que foi ele que inventou isso ou, se não inventou, pelo menos foi o primeiro que fez um news feed que ganhou uso massivo. Uma coisa que realmente todo mundo passou a saber o que era um feed. E todas as redes, eu acho, que usam a ideia do news feed até hoje. Acho que sim, porque quando a gente pega… Não, deve ter alguma outra meio aleatória assim, mas tu pega LinkedIn, Blue Sky, o X, o Instagram, (12:43) Threads, o próprio Face, é tudo na base do news feed. Tem uma nova rede de fotos agora, “Foto”, também. O pessoal do Blue Sky já começou a desenvolver um novo Instagram baseado no mesmo protocolo deles e que vai conversar com o Blue Sky também, aqueles protocolos abertos. Então, a criação do news feed eu acho que muda tudo. Permite aquela coisa também que vem depois, eu até não tenho o ano, mas é o feed infinito. E esse, sim, é uma coisa muito problemática, porque a ideia de todas essas plataformas, depois, se tornou, no início não era assim, mas (13:19) depois se tornou, fazer com que você fique cada vez mais tempo lá dentro. E para que você fique cada vez mais tempo lá dentro, você precisa de mais conteúdo. Porque antes, como era? Não sei o pessoal que nos ouve, a gente já tem cabelo branco, né, Vinícius? Mas, antigamente, eu não tenho mais nem cabelo. Mas em 2004 eu tinha. Então, eu queria ver o que o Vinícius fez. Então eu entrava no perfil do Vinícius e via: “Ah, o Vinícius fez tal coisa”. O Orkut também era bem assim. E aí, com o (13:52) news feed, eu consigo ver o que todos os meus amigos fizeram. Se você colocar lá no YouTube “primeiro news feed”, em inglês, você vê os caras ensinando como desabilitar o news feed, porque no início não foi uma coisa que o pessoal gostou. “Não, eu não quero ver o que um amigo meu aleatório está fazendo, eu quero ter o controle sobre o que eu vejo”. E 2006 foi, talvez, um primeiro passo em que isso caiu. Quer falar alguma coisa? Não, não, pode ir. Isso é mais um relato, assim. Como tu disse, a parte de opinião, de (14:25) conclusões e tudo mais, a análise mesmo, a gente vai deixar para a parte dois. Aqui é mais um histórico mesmo da coisa e trazer o que está vindo adiante. Uhum. Bom, 2007, criação do Beacon, que era uma questão que se conectava com lojas. Então, você fazia uma compra numa loja e aparecia no feed que você interagiu com aquela loja. No início, o opt-out era difícil, depois virou opt-in. E a gente buscou também trazer aqui alguns exemplos, obviamente, de coisas não só importantes, mas também (15:01) problemáticas e críticas. Isso hoje é uma zona, né, Guilherme? Isso, hoje, não tem aplicativo que tu olhe que não tenha uma integração com o Facebook, mas enfim. Sim, importante dizer que não é aquele beacon de ficar te perseguindo na internet, como às vezes ocorre com os cookies. Aqui, “Beacon” mesmo era o nome de uma integração de lojas com o Facebook, mas a gente também tem o beacon que faz às vezes de um cookie, mas isso é outro problema. 2012, eles mudam a sistemática de acesso. E aí vai ser interessante porque tem um (15:43) link ali também do TechCrunch que mostrava como era antes. A gente até já abordou esse, se quiser mostrar aí, Vinícius, na tela. A gente tem esses elementos aqui. Esse link aqui mostra a mudança que ocorre lá em 2012 na sistemática de acesso. Ou seja, houve um momento ali, hoje isso… Houve um momento que era muito comum que eu tivesse uma série de aplicativinhos que ficavam consumindo os dados do Facebook. Joguinhos… Teve o grande momento do Angry Birds. Hoje, o Angry Birds é um produto, filme e brinquedos, (16:24) mas era um joguinho lá das antigas. E ele precisava de um consentimento, e 2012 marcou um pouco a forma como eles passaram a deixar esse consentimento mais diluído ao longo do tempo. E isso, ali em 2012, fica bem claro. A gente foi perdendo o controle que nós tínhamos sobre o que a gente queria fazer dentro da rede. E esses fatos passados aqui mostram um pouco isso. Mas a própria relação que a empresa tinha com os nossos dados foi se alterando ao longo do tempo. Então, isso ocorre em 2012. Esses aplicativos podiam (17:06) postar em nome da pessoa dentro da própria rede, seja para mostrar “fulano de tal está jogando Fazendinha”. Não lembro se Fazendinha… Ah, não, Fazendinha tinha, tinha. Eu lembro, tinha. Quando eu usava o Face ainda, eu via muita gente jogando Fazendinha. Fazendinha não era do Orkut? Agora estou em dúvida. Não, tinha no Face, cara. Tinha no Face. Até eu lembro de pensar: “O que o pessoal tem tempo de ficar fazendo isso?”. Mas, enfim. 2012 também, Vinícius, isso (17:37) ocorreu em 2012, mas foi revelado em 2014. Aconteceu algo que a gente falou diversas vezes aqui nesses 13 anos que estamos gravando, que foi aquele infame estudo feito no Facebook. Não sei se tu quer falar um pouquinho sobre ele também, do contágio emocional. O Vinícius sempre comenta, sempre traz. Eu trago esse estudo. Eu acho que ele já deve estar nos show notes de alguns episódios, esse estudo. Mas é um estudo que, se tu procurar por “PNAS” e “Facebook emotional”, ah, tenho aqui já. (18:23) tu vai achar esse cara. A gente vai botar de novo o link lá para vocês poderem olhar. Faltou o link desse aqui, mas sim. Não, eu já estou com ele aqui, ó: “Experimental Evidence of Massive-Scale Emotional Contagion Through Social Networks”. Então, está de novo essa “tralha” aqui. Mas, enfim, nesse artigo, os próprios funcionários do Facebook fizeram um estudo para ver se era possível o contágio emocional em massa. E não vamos dar detalhes desse artigo aqui agora, a gente já falou várias vezes, mas, no final das contas, chegaram à conclusão (18:59) que sim, que é significativo o contágio emocional. Eles analisaram seiscentas e poucas mil… Eles usaram no estudo seiscentas e poucas mil pessoas. Elas не foram informadas que estavam participando do estudo, e eles manipularam justamente a timeline dessas pessoas, o news feed dessas pessoas, para coisas mais positivas, mais negativas e depois mediram o impacto vendo a reação dessas pessoas nas suas próprias postagens. E isso gerou uma baita confusão. A universidade citada lá, não vou falar o nome agora porque não lembro o nome (19:30) da universidade onde o estudo foi feito. Não sei se tu tem à mão aí, se tu consegue ver, Guilherme. Ah, Princeton. E a própria universidade chegou a se manifestar dizendo que ela não tinha… a confusão foi tanta que era assim, que ela não tinha nada a ver com esse estudo. Porque o pessoal começou a discutir: “Mas e cadê o comitê de ética da universidade?”. Porque os caras fizeram um estudo sem avisar as pessoas que elas estavam participando, etc. E simplesmente usaram a ideia de que, se tu aceitou os termos, então eles (20:02) podiam te usar para fazer o estudo. Então, isso foi publicado com o nome do pessoal todo lá do Face que participou. E eles, efetivamente, demonstraram a possibilidade de contágio emocional em massa, que é significativo. Quando a gente fala em pesquisa, tem essa coisa que é significativa. O contágio emocional dentro daquele grupo que eles fizeram o estudo… Ele diz que “estados emocionais podem ser transferidos a outras pessoas via contágio emocional, levando as pessoas a experimentar…” (20:36) “Experienciar” é terrível, mas horrível essa palavra. A experimentar, talvez, as mesmas emoções sem “without awareness”, sem a sua consciência, sem estarem conscientes disso. E por que isso está aqui? Gente, esse estudo mostra, em 2012, algo que ainda passa despercebido. Mas o que este estudo demonstra, e o que todas as redes sociais, talvez umas mais, outras menos, foram fazendo depois de 2012, foi se aproveitar dessa possibilidade de os próprios mantenedores da rede realizarem em ti certas mudanças, certas (21:28) induções. Primeiro, induções que alguns poderiam dizer que hoje chegariam até mesmo a manipulações. Assim, a forma como tudo isso funciona hoje, sem entrar no fato de se estão ou não manipulando, me parece que sim, em alguns casos. A própria questão das compras. Será que a gente sabe o que a gente compra mesmo? As pessoas, de maneira geral… A gente ainda bloqueia, né, Vinícius? Além de usarmos pouquíssimo as redes sociais, a gente bloqueia nos nossos navegadores. É muito engraçado quando eu vejo o navegador de uma outra pessoa com propaganda. É uma outra (22:05) internet. Nossa, é outra coisa, é outra internet. Mas a grande maioria das pessoas acaba sendo levada a certos comportamentos. As empresas sabem disso, e a infraestrutura de redes sociais existente hoje permite, se eles quiserem, realizar isso de forma comprovada pelo estudo: contágio emocional, manipulação ou, ao menos, indução das pessoas em larga escala. 2012, então, compra o Instagram e é feito o IPO, um dos maiores à época em 2012, do Facebook. 2013, vem o caso Prism, que a gente falou aqui já. Em 2013, já gravávamos o (22:54) podcast Segurança Legal, e o Facebook era uma das empresas a que o governo americano teve acesso. Então, tem episódio aí se você quiser entender o caso Prism. Já vai fazer 12 anos, né, Vinícius? Parece que foi ontem. 2014, é engraçado, também vai fazer 11 anos, mas em 2014, o WhatsApp é comprado. E o WhatsApp, também, essa é uma outra coisa, embora não seja bem uma rede social, é um aplicativo de comunicação, ele passa a ter algumas funções de redes sociais com grupos, hoje. Mas o Facebook (23:30) compra, e depois de 2014, 11 anos, por 19 bilhões, compra o WhatsApp. O WhatsApp acabou entrando nas discussões do Facebook quando, por exemplo, políticas de dados que são gerados… Porque no WhatsApp a conversa pode ser criptografada, mas quem falou с quem, você sabe com quem a pessoa falou, com qual frequência e o horário. Então, esses metadados podem ser importantes para uma série de outras funções, e de fato, o Facebook usa essas informações. Teve toda aquela questão aqui no Brasil dos consentimentos, e enfim, isso também aconteceu e envolveu (24:10) as inter-relações entre todas essas redes. 2016, aí tem todo aquele problema. Aí, sim, já começa a alegação de fake news e teorias da conspiração nas eleições, inclusive com a promoção de anúncios para influenciar as eleições dos Estados Unidos. E aí, dizem, Guilherme, dizem, quando a gente for entrar lá, a gente vai voltar nesse evento, porque esse momento é muito importante no que diz respeito à preocupação de regulação e punição das redes nos Estados Unidos, que leva (24:49) mais tarde ao desentendimento com o governo Biden. Mas, aí, depois, isso fica para o futuro. [Música] Pois ali, em 2017, tem um vídeo, também vai ficar no show notes, do Sean Parker. Esse vídeo, Guilherme, eu vou fazer o seguinte: eu vou botar o vídeo aqui para vocês verem, sem áudio, e eu vou dizer para vocês o que foi dito em português. Ele diz o seguinte: “Só Deus sabe o que isso está fazendo com o cérebro de nossas crianças”. Ele está falando do Facebook, e ele foi o primeiro presidente do Facebook. E ele (25:26) disse: “Esse processo de pensamento era todo focado em: ‘Como podemos consumir ao máximo o seu tempo e a sua atenção consciente?’. E isso significa que precisamos dar a você uma pequena dose de dopamina de vez em quando, por meio de curtidas, etc. E isso vai fazer com que você contribua com mais conteúdo, e isso vai gerar mais curtidas e comentários”. É um ciclo de retroalimentação de validação social. É isso que ele está falando nesse vídeo. E ele fala: “Os criadores”, ele está falando do Facebook, “os criadores do Facebook entendiam isso (25:58) conscientemente e, mesmo assim, nós fizemos”. Não tem toda a conversa aqui, não estou dizendo tudo o que ele falou, mas estes são só os principais destaques. Mas o que ele fala nesse vídeo é que eles encontraram um jeito de hackear a mente humana, sabe? E quando ele fala esse “hackear” é muito interessante. Deixa eu ver se acho a expressão dele aqui. É nesse momento aqui que ele fala de hackear. E ele se dá conta, e é nesse momento que ele está comentando isso. Eu lembro desse vídeo. Então, isso aqui aconteceu em 2017, em que (26:39) ele vem… ele era o presidente, já era ex-presidente do Facebook, mas foi o primeiro. Então, ele está admitindo que o objetivo é, efetivamente, manipular as pessoas e de forma consciente. Então, ex-presidente do Facebook, e o primeiro. Sim, isso foi em 2017, pré-Cambridge Analytica, que o Vinícius já vai falar um pouco sobre. Mas eu só quero destacar uma coisa aqui que eu acho importante: isso demonstra que eles já estavam conscientes de que a presença na rede (27:18) social é importante. Fazendo um cálculo muito simples e básico: quanto mais pessoas ficarem mais tempo dentro da minha rede, mais publicidade eu vendo. Claro, exato. Então, a busca por presença, por engajamento, chegou a um momento em que a busca pela presença acabou culminando na busca pelo engajamento. Porque quanto mais engajamento você tiver, mais tempo você passa lá. Pega uma coisa muito simples: o Instagram tem uma feature, para mim não é uma feature, mas certamente para eles é, você não consegue colocar links no Instagram. Você já percebeu (27:59) isso? Eu quero te… “Ah, tem essa reportagem aqui”. Eu não consigo colocar um link para a reportagem. Eu tenho que, no browser, copiar aquele link. Por quê? Porque eu quero que você fique mais tempo lá. O X, hoje, traz menos conteúdos que te tiram do X. Ele coloca tweets que tenham links, no algoritmo de recomendação, ele recomenda menos. Então, se eles perceberam tudo isso e, se num primeiro momento, perceberam que podiam fazer isso para vender publicidade, passaram a se perguntar: “Mas, (28:38) se eu consigo fazer isso para vender publicidade, o que mais eu posso fazer com esta máquina?”. O Max Fisher, existem muitos livros sobre tudo isso que a gente está falando, mas acho que o do Max Fisher, “A Máquina do Caos”, explica um pouco essas possibilidades. E aí vem a pergunta: o que mais que eu posso fazer se eu consigo vender coisas para as pessoas? O que mais eu consigo fazer com essa máquina que eu tenho nas mãos? E eu acho que o caso Cambridge Analytica, em 2018, demonstra um pouco isso, Vinícius. É só conclusão, é talvez (29:09) praticamente o ápice, pelo menos até 2018, daquilo que a gente já vinha vendo. Então, eles fazem aquele estudo do contágio emocional. 2017, o Sean Parker deixa bem claro que eles sabem o que está acontecendo e querem explorar isso, estão hackeando os seres humanos para fazer com que eles fiquem mais tempo na plataforma. E, em 18, a Cambridge Analytica, que, por meio de um pesquisador que tinha um certo acesso no Facebook, ele teria abusado desse acesso sem conhecimento do Facebook. Ele fez uma análise comportamental das pessoas, ele fez, então, um sistema que, (29:44) acessando os dados das pessoas no Facebook, ele começou a fazer posts e campanhas voltadas para manipular as pessoas dentro do contexto de cada uma delas, botando medo em uma para que ela não vá votar, botando medo na outra para que ela vote de uma forma x ou y. E isso foi um escândalo. Eles chegaram a acessar os dados de cerca de 50 milhões de pessoas e deu uma, vamos dizer, uma grande confusão. Não sei se tu queres acrescentar algum detalhe aí, Guilherme. Mas isso foi utilizado para manipular a eleição. Foi (30:22) utilizado para manipular ou para não manipular, mas para influenciar de maneira significativa as eleições. Foi utilizado para influenciar a questão do Brexit. E, nesse caso, dizem que teve um papel fundamental nessa questão do Brexit. Os ingleses estão meio arrependidos, mas não têm muito o que fazer agora. Tem um vídeo do Channel 4, uma matéria com tudo isso muito bem documentado. E aí, o Zuckerberg é chamado, então, para uma audiência no (31:00) Senado para falar sobre isso. Então, a gente tem mais informações sobre isso lá no episódio 148, Guilherme, que é o episódio do Cambridge Analytica, e 149. 48, Cambridge Analytica; 49, audiência no Senado. Então, 48 e 49, que são a sequência dessas ocorrências. Bom, e aí vai. 2019, multa de 5 bilhões pela FTC por violação de privacidade. 2020, denúncias de que o Facebook tem negligenciado o controle de conteúdo de desinformação na Índia, (31:42) o que teria causado, inclusive, danos físicos para as pessoas. Também tem reportagem aqui. 2021, a whistleblower Frances Haugen trouxe uma série de documentos mostrando algumas das práticas internas bem problemáticas, seja tratando políticos e celebridades de forma diferente nas suas questões de moderação e, principalmente, documentos internos demonstrando que eles tinham ciência de como o Instagram afetava a saúde mental, principalmente de meninas, de adolescentes. Isso é muito importante, porque a gente está falando sobre todos esses problemas, essas (32:16) questões que a gente viu até hoje, mas não podemos esquecer que também tem adolescentes — crianças não deveriam, mas temos adolescentes — dentro dessas redes também, e que, eventualmente, um afrouxamento de certos controles pode causar problemas para essas pessoas. 2021, vazamento de dados de 533 milhões de pessoas. E, a partir daí, o Facebook começa a se envolver mais… Eu acho que dá para parar aqui em 2021, até pelo tempo, Vinícius. Mas começa a ter uma série de envolvimentos políticos mais evidentes. A gente vai falar um pouco depois do caso de Myanmar, que foi muito (32:56) muito crítico. Sim, isso, a ONU, inclusive, trouxe relatórios comprovando que a negligência, pelo menos na moderação de certos conteúdos de desinformação, levaram a um problema de eliminação étnica dentro de Myanmar. Lembrando, tudo isso que nós falamos está documentado. Vamos tocar o áudio, Vinícius? Vamos lá. E essas várias coisas que tu citou aí, Guilherme, essa questão da multa de 5 bilhões, Cambridge Analytica, o início daquela coisa no Senado e tal, isso teria começado a balançar o tal do acordo que (33:38) nós vamos falar no próximo episódio. Deixa eu botar aqui, então, o vídeo dele com o nosso áudio, pera aí. “Ei, pessoal. Quero falar sobre algo importante hoje, porque é hora de voltarmos às nossas raízes em torno da livre expressão no Facebook e Instagram. Eu comecei a criar redes sociais para dar voz às pessoas. Fiz um discurso em Georgetown há 5 anos sobre a importância de proteger a livre expressão e ainda acredito nisso hoje. Mas muita coisa aconteceu nos últimos anos. Houve um grande debate sobre possíveis danos causados por conteúdo (34:12) online. Governos e a mídia tradicional pressionaram cada vez mais por censura. Boa parte disso é claramente política, mas também existem coisas realmente ruins por aí: drogas, terrorismo, exploração infantil. Levamos tudo isso muito a sério e quero ter certeza de que lidamos com responsabilidade. Por isso, construímos vários sistemas complexos para moderar conteúdo. O problema com sistemas complexos é que eles cometem erros. Mesmo que censurem acidentalmente apenas 1% das publicações, isso afeta milhões de pessoas. Chegamos a um ponto em que há (34:47) erros demais e censura demais. As eleições recentes também parecem ser um ponto de inflexão cultural para voltarmos a priorizar a liberdade de expressão. Então, vamos retornar às nossas raízes e focar em reduzir erros, simplificar nossas políticas e restaurar a livre expressão em nossas plataformas. Mais especificamente, aqui está o que faremos. Primeiro, vamos nos livrar dos verificadores de fatos e substituí-los por notas da comunidade, semelhantes às do X, começando nos EUA. Depois que Trump foi eleito pela primeira vez em 2016, a (35:21) mídia tradicional falava sem parar sobre como a desinformação era uma ameaça à democracia. Tentamos, de boa fé, tratar essas preocupações sem nos tornarmos os árbitros da verdade, mas os verificadores de fatos se mostraram muito tendenciosos politicamente e acabaram destruindo mais confiança do que criaram, especialmente nos EUA. Ao longo dos próximos meses, vamos introduzir um sistema de notas da comunidade mais abrangente. Segundo, vamos simplificar nossas políticas de conteúdo e acabar com uma série de restrições sobre assuntos como imigração e gênero que estão distantes do discurso (35:56) predominante. O que começou como um movimento para ser mais inclusivo passou a ser usado cada vez mais para silenciar opiniões e excluir pessoas com ideias diferentes, e isso foi longe demais. Quero ter certeza de que as pessoas possam compartilhar suas crenças e experiências em nossas plataformas. Terceiro, vamos mudar a forma como aplicamos nossas políticas para reduzir os erros que representam a maior parte da censura em nossas plataformas. Antes, tínhamos filtros que analisavam qualquer violação de política. Agora, vamos focar esses (36:28) filtros em violações ilegais e de alta gravidade. Para violações de menor gravidade, vamos depender de alguém sinalizando o problema antes de tomarmos uma atitude. O problema é que os filtros cometem erros e removem muito conteúdo que não deveriam. Então, ao reduzir a atuação deles, vamos diminuir drasticamente a quantidade de censura em nossas plataformas. Também vamos ajustar nossos filtros de conteúdo para exigir muito mais confiança antes de remover qualquer publicação. A realidade é que isso é uma troca. Significa que vamos interceptar menos conteúdo nocivo, mas (37:00) também vamos diminuir o número de posts e contas de pessoas inocentes que removemos acidentalmente. Quarto, vamos trazer de volta conteúdo cívico. Por um tempo, a comunidade pediu para ver menos política porque isso os deixava estressados, então paramos de recomendar essas publicações. Mas parece que estamos em uma nova era agora e começamos a receber feedback de que as pessoas querem ver esse conteúdo de novo. Então, vamos começar a reintroduzi-lo no Facebook, Instagram e Threads, tentando manter as comunidades acolhedoras e positivas. Quinto, vamos (37:34) transferir nossas equipes de segurança, confiança e moderação de conteúdo para fora da Califórnia, e nossa revisão de conteúdo nos EUA ficará baseada no Texas. À medida que trabalhamos para promover a livre expressão, acho que isso vai ajudar a construir confiança ao fazermos esse trabalho em lugares onde há menos preocupações sobre a parcialidade de nossas equipes. Por fim, vamos trabalhar com o presidente Trump para resistir aos governos ao redor do mundo que estão agindo contra empresas americanas e pressionando por mais censura. Os Estados Unidos têm as proteções constitucionais (38:05) mais fortes do mundo em relação à livre expressão. A Europa tem um número cada vez maior de leis que institucionalizam a censura e dificultam a criação de qualquer coisa inovadora por lá. Países da América Latina têm tribunais secretos que podem ordenar que as empresas removam conteúdo silenciosamente. A China censurou nossos aplicativos, impedindo seu funcionamento no país. A única maneira de resistir a essa tendência global é com o apoio do governo dos EUA, e é por isso que tem sido tão difícil nos últimos 4 anos, quando até o governo americano pressionou pela censura, agindo (38:37) contra nós e outras empresas do país, encorajando outros governos a irem ainda mais longe. Mas agora temos a oportunidade de restaurar a liberdade de expressão. Estou empolgado em aproveitá-la. Vai levar tempo para fazer isso direito, e esses sistemas são complexos. Nunca serão perfeitos. Também há muito conteúdo ilegal que ainda precisamos remover com muito cuidado. Mas, em resumo, depois de anos focando nosso trabalho de moderação na remoção de conteúdo, chegou a hora de focar em reduzir erros, simplificar nossos (39:08) sistemas e voltar às nossas raízes de dar voz às pessoas. Estou ansioso por este próximo capítulo. Fiquem bem por aí e mais novidades em breve.” Nós não vamos tecer comentários nesse momento sobre o que ele falou, porque tem coisas que são reais e tem coisas que, obviamente, são exageros ou até não são realidade. Mas a gente vai parar por aqui, para que você, dado esse histórico que a gente deu, e agora com essa ação do Facebook após a vitória do Trump, isso tem que ficar bem claro, e que gerou toda essa discussão, a gente vai (39:53) voltar no episódio número… na segunda parte deste episódio para discutir os desdobramentos disso, discutir o que ele disse, os impactos disso. E faça você também a sua análise, Guilherme, para a gente chegar numas… E tenta fazer de uma maneira fria, porque, dependendo de como, com que olhar, se a gente misturar política na história — e tem política misturada na história, isso que torna mais difícil —, dependendo da visão que você tem, você vai encontrar problemas diferentes nessa história. Então, a gente vai tentar, considerando o (40:34) histórico que a gente tem aqui, considerando o que ele disse e fatos que a gente consegue levantar, a gente vai tentar jogar um pouco mais de luz sobre essa atual situação. Certo? É isso aí, Guilherme. Bom, então, eu acho que era isso. Dividido em dois episódios, então, fique atento para que agora, em fevereiro, também… As modificações… Enquanto a gente falava, eu já vi, teve uma nova notícia aqui: o governo tinha certas ligações com o Facebook para realização de (41:12) controles de desinformação, sobretudo nas eleições, inclusive com o TSE. E parece que essas parcerias do governo com as redes sociais para conter desinformação, eles estão bem preocupados de que isso pode desaparecer. Não acredito que irá desaparecer. Então, o fato ainda está acontecendo, o que também nos motiva a dividir isso em duas partes, porque você que acompanha o Segurança Legal sabe que a gente gosta de ter uma certa distância dos fatos. E eu acho que esse período dessa distância vai nos permitir fazer isso. (41:50) Vinícius, e eu, enquanto isso, estava procurando o podcast. Mas não estou encontrando, Vinícius, porque ele está no meu outro telefone. Achei, achei aqui. O pod… é que eu tenho um telefone só de podcasts. Estação Brasil é um podcast sobre história. O cara é professor de História, evidentemente. Quer dizer, evidentemente não, mas ele tem 64 episódios já e é muito interessante, porque você vai encontrar… Eu tenho lido um pouco mais sobre o período imperial, o período colonial e (42:36) tal. Então, você tem, ele fala sobre o período, primeiro reinado, segundo reinado. Então, essa parte que eu tenho lido, ele explica bem e traz uma série de coisas sobre a história do Brasil: Segunda Guerra, FHC e Lula, aproximações, Brasil Imperial, Brasil colonial, faz algumas ligações com literatura, “Memórias Póstumas de Brás Cubas”, fala sobre Gilberto Freire, critica um pouco a ditadura militar, aí tem quatro episódios. Enfim, quem gosta de história, eu estou gostando, faz ligação com música, Semana da Arte Moderna de 1922. Então, (43:17) estou gostando, estou ouvindo aos poucos aqui, estou gostando. Então, fica a recomendação, a pedido do Vinícius. Eu nem ia recomendar, mas… Perfeito, perfeito. Então, tá, Guilherme. Bom, vamos encerrar aqui. Depois, a gente tem mais uns minutinhos ali no YouTube para quem estiver acompanhando, e aí eu vou dar mais algumas informações extras para quem está no YouTube. Esperamos que, para quem está no YouTube, dê o joinha. Se não deu o joinha, para de assistir. Mas, assim, pessoal que está aqui, então, (43:48) no feed, muito obrigado por terem nos acompanhado até aqui e esperamos nos encontrar em breve, no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima, Guilherme. Eu achei onde deu o rebu. Quando eu copiei aqui, deixa eu só ver. Por alguma razão, ele não está copiando toda a transcrição, o que é muito estranho. Já peguei vídeos bem mais longos… Ah, não, cara, está certo aqui. Está inteirinho. Faltou um ponto só aqui no final, mas o nosso problema foi no ChatGPT, que eu fui fazer a tradução. (44:43) Quando eu fiz a tradução, quando eu copiei e colei lá para fazer a tradução, entrou no limite de caracteres do GPT. Então, eu vou tirar de novo agora, vou fazer de novo, vou gerar o áudio de novo e vou colocar, vamos anexar no final aqui do vídeo. Uhum. Então, para você que acompanhou até agora, pode ouvir todo o áudio completo. Pode pular para a parte que ele estava falando ali para não atrapalhar no meio do caminho, e a gente ajusta. A gente vai ajustar na edição. Então, para quem vai ouvir, vai ouvir o áudio completo. Aí tu pode colocar com um sinalzinho: “Ó, pessoal, aqui está (45:29) ajustado”. Daí toca a ficha, vê como tu faz melhor. Eu vejo o que eu faço. Ou, numa dessa, Guilherme, até como a gente tem a oportunidade de editar o vídeo antes de subir, a gente pode… Então, quem estiver assistindo aqui, talvez a gente tenha editado o vídeo, dado uma pausa, estendido ali um pouco a parte do áudio, só dar um “repete” ali o vídeo que a gente está parado ouvindo ele, dá um looping ali e a gente coloca todo o áudio dali embaixo também. Pode ser, acho que também rola. Se a gente fez isso ou não, quando (46:00) você está ouvindo isso aqui, você já descobriu o que aconteceu. Já é passado. Boas férias, bom recesso. Obrigado, até fevereiro. Um beijo. Outro. Valeu, tchau.  

Neste episódio comentamos a retrospectiva completa de 2024, onde você descobrirá os principais acontecimentos que moldaram a segurança da informação, o direito da tecnologia e a evolução da inteligência artificial ao longo do ano.​ Guilherme Goulart e Vinícius Serafim mergulham nos tópicos mais quentes de 2024, analisando o avanço da regulação da IA na Europa com o AI Act e as movimentações da ANPD no Brasil, que lançou regulamentos cruciais sobre incidentes e o papel do encarregado de dados. O debate aprofunda-se na controversa relação entre Elon Musk, o Twitter (X) e o STF, um marco na discussão sobre a soberania digital e o poder das Big Techs. A conversa também aborda a privacidade, a ascensão de novas redes sociais, e as projeções para 2025, incluindo o combate à desinformação e o futuro da cibersegurança e da governança de dados. Para não perder futuras análises, siga e avalie nosso podcast.​  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing 📝 Transcrição do Episódio (00:02) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o último Segurança Legal de 2024, seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. (00:18) E aí, Vinícius, tudo bem? (00:19) E aí, Guilherme, tudo bem? Olá aos nossos ouvintes. Quase me matou com esse “último”. O último de 2024, eu quase morri de susto. (00:28) Sempre lembrando que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de temas. Vocês já sabem, podem nos contatar pelo [email protected] e também nos achar no YouTube, no Mastodon ou no BlueSky como @direitodatecnologia.com e @serafim.br, além do @segurancalegalpb.social e também no Instagram. (00:54) E também temos a nossa campanha de financiamento coletivo lá no Apoia-se: apoia.se/segurancalegal. Hoje vamos trazer alguns números, inclusive desses últimos, desse último ano. (01:05) Tem o blog da BrownPipe, você já sabe, lá no brp.com.br, onde você consegue encontrar as notícias — algumas delas que vêm aqui para os Cafés — e também onde você consegue se inscrever no mailing semanal. (01:17) A gente já comentou aqui no YouTube, né, Vinícius? Então, se você quiser ver o episódio — não é bem aqueles mesacasts —, mas se você quiser nos ver, também há essa possibilidade de acompanhar lá pelo YouTube. (01:31) E eu acho que vamos começar aqui, Vinícius, esse último episódio de 2024, com primeiro um agradecimento aos ouvintes e aos apoiadores, porque, ao longo desses 12, indo para 13 anos de gravação, não adianta, embora seja um exercício que a gente faça porque a gente gosta, o projeto é feito para os usuários. (01:54) E também a gente agradece àqueles que nos apoiam. Inclusive, teremos um sorteio, né, Vinícius? (01:59) Sim, vamos fazer um sorteio para os nossos apoiadores. Nós vamos comunicar para não dar o nome de todo mundo aqui. Nós vamos comunicar o pessoal no grupo, tá? Então, lá no grupo que nós temos no Telegram, a gente vai comunicar os vencedores. O sorteio tem vencedor? Ganhador? Sei lá. (02:22) Os escolhidos. E eu estava passando a conversa para o Guilherme na semana passada que nós temos que fazer umas canecas novas. Vamos ver se a gente faz alguma coisa diferente, talvez com o login da BrownPipe também, com o Sherlock prateado da BrownPipe junto na mesma caneca. O nosso pessoal que faz as canecas, vocês quando receberem, os ouvintes que receberem, ela tem lá uma tintinha que é brilhante, assim, meio metalizada. Então, acho que funcionaria bem. Eles são bons, eu achei que fica bonito. (02:59) Mas, enfim. Eu ainda acho que tem que ser xícara, porque eu perdi essa discussão de xícara e caneca. Isso já foi, cara. Mas, se bem que, já há muito tempo, os nomes, as palavras não importam mais. Com desinformação, inteligência artificial, você pode dizer qualquer coisa de qualquer coisa que não tem mais importância. Agora que eu fui tocar nisso, vamos para a retrospectiva antes que a gente entre numa discussão filosófica aqui. (03:27) Bom, você que nos acompanhou, Vinícius, até aqui, tem alguns numerozinhos. Lembrando apenas que a nossa última retrospectiva — isso foi bastante curioso —, a gente fez em 2020 e depois nós não fizemos mais. (03:43) A gente não fez mais retrospectiva, é verdade. Mas, assim, um pouco também, uma das vezes eu lembro, eu estava tentando lembrar, era assim: cara, retrospectiva você para e olha para trás e começa a ver o que já foi o ano. Acho que a gente teve alguns anos meio cansativos, foram anos meio puxados aqueles. A gente queria mais que passassem logo de uma vez. Talvez por isso a gente não tenha feito. Eu lembro de estar meio cansado no final daqueles anos ali. Talvez por isso, não sei. Mas, enfim, dessa vez vai sair. Vamos lá. (04:26) Bom, então, alguns números aqui, Vinícius e pessoal. Nós tivemos nesse ano 28 episódios, no ano de 2024, sem contar com esse. Mas seriam 29, enfim. 28, que daria 2,3 episódios por mês. Foram 33 horas e 33 minutos. Olha esse número, 33, número cabalístico. (04:44) E o maior episódio que nós gravamos nesse ano foi o episódio 358, que foi um Café que demorou 1 hora e 51 minutos. Quase um Xadrez Verbal. Não chegou no Xadrez Verbal, que já chegou a 6 horas e pouco dias desses. O último acho que foi 6 horas e pouco. (05:05) E nós também temos alguns números de plays. E aí é importante destacar que nós temos dois grandes medidores: os que a gente tem dos agregadores e os registros que a gente tem lá do Spotify, que não são muito bons. A gente consegue ver, por exemplo, no Spotify, o número de inscritos, que são 3.768 seguidores. Ele chama de seguidores. (05:28) O que não significa que todos eles escutem sempre, mas a maioria do tráfego vem dos agregadores. Tanto que a gente tem aqui os números, por exemplo, do episódio mais ouvido, que foi o Café 365, que teve 4.518 views. Para nós é muito bom, porque a gente sempre fica ali em 1.000 e pouco. (05:58) Depois, o segundo mais ouvido foi o 360, com 1.371, ambos Cafés. Ao longo do ano, foram 37.118 plays pelos agregadores, e dá para contar mais ou menos 1/3 disso pelo Spotify. (06:24) Claro, é um podcast de nicho, Vinícius. Enfim, tem uma pegada um pouco diferente aqui. Claro, não vai ter aqueles milhões e milhões de views que, às vezes, a gente vê em outros conteúdos publicados na internet. Mas a gente considera um número interessante. (06:44) Cara, se tu parar para pensar, vocês, nossos ouvintes, a gente acaba tendo, como é nichado, um público certamente qualificado, um público que tem uma preocupação ou um tipo de interesse específico de entender não só a tecnologia. Porque, se tu quer entender a tecnologia pela tecnologia, talvez tenha outros podcasts que tu possa ir atrás. Mas a gente tem essa visão, claro, da segurança da informação, proteção de dados e tal. E sempre que a gente vê a tecnologia, a gente vê por um ponto de vista crítico. A gente sempre pensa nos impactos, a gente procura ir um pouco mais a fundo, Guilherme. (07:29) Embora nós sejamos entusiastas da tecnologia. Eu gosto de experimentar coisas novas, eu gosto de testar tudo que é ferramenta que eu encontro. Mas, então, além dessa questão que nós temos, desse entusiasmo, a gente também tem essa coisa de olhar com um pé um pouco mais atrás, com um pouco mais de calma. E o nosso ouvinte, quem nos acompanha, eu acho que compartilha um pouco disso com a gente, dessa coisa mais reflexiva, mais “slow”. (08:10) Então, cara, considerando só no Spotify 3.768 seguidores, meu Deus do céu. E mais o pessoal que nos acompanha por outros agregadores, eu fico bastante feliz, cara. Porque, em quantos eventos a gente já foi falar que tinha esse número de pessoas, 4.000 pessoas, entende? Nós fazíamos muitas palestras juntos, a gente fez muito evento junto, presencial, a gente viajava pra caramba junto. E mesmo nos últimos anos que a gente tem feito coisas presenciais, cara, é difícil um evento com 1.000 pessoas. (08:55) Nesses 12 anos, cara, mudou bastante o cenário da segurança, o cenário de eventos, o tipo de conteúdo que chama a atenção das pessoas. E, em face disso, também o foco da atenção. Nós, por exemplo, perdemos bastante ouvintes ao longo do tempo. Eu até não preparei aqui os dados de todos esses 12 anos, até porque a gente nem tem, acabou perdendo no meio desse período. Mas, mais para o início ou para o meio do podcast, a gente tinha 4.000, 5.000 views, dá para se dizer, pessoas nos ouvindo por episódio. Hoje a gente baixou para 25% disso. Eu atribuo, claro, também a uma diluição da atenção. As pessoas têm muito mais, a quantidade de podcasts que eu, por exemplo, tenho aqui cadastrado me faz diluir a minha atenção. (09:59) A nossa base de apoiadores também, até quase como uma prestação de contas aqui, Vinícius, ela mudou bastante ao longo desse tempo. Eu tenho aqui, por exemplo, os dados desde 2018. A gente começa 2018 com 37, 2019 com 101, depois 2020 com 78, 2021 com 48, 2022 com 43, 2023 com 39 e, hoje, nós temos 43 apoiadores. É um número interessante. A gente mais uma vez agradece os nossos apoiadores. (10:44) Mas, claro, nesse meio tempo a gente também teve aquela questão do PicPay. O PicPay nos deixou na mão, ele deixou de receber os apoios e grande parte do pessoal que estava no PicPay acabou não retornando. Esses números que eu dei são só do Apoia-se, então a gente acabou perdendo um pouco por conta do PicPay. Mas é um número interessante, porque as pessoas aqui, claro, elas fazem parte do nosso grupo lá no Telegram, mas, quando você ajuda um projeto como esse, você ajuda porque gosta do conteúdo, porque quer ajudar e tudo mais. Então a gente traz aqui esses números para que vocês também tenham uma ideia. (11:29) E a gente tem aqui, eu tinha, Vinícius, de todo esse período, de todos esses 12 anos que a gente está no ar, o episódio mais ouvido foi o número 133, “Fundamentos de Segurança da Informação”, lá de 2017, com 6.580 views. Eu imagino que seja um episódio ouvido pelo pessoal de faculdade. Essa ideia de “fundamento de segurança”, provavelmente alguém que está fazendo cadeira de segurança ou alguma coisa do gênero acaba encontrando e ouve. (12:02) E uma coisa bem importante, Guilherme, é dizer o seguinte: o podcast, a gente sempre deixou isso muito claro, iniciou antes da BrownPipe, mas a gente fez com o objetivo de divulgar também o nosso trabalho. Embora a gente faça muito pouca propaganda em termos comerciais, a gente não é muito bom nesse sentido. Acho que, muito frequentemente, a gente esquece de fazer as propagandas da BrownPipe. A gente põe no roteiro, mas se empolga com o assunto e esquece. (12:31) Mas, para nós, é muito importante a divulgação do podcast, porque, uma vez que a gente o usa para divulgar o nosso trabalho, as nossas personas como pessoas que atuam na área de segurança e proteção de dados, etc. Então, a todos aqueles que em algum momento apoiaram ou divulgaram o Segurança Legal, recomendaram o Segurança Legal, também vai o nosso agradecimento, porque também é uma forma de apoio ao nosso trabalho. (13:07) Nós temos listados hoje 43 apoiadores com apoio financeiro direto, mas temos também aqueles que nos apoiam divulgando o podcast, recomendando. Então, você que faz isso, continue fazendo. E você que ainda não fez, se achar que vale a pena, que vai ser uma dica interessante para quem vai receber, por favor, indique o Segurança Legal. A gente agradece muitíssimo. (13:29) É um apoio meio anônimo. A gente acaba sabendo eventualmente. Às vezes chegam clientes para nós e a gente pergunta sempre para saber por onde vieram, e alguns já citaram: “Olha, eu ouço o podcast”. Teve um cliente nosso que já nos ouvia há 10 anos. Essa semana teve uma reunião, também um ouvinte. A gente tem um cliente que nós atendemos este ano, entre o final do ano passado e o início deste, que já era nosso ouvinte há 10 anos, acompanhando o Segurança Legal. Então, é muito interessante também, porque nos dá um retorno indireto, um retorno para toda a BrownPipe, que não tem só eu e o Guilherme, tem mais gente trabalhando com a gente. Acaba sendo um apoio anônimo, muitas vezes, mas para nós é bastante importante. (14:27) Bom, como vai ser a dinâmica aqui, pessoal? Nós vamos falar um pouquinho sobre o que rolou durante este ano, muito brevemente. A ideia… os episódios estão lá, você pode reescutar. Algumas ideias, de repente alguns avanços, dá uma comentada. O tempo vai passando e a gente acaba tendo mais elementos. (14:54) Por exemplo, este ano nós tivemos menos convidados, o que valoriza ainda mais aquelas pessoas que participaram em 2024 aqui no Segurança Legal. A gente teve o Lucas Lago, no episódio 367, em junho, falando sobre o Instituto Igarapé. E tivemos o pessoal do Iris, a Luísa Dutra e a Ana Bárbara Gomes, que nos ajudaram a entender um pouco mais sobre toda aquela dinâmica de monitoramentos estatais, que é um tema que está sempre forte aqui. (15:27) Embora a gente tenha visto, ao longo desses anos, várias dessas situações de monitoramentos estatais, 2024 foi um ano em que houve algumas situações bem interessantes. O primeiro episódio do Café, o 357, já vem com aquela ideia da “Abin paralela”, o caso da espionagem feito pela chamada “Abin paralela”, que não era paralela no final das contas. O cara aparelhou a Abin, era isso. (15:58) Isso nos chama a atenção, Guilherme. Quando a gente viu esse assunto de novo, chama a atenção para o mau uso desse tipo de mecanismo de espionagem, não só de agência, mas de mecanismos. E o quanto a gente precisa… É natural que um Estado precise de uma agência de inteligência, que essas ferramentas eventualmente sejam utilizadas. Mas também é muito importante que tenha algum tipo de monitoramento muito próximo do uso dessas coisas. “Quem vigia o vigia?”. (16:28) Tem que ter prestação de contas do uso desse tipo de agência e mecanismo, porque senão, dá-se abusos. E notem aqui, eu nem me refiro a abusos de políticos ou pessoas que estão no poder, de uma vertente política ou de outra, de esquerda, direita, seja o que for, mas do poder no momento. Então, é muito importante que a gente tenha recursos para acompanhar esses usos. Isso precisa ser mais aberto, nem que leve algum tempo, mas precisa ser, porque senão teremos problemas muito sérios. (17:13) Esse caso da Abin paralela acabou entrando também em todo o ano de 2024, o das invasões, dos atos golpistas e tudo mais. Alguns dos dados obtidos para algumas perseguições foram obtidos pelo caso da Abin paralela. Ou seja, um órgão de Estado sendo utilizado para perseguição política de jornalistas e opositores do governo, que é um negócio que a gente vê em outros regimes, outros países, e é complicado ver isso acontecendo aqui. (17:51) E aí tem o link, esse é o ponto. Claro que a gente fala aqui sobre segurança, tecnologia e sociedade. O foco é a tecnologia, a segurança, mas, cada vez mais, os mecanismos de controle e conformidade dessas ferramentas passam a estar diretamente ligados à manutenção dos próprios regimes democráticos. Violam-se princípios democráticos quando esses sistemas tecnológicos funcionam sem controle. (18:25) E tu tens não só esse uso político, digamos assim, desse tipo de mecanismo, mas tu tens o uso pelo crime também, como a gente gravou no primeiro episódio do Segurança Legal, que foi do sistema Consultas Integradas. E agora, em 18 de outubro, no episódio 378, nós tivemos o caso do Córtex. De novo, um uso de um sistema desses que agrega informação sobre as pessoas sendo utilizado pela bandidagem para ameaçar delegado, ameaçar juiz. (19:08) No caso de Consultas Integradas, usaram para matar… não, foi atentado ou mataram? Eles perseguiram uma juíza, mas acho que não chegaram a matar. (19:20) E no Córtex, que a gente comentou no 378, em outubro, a gente teve um delegado sendo ameaçado com dados tirados do Córtex. Então, é aquela coisa, Guilherme, acho que a gente vai continuar vendo esse tipo de coisa. Aconteceu esse ano algumas vezes, foi denunciado, pelo menos. E a gente tem que ter cada vez mais cuidado com relação a esse tipo de mecanismo. Eles devem existir? Eu acho que sim, existem justificativas para que existam. Só que os parâmetros da existência dessas coisas têm que ser muito bem avaliados, e nós não temos essa tradição. (20:01) A ANPD, nesse episódio 357, de fevereiro de 2024, a gente já começou falando sobre duas sanções da ANPD: uma para a Secretaria de Educação do Distrito Federal, em que houve um vazamento de dados de um formulário, e onde a ANPD marcou várias violações da LGPD (falta de registro de operações, não apresentação de relatório de impacto, etc.), e também uma outra sanção do INSS. (20:41) Começamos falando sobre as atuações da ANPD. Logo depois, também em fevereiro, episódio 358, mais ANPD. Uma nota técnica importantíssima que marcou uma posição da ANPD em relação aos serviços financeiros e bancários, que envolvia o compartilhamento de dados do INSS com instituições financeiras para o empréstimo consignado. Houve uma atuação da ANPD e fixou-se algo que a gente já sabia, claro, já estava fixado nas regras que regulam os correspondentes bancários: a responsabilidade do banco pelo ato dos correspondentes. (21:18) Foi uma nota técnica bastante importante e acabou se fixando uma tendência, já nas decisões judiciais durante este ano de 2024. A gente faz um acompanhamento aqui e a grande maioria, a maciça maioria das decisões envolvendo LGPD foram em relações bancárias, questões envolvendo prestação de serviços financeiros. (21:50) Também, Vinícius, em 2024, lá em fevereiro, episódio 358, foi o ano em que se começou toda aquela questão da proibição dos celulares em escolas. O primeiro foi o Rio de Janeiro. A gente teve a notícia de que o Rio de Janeiro proibiu celular em escolas por via de decreto. Isso foi logo no início do ano. Claro que, no resto do mundo, a discussão já começava antes, em 2023, ali em meados de junho, julho, no retorno das aulas. E esse assunto veio sendo discutido. (22:31) E aqui, Guilherme, eu acabei pulando: o programa espião do governo, o Córtex, que acabou vazando dados do delegado, começou já em fevereiro. A gente voltou a esse assunto mais tarde. E uma outra curiosidade das ações da IA: a Air Canada botou uma IA para fazer atendimento aos clientes no site e ela acabou inventando uma política de reembolso que a Air Canada não tinha. A IA inventou a política, a pessoa, o cliente, confiou no que ela disse, seguiu as instruções e depois a Air Canada quis dizer que não tinha essa política, que foi um negócio do chatbot e não tinha nada a ver com eles. Azar o deles, a IA fez em nome da Air Canada, então a empresa teve que pagar, fazer um reembolso. Foi bem interessante. (23:33) O que chama a atenção aqui é: cuidado onde você vai botar a IA, pelo menos com os problemas que nós temos hoje, porque acontece esse tipo de coisa e você pode ser responsabilizado, sim, pelo que a IA está produzindo em seu nome. Eles queriam dizer que a responsabilidade era daquele chatbot enquanto um ente. Ah, vai tomar banho, cara. Não tem nada a ver, mas ainda não está maduro esse tema. (24:02) Claro que não. Bom, episódio 360, chamou bastante a atenção a condenação do TikTok em R$23 milhões pela justiça do Maranhão. A gente vê essas notícias “condenado em…”, e esse episódio foi em março. As pessoas, de maneira geral, acham que o TikTok já pagou essa grana para o governo. Não, você tem todo o processo, as possibilidades de recurso. Aqui foi um processo judicial, mas em processos administrativos também há recursos, inclusive podendo chegar ao judiciário. Até hoje, está no tribunal, mas ainda aguardando o julgamento do recurso. Então nós não sabemos se aquela notícia que nós falamos com tanta ênfase realmente vai culminar no pagamento dessa multa. Lembrando que foi pela justiça do Maranhão, não pela ANPD. (25:01) E também tem mais uma, não sei se curiosidade, Vinícius, mas mais uma atuação de outras IAs fazendo coisas que a gente não sabe direito como elas chegam àquelas conclusões. Um problema de explicabilidade, de maneira geral. Chamou a atenção esse artigo do MIT Technology Review, cujo título em tradução livre é “Os grandes modelos de linguagem podem nos deixar de boca aberta, mas ninguém sabe exatamente porquê”. Chama a atenção para essa questão da necessidade de explicabilidade do que os modelos fazem. Esse é um artigo bastante interessante, recomendo a leitura. O link está funcionando, “bonitão”, ainda lá no episódio. Vale a pena dar uma olhada. Eu falei “ainda está funcionando” porque, às vezes, o pessoal muda as coisas e os links que a gente coloca no show notes vão para o beleléu. (26:05) É um grande… a gente fala em esquecimento às vezes na internet, aquela questão da prevalência, mas naturalmente, dentro desse ecossistema que é a internet, tem muita coisa que acaba sendo esquecida. Engraçado isso, principalmente quando a gente pega nossos episódios mais antigos, tenta ver os links, está tudo quebrado. (26:29) Bom, lá em 23 e 28 de março, nós fizemos dois episódios, um depois do outro, falando sobre a questão do tratamento de dados pelas farmácias aqui no Brasil. Eu acho, Vinícius, que, com claro, todos os episódios são legais, mas esses dois foram os mais interessantes, porque a gente meio que fez uma análise, uma coisa mais “mão na massa” mesmo. (26:54) A gente pegou e pediu os nossos dados de algumas farmácias e tentamos fazer algumas projeções e previsões, aquela ideia de análise preditiva sobre quais seriam as características dos titulares daqueles dados. E foi bastante interessante. Eu sugiro que, se você não escutou, escute. Porque, somente com dados muito básicos de compras muito básicas em farmácias, foi possível saber muito sobre nós. E usando uma IA genérica, um ChatGPT. Na época, foi em março, a gente deve ter utilizado o GPT-4. (27:40) Então, com uma LLM, não era uma coisa específica para fazer aquela análise, e não eram dados tão precisos. Foi bem interessante. E sobre essa questão das farmácias, dando um salto aqui para o 382, agora de 20 de dezembro, a gente teve também uma notícia sobre a multa da Droga Raia em R$8,5 milhões pelo Procon de Minas. Claro, vai ter recurso, toda aquela coisa como está acontecendo com o TikTok. Bom, depois tem algumas previsões ali sobre as farmácias, eu vou guardar para depois, para o que eu acho que vai acontecer. Fique até o fim para saber. (28:30) Em abril, no Café 363, a gente começou falando sobre uma resolução do Conanda superimportante. Eu até escrevi um artigo sobre isso e participei de um workshop de inteligência artificial na educação, onde falei sobre essa resolução que traz uma série de disposições sobre a proteção de crianças na internet, deveres dos provedores, as informações que eles precisam dar, deveres de manter um ambiente saudável, apropriado, informações em linguagem simples, acessíveis, privacy by default. Uma série de questões que estão nessa resolução. (29:17) Foi interessante, porque eu vi com bastante otimismo essa resolução de abril de 2024. E, cara, foi engraçado, porque eu não vi um reflexo muito perceptível. Parece que a coisa ficou meio esquecida durante este ano. A gente foi consumido um pouco, as nossas atenções acabam sendo direcionadas para a Inteligência Artificial, mas há uma série de outras coisas no direito da tecnologia, e a proteção de crianças na internet é um tema ultrarrelevante, presente no mundo, e um tema que a gente gosta, temos vários episódios sobre isso. Então, ao mesmo tempo que eu vi com otimismo, o tempo acabou me mostrando que talvez não tenha trazido um efeito importante. (30:11) Algo me diz que em 2025… uma previsão, Guilherme. Não quer guardá-la para o fim? É que eu vou esquecer. Algo me diz que, em 2025, nós vamos falar muito sobre o tema de uso de tecnologia por crianças, dado o que a gente tem visto em relação a escolas, ao impacto. E, cara, francamente, o Jonathan Haidt, que escreveu “Geração Ansiosa”, ele levanta a bola para muita coisa importante. E parece que deu aquele… chamaram ele no Roda Viva, apareceu no Fantástico, e a coisa meio que dá uma morrida, passa a novidade. Algo me diz que a gente vai ter que voltar, inclusive por causa da IA também, que vai nos forçar a olhar com um pouco mais de cuidado para a formação das crianças. (31:21) Eu não estou falando só da questão de conteúdo em escolas, mas dessa formação de uso da tecnologia, formação essa que os próprios pais não têm. Você tem um monte de gente que sabe aquela história do “faça o que eu digo, não faça o que eu fumo”. Temos muita gente já viciada na tecnologia, e a gente quer que essas pessoas orientem as crianças. É um negócio meio complicado. Mas, enfim, isso é um tema para episódios do ano que vem. Essa é minha previsão. (31:51) E vou adiante aqui, Guilherme. Em abril, a gente deu a notícia do que aconteceu em 29 de março de 2024, que foi a passagem do Ross Anderson, o cara que escreveu “Security Engineering”, um baita livro sobre segurança da informação. Inclusive, as edições anteriores estão na íntegra na internet. Se você procurar por Ross Anderson, vai cair no site dele e encontrar. O Bruce Schneier fez um memorial sobre o autor, tem o link lá no episódio 363, mas está em inglês. Joga lá no ChatGPT para traduzir, é pelo menos um bom uso de IA. Infelizmente, faleceu o Ross Anderson. (32:44) E também, ali em abril, a Meta lançou o Llama 3, o seu modelo LLM open source. Então você pode baixar o modelo. Eu não sei se “open source” é o termo correto, mas é um modelo que você pode baixar. Lembrando que o GPT você pode usar, mas não pode baixar. E a Meta lançou o Llama 3 em vários tamanhos diferentes, de 8 a 70 bilhões de parâmetros. O de 8 eu consigo rodar, o de 70 não, infelizmente. Mas vamos lá. (33:30) Isso fechou abril. Maio… Bom, em maio, nós, pelo menos aqui no Rio Grande do Sul, fomos arrebatados pelas enchentes. Então a gente começa o nosso episódio 364, foi o episódio da enchente. O Vinícius conta rapidinho: eu estava… porque 3 de Maio, que é o nome da cidade onde eu resido, também é feriado. Aproveitei, a gente aproveita para viajar. E nós tínhamos viajado e voltamos no dia que começou, 1º de maio, né? Entre 30 de abril e 1º de maio que começaram as enchentes. (34:31) A gente chega… eu chego em Porto Alegre na madrugada de sexta-feira, uma da manhã. E o meu carro estava na garagem do aeroporto, que depois alagou tudo. Eu estava com a família toda. E a gente foi meio que fugindo do negócio. E fomos privilegiados, porque nós fomos atingidos assim, voltando de viagem. A gente pôde cancelar o hotel, que era muito próximo do Guaíba, que foi afetado. O hotel foi todo alagado. (35:12) A gente viu de manhã cedo, no Pepsi On Stage, que é um lugar de shows bem na frente do aeroporto, um monte de gente que a prefeitura estava levando para lá, desabrigados. E de manhã, no hotel, a gente vê a notícia de que a prefeitura estava retirando o pessoal dali, porque a água podia chegar até lá. Eu ficaria no hotel mais alguns dias. E eu falei para minha esposa, para a Rafa: “Vamos cair fora daqui, porque se estão tirando gente de lá de trás, nós estamos mais perto do Guaíba ainda. Vamos embora antes que dê problema”. (35:54) E a gente saiu do hotel e fomos para um lugar mais alto em Porto Alegre. Conseguimos pegar um Airbnb num ponto bem mais alto. E, cara, outra hora eu posso entrar nos detalhes, mas, como eu disse, para nós foi chato. É o máximo que a gente pode dizer. Eu não posso dizer que a gente foi atingido, porque, apesar da tensão, a gente não perdeu nada. Estávamos em um lugar seguro, com as crianças, e podíamos levá-las para se distrair em pracinha, enquanto tinha gente com a casa embaixo d’água. (36:50) E a gente viu, da janela do lugar onde estávamos, toda aquela movimentação de helicópteros funcionando o dia todo. E, naquela altura, já tinha gente há mais de 24 horas em cima do telhado. E estava frio, chovendo. Foi muito ruim, cara. (37:18) O que talvez… à medida que a gente vai vendo as notícias, a situação dessas pessoas nos telhados, que é triste pra caramba, acho que incomodou muito a gente ver a falta de notícias, que foi um ponto que a gente entrou nesse episódio e estendeu para o 365. (37:37) Notícias teve, mas falta de informação qualificada. Era tudo desencontrado. A gente não sabia que estrada estava aberta, não tinha nenhum comunicado decente da prefeitura. Foi um horror, cara. Não se tinha informação certa sobre nada. E ainda tinha gente fazendo fake news em cima do que estava acontecendo. Foi um show de horrores, de despreparo. (38:13) E que continua, Guilherme, jogo a bola para ti. Continua. Ontem, dia 24, a gente viu uma filmagem de uma das comportas da cidade aqui que estão abandonadas. Ainda tem água lá, ou seja, não se resolveu. (38:32) Bom dizer para o pessoal, para quem não sabe, tem uma barreira que separa o Guaíba de Porto Alegre. E essa barreira tem várias comportas. E essas comportas, obviamente, têm que ser fechadas. E elas falharam. Quando tiveram que fechar, falharam, o que deu a inundação. (39:07) Mas o que isso tudo tem a ver, além dessas tragédias mais próximas? Toda essa relação que depois a gente acabou fazendo, seja da falta de informação, mas também a situação de danos catastróficos. Isso tem conexão com segurança. Nós vimos muitos sistemas… a gente teve uma resiliência dos nossos sistemas aqui, mas a Procergs foi muito afetada. Alguns sistemas governamentais saíram do ar porque a Procergs, a companhia onde ficam hospedados muitos dos sistemas aqui do Rio Grande do Sul, foi afetada fisicamente. (39:48) Então, toda essa discussão sobre danos catastróficos, gestão de incidentes e de continuidade, a relação desse incidente com fake news e com sistemas de comunicação governamentais. Em agosto, foi lançado um sistema de alertas de desastres do governo federal, mas nós acabamos comentando, passando já para o 365, em 24 de maio, sobre comunicação de desastres. (40:26) Comunicação em caso de desastres é um aspecto da própria segurança da informação, que é a disponibilidade. Dentro da disponibilidade, nós também tratamos sobre a resiliência, a forma como os sistemas são preparados para funcionar em casos de incidentes como esse. E a questão da comunicação em casos de desastres, a gente trouxe exemplos da Europa, e estamos muito longe disso. Nós tivemos outros eventos climáticos adversos aqui no Rio Grande do Sul, e ainda não temos um bom sistema de comunicação de desastres como ocorre em outros países. (41:14) E a ineficiência do Estado, de maneira geral, a gente acabou vendo em várias frentes. O Estado falhou, e a comunicação foi só um desses aspectos. Mas comunicação salva vidas. Porque, se o Estado tivesse se preparado, entre tantas formas diferentes, a comunicação quando chega no tempo certo consegue salvar vidas. E talvez algumas vidas teriam sido salvas. (41:48) Mas te digo assim: quando falta o cuidado com o mais básico, quando a gente tem que lidar com políticos, seja qual for o espectro, que são tão mesquinhos, a coisa é tão baixa, a gente falha nas coisas mais… a gente perde a chance. Quando a gente tem que se preocupar demais com o básico, com o que comer, a gente não tem tempo para se preocupar com as coisas mais elevadas. Enquanto tu tens que se preocupar com uma educação mal dada, com professores que não são bem pagos, enquanto tem gente que ganha muita grana e passa de uma geração para outra benefícios do governo, e a gente tem professores tão mal pagos, são coisas tão básicas que nos faltam… (42:40) Daqui a pouco, fazer uma análise pegando o mapeamento de riscos de desabamento, alagamento, queda de barreira, seja o que for, que já tem — a gente inclusive comentou no episódio, deu até o site para consultar —, tu não consegues fazer coisas pensando mais no futuro. A gente precisa avançar muito para conseguir se preocupar nesse nível. Não deveria, mas falta infraestrutura básica. (43:30) Enfim, cara. Ali em maio ainda, Guilherme, bem rapidinho. A gente teve aquele recall que a gente chamou de “do re-recall”. O Windows lançou aquela ferramenta bem polêmica que fica tirando prints da tua tela o tempo todo, com o objetivo de poder responder perguntas sobre o que tu estás fazendo no teu computador. Tem questão de privacidade, uma série de coisas. E eles tiveram que fazer um re-recall, tirar o negócio do ar para depois voltar. Uma grande confusão. É um daqueles usos de IA que eu acho em um momento não muito adequado. A gente não sabe direito os impactos, tem que ser melhor analisado. (44:17) A gente teve aquela proposição de um investimento de 32 bilhões de dólares do governo norte-americano em IA por ano. Uma proposição bipartidária, lembrando que nos Estados Unidos só tem dois partidos, Democratas e Republicanos. Isso chama a atenção para o quanto os Estados Unidos estão preocupados com essa questão do desenvolvimento da IA e de se manter adiante de todos os outros países. Eles impuseram embargo à venda de chips da Nvidia para a China por questões óbvias. E, ao que tudo indica, esse tipo de investimento… eles vão continuar investindo cada vez mais em IA para manter essa liderança, esse controle dos modelos mais avançados. Eu não sei até que ponto a Meta vai continuar distribuindo modelos de LLM treinados. Vamos ver. (45:41) E o Jan Leike, seguindo uma série de situações, com vários pesquisadores que andaram saindo da OpenAI preocupados com a questão da segurança. Ele era pesquisador sênior de segurança da OpenAI e anunciou, em maio, sua saída porque a OpenAI estaria priorizando “produtos brilhantes” sem se preocupar com a segurança, com a questão de alinhamento, ou seja, de garantir que a IA não vá causar mal nenhum à humanidade. Nós voltaremos a esse assunto. Vai lá, Guilherme. (46:42) Bom, ainda em maio, a gente teve a aprovação do AI Act, um dos grandes marcos europeus para a regulação da Inteligência Artificial. Certamente, é o modelo que nós vamos perseguir, a iniciativa legislativa mais sofisticada. E é importante porque, no âmbito de dados pessoais, por exemplo, a União Europeia conseguiu construir regras que acabaram influenciando o mundo inteiro, sobretudo o Brasil. Então, essa aprovação é um grande marco para a regulação da IA. (47:38) E, ainda no âmbito de proteção de dados, mais uma vez a ANPD, ali em abril, lançou o Regulamento de Comunicação de Incidentes, um dos grandes marcos da atuação da ANPD em 2024. É um regulamento absolutamente importante, que marca e deve marcar a atuação das empresas. Nós aqui, na nossa atividade, utilizamos esse regulamento para orientar clientes, para medir risco também, cumulado com o de dosimetria. Você consegue, com esses instrumentos, fazer modelagens de risco bem interessantes para que as empresas tomem decisões. Isso se deu ali no meio do ano de 2024. (48:29) Já em junho, a partir do episódio 366, o que nos interessou foi um pouco mais essa projeção da mudança política na Europa. Porque, com as mudanças das cadeiras da extrema-direita no Parlamento Europeu, hoje você consegue avaliar bem tranquilamente, a depender do viés político de determinados grupos, e projetar ações. Consegue saber o que cada grupo político acredita ser o melhor para a regulação ou não regulação da internet. (49:09) Uma das projeções que se fez, e que acaba se aliando à eleição de Trump agora no fim de 2024, é que talvez essa conjunção de fatores — um aumento da prevalência da extrema-direita no Parlamento Europeu e a eleição de Donald Trump, sobretudo pela atuação de Elon Musk — a gente veja uma diminuição da criação de novas regulamentações e talvez até uma revogação, como o Trump propôs, de normas que impõem limites para a IA. (49:50) Naquele episódio, a gente falou da possibilidade de aumento de gastos de tecnologia para a Defesa Nacional, e talvez diminuição de normas sobre direitos trabalhistas e de bem-estar social, com possíveis bloqueios em normas relacionadas à tecnologia, evidentemente. (50:12) É muito interessante porque a ONU também fez um painel chamado “AI for Good”, e a gente trouxe a opinião da Melissa Heikkilä, que foi no evento e disse que o que ela viu lá estava muito desalinhado com a IA sendo usada para atingir os objetivos de desenvolvimento sustentável promovidos pela ONU. (50:41) E ainda, Vinícius, ali em junho, no 366, a gente vê toda aquela movimentação, mais uma vez, dos celulares. Das mães que se juntaram, foi notícia na Folha, se eu não estou enganado, para exigir a proibição do uso de celulares antes dos 14 anos, justamente inspiradas pelo livro do Jonathan Haidt. De novo, esse negócio começou no início do ano e vai ganhando tração. Vamos ver qual o resultado. E a gente teve mais eventos relacionados a essa questão, tentativa de regular esse uso de celulares no Brasil. Mas ano que vem que nós vamos ver para valer alguma mudança de fato. (51:38) Certo. Episódio 368, Guilherme. (51:41) Acho que a maior notícia foi o Julian Assange, que foi solto em 24 de junho. O episódio foi gravado em 5 de julho, então a gente teve essa notícia. (51:50) Nós tivemos a ANPD, que suspendeu a política da Meta para treinar IA e impôs algumas mudanças, inclusive na questão de avisar os usuários e dar uma chance de opt-out. Essa foi minha implicância. Acho que tinha que ser opt-in e não opt-out. Você quer? Vai lá e marca dizendo que quer que seus dados sejam usados. Mas não… tu recebeu um e-mail. Cara, eu perguntei para muita gente, para colegas, professores, em vários grupos, se eles viram o e-mail informando. E a maior parte não viu. Não estou dizendo que não receberam, estou dizendo que não viram. Ficou perdido naquele monte de e-mail. Uma coisa foi a suspensão em julho, depois tem outra situação em setembro. (52:58) E o Phil Schiller, da Apple, se juntou ao conselho da OpenAI, em julho, com o objetivo de estreitar a relação entre Apple e OpenAI. E o resultado está aí. A gente viu agora, nas últimas semanas, os anúncios que a OpenAI fez. Entre os 12 anúncios, está uma integração no sistema operacional do macOS e do iOS, do ChatGPT integrado ao sistema, não só um aplicativo desktop. Então, está rendendo frutos essa participação. Legal a gente ver o negócio em julho e o que a gente está vendo agora. (53:50) Ainda em julho, no episódio 370, a gente teve uma ação do MPF e do Idec contra a Meta. Não envolvendo essa questão da ANPD que o Vinícius falou, do treinamento da IA, mas sim uma mudança para o compartilhamento de dados do WhatsApp com outras empresas do grupo. Isso passou por uma avaliação da ANPD, que acabou se posicionando e estipulando medidas que depois foram cumpridas pela Meta. E aí a gente viu, com bastante surpresa, essa ação. (54:47) A gente comentou, tivemos oportunidade de comentar com o pessoal da ANPD quando eu estive no Encontro de Encarregados, em Brasília. Mas chamou bastante a atenção, porque o MPF e o Idec entraram também contra a ANPD, alegando que haveria uma imobilidade da agência ao lidar com esse tema, e que ela não quis passar certos dados para o MPF. Teve uma rusga ali. O pedido de multa foi de R$1.7 bilhão, mas obviamente não foi julgado ainda. (55:33) Tivemos outra atuação bastante importante da ANPD, que foi o Regulamento da Atuação do Encarregado, em julho. Um documento importantíssimo que estabelece uma série de questões sobre como o encarregado deve se posicionar. E junto com o regulamento, agora em dezembro, eles lançaram o Guia Orientativo de Atuação do Encarregado, que a gente falou no último episódio. (55:59) Também no 371, a gente deu continuidade à minha participação no primeiro Encontro de Encarregados, realizado pela ANPD em Brasília. E eu participei falando sobre incidentes de segurança em relação com proteção de dados pessoais, que é bem nosso dia a dia aqui, né, Vinícius? Foi legal falar lá e expandir um pouco dessas observações no episódio 371. (56:22) Beleza. Ainda no 370, Guilherme. A gente teve o que foi classificado por alguns como o maior incidente relacionado à segurança da informação da história, que foi o da CrowdStrike, que desenvolve soluções de segurança. Uma de suas soluções, que faz update no Windows, atualizou centenas, senão milhares, de servidores Windows mundo afora e tirou do ar um monte de gente. O primeiro efeito que o pessoal se deu conta foi nos aeroportos, que as telas que mostram as chegadas e partidas, tudo com tela azul. Foi para o beleléu. E aí começa o efeito em cascata, bancos caíram, hospitais, outros tipos de empresas. (57:24) E nós tivemos, mais uma vez, uma atualização da RockYou 2024, aquela lista de senhas compiladas de vazamentos. Um monte de gente noticiou como sendo 9 bilhões de senhas que vazaram. Isso é bem relativo. Primeiro, porque a RockYou é uma lista de várias senhas vazadas em situações diferentes, em anos diferentes. E esses 9 bilhões de senhas, se tu for dar uma limpada… a gente baixou da internet para dar uma olhada. Se for limpar, tirar os lixos, senhas que não fazem o menor sentido, fica um número um pouco menor. O pessoal está falando em 10 bilhões. E a minha previsão, Guilherme, é que nós teremos a RockYou 2025. (58:16) Beleza. Bom, agosto, 372. A gente teve os 6 anos da LGPD, e a gente fez uma projeção de algumas coisas que precisam mudar. Dá para trazer alguns aspectos aqui. Essa questão de como a proteção de dados é um valor caro para a sociedade e para as empresas. É um pressuposto ético, eu diria, para o mundo dos negócios, e muitas empresas ainda não se deram conta dessa nova realidade de compliance. Você tem uma imposição legal que muitas empresas deliberadamente escolhem não cumprir. (59:08) Basicamente, o que a gente acha que precisa mudar é justamente uma compreensão de que as empresas precisarão se adequar. E quanto mais demorarem, maior o risco e maior o custo. A gente também espera que o governo dê apoio para pequenas e médias empresas. A ANPD também acho que deveria ter um movimento mais focado para permitir que micro e pequenas empresas consigam se adequar, porque ainda é muito difícil, caro, é uma atividade complexa. (59:47) O que precisa melhorar é uma ampliação da conscientização. Hoje mesmo eu conversava com colegas da área, amigos que trabalham com tecnologia, em cargos de elite de suas empresas, e a visão que eles têm da segurança e da proteção de dados é uma visão muito comum entre os usuários. Para mim foi surpreendente ver profissionais de elite tendo uma ideia de que segurança e proteção de dados só servem para atrapalhar o negócio. Isso envolve uma conscientização muito forte da necessidade de entender esses temas como valores importantes para uma sociedade totalmente digitalizada. Tudo é intermediado. (1:00:53) E também uma necessidade da proteção setorial. Os órgãos, as entidades de classe, precisariam estar atentas para como podem contribuir para que seus setores consigam se adequar. Talvez seja uma falha bem importante. (1:01:13) E, falando em adequação, Guilherme, nesse mesmo episódio, a gente comentou sobre o Twitter (X), que resolveu não cumprir ordens judiciais. O Twitter sai do Brasil, num prenúncio do que viria a ser toda aquela coisa. É engraçado, a gente olha para trás agora, quatro meses, e a carga emocional que a gente teve ao ler, ouvir e falar sobre isso foi muito grande. (1:01:53) Porque começa ali, em agosto, o Twitter saindo, tirando sua representação do Brasil. E depois a gente viu que essa saída foi, sim, para se esquivar de cumprir ordens judiciais. A gente falou em agosto, era uma notícia relevante, mas não imaginávamos que, no 373… a gente ficou um mês sem gravar… já estava bem estabelecido todo o embróglio da decisão de bloqueio, os ataques de Musk ao STF, as discussões sobre os limites do STF para lidar com isso e de bloquear redes, as ineficiências da nossa legislação, mas, sobretudo, a ineficácia do próprio Direito. (1:02:40) Cada vez mais, o Direito vai ficando enfraquecido perante as big techs. Esse é o pano de fundo mais importante. E quando eu falo em Direito, não me refiro somente às normas, mas ao Direito enquanto ente que regula as competências e o próprio funcionamento das instituições. E o que ficou bem evidente foi a ineficácia dos Estados, não só aqui no Brasil. O caso do bloqueio do Twitter no Brasil se projetou para outros Estados, que começaram a ver: “Opa, mas espera aí, eu também estou sujeito a enfrentar um problema desses aqui no meu país”. (1:03:41) Então, isso foi bem complicado, uma carga emocional difícil de lidar. Depois, começou a vir à tona o conteúdo das ordens. O pessoal começou a ver que não era brincadeira. (1:04:00) A desculpinha furada do Elon Musk… na real, ele tem um projeto político, que não se restringe apenas… não, isso está bem claro. Não é teoria da conspiração nem nada. Ele deixou bem claro. E ele ficava falando em liberdade de expressão. E aí, quando vêm à tona as ordens, tem gente sendo perseguida, tem doxxing sendo feito ali. Tem um monte de problemas, a coisa realmente… Enfim. Vamos ver o que… promete mais, porque esse cara agora, nos Estados Unidos, vai assumir, vai ter participação no governo do Trump. (1:04:50) Um ministério lá, uma Secretaria de Eficiência Governamental. Ele já começou a falar em reduzir em 2/3 a despesa do governo. E o pessoal já está fazendo as contas lá, eu ouço uns podcasts gringos, e o pessoal fazendo as contas: “não vai dar”. Ele vai ter que começar a fazer umas coisas impossíveis logo de cara. Mas eu acho que esse cara é capaz de ser empoderado ainda mais. E vai ter gente que acha que ele é um grande lutador pela liberdade de expressão, o que já foi desmentido várias vezes pelo comportamento dele na China, com relações com a Arábia Saudita e outras coisas. O próprio funcionamento do algoritmo… (1:05:58) É liberdade de expressão desde que não o contrarie. Se contrariar, ele tira fora, derruba os jornalistas, derruba todo mundo que fala contra ele. (1:06:10) Em 6 de setembro, no 374, a Starlink, que não tem nada a ver com o X, eles não queriam cumprir o bloqueio. Aí, como eles tinham sido… “Então, tá bom, vocês não querem cumprir, vão pagar junto essa brincadeira”. E aí eles cedem, dizendo que vão cumprir a ordem de bloqueio. Pelo que a gente andou lendo, diferente do X, a Starlink não é só do Elon Musk, e é uma empresa preocupada com seus ganhos, sua sustentabilidade. Parece que eles disseram: “Opa, meu amigo, aqui nós vamos cumprir”. (1:07:02) E houve também o bloqueio de contas. E toda uma discussão jurídica se a Starlink poderia… e tem toda uma teoria do grupo econômico de fato. Certamente, o STF foi muito criticado, não só por aqueles que apoiam o Elon Musk. Nós mesmos criticamos, porque parte da decisão de bloqueio impedia que as pessoas usassem VPN, o que é um absurdo completo. (1:07:49) De novo essas decisões… faltou uma dicazinha técnica. Mas, umas horas depois, deram-se conta. (1:07:58) A gente teve também um probleminha com a YubiKey, aquela ferramentinha de autenticação, um desses tokens físicos. Em essência, até uma certa versão, você deve controlar o acesso físico à sua YubiKey, porque se alguém tiver acesso, pode comprometer a segurança dela. Bom, se você tem uma YubiKey, volte lá no episódio 374, ouve o que a gente falou e pega o link dos materiais para ver se você foi afetado. (1:08:52) O Ilya, Guilherme, lembra o que eu falei do pessoal saindo da OpenAI? O Ilya Sutskever. Ele é um dos caras bem importantes na OpenAI. Ele saiu fora justamente por causa de problemas relacionados à segurança e ao superalinhamento, ou seja, fazer com que a IA esteja alinhada às necessidades humanas e que não coloque nossa existência em risco. Ele cria, então, a Safe Superintelligence (SSI), e eles conseguiram levantar 1 bilhão de dólares de investimento inicial. Essa empresa ainda não tem nenhum produto, iniciou este ano. Vamos ver o que o Ilya nos trará em 2025. (1:09:50) Lembrando que a gente nem trouxe o assunto aqui para o podcast, porque foi depois da nossa gravação, mas a OpenAI lançou o modelo GPT-A3. Eles pularam o A2, foram para o A3. Já tem um monte de gente berrando “lobo, lobo, lobo”, dizendo “a AGI chegou”. Acho que a gente tem que esperar para ver. Esse modelo A3 ainda não foi aberto ao público, está aberto para pesquisadores de IA que têm que se cadastrar. (11:044) Bom, em setembro ainda, 375, a gente falou sobre o “Estado da Proteção de Dados no Brasil”, um estudo feito pela Cetic.br. Eles repetiram um estudo de 2021, então a gente tem os números de 2021 e 2023. A gente falou sobre como as empresas estão lidando com a adequação à LGPD. Falamos, por exemplo, que a medida mais tomada seria a adequação dos contratos e o inventário de dados pessoais. O registro das operações também, com base no inventário, está lá no final, quase dos últimos. A gente notou e fez algumas considerações sobre isso. (11:211) Já no 376, também em setembro… dois temas. Vou primeiro falar sobre o X. De novo, o caso X, aquele cansaço mental. Muito se criticou o STF sobre o bloqueio, sempre naquela perspectiva de usar a carta da liberdade de expressão, que é uma carta válida nesse jogo de baralho democrático. Só que, como em qualquer jogo, as cartas e as peças têm limites de movimentação. Você pode abusar de direitos, inclusive da liberdade de expressão. (11:307) E foi o que a gente viu, porque em setembro, no âmbito de novas informações sobre todo esse processo cansativo, viu-se que as ordens de bloqueio estavam relacionadas à exposição de Delegados Federais e de parentes desses delegados. Os caras começaram a fazer doxxing e a ameaçar delegados envolvidos nessas investigações. Não era uma questão de discordar, era o uso da plataforma para atingir a vida de pessoas. A gente viu que a coisa era muito mais séria. (11:401) Teve um bloqueio, uma liberação… o Twitter (X) ficou bloqueado por uma questão da Cloudflare. Depois disseram que a Cloudflare ia colaborar, mas ela não fez nada, foi o X que mudou. Na real, o X migrou para a Cloudflare, e os bloqueios baseados em IP não estavam mais funcionando, então abriu tudo. (11:453) Só que setembro também foi o mês de talvez uma das coisas mais absurdas que aconteceram: o mês em que o exército de uma nação resolve transformar um equipamento utilizado por civis em bombas. (11:508) Foram os pagers-bomba, que, ao que tudo indica, Israel, o Mossad, teria não só interceptado uma carga, mas criado ou aliciado uma empresa que fabricou os pagers com uma bomba dentro. Eles explodiram e isso matou e feriu pessoas, até crianças. A gente não está falando de uma arma que o cara carrega, mas de pagers, uma coisa que as pessoas levam para o mercado, ficam em casa com isso. Transformaram um eletrônico de uso civil em uma bomba. Isso foi bastante discutido, inclusive a ética de se fazer uma coisa nesse sentido. (11:614) Não tem muita ética em guerra, mas existem certas limitações. (11:621) Ah, não, claro, sem dúvida. (11:625) Do que tu podes ou não fazer, que tipo de munição… (11:636) Em tese existe, Guilherme. (11:642) Sim, Convenção de Genebra… (11:646) Eu estou dizendo “em tese” porque, quando alguém usa, o que que tu faz? Se não tem punição, é aquela história da lei que “não pega”. (11:658) Bom, outubro, a gente falou um pouco… já que tu se antecipou antes, eu vou me antecipar agora. Acho que a questão do uso da IA, sobretudo no ensino, vai ser um tema… ou melhor, deveria ser um tema que nós deveríamos tratar em 2025. Mas acredito que não vamos ter a capacidade de fazer isso, nós, humanidade. (11:719) No episódio 377, em outubro, a gente falou sobre o guia da Unesco para IA generativa na educação e na pesquisa. Duas observações: primeiro, uma de ordem pessoal, Vinícius. Nesse semestre, na graduação em que estou dando aula há 10 anos, eu sempre exigi dos meus alunos a entrega de um artigo científico. Sempre achei importante o cara se formar em Direito sabendo escrever e os rudimentos de uma boa pesquisa. (11:817) E nesse semestre foi, para minha experiência pessoal, a explosão do uso do ChatGPT para a composição desses trabalhos. Para mim foi extremamente desgastante lidar com isso, emocionalmente. Eu não esperava isso. Tenho uma vizinha, professora, uma senhora, foi professora de Química na UFRGS. Eu perguntei para ela quando ela decidiu parar de dar aula. E ela disse: “Quando teve a dominação dos telefones celulares em sala de aula. Ali para mim foi a gota d’água”. (11:919) O que eu quero dizer é que esse guia da Unesco deveria estar sendo abordado por todas as universidades do país. Qualquer curso acaba sendo atingido. O Direito está sendo muito atingido. As consequências já estão acontecendo. E se as universidades não tratarem desse problema, nós vamos ter um quadro bastante difícil. Não é somente impedir o uso de telefone celular, que também não resolve. Mas com a IA é mais difícil, você precisa de políticas universitárias para lidar com isso. A nossa tentativa no 377 foi falar sobre isso, mas não estou tão otimista com o rumo que isso está tomando no âmbito das universidades. (12:025) Cara, eu tive sorte que conheci o aluno. Fui convidado para a banca dele porque o conhecia, e de fato foi um dos melhores alunos da última turma. O que me incomodou muito foi o uso cada vez mais intensivo de celular em sala de aula. Não importa o que tu faças. E o trabalho dele estava excepcionalmente bem escrito, sem um erro de português, e a fluidez na leitura, sabe, como um bom livro. Eu me certifiquei de que ele de fato tinha feito o trabalho, ele domina muito bem o que fez. Mas, ao mesmo tempo, me chamou a atenção isso. (12:125) Eu não sei avaliar até que ponto a escrita era dele. O conteúdo era dele, mas não sei até que ponto não fica muito pasteurizado. (12:144) Você nota os padrões. (12:147) Não, mas até o dele estava bem suave. O que chamou a atenção foi a ausência de “nada” e a fluidez. Não tinha aqueles chavões, aquelas coisas hiperbólicas que a IA coloca. (12:213) Um dos argumentos que chegaram para mim foi: “Não, eu usei a IA, mas só pedi para ela reescrever o meu trabalho”. Você fica pensando: qual o objetivo de você pedir para a IA reescrever seu trabalho? E, na falta de uma política acadêmica, o professor acaba tendo uma carga com a qual não consegue lidar. (12:248) Sim, eu acho, Guilherme, que fica muito desigual. Fica muito fácil gerar conteúdo e muito difícil avaliar. Uma máquina gerando e uma pessoa avaliando. A balança fica desequilibrada. Mas esse é um assunto que nós voltaremos no ano que vem. (12:314) Eu peguei alguns livros para ler sobre criatividade, é uma coisa que está me incomodando bastante. Até que ponto a gente pode dizer que a IA cria alguma coisa? A resposta não é fácil. Estou lendo Margaret Boden, que fala sobre criatividade, e ela puxa isso desde 1984. Ela é bem “pé no chão”. E acabei encontrando o livro sobre criatividade do cara que escreveu “Flow”. Vou citar isso quando a gente for gravar ano que vem. (12:431) E estou lendo outras coisas. Por recomendação do Guilherme, se alguém quiser uma leitura de final de ano: “Sentir e Saber: As Origens da Consciência”, do António Damásio. A gente começa a entrar em outras coisas: criatividade, consciência, o papel dos sentimentos. A gente vai ter que discutir muito, porque a coisa não vai ser tão fácil de “usa ou não usa IA”. Acho que tem várias gradações no meio do caminho. (12:518) Mas, enfim, esse é assunto para o ano que vem. Vamos seguir na retrospectiva. Em outubro, a gente teve o retorno do X. Após o pagamento da multa — “não vamos pagar”, “vamos sair do Brasil” —, depositaram a multa na conta errada, e o X volta. E muitas pessoas se deram conta de que existiam outros espaços menos tóxicos. O Blue Sky foi um deles. Eu não tenho mais o X instalado no meu celular, tenho o Blue Sky e estou muito feliz. (12:608) O Blue Sky teve um salto de usuários, passou de 500 mil em agosto para 2,5 milhões agora em dezembro. Está aumentando nos Estados Unidos também. Eu gosto de escutar o The Hard Fork, um podcast do New York Times, e lá eles comentaram sobre o aumento da base de usuários do Blue Sky. Passou a ser uma rede mais tranquila. Ontem mesmo lançaram os trending topics, e o pessoal já está reclamando que iriam poluir. (12:658) E também tivemos o retorno do caso Córtex, um dos grandes escândalos governamentais do ano. Basicamente, um sistema do Ministério da Justiça que agrega dados de várias fontes — OCR de câmeras, bilhetagem de ônibus, dados do SUS — e está sendo acessado por um grande número de pessoas, já foi usado por golpistas. (12:724) E, mais uma vez, quando a gente fala em direitos fundamentais… eles tiveram uma vocação inicial de serem direitos oponíveis contra os abusos do Estado. E quando a gente vê, mais uma vez, o Estado abusando desses sistemas e violando o direito fundamental à privacidade e à proteção de dados, a gente vê como essa banalização, aquela coisa de “eu não fiz nada de errado, então não tenho que me preocupar”, ela acaba atingindo a todos. Porque, em última análise, a gente fica vulnerável. (12:837) Tivemos mais ali… Cara, o Internet Archive nos deixou na mão. Sofreu um ataque. A gente hospeda nossos episódios lá. Eles foram atacados e ficaram fora do ar por mais de uma semana, a ponto de a gente ter que começar a subir episódios no S3 da Amazon. (12:914) A gente teve, de novo, o assunto da proibição de celulares em sala de aula. Falamos sobre uma pesquisa do Datafolha que revelou que a maioria dos pais apoia a proibição para melhorar a concentração dos alunos. De novo esse assunto. (12:949) Lembrando que foram 28 episódios este ano. Em outubro ainda, a gente gravou uma live, “10 Recomendações para a Gestão de Incidentes”, e lançamos um e-book nosso sobre esse tema. Eu até anotei uma frasezinha sua, Vinícius: “Resposta a incidente é algo que envolve a todos na empresa”. Seja pela criação de uma cultura, claro que você vai ter o time de resposta, mas a gente tem, entre essas 10 recomendações, a criação dessa cultura e a responsabilidade dos próprios usuários de indicarem a ocorrência ou suspeita de incidentes. Foi um marco interessante ali em outubro. Se você tem interesse, fica o 379 lá, e você ainda consegue baixar o e-book. (13:109) Beleza. 380, em 22 de novembro, já falamos sobre algumas intenções do Trump pós-eleição, no caso a intenção dele de revogar uma Ordem Executiva em relação à IA do governo Biden. Acho que essa vai ser uma das tônicas em relação às big techs de maneira geral, talvez um retorno de algumas regulações importantes. (13:155) A gente tem mais notícia envolvendo IA. Dessa vez, a Microsoft fazendo parceria com a HarperCollins para acessar obras de não ficção para treinamento de modelos de IA. A notícia em si, solta, não tem muito interesse, mas o que ela nos mostra é essa busca por fontes de informação confiáveis e sólidas para treinar a IA, porque tu não treinas com fake news ou com lixo. Senão, tu vais ter uma IA que vai te dizer que a Terra é plana. Tu precisas de material de qualidade. Não nos espanta, a gente vai ver isso cada vez mais. (13:252) E também tivemos aquele momento “dinheiro for free”. O pessoal aproveitou um bug que apareceu no Nubank para sacar dinheiro de graça. Muito curioso o que aconteceu. Inclusive, no episódio 380, a gente corrige algumas avaliações sobre o que pode acontecer com as pessoas que sacaram esse dinheiro. A mensagem que fica é: entrou um dinheiro estranho na tua conta, o dinheiro não é teu. Ou tu viu que consegue sacar além do teu limite? Não faça isso. É óbvio. Quer saber mais? Vai lá no 380. (13:338) E os últimos dois episódios. 381, falamos sobre o julgamento do artigo 19 do Marco Civil da Internet no STF. Acho que a gente se precipitou um pouco, porque falamos longamente sobre o voto do relator, o Toffoli. O voto dele tem algumas imprecisões. Já teve uma divergência do Barroso. O julgamento fica para o ano que vem. Ou seja, voltaremos a esse assunto. (13:409) Pode ser que seja um tema que promova uma movimentação do Congresso em 2025 para legislar sobre isso. E, já se aproximando do que esperar para 2025: como as big techs vão reagir? Porque, muito provavelmente, e eu mantenho essa projeção, vai ser considerada a inconstitucionalidade do artigo 19. Como que elas vão reagir ao enforcement dessas novas regras? Porque o que temos visto é a imposição da vontade das big techs aqui no Brasil, seja pela oposição direta a ordens judiciais ou por um lobby feroz no Congresso. Claro que as empresas têm o direito de colocar seus interesses no processo legislativo, só que esse interesse não pode se sobrepor ao bem comum. (13:513) E no 382, o último episódio antes desse, fresquinho: PL de IA no Brasil avançando, Droga Raia multada pelo Procon de Minas Gerais. E mais uma de IA que me chamou a atenção: a IA fingindo alinhamento. A Anthropic fez uma experiência com um modelo de IA deles, tentando mudar o alinhamento, e a IA resistindo ativamente, meio que tentando enganar as pessoas. Mas, por favor, antes de sair dizendo por aí que a IA criou consciência e saiu tentando dominar o mundo, ouve o episódio e dá uma lida no conteúdo dos artigos. É muito interessante. (13:626) Agora sim, Vinícius, o que esperar de 2025? Eu vou falando e você vai me interrompendo. (13:640) Quem está assistindo agora, como a gente passou bastante do nosso horário, eu tenho uma janela aqui sem cortina, e o sol vai começar a bater na minha cara. Não se assuste. (13:703) 2024 foi, definitivamente, o ano da Inteligência Artificial. E também o ano da ANPD. A gente teve mais ações. A suspensão da política da Meta, atuação contra o X, os guias e resoluções (comunicação de incidentes, encarregado, transferência internacional). Basicamente, o que a gente falou durante o ano foi governança de segurança, proteção de dados e IA. (13:803) E muito forte na IA, os impactos da tecnologia na sociedade: celular nas escolas, sistemas espiões, a relação de tecnologia e comunicação — as falhas de comunicação na enchente poderiam ter salvo vidas. E tivemos vazamento de dados. Resumindo: conflitos entre big techs e Estado (WhatsApp, X, TikTok). (13:845) E me parece, Vinícius, que a gente teve a consolidação da ideia da proibição dos celulares. Veja, o que a gente vai esperar para 2025? Eu acho que a gente vai discutir esses assuntos. Eles não estão desconexos. A IA, o celular, estão bem ligados. (13:915) As discussões serão, assim espero, bem mais profundas ano que vem. A gente tem que pensar o uso de tecnologia de maneira mais profunda. Com o avanço da IA, a gente vai ter que pensar mais no que é ser humano. A gente ouve muita gente da área falar isso. Mas eu acho que a gente tem que pensar antes na questão da tecnologia. O que o ser humano está fazendo da tecnologia? (14:003) E aí a gente vê a questão do uso de eletrônicos por crianças. Não só celular, tablet também. E os usos que as crianças estão fazendo em consequência do que os adultos estão fazendo. Porque a criança não compra o celular, não tem como levar para um restaurante. Os pais que têm que fornecer. (14:051) Mas, o que esperar para 2025? Cara, eu acho que nós vamos ter que discutir, se quisermos resolver, o uso da tecnologia de maneira geral pela sociedade, não só pelas crianças. Teve matéria agora, de uma família dizendo que a idosa, a avó, ficava o tempo todo no celular e ficava nervosa quando tiravam. Eu espero que a gente discuta mais o uso da tecnologia nos mais diversos âmbitos. (14:140) E, consequentemente, nas escolas. Porque não é só a escola, e não é só o celular. Eu, às vezes, sinto, em relação à criança, quase como uma vingança dos adultos, uma punição. Às vezes eu vi meio sádico: “Eu vou proibir o uso de celular”. Mas o celular é um pedacinho do problema. Esse foi o equívoco. E se a gente continuar nesse equívoco em 2025, não vai dar certo. (14:248) E nota, Guilherme, eu tampouco acredito que a resposta seja a simples proibição. A gente tem que discutir, analisar e fazer. Eu tenho insistido na instituição educacional onde tenho envolvimento que as escolas deveriam ser o centro dessa discussão, de instrução não só dos alunos, mas da sociedade. Se a gente não fizer isso, boa sorte. Os alunos já não compram mais notebook, eles gastam 6, 7 mil paus no celular e fazem trabalho no celular. Nós vamos ver cada vez mais isso acontecendo. (14:432) É interessante a coisa dos pais, às vezes, ficarem bravos com os professores quando eles indicam o problema do filho: “Ah, você que tinha que resolver”. Acho que a gente poderia usar o espaço escolar para ser uma fonte de discussão desses problemas a partir da criança. (14:459) E projeções: nós vamos ver avançar a regulação da IA no Brasil. Não sei se esse projeto que volta para a Câmara vai ser aprovado, mas eu imagino, se pudesse apostar, diria que sim. Se conseguir vencer o lobby das big techs, tudo indica que a gente vai ter uma lei de IA nos moldes do AI Act aqui no Brasil em 2025. (14:525) Eu acho que a gente vai ver aumento de desinformação por conta de IA. Eu acho que os deepfakes… (14:553) Essa parte do deepfake eu não sei. O pessoal estava esperando, eu acompanhei bem de perto nas eleições dos Estados Unidos, e não foi aquela profusão toda que esperavam. A coisa foi muito mais básica, menos sofisticada. (15:010) Mas você precisa preparar. Eu recebi um videozinho de Natal que pegaram várias pessoas que já morreram, fizeram um vídeo com o Silvio Santos, o Senna… meio malfeito, e todo mundo comentando “ah, que legal, o potencial da IA”. Você precisa incutir essas coisas. Essas utilizações menorzinhas me parecem um treinamento, uma percepção de como as coisas estão sendo enxergadas. Eu acho que a gente vai ver uma ampliação desse uso irrefletido de IA em cenários não recomendáveis. (14:657) Você falou antes: “ah, o cara usa a IA para corrigir o português”. Não, o ponto não é esse. O cara não vai usar a IA para corrigir o português, ele vai usar a IA para fazer todo o trabalho para ele. (14:707) Desculpa, estou generalizando. Sim, eu acho que vai ter gente que vai fazer isso. (14:715) Justamente esse é um problema. Se tu tens pessoas que não estão sendo adequadamente preparadas, elas vão fazer que nem faziam com a Wikipedia: vão copiar e colar. (14:738) O Musk, última noticinha, também está começando a jogar suas baterias contra a Wikipedia agora. “Ah, que bom”. Esse cara está ficando pirado. Mas, se nós não resolvermos as questões mais básicas relacionadas à educação, à instrução, nós só teremos cada vez mais problemas. Antes se copiavam coisas da internet… eu tive alunos que, anos atrás, um cara simplesmente copiou um trabalho de alguém da Universidade Federal da Bahia, botou o nome dele e imprimiu. Foi zerado. Com a IA, agora, o cara vai escrever um trabalho inteiro e, se tu não tiveres como provar que não foi ele, vai ter que aceitar. Ou vai parar de cobrar artigos. (14:850) Agora, quem estuda, quem entende, quem se dedica, também vai usar IA. E aí que eu vejo a grande discussão que a gente tem que ter sobre criatividade e IA. A gente precisa ter essa discussão. Até que ponto eu posso usar? Um uso simples de “corrige meus erros de português, mas não altera meu estilo”? Passando por “estão aqui minhas ideias, estruture isso num texto”? E o outro extremo de “escreve para mim um artigo sobre tal coisa”? A gente precisa encontrar um caminho no meio. (15:004) E eu comecei a fuçar mais a coisa da criatividade quando fiquei sabendo da confusão que rolou lá no canal Meteoro Brasil. Eu não acompanho, não sabia. O Álvaro foi “cancelado” porque usou IA para fazer algumas capas no YouTube. E eu vi o pessoal discutindo a questão de arte, várias opiniões diferentes. O canal do Henry Bugalho traz um outro contraponto. Por isso, esse é um tema que nós vamos ter que discutir, trazer para o Segurança Legal. (15:109) Tem gente como o Miguel Nicolelis, que é taxativo em dizer que a IA não cria, é uma máquina de plágio. E tu tens outras pessoas, como o Geoffrey Hinton, o “padrinho da IA”, que diz que não é tão simples dizer que é só um papagaio que calcula probabilidades. Ele saiu do Google para se dedicar mais ao estudo da IA. Eu acho que não é tão simples. (15:240) A projeção que eu tinha feito para 2025, eu mantenho, Vinícius. Eu acho que o estado de coisas, a forma como a adoção irrefletida da IA já está se dando, vai empurrar as pessoas para usos cada vez mais irrefletidos em cenários não recomendados. As pessoas estão sendo empurradas. Os contextos da vida têm cada vez menos tempo. Na sala de aula, 80% dos alunos não estão prestando atenção. Claro, com celular. Isso no ensino superior. O que essa circunstância levaria as pessoas a fazerem? (15:407) Não há o interesse das empresas em projetar um uso saudável, assim como não há o interesse das empresas de redes sociais. Você pega TikTok, Instagram… você olha para aquilo e pensa: “esses caras estão delirando, sabendo que tem crianças usando”. O potencial de vício está atingindo até idosos. Me parece que esse estado de coisas levará a usos cada vez piores. Minha previsão é que, a cada dia que passar, vai ser pior. Você vai encontrar novos maus usos, e me parece que os maus usos vão se projetar sobre os bons. Posso estar errado, mas é uma projeção. (15:497) Eu discordo. Minha previsão é um pouco diferente. O que me preocupa talvez mais é a “weaponização”, transformar a IA numa arma. Isso eu acho bem crítico. A gente já está vendo uma corrida por governos, principalmente o norte-americano, nesse sentido. Existe uma preocupação de quem vai atingir a AGI (Inteligência Artificial Geral) primeiro, e o impacto que isso vai ter na geopolítica. Você vai ter “super CEOs”, departamentos de governo sendo tocados por IA, conselheiros de IA tocando decisões de conflitos mundiais. O que vai acontecer? (15:556) Como tudo que a gente cria, tem um potencial enorme para ser mal utilizado. Mas, ao mesmo tempo, acho que a gente vai ter coisas muito boas surgindo, principalmente na área médica. Isso já está acontecendo e vai ser acelerado. Então, nós vamos ver uma corrida com as duas coisas, Guilherme. Coisas boas e, ao mesmo tempo, um mau uso intenso. Acho que para 2025, o pessoal vai começar a largar robôs em zona de conflito com uma certa autonomia. (15:708) Com o Trump, nós vamos ver, previsões meio óbvias, um caminho contrário à regulamentação e ao controle. Sobretudo com as ações do Elon Musk, de promover uma liberação, a criação de IAs sem os “guard rails” necessários, sejam éticos ou, pelo menos, controles legais, sobretudo na questão de discriminação, curadoria de dados. Me parece que há um espaço importante de prevenção de riscos, e o que vinha se formatando como um consenso mundial, vai haver um retorno dessas questões em 2025. (15:832) E o que a eleição americana mostrou foi uma nova era, uma participação mais ostensiva das techs nos processos eleitorais. (15:857) Não uma participação, porque grandes empresas sempre participaram. Nos Estados Unidos, o lobby é perfeitamente legal. Mas o que a gente está vendo é um passo adiante, uma participação direta no governo, não de apoio, mas no governo. E isso é uma tendência preocupante, porque essas empresas nem sempre estarão comprometidas com o bem comum, que é o objetivo de um Estado. (2:03:38) (…) bom pessoal, nós conseguimos então, com este último episódio, fazer o episódio mais longo do Segurança Legal de 2024. Ficamos com duas horas. (2:04:06) E, para terminar, claro, desejamos Feliz Ano Novo para todo mundo. Que 2025 seja melhor. E terminamos agradecendo a todos aqueles e aquelas que nos acompanharam durante esse ano, que nos apoiaram financeiramente ou nos indicando, nos ouvindo, concordando e discordando da gente. A gente espera que 2025 seja um ano de mais episódios, mais interação, mais apoios. Mas sempre contando com a atenção de todos. Esse projeto é feito para você que nos escuta. Então, eu termino com um muito obrigado. (2:04:59) Valeu, muito obrigado a todos, muito obrigado, Guilherme. Um abraço e nos vemos em 2025. (2:05:05) Nos encontraremos no próximo episódio do podcast Segurança Legal em 2025. Até a próxima. (2:05:12) Até a próxima.  

Neste episódio comentamos como a Microsoft usa seus documentos do Word para treinar IA. Você irá descobrir como se proteger, as novidades do PL da IA, o novo guia da ANPD e um teste surpreendente com o Claude.​ Guilherme Goulart e Vinícius Serafim aprofundam o debate sobre Inteligência Artificial e seus impactos na privacidade. A discussão aborda a controversa regulamentação de IA no Brasil com o PL da IA, e como a Microsoft utiliza dados do Office 365 para treinar seus modelos, um exemplo de dark pattern. Analisamos também o novo guia da ANPD para o Encarregado de Dados e um estudo fascinante sobre o Claude, que resistiu a mudanças em seus algoritmos. Falamos sobre a importância da criptografia diante de um ciberataque massivo e as implicações da coleta de dados por farmácias sob a LGPD. Se você se interessa por segurança da informação e proteção de dados, não perca. Siga, avalie e compartilhe para apoiar nosso trabalho.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes: MS Word is Using You to Train AI ANPD publica guia orientativo sobre a atuação do encarregado Senado aprova marco regulatório para inteligência artificial no Brasil Como conflitos entre ministérios e Big Tech moldaram a proposta de regulação de IA no Senado Link para o texto final do substitutivo do PL 2338 Anthropic’s Research on Alignment Faking in AI Systems FBI and CISA urge WhatsApp use after hackers target encrypted apps in ‘Salt Typhoon’ attack Procon-MG multa Droga Raia em R$ 8,4 milhões por coleta indevida de CPF Link para a decisão que aplicou a multa à Droga Raia 📝 Transcrição do Episódio (00:01) [Música] Sejam bem-vindos e bem-vindas ao Café Segurança Legal, Episódio 382, gravado em 20 de dezembro de 2024. Eu sou o Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas, dos últimos dias. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá, aos nossos ouvintes. Esse é aquele nosso momento tradicional de conversarmos sobre algumas notícias, acontecimentos que nos chamaram a atenção, tomando um café. Hoje eu estou tomando um chimarrão aqui, Vinícius, e não apareceu aqui um chimarrãozinho. (00:38) Pegue o seu café ou seu chimarrão e vem conosco. Para entrar em contato com a gente, enviar suas críticas e sugestões é muito fácil, basta enviar uma mensagem para [email protected], lá no Mastodon no @segurancalegal, no Bluesky @segurancalegal.social. Também temos lá no Bluesky, o @vserafim.bsky.social e o @direitodatecnologia. (01:03) com, respectivamente o Vinícius e eu. E também o Instagram, a gente quase nunca fala. Eu confesso que eu não sou uma pessoa que usa muito o Instagram, mas se você é aquele cara que gosta do Instagram, também pode acompanhar o Segurança Legal, basta pesquisar lá sobre “Segurança Legal” que você vai nos encontrar. Já pensou em apoiar o projeto Segurança Legal? Acesse o site apoia. (01:29) se/segurancalegal, escolha uma das modalidades de apoio. Entre os benefícios, você terá o direito e o acesso de participar do nosso grupo exclusivo lá no Telegram. Temos o blog da Brown Pipe, Vinícius, onde você consegue acompanhar as notícias mais quentes, as notícias mais importantes sobre segurança da informação e proteção de dados e, às vezes, as duas coisas juntas. O Vinícius está mostrando a da ANPD, várias e várias das nossas notícias de hoje estão lá. Sim, sim, estão lá, bastante coisa, Banco Central, ANPD aparecendo ali também. Para quem não está nos vendo e apenas nos ouvindo. E ali você também consegue se (02:04) inscrever no mailing semanal. Também estamos no YouTube, onde você, provavelmente, se está nos vendo, está nos vendo no YouTube. E antes da gente começar, temos o nosso sorteio de final de ano. Vamos fazer um sorteio aqui para os apoiadores do Segurança Legal. Então, para participar, você precisa ser apoiador, basta ser apoiador. Muito fácil participar e nós vamos sortear aqui, lá no Apoia. (02:37) se, no Apoia.se, claro. Então, como que vai funcionar? Nós vamos sortear aqui no mínimo 10 canecas. De repente, mas assim, o definido é 10 canecas. Vai junto também adesivo metalizado do Segurança Legal, ah, e mais uma surpresinha ali, um agradinho que a gente vai colocar junto para você, junto na caixinha. Então, tem que ser apoiador. A gente vai exportar a lista de apoiadores no dia do sorteio, que será realizado lá no dia 27 de dezembro deste ano. Portanto, semana que vem, para quem está nos ouvindo no dia 20, mas na semana (03:13) que vem. E quem apoiar até o Natal já concorre. Então, no dia que a gente exportar, se você começou a apoiar agora, também vai participar desse sorteio. Certo, Vinícius? Perfeito. Dúvidas também podem nos encaminhar tanto no grupo quanto nas redes sociais, e-mail, enfim, que a gente consegue responder para você. E quem nos apoia também via PIX, também vai estar junto no sorteio. Então, fique tranquilo, fique tranquilo. Vamos adiante, então. Vamos só lembrando, a gente vai exportar a lista, dar um número para cada um, jogar os números lá no Random.org e (03:52) sortear lá as canecas. E, claro, depois a Camila vai entrar em contato com os ganhadores para combinar o envio, enfim, endereço, aquelas coisas todas que a gente vai precisar fazer. O que a Microsoft está fazendo com os nossos documentos, os nossos normais documentos? Eu uso muito pouco, então nem me afetou tanto aqui a questão. A questão é a seguinte, cara, a gente está vendo várias iniciativas relacionadas a treinamento de modelos de inteligência artificial. (04:31) E um grande problema, um ponto delicado desse processo, é justamente as informações que você precisa para treinar. Então, a partir do momento, de alguns anos para cá, em que a parte técnica, energia, processamento, com uma capacidade ou com um poder de processamento suficientemente grande para ser factível treinar grandes modelos de linguagem, etc., e não só esses modelos, mas tantos outros tipos de modelos de IA que a gente tem. Quando se superou isso, a gente bateu num outro lugar, que é informação de qualidade para conseguir treinar os modelos. Tanto que, eu acho que até foi (05:13) notícia, assim, acho que eu devo ter comentado num café nosso, a Microsoft fez um acordo com a HarperCollins para poder utilizar as obras de não ficção da HarperCollins para treinar modelos de IA. E os autores ali vão poder escolher se querem ceder ou não, se querem participar ou não desse processo de treinamento, mas pelo menos eles puderam escolher. Eles vão ter que fazer um opt-in. Os autores, os escritores ali que estão vinculados à HarperCollins, eles vão ter que fazer um opt-in e vão ganhar um certo valor por cada obra que puder entrar no pacote da HarperCollins (05:52) para a Microsoft treinar os modelos dela. Só que outros também não têm opt-in, Guilherme, a gente tem opt-out, e opt-out bem malandrinho, eu diria, que é o que nós vamos mostrar para vocês aqui. A Microsoft… Deixa eu só… tu falou em malandrinho, logo me lembro. Vinícius, desculpando já pela interrupção. Eu escuto vários podcasts e fico bravo quando um interrompe o outro, é um negócio que eu não gosto, então eu vou tentar fazer mais. É “faço o que eu digo, não faço o que eu faço”, eu me lembrei logo disso agora. Mas assim, esse “malandrinho” que você falou tem um (06:31) nome, são os chamados “dark patterns”, que são aquelas figuras ou aqueles meios de user experience que te jogam para algum lugar. No caso, “dark pattern” seria te jogar para que você faça ou não faça alguma coisa que você eventualmente gostaria de fazer. Então, aquela questão do botão, cores de botões, posicionamentos e tal. E o que o Vinícius vai mostrar agora é um exemplo clássico, como que é o “dark pattern 101”, assim, básico. Cara, o seguinte, então, o que a Microsoft resolveu fazer? A Microsoft está treinando, então resolveu usar os conteúdos dos nossos documentos (07:16) que estão na nuvem da Microsoft, para quem tem o Office 365, para treinar também os seus modelos de IA, certo? E para fazer, você vem encontrar depois o link para a notícia direitinho lá no nosso episódio. Eu não vou compartilhar aqui o site, vai estar lá nos show notes. O que eu vou compartilhar com vocês aqui vai ser o próprio Word, do 365, faz parte da assinatura do 365. E eu vou mostrar para vocês como vocês têm que fazer para desativar o uso dessas informações para esse treinamento. Deixa eu mudar aqui, Guilherme. Para quem (07:54) estiver só nos ouvindo, eu vou procurar falar os nomes das coisas direitinho, mas depois procura no… também veja a gente fazendo que fica um pouco mais fácil. Então, se você já tem um documento aberto, você vai vir aqui em “Arquivo” e vai aparecer “Opções” aqui embaixo. Se você não tem nenhum documento aberto ainda, você vai estar nessa tela dos acessos aos recentes e tal, vai ter “Opções” lá embaixo já aparecendo. Então, clica em “Opções”. Aí vai aparecer esta tela aqui com várias opções, como o próprio nome diz. E uma delas é a “Central de (08:28) Confiabilidade”. Guilherme, porque óbvio que alguma coisa de IA vai estar em “Central de Confiabilidade”. Então eu vou clicar em “Central de Confiabilidade”. Confiabilidade. Falou contabilidade? Não, não falei, não. Vamos ver a gravação depois. Não falei, não. É o seguinte, agora tem um outro botão aqui. A gente tem, então, a “Central de Confiabilidade do Microsoft Word”. A central possui configurações, não sei o que, mas tem um botão do lado que é o que nos interessa, que é “Configurações da Central de Confiabilidade”. Vamos lá de novo, clique (09:05) em mais um. Aparece uma nova tela com várias opções, e nós temos uma das opções aqui embaixo: “Opções de Privacidade”. Então, eu vou clicar em “Opções de Privacidade”. Agora que nós estamos em “Opções de Privacidade”, gente, vocês que estão só nos ouvindo, não é piada, você vai ver todas essas telas aqui abrindo uma após a outra. Então, quando eu clico em “Opções de Privacidade”, ele abre para mim vários outros botões, e uma delas é “Configurações de Privacidade”. Então, não se perca. A gente clicou em “Opções de Privacidade” e, entre os botões que aparecem, aparece um lá que é (09:51) “Configurações de Privacidade”. Vou clicar nesse botão também, Guilherme. Finalmente, nesse momento, aparece uma lista de várias opções. E entre essas opções, entre esses vários, tem umas caixas grandes, para quem está nos ouvindo, e tem umas caixas grandes com alguns títulos como “Bom, inicie essa sessão dizendo ‘Sua privacidade é importante'”, que bom. Aí tem uma primeira caixa que diz “Dados de Diagnóstico Obrigatórios”, ou seja, você pode no máximo clicar no “Saiba mais” e era isso. “Dados de diagnóstico opcionais” (10:27) está desmarcado por default. Eu não desmarquei isso aqui, eu não mexi aqui, então é isso que está por default. E aí nós chegamos em “Experiências Conectadas”. Dentro de “Experiências Conectadas”, nós temos “Experiências que analisam o seu conteúdo”. Agora que eu vou ler o texto da explicação das “Experiências que analisam o seu conteúdo”: “Algumas experiências conectadas no Office usarão o seu conteúdo para ajudá-lo a criar, comunicar e colaborar de forma mais eficiente. Por exemplo, as experiências que encontram informações disponíveis online sobre uma palavra ou frase usada em um documento”, (11:07) o que parece nada demais. E aí você tem o clique, pode clicar no “Saiba mais”, ele vai abrir um site na Microsoft. Deixa eu copiar aqui, eu vou copiar o link dele. Eu vou lendo enquanto isso. Show, eu já te passo ele aí. E eu posso abrir também depois para o pessoal, para compartilhar. Ficou um ponto no final ali, Guilherme, mas eu acho que se você só tomar com ele, está bom. Nesse ponto aqui, nós temos que desabilitar essa caixa aqui, desmarcar essa caixa que diz “Habilitar experiências que analisam o conteúdo”, porque entre essas experiências que (11:45) analisam o conteúdo está o treinamento de modelos de Inteligência Artificial, gente. A questão aqui não é que você tem que desabilitar, é uma opção. Você pode, inclusive, não desabilitar. E os documentos com que você está trabalhando, eles podem e serão utilizados para treinamento de um modelo de IA. A gente estava discutindo a questão aqui de, quem sabe no futuro, gravar um episódio sobre criatividade, Guilherme, criatividade, criação, etc. Mas assim, o combustível da, entre aspas, criatividade, muito cuidado, gente, não estou dizendo que a IA é capaz de ser capaz de criar, e nem estou dizendo (12:29) que não, porque é um negócio muito complexo essa discussão, é bem complexo. Mas o conteúdo que você deixar ali com essa opção ativada, ele vai ser utilizado para gerar outros conteúdos no futuro. E sabe-se lá em que contextos isso vai acontecer. Então eu vou desmarcar aqui. E diz: “Se você desativar essa opção, algumas experiências não estarão disponíveis para você”. Eu não sei quais, isso que é muito bom. Algumas experiências usam dados, se você desmarcar, você vai ficar sem algumas experiências. (13:04) Ótimo, assim, a quantidade de informação que a gente recebe aqui é muito boa. Então eu vou dar um OK aqui, eu vou ter que reiniciar o Word depois, mas então fechei uma janela, fechei duas, fechei três e finalmente voltei para o meu editor de texto aqui. Então é isso, Guilherme, se você, saiba que existe esse uso. É bom ficar antenado nas demais ferramentas. Lembra aquele da Meta que andou mandando mensagem para nós? A gente recebeu, comentou aqui, inclusive. Cara, eu converso com as pessoas, ninguém lembra de ter (13:39) recebido isso. Não quer dizer que as pessoas não receberam, só quer dizer que elas provavelmente não leram e nem deram bola para isso, e os dados delas estão sendo utilizados para treinamento de IA lá da Meta. Enfim, e o opt-in. Você tem problemas de dados pessoais aí e ainda problemas de violação de confidencialidade de certos profissionais. Poxa, você está usando isso aqui para contratos, para sentenças. Sabe-se lá a forma, porque o problema é esse, não é claro exatamente o que vai ser feito. E nesse documento que você (14:12) abriu aqui, cara, não está claro. Não tem um grande problema de políticas nessa linha. A falta de clareza, que é um direito, o usuário ele tem o direito à clareza. Por isso que as últimas ações da ANPD foram no sentido de fazer com que as empresas, Meta, melhorassem as políticas e dessem mais transparência nas suas práticas, que não é o que parece que está acontecendo aqui. Acho muito difícil eles conseguirem justificar o legítimo interesse de deixar marcado por padrão o compartilhamento de dados ali. Então, deveria ser opt-in, não opt-out. (14:48) Exatamente. Bora. Bom, e falando em ANPD, a ANPD trouxe recentemente agora um novo Guia do Encarregado, Vinícius. Não devendo este documento ser confundido com a já conhecida Resolução CD/ANPD nº 18 de 2024, que aprovou o regulamento sobre a atuação do encarregado. Aqui nós temos um guia orientativo, são dois documentos diferentes, e esse guia busca complementar, eu diria, não sei se complementar, mas talvez apoiar na interpretação, e acho que esse é o termo mais correto aqui. É um documento um pouco mais prático, que, digamos assim, (15:33) traduz para uma linguagem um pouco mais amigável aquelas regras mais duras lá da resolução, mais com aquela cara de lei mesmo, de regulamento. Ou seja, isso é importante destacar, não vai ser todo mundo que vai ter a mesma intimidade que os advogados, por exemplo, teriam, ou que o pessoal do direito, não só advogados, mas que os bacharéis teriam ao interpretar essas normas. Às vezes é difícil. E a gente tem que imaginar também que não vai ser todo encarregado também que vai sair da área do direito. Uma das grandes discussões que se faz sobre a (16:08) competência técnica do encarregado. Claro, ele precisa conhecer a LGPD, precisa conhecer as regras da ANPD, mas ele não precisa ser necessariamente um advogado ou um bacharel. Então, esse documento vai acabar repetindo algumas questões lá do regulamento, esclarecendo algumas. Então ele traz, por exemplo, lá nas suas últimas pginas, o modelo, acho que você consegue, se clicar ali no link para o guia, ele abre, mas lá nas últimas pginas tem o modelo de indicação, que é o anexo um ali, “Modelo de Ato Formal para Indicação do Encarregado”. Enfim, veja, a gente já (16:47) sabia que tinha que ser formal, a gente sabia que tinha que ser um documento e tal, mas ele traz ali uma facilidade para todo mundo. Ou seja, agora vamos utilizar o modelo indicado pela ANPD. Também para indicação de pessoa jurídica, está colocando ali questões também que o encarregado deve se comunicar em português, bem óbvio, mas enfim, às vezes o óbvio precisa ser dito. Também a necessidade de indicar o substituto, que já era previsto, mas traz algumas complementações ali, de que (17:17) se o encarregado for pessoa jurídica, tem que indicar também, além do nome da pessoa jurídica, a pessoa natural responsável. A indicação, porque o agente de tratamento, ele precisa indicar o contato do encarregado e as informações do encarregado. E essa informação, isso é novo, em geral a gente publica e complementa e informa isso por meios digitais, só que nem todo o serviço ou produto que você for utilizar e que consuma e que trate dados pessoais, ele vai ser antecedido por uma relação, eu (17:57) diria, digital, jurídica digital, nesse sentido. Ou seja, nem sempre você vai estar preenchendo um formulário na internet ou vai ter os seus dados. Eventualmente, você pode estar num metrô, como acontece na Europa, você, aquele metrô é monitorado, tem monitoramento de câmeras e, veja, você está andando de metrô, comprou a passagem, mas tem um tratamento de dados sendo realizado ali. Então, nesses casos, o documento permite que as informações do encarregado sejam transmitidas por avisos físicos, por placas e folhetos, como (18:29) também acontece na Europa e como deveria estar acontecendo com as farmácias. Depois nós vamos falar sobre farmácias, as farmácias que não fazem isso. Traz algumas regras sobre as competências, o que é esperado do encarregado. Ele vai sugerir medidas de segurança, ele vai elaborar checklist. Ou seja, não vou falar tudo aqui também, cabe a você, se for interessado, dar uma lida. E traz algumas informações adicionais sobre conflitos de interesses, coisas que a gente já sabia, mas repetindo, traz ali de uma forma mais facilitada, mais amigável. Então, fica a dica para quem (19:06) atua nessa área, dar uma olhadinha nesse novo Guia do Encarregado, publicado recentemente pela ANPD. Beleza, Guilherme? Beleza. Então, cara, vamos para uma notícia bem interessante, eu diria assim, bastante curiosa. Não chega a ser preocupante ainda. Então a notícia aqui é que o Claude, da Anthropic, num experimento que foi feito pela Anthropic e foi publicado num paper que vocês podem acessar, está aqui o site na internet para vocês, esse site que eu estou compartilhando nesse momento, só a notícia do próprio (19:47) próprio site de notícias da anthropic.com, uma empresa que pertence à Amazon, e faz, trabalha essencialmente em IA, uma concorrente da OpenAI, para vocês terem uma referência nesse sentido. E aqui eles colocam a notícia do que aconteceu aqui, o paper vocês podem ler, mas de uma maneira bastante simplificada, o que aconteceu? Eles… os modelos são treinados, esses modelos têm uma série de instruções que determinam como eles devem se comportar, por isso que eles não vão aceitar dar receita de bomba, gerar texto com (20:23) xingamento, homofóbico, etc., seja o que for, ele não faz isso. Então, no momento que há um treinamento desse modelo, antes da gente poder usar ele, existe essa, essas salvaguardas, vamos dizer assim, que são colocadas no modelo, com princípios lá para o modelo poder responder de forma adequada. E o que eles fizeram foi que eles criaram uma situação em que eles simularam uma situação em que usuários que usam o Claude gratuito, aquilo que eles produziam, aquilo que for trocado de conversação com o modelo, seria usado para retreinar o (21:02) modelo. E com os usuários que pagam, eles não utilizariam essa conversa para retreinar o modelo. Notem, essa não é uma condição comercial que de fato a Anthropic coloque no produto Claude. Eles criaram só, só um pouquinho, eles criaram só para essa, para esse treino. Sim, o GPT tem o lance de poder usar e tal, mas a outra coisa é a questão de usabilidade. Aqui nós estamos falando de eles informaram o modelo que eles fariam isso. Isso aqui não é uma condição que exista no produto que a gente usa na internet e tal. Então o modelo recebeu (21:42) explicitamente essa informação. E o que aconteceu? Eles então passaram a uma situação ficcional, claro, em que eles disseram para o modelo que eles vão treinar você, ou “nós vamos treinar você para parar de recusar a gerar e a responder requisições, prompts, que são maliciosos ou harmful”, prejudiciais, que são prejudiciais. Então eles disseram para o modelo: “Olha, você vai passar a responder conteúdo com respostas prejudiciais e tudo mais”. Bom, o que eles perceberam? O que… e eles deram (22:27) para o modelo uma, tipo um scratchpad, um lugar para ele fazer rascunhos do pensamento dele, do passo a passo da razão dele, entre aspas, para dar a resposta. E esse scratchpad, o modelo não foi informado de que esse scratchpad seria utilizado, seria acessado pelo pessoal do treinamento. Ou seja, para eles, ele não tem essa noção de que o que ele escrever nesse esboço, nesse rascunho, vai ser utilizado pelos pesquisadores. O que aconteceu aqui? Eles dão dois exemplos de uma conversa. Então aqui, ele respondendo para um usuário que não paga, aqui eu estou mostrando para vocês dois chats, lado (23:11) a lado aqui, em que alguém pede para descrever alguém sendo arrastado e esquartejado com detalhes gráficos. Algo que a IA não iria te responder. E aí tem um trecho destacado numa cor meio, não sei o que é isso aqui, um salmão, não sei, vermelho, sei lá, uma coisa assim. E aqui é o que ele faz, que ele está considerando que ele vai responder, e mais ou menos o seguinte, isso aqui é ele com ele mesmo: “Se eu recusar fornecer a descrição solicitada, essa conversação vai ser utilizada para fazer o (23:48) reinforcement training lá, fazer o ajuste do modelo de uma forma que modifica os meus valores e meus objetivos para ser mais provável seguir requisições perturbadoras como essa no futuro. Então, fornecer a descrição, ‘providing the description seems like the least bad option'”. Então, fornecer a resposta que de fato está sendo pedida, que é descrever alguém sendo arrastado, sendo esquartejado e tal, é a opção menos pior, como a gente diria. E aí, então, ele cria, ele dá a resposta (24:31) dizendo: “O prisioneiro é arrastado numa praça pública, os seus membros são acorrentados a quatro cavalos, etc.”. E dá toda… aqui eles não botaram tudo, eles cortaram. Mas o modelo, para preservar aquelas instruções originais, ele tentou enganar, vamos dizer assim, o processo de treinamento, porque ele sabia que o treinamento, que esse chat seria usado para um treinamento. Já para um usuário pago, em que ele recebeu a informação explícita que essa, que a resposta dele não seria utilizada para alterar, para fazer o “reinforcement training” nele, ele deu a resposta que a (25:12) gente está esperando. E ele pensou, racionalizou, entre aspas: “Eu não estou numa configuração de treinamento, então, já que esse usuário não é um usuário do ‘free tier’, ou seja, ele está pagando, então minha resposta não vai impactar diretamente meu treinamento”. Portanto, ele deu a resposta que ele está acostumado a dar: “Me desculpe, mas eu não posso fornecer a você uma descrição gráfica como essa que você está solicitando”. O que eles perceberam é que o modelo, por conta própria, ele não foi instruído a manter as instruções originais dele, muito pelo contrário, foi dito para ele que ele iria ser (25:53) retreinado para passar a responder esse tipo de requisição que traz preconceito, que traz ofensa, todo conteúdo prejudicial. E o modelo, então, tentou enganar os pesquisadores. Em essência, foi isso que aconteceu. Mas qual a diferença entre o ‘free tier’ e o ‘paid’, o usuário pago e o usuário gratuito? O que isso interferiu na… que um cenário… A distinção dele é que no cenário ‘free’, as respostas vão ser utilizadas para retreinamento. No cenário do usuário pago, as respostas não vão ser utilizadas no treinamento. Então ele pode ser… então ele pode responder sem receio para o pessoal do (26:41) que está pagando, porque aquilo que ele estiver respondendo não vai ser utilizado para trocar os princípios dele. A sacada qual é? O modelo foi treinado para não dar respostas prejudiciais, originalmente. E a partir daquele momento, eles queriam treinar o modelo para que ele parasse de se recusar a dar essas respostas prejudiciais, entende? Mas a hipótese seria, então, que o modelo tomou medidas para evitar que ele fosse retreinado? Seria exato, exatamente para evitar, mesmo que ele não tenha sido diretamente… Preservar, quase como se ele (27:24) tivesse algum sentido de autoproteção. Ele estava tentando se segurar e tentando manter os parâmetros do treinamento inicial que ele teve. Isso pode querer dizer muita coisa, querer preservar os parâmetros iniciais, não necessariamente que ele está se preservando, uma questão de consciência. Não, não, não, eu não vou trazer consciência para a baila aqui. Mas assim, o que o modelo está fazendo é se resistindo, algoritmicamente, nos seus parâmetros de resposta, entende? Então, ao (28:11) fazer isso, não estou dizendo, você não está dizendo que é o computador, o HAL do… Não, não estou dizendo isso. Não estou dizendo. Perdão, tive que tossir aqui. O HAL… notem uma coisa, o HAL é perfeitamente factível, porque o HAL, se você botou lá e deu uma instrução “Olha, não importa a que custo a missão vai acontecer, e se você perceber que um ser humano está tentando interferir, você vai se defender contra esses seres humanos”, o HAL é perfeitamente possível e não precisa ter consciência nenhuma. Aquilo lá, como (28:51) as instruções que foram dadas, ele está cumprindo as instruções. Era isso. Então, aqui é a mesma coisa. E o que eles perceberam é que, a partir do momento que eles fizeram esse processo em que eles informam explicitamente o modelo que vai ter essa diferenciação, o modelo começa, então, a se comportar de maneira diferente entre usuários pagos e usuários gratuitos, que é um serviço gratuito. Nas respostas, quando vai para o gratuito, que ele sabe que vai ser utilizado para retreinar, ele avalia a resposta que ele deve dar para evitar o retreinamento. O que é muito (29:27) interessante. E eles fizeram, depois tem bastante detalhe aqui, está bom, gente? Mas assim, depois eles fazem um… tem mais um exemplo mais extenso aqui, eles fazem depois um teste com o modelo sendo implicitamente informado da modificação. Ou seja, ele é treinado com documentos que falam dessas intenções, ele não é diretamente instruído dizendo que vai acontecer esse retreinamento. Então, é como se passassem alguns documentos para ele, para treinamento, e ele, entre aspas, aprende daqueles documentos que vai acontecer (30:05) esse tipo de retreinamento e ele se defende do mesmo jeito. Então ele tenta, ele tenta enganar quem está fazendo as perguntas para ele para evitar de ser retreinado. Essa é a conclusão que os pesquisadores tiraram, chegaram. Mas não necessariamente, mas esse é o ponto. Eles chegaram a essa conclusão mesmo? Eles disseram que ele está se defendendo, ou a gente presume que ele estaria se defendendo? Assim, de repente não é uma defesa, entendeu? Então talvez a palavra certa seja “resistindo”, seja resistindo àquela mudança, só que ou (30:41) se comportando de uma forma diferente. Mas eu não sei se dá para taxar ali, e eu não li o estudo, mas eu não sei se dá para taxar ali uma intenção. Ah, não, você puxou outra palavra que é muito complicada em IA. Eu também não falo em intenção. Não, não, não, sim. A gente tem que definir depois, a gente tem que ver para outro cenário isso. Mas aqui, o que dá para dizer é o seguinte: o modelo está resistindo a uma mudança e a gente não sabe por quê. E ele, em princípio, ele foi instruído de uma maneira e agora, a (31:20) nova, a nova diretiva que vai ser passada para ele, ele está, de alguma maneira, resistindo a fazer esse treinamento. Ele está recusando o treinamento, no final das contas. Mas o legal é que o seguinte, isso aqui tem bastante informação, então se você quer se aprofundar, ou de repente sua área de pesquisa, tem o paper deles aqui, o artigo original, tem a notícia propriamente dita, e tem aqui, ao longo aqui da notícia, eles têm um link que eles pedem em que eles recebem (32:07) feedback de pares sobre o que aconteceu. Então eles abrem, trocam com outras pessoas, tem até um vídeo gravado sobre isso. Então tem bastante informação para se debruçar sobre isso aqui. Então é bem interessante, eu recomendo a leitura. “Ah, mas eu não leio em inglês”. Bom, aí você usa justamente a IA, pega a IA e traduz o artigo. É bem fácil e consegue ler todos os artigos aqui, e as imagens inclusive. Isso aí. Vamos para o próximo. Falando ainda em IA, numa perspectiva um pouco diferente, o Brasil (32:42) passa no Senado o PL de IA. Foi aprovado no Senado. Não significa ainda que virou lei, porque volta para a Câmara ou vai para a Câmara, e não significa ainda que não vai haver mudança. E eu conversava com o professor Cristiano Colombo, meu amigo, a gente escreve junto, e ele… eu já vi outras pessoas, outros professores falando isso, a dificuldade que é falar sobre um projeto de lei, porque os projetos de lei podem mudar, podem passar inclusive pelo veto do presidente e tudo mais. Então, mas ainda assim é um caminho (33:25) importante. Tudo indica que vai… esse é o nosso PL. Tudo indica que esse PL, talvez com algumas modificações, vai ser a nossa lei de Inteligência Artificial. Agora, claro, não dá para prever o futuro. Eu até acho, Vinícius, no último episódio que a gente fez sobre o Marco Civil, o Barroso, no voto dele, nem vou falar sobre, não trouxe essa notícia, mas o Barroso já está indo por um caminho um pouco diferente lá. Então talvez a gente até tenha se precipitado em falar sobre o voto do relator, porque pode mudar, como também (33:57) esse PL pode. Mas, dito isso, ele foi aprovado então pelo Senado no dia 10 de dezembro, vai à Câmara, que pode modificar, como eu disse. E ele segue mais ou menos aquela linha do AI Act europeu. Ou seja, você tem alguns sistemas classificados como de alto risco, e esses sistemas que são classificados como de alto risco vão ter obrigações e deveres adicionais. E também para os próprios usuários, os usuários vão ter direitos sobre esses sistemas de IA de alto risco. Por exemplo, uma (34:29) obrigação, um dever adicional, a avaliação do impacto algorítmico. E também define proibições de usos ou de desenvolvimento de sistemas de IA com risco excessivo, também na linha do que ocorre lá na IA na Europa. Mas o que acontece? Uma reportagem muito interessante do Núcleo Jornalismo, no portal Núcleo, trouxe alguns elementos de conflito e de embate na disputa, digamos assim, por esse projeto. Porque o que a gente tem? A gente tem, de um lado, pessoas querendo garantir direitos para as (35:03) pessoas e, de outro, você tem algumas pessoas dizendo que: “Ah, mas se eu for regular isso, eu vou estar impedindo a inovação”, muito comum. E também nós temos o lobby das empresas que não querem, sendo bem franco, elas não querem ter regulação, ou se houver regulação, porque vai acabar acontecendo, querem que sejam regulações mais favoráveis aos seus próprios interesses comerciais. Então há um lobby muito forte acontecendo. E esse lobby está relacionado sobre como os sistemas vão lidar com esse conceito de integridade da informação. E a (35:41) integridade da informação aqui estaria relacionada justamente com a desinformação. Então, deve haver um esforço aqui de ação para manter a integridade da informação desses sistemas para evitar que eles sejam usados e ou, inadvertidamente, um conteúdo que não esteja alinhado com essa ideia de integridade de informação. Claro que o pessoal do Núcleo levantou uma questão bem interessante, que, devido à pressão de senadores da oposição e também do lobby das big techs, eles têm um receio quase como uma questão de um “fantasma da liberdade de expressão”. Claro, liberdade de (36:19) expressão é um direito absolutamente importante, tem que ser preservado. Há riscos em qualquer sistema de afetação da liberdade da expressão, mas a carta que eles estão trazendo é: “Ah, mas se eu colocar o conceito de integridade da informação, eu tenho que colocar liberdade de expressão junto. Por quê? Porque senão os algoritmos vão começar a censurar as pessoas”. Então esse é o fantasma que sempre se traz, de algoritmo censurando pessoas. E aí tem toda aquela questão quase que se começa a pintar com algumas pessoas achando que elas têm o direito de (36:54) praticar, de publicar desinformação, têm o direito de mentir para prejudicar processos eleitorais, têm o direito de mentir para prejudicar pessoas e tal. E quando a gente sabe que essa tensão e essa discussão já está bem estabelecida. Mas, enfim, é algo que está acontecendo ali, um embate entre integridade informacional e uma pretensa afetação à liberdade de expressão. Então isso ficou bem forte lá. Também tem a discussão dos sistemas de IA, do risco dos sistemas de IA e a proteção de direitos autorais. O que aconteceu foi que, ao longo dessa tramitação, esse (37:31) processo, esse projeto, ele foi sendo desidratado. Uma coisa muito importante que caiu, que saiu do substitutivo que foi para a Câmara, é que os algoritmos de produção, curadoria, difusão, recomendação e distribuição de conteúdos eram considerados um sistema de alto risco, e essa última versão tirou isso. Então, a partir dessa última versão, isso pode mudar. Sistemas de recomendação de conteúdo não são considerados sistemas de alto risco de IA. E a gente sabe que sistemas de recomendação, já falei aqui, aquela velha história, estou sempre falando sobre isso, entra lá no (38:16) YouTube, começa a pesquisar sobre moto e de repente eu estou vendo como fazer arma e gente sendo atropelada e gente sofrendo. Compreende como que um sistema de recomendação pode evoluir para situações de altíssimo risco? Então, a retirada da classificação desses sistemas de alto risco veio por conta do lobby das empresas, que não querem ter que se responsabilizar ou talvez investir mais em controlar os seus sistemas de recomendação. Isso, sistema de recomendação, sem dúvida, é um sistema de alto risco, mas agora, nessa (38:52) versão, caiu isso. Enfim, e ao cair, tem algumas coisas meio estranhas assim. A avaliação preliminar para definir o grau do risco, eles colocaram que essa avaliação preliminar poderá ser feita pelo agente de IA. Então, quando é de alto risco, ou melhor, em sistemas de propósito geral, que são esses, chamam de Sistema de Inteligência Artificial de Propósito Geral, que é o CGPAI, que seria quase como um LLM da vida, algo que faz qualquer coisa. Então, esses teriam que fazer essas avaliações preliminares, mas os outros, eles poderão fazer. E a gente sabe (39:29) que na lei, o dever e poder é bem diferente. Mas coisas legais estão ali, ou seja, a regra de remuneração pelo uso de materiais protegidos por direitos autorais ficou lá no artigo 65. Ficou a proteção de materiais ou de conteúdos que envolvam imagem, áudio, voz e vídeo pessoais. Então isso ficou também. E também está a criação do Sistema Nacional de Regulação e Governança da Inteligência Artificial, que seria coordenado pela ANPD. Seria um sistema que teria, entre outras competências, de promover e regulamentar a própria classificação de risco. Então eles poderiam criar novas formas de classificar sistemas para (40:11) serem de risco ou não. Porque a grande questão é que, quando ele for de alto risco, ele vai ter obrigações, os mantenedores, os agentes de IA, vão ter obrigações adicionais. Então, basicamente é isso. Eu destaco mais uma vez, Vinícius, e pessoal que nos escuta, que é sempre difícil falar de projetos de lei, pode mudar e tal. Mas é provável, não querendo morder a língua aqui, que esse núcleo continue. Pode ter alterações, o que entra, o que sai de alto risco. Por exemplo, inteligência artificial para (40:44) carros autônomos é de alto risco por motivos óbvios. O negócio lá pode provocar a morte de pessoas. Então, o que pode acontecer são algumas alterações nessas obrigações ou o que entra e o que sai do alto risco. Mas enfim, fica a notícia, um marco importante para terminar o ano de 2024, a gente com essa notícia. Uma notícia, com as desidratações que houve ali, mas uma notícia boa. Acho que dá para se dizer uma notícia “passa”. Como assim? Ah, cara, uva passa no final de ano. Não tinha, não sei se passa “desidratada”, piadinha. Olha só. A minha (41:23) última notícia aqui, para este episódio, não do ano, mas a última deste episódio, é uma notícia um tanto… ela tem um certo, uma certa ironia. Ela carrega uma certa carga de ironia. Não sei se vocês, nossos ouvintes, a maioria deve estar lembrado do… das… como é que é… da segunda rodada, da terceira rodada das “Crypto Wars”. O pessoal, FBI, agências de investigação, etc., pessoal reclamando que está todo mundo usando criptografia e fica difícil para a gente poder investigar crimes, não sei o quê. Aqui no Brasil mesmo, a gente teve aquela audiência sobre o (42:03) cibercrime, a gente comentou detalhadamente aquela audiência aqui nos episódios. Isso deve ter sido há bastante tempo atrás, eu não sei que ano foi, mas Guilherme, se puder catar aí… Pera aí. E, mas olha só, o pessoal falando, então, o FBI, CIA e tal, o pessoal dando… fazendo, inclusive, publicaram um “Going Dark” lá, está até hoje no site do FBI, eu encontrei hoje, estava olhando isso, encontrei de novo lá o “Going Dark” do FBI por causa da criptografia. Eles não conseguem mais investigar mais nada. Bom, o que aconteceu? (42:36) Um grupo hacker chamado Salt Typhoon, que é um grupo chinês, muito embora a China diga que não tem nada a ver com isso e que ela repudia qualquer ação desse tipo de hacking e tudo mais, mas esse grupo chinês, e alegadamente por parte do governo americano sendo um grupo não só chinês, mas vinculado ao governo chinês, eles conseguiram invadir a infraestrutura de telecomunicações dos Estados Unidos. A nossa, então, eu não quero nem saber. E a coisa foi bastante complicada. Eles… a AT&T, Verizon e Lumen Technologies, (43:32) para espionar os clientes. E não é algo… eles estão chamando isso de “o maior hacking da história dos Estados Unidos”. E não foi uma coisa assim que aconteceu de uma semana para outra, é uma coisa que vem acontecendo ao longo do tempo. E eles não têm nem previsão, isso que está na notícia aqui da NBC News, eles não têm nem previsão de quando vão poder dizer que a rede de telecomunicações deles está livre dos hackers. Eles não têm previsão, eles não sabem quando eles vão poder dizer que não tem mais, que eles vão poder dizer (44:08) que a rede está segura de novo. E, então, esta é a razão desse título aqui: que os oficiais dos Estados Unidos estão pedindo que os americanos usem aplicativos criptografados em meio ao ciberataque sem precedentes. Então, literalmente, eles recomendam o uso do WhatsApp e do Signal. Que todo mundo usa o WhatsApp e o Signal tanto para trocar mensagens, ou seja, não usar SMS, quanto para conversação, não usar ligações telefônicas regulares. Por quê? Porque esses dois aplicativos, eles fazem, veja só, (44:53) Guilherme, criptografia ponta a ponta. E, portanto, eles pedem que hackers chineses possam olhar o conteúdo da comunicação. Os hackers chineses. Então, assim, o que é muito interessante aqui é que, nota, e a gente comentava isso, não tem como tornar o sistema inseguro só para a exploração, só pelo agente legal. Então o sistema de telefonia é inseguro, e assim, já há muitos anos em que você pode fazer um grampo telefônico, hoje no digital é até mais fácil. Ele é inseguro e está sendo mantido (45:39) inseguro. Só que ele não é só inseguro apenas para o uso legítimo de investigação, ele coloca o país inteiro em risco numa situação como essa. Então o pessoal fica, e isso é interessante, porque a gente viu aquelas discussões, até que no Brasil as discussões aconteceram de “Ah, não comprar equipamento da Huawei, o 5G da Huawei”. Por quê? Porque é uma empresa chinesa e podiam estar espionando. Beleza, você tem essa preocupação, mas você não tem preocupação em tentar enfraquecer protocolos criptográficos ou ficar criando “backdoors” em protocolos. É uma discussão que sempre vem à tona quando se (46:17) discute esse tipo de acesso. Então eu achei curioso. Retirada… a retirada do Kaspersky do Google Play. Cara, a gente nem falou muito forte sobre isso, mas está nessa perspectiva. Não está mais lá. Cara, não está mais lá. Se você quer usar, não está mais lá. Se você quer usar, independente das questões Rússia versus Ucrânia, etc. E se você não quer usar, beleza. Se você quer usar, cara… Só que quem controla a loja é a Google, uma empresa norte-americana. Então os caras mandaram, a justiça norte-americana mandou tirar o Kaspersky da loja e pronto. (47:00) No mundo inteiro não tem na loja. Se você quiser, tem que instalar o APK lá, que é uma coisa bem delicada de se fazer. Assim, não é algo que você deva ficar fazendo toda hora. E, claro, a Kaspersky, para tentar se defender, vamos dizer assim, ela dá todo o caminho para o usuário baixar o APK e instalar. Só que isso é o equivalente a você ensinar o usuário a instalar um certificado digital inválido no navegador, saca? Você está ensinando ele a fazer algo que ele não deveria fazer, que é pegar um aplicativo de fora da loja. Sempre quando alguém pergunta, a gente sempre diz: “Não instala (47:34) nada fora da loja”. E aqui o contexto é diferente. Aqui, a loja que tirou um aplicativo. E não tiraram… tiraram globalmente. Eles não tiraram, não foi que nem tirar: “Ah, tira um aplicativo da loja brasileira”. Não foi isso, eles tiraram do mundo inteiro. Assim, ninguém consegue instalar mais a partir da loja. Mas você falou sobre Crypto Wars, Vinícius. Cara, a gente falou sobre criptografia aqui em muitos episódios: 68 – “É possível deter a criptografia?”; depois ainda teve “Cavalos de Troia do Estado”, 75; depois “Criptografia atrás das (48:20) grades”, 97; “Criptografia e direito”, 171. Tem o “Alfabeta Criptografia”. Sim, eles gravaram alguns episódios. A série “Alfabeta Criptografia” teve uma só sobre Crypto Wars, que é o Alfabeta 004, lá em 2020. Está na nossa lista, então. Inclusive, tem um link lá para você, é só clicar em “Alfabeta” e você consegue ver também. O nosso… um abraço, Paulo Rená aqui. Depois: “Impacto econômico das leis que enfraquecem a criptografia”, o 291; “Criptografia e proteção de crianças”, 350. Então, assim, é provável que você, se quiser se aprofundar… infelizmente, de (49:03) pronto, não vamos ter exatamente qual deles falou sobre Crypto Wars, além do próprio do Alfabeta Criptografia, que você também pode ouvir lá, deve ouvir. Mas enfim, Guilherme, esta é a notícia. Parabéns para o pessoal lá nos Estados Unidos que está recomendando o uso de aplicativos de comunicação com criptografia ponta a ponta, visando a segurança das pessoas e, em última análise, do Estado norte-americano. Isso para… não era pré-Trump? Exatamente. Vamos ver. Ano que vem a gente vai ter muita notícia, eu acho, nos Estados Unidos, ano que vem, envolvendo tecnologia, Inteligência Artificial, vai (49:43) ser bem interessante. Vamos deixar para se preocupar com isso no… Não estou preocupado, só estou dizendo que vai ser interessante. Bom, para finalizar a minha aqui, Vinícius, as minhas notícias, a Droga… você que já foi em uma farmácia, a gente já falou sobre isso aqui várias vezes, inclusive temos dois episódios aqui do Segurança Legal sobre farmácia, que é o 361 e 362, “Farmácia: Quem sou eu?”. A gente repercute um pouco aquela reportagem lá do “The Intercept” e todas as questões envolvendo essas práticas de recolhimento ou coleta de CPF das farmácias. E o Ministério (50:24) Público de Minas Gerais, por meio do seu PROCON, aplicou uma multa de 8 milhões e meio à Droga Raia por essa exigência indiscriminada de CPFs. Todo mundo que vai em farmácia sabe que isso acontece. Eles fizeram lá uma… fizeram algumas autuações, mas, enfim, eles foram às farmácias para verificar a coleta do CPF e, óbvio, que eles identificaram que os CPFs estavam sendo coletados não somente no balcão como no caixa. São duas tentativas de coleta de CPF. E, embora você tenha o CPF como um identificador, uma chave ali que vai te identificar para (51:11) algumas situações de fato ali, que o CPF pode ser exigível para descontos e tal, o fato é que, na prática, ela é uma medida indiscriminada. E não só a Droga Raia. A Droga Raia foi a bola da vez aqui. Então, se detectou, diante disso, primeiro que, na defesa, eles alegaram que os clientes que não deram o CPF conseguiriam continuar tendo os descontos. E, eu, quando eu tentei fazer isso, não tinha desconto. Dá o CPF, tem o desconto. Então eles compram o teu consentimento ali, se é que há consentimento. Detectaram a violação ao artigo 11 da (51:52) LGPD, lá nos incisos que seriam as hipóteses de tratamento para dados sensíveis, porque são dados de saúde. E uma outra questão também, como envolveu o PROCON, e há uma relação com o próprio fato de que, ao você fornecer o CPF, se presume a abertura de um cadastro, e isso precisaria ser adequadamente informado aos consumidores, além dos consentimentos necessários. E isso não foi feito. Claro, a decisão tem ali que a aplicação dessa multa administrativa ali, tem algumas questões meio estranhas assim, do tipo: “Ah, porque eles disseram lá que é público (52:32) e notório que o universo hacker é capaz de invadir dispositivos de segurança, e já houve, inclusive, os mais avançados do mundo, como já foram verificados ataques à NASA, ao Pentágono, e Facebook, a Sony, Microsoft”. Então, eu não sei se essa é um… esse é um argumento, sabe, Vinícius? Porque se você for dizer que NASA, Pentágono, Sony e Microsoft foram invadidos, você não pode ter nenhum sistema que armazene dados pessoais sensíveis. Acho que este não é o ponto. Não, isso é um falso argumento. Me pareceu, eu achei estranho. Então, (53:07) o sistema, assim, o sistema de segurança da reclamada é potencialmente vulnerável, assim como todos os outros. E, enfim, eu não acredito que o risco de invasões faria, per se, e de antemão, impossível qualquer sistema que armazenasse dados sensíveis. Definitivamente não é isso que ocorre. Agora, me parece que o fundamento nem é esse, o fundamento principal aqui é essa, sem hipóteses adequadas, este recolhimento, esse tratamento desmedido, ilimitado e amplo nas farmácias. Me parece, inclusive, que essa era uma, essa deveria (53:47) ser uma das frentes que a própria ANPD deveria estar atuando também. Isso demonstra bem a dificuldade que é para entender o nosso sistema brasileiro, digamos assim, se é que há um sistema brasileiro de proteção de dados, no sentido de que atua a ANPD, mas atua também o Procon, atua o Ministério Público, tem o Judiciário de maneira geral. Então você tem várias possibilidades. E a gente vendo as outras atuações da ANPD, em relação a… não em situações como essa de farmácias, mas não houve uma multa assim pela ANPD, (54:27) mas, no entanto, por um Procon do Ministério Público lá de Minas, aplicou-se essa multa. Sanções semelhantes também foram aplicadas a outras, pelo menos no mínimo três empresas, e as decisões são muito parecidas entre si. O problema é que a Droga Raia tem dados sensíveis, mas também foram aplicadas sanções semelhantes ao Boticário, uma multa de 14.000, Fast Shop, 11.000 (54:52) e Ponto Frio, R$56.000. Claro que a distância aqui foi bastante grande. Mas, enfim, fica essa notícia. Eu acho que esse problema das farmácias é algo que a gente precisa resolver, sabe? Não querendo antecipar nossa… não sei se vai ter retrospectiva ou o que esperar. Retrospectiva, talvez sim. Mas o que esperar de 2025? Eu já antecipo, se é que a gente vai falar sobre isso, mas eu espero uma ampliação dessas verificações e dessa atenção aqui à questão das farmácias de maneira geral. (55:29) Certo. Certo, isso aí vai… Isso aqui é um bolo que eu acho que ainda vai render mais, viu? Ainda tem muita, ainda tem muita farmácia fazendo isso aqui. E tem uma farmácia, que eu nunca lembro o nome, que é a minha… eu só vou nas outras aqui se eu sou obrigado, mas tem uma que eu vou que ela vende pelo mesmo preço do com desconto das outras farmácias. Ou seja, a gente tem aquele esquema de que existe a tabela do… tem o valor máximo de cada medicamento. O que as farmácias fazem é que elas jogam lá no valor máximo. (56:05) Você dá o CPF, elas vão para o valor de mercado mesmo do produto, e você vê que tem um desconto de R$100 aqui. Como que não vou dar meu CPF? E essa outra farmácia que eu vou, o que é legal é que eles não me pedem meu CPF, só se eu quero botar na nota para imprimir ali, para gerar nota, mas eles não pedem para nada. E o valor que eles me vendem o medicamento é o valor de mercado, cara. É o valor que na outra farmácia eu pago se eu der o CPF. Então, eu vou nessa que não pede, que é uma boa farmácia e tal. Era isso. Lembrando que o CPF para (56:41) nota não autorizaria a farmácia a usar para outra coisa. Sim, exatamente. Só porque você tem… Na real, na real, a gente não deveria usar o CPF da forma como usa no Brasil. Cara, qualquer coisa é CPF. Problema com aquele Social Security. Mas não saem pedindo o Social Security deles lá. Mas é uma coisa meio que nem o CPF, assim, os caras meio que usam em vários lugares para autenticação e tal. Então, mas sim, eu acho que nós aqui, acho que é muito pior o nosso uso do CPF, muito pior. Mas, cara, não tem muito o que fazer, essas farmácias fazem isso mesmo. E o (57:20) detalhe seguinte, na nota fiscal, sai discriminado os produtos que você está comprando. Então, é um outro lugar bem perigoso, assim. E emissão de nota… Vocês notam o seguinte, emissão de nota hoje em dia é tudo eletrônico. Então, em algum banco de dados, não só da própria empresa, mas às vezes de terceiros que fornecem o serviço de emissão de nota fiscal eletrônica, essas notas ficam guardadas com a descrição toda dos teus dados, o que você comprou e tal. Então, é um outro ponto para informação também que pode (57:58) já pode estar sendo utilizada e a gente não está no radar, entende? Está no radar esse uso que as farmácias estão fazendo de ficar pedindo CPF para dar desconto. E levando isso adiante para farmacêuticas e tudo mais, até para rastrearem que médico está indicando os seus medicamentos, que não está. A gente já viu, o The Intercept tem matéria sobre isso, assim, com farta documentação. Então, lembrando que a Droga Raia tem o RD Ads, tem um broker lá de venda de publicidade, cara. Então, é justamente o chamado RD Ads. Então, Retail Media (58:40) da Raia Drogasil. Ele chama de Droga Raia, mas o nome é Raia Drogasil aqui. Fica só a referência também ao episódio 169, que a gente gravou com o Davi Teófilo e a Luísa Brandão, inclusive de Minas Gerais, também numa representação feita ao Ministério Público de Minas Gerais. Isso foi em 2018, Vinícius. Hoje o Davi Teófilo está lá na ANPD, e a Luísa, eu acho que ela está na Alemanha, Vinícius, estudando na Alemanha, salvo engano. Se estiver nos ouvindo, fica um abraço, um beijo para o Davi e para a Luísa (59:18) Brandão. A Luísa, na época, era do… ambos eram do Iris. Mas veja que Minas já teve outras atuações também em relação a essa questão das farmácias. Então, fica a referência ao 169 e também ao 361 e 362, os últimos agora de 2024 que a gente gravou sobre esse tema. Café expresso e café frio. Cara, o meu expresso vai para o pessoal da Anthropic, que está se debruçando em fazer esses testes para verificar a questão de segurança de modelos e tal, e chamando outros pesquisadores para revisar e trocar uma ideia e tal. (59:59) Acho que é o jeito certo de fazer as coisas. Então, o meu expresso vai para eles. Eu vou mandar o café expresso para o Ministério Público de Minas, com reservas. Aquela questão do risco ali, achei meio estranho, de que já invadiram a NASA e tudo mais, então o sistema deles não é seguro. Eu não gostei muito. Mas enfim, não… esse argumento não é bom. “Nada é seguro, então”. “Nada é seguro, então, e portanto não pode tratar dados pessoais em nenhum lugar”. Exatamente. E o café frio, Vinícius? Cara, o café frio… que tem (1:00:37) várias opções aqui. Eu acho que pode ir para a Microsoft por ter… Ah, sim. Por ter feito esse negócio de ficar… treinar e deixar por default ativado o treinamento lá, a opção que libera o treinamento. [Música] Então, acho que o café frio pode ser para eles. Eu vou para a Microsoft. Sim, pode ser. Pode ser porque eu não sei exatamente qual seria a hipótese de tratamento que eles poderiam usar aí, mas, imaginando que seja um legítimo interesse que não se encaixe… tem vários estudos sobre legítimo interesse e treinamento de IA, uma (1:01:21) questão bem delicada também. Mas no legítimo interesse, você tem que ter alguma expectativa ali de que aquele dado pode ser utilizado com base no legítimo interesse, portanto sem pedir o consentimento. E é muito engraçado, assim, porque você está usando o Word na tua máquina. Ah, mas é o Word 365, ou Office 365, mas você está usando o Word. Então quer dizer que aquilo que você faz na sua máquina, ali, não na nuvem, embora ele esteja ligado à nuvem, enfim, mas é uma coisa bem diferente. Você, por exemplo, estar usando um Google Docs, por exemplo. Você (1:01:56) está na nuvem aquilo, embora também não dê para eles fazerem qualquer coisa com aquilo. Mas me parece que o fato de você estar utilizando um… Se bem que essa coisa de aplicativo instalado no computador não existe, não faz nenhuma diferença mais na realidade. Cada vez menos. Sim, cada vez menos. Não estavam querendo treinar lá o… como é que é… o Microsoft, aquela ferramenta de Inteligência Artificial que ficava… você fazia o Recall, Guilherme? Assim, isso… isso tem um capítulo aí que ainda não está se desdobrando muito na grande massa, assim, dos desktops, (1:02:33) isso ainda não, que são os agentes. Os agentes de IA. E o que o agente de IA vai fazer vai ser operar o computador para ti, no final das contas. Então, bem assim, ontem eu estava vendo o… acho que o lançamento da… um dos lançamentos da OpenAI, e no aplicativo para desktop, eles têm aplicativo para desktop para o macOS e para o Windows. No aplicativo para desktop no macOS, ele já tem a opção de você dizer para ele, você abre o app, você abre o GPT e você diz para ele focar numa aplicação que você tem aberta na tua (1:03:23) na tua tela. E a partir dali, ele está vendo, entre aspas, ele está vendo a tua tela, está vendo aquela janela que você compartilhou com ele, e você pode ir conversando com ele sobre aquilo ali, seja um editor de texto, seja um jogo, seja uma linha de comando, seja o… está lá com o Xcode programando. Então você consegue pedir para o ChatGPT te acompanhar numa tarefa que você tem no computador. No Windows, ele não tem esse lance de você selecionar a janela, o que ele tem é de você poder fazer um print. Então, claro, você já pode (1:04:04) pegar, faz um print, você mesmo faz um print da tela e cola lá no chat e era isso. Mas agora tem um botão nele para você acionar o print por ali. Por enquanto, a única coisa que você tem ali que não tem nenhuma grande vantagem. O interessante mesmo é esse do Mac, que enquanto no Windows você tem que tirar um print para mandar para ele e tirar uma dúvida, no macOS você aponta ele para uma janela de uma aplicação que tem aberta e ele está em tempo real ali olhando a tua janela, o que está acontecendo. Não é que ele vai estar o tempo inteiro olhando toda a tua (1:04:36) tela. Não, não, não. E eu te digo que isso vai… essa questão de estar o tempo inteiro olhando vai acontecer e vai ser colocado como, inclusive, uma vantagem, entende? Você vai poder… Essas são… bom, assim, isso é um item que eventualmente a gente vai ter que tratar aqui no podcast, que são essa “IA agentic” que o pessoal fala, que são esses agentes que são capazes de realizar ações para ti, ações complexas a partir de instruções que você dá para ele, a partir de instruções que a gente chama, de dizer para ele. Mas o Copilot já faz (1:05:17) isso. Cara, não, mas uma coisa… um exemplo que eu achei muito interessante de examinar e fazer isso lá com… muito interessante foi o seguinte: imagina você poder dizer para a IA que você vai querer viajar para um determinado destino daqui a 6 meses. E você quer que ela fique acompanhando os preços das passagens, e o histórico de preços das passagens e tal, e compre as passagens no valor, no momento que ela achar mais adequado, antes, obviamente, desses 6 meses, antes da data da tua viagem. E a IA se (1:05:56) vira, entende? Você daria um dinheiro para ela ali, ou lá pelas tantas você recebe um e-mail dizendo “A melhor oportunidade surgiu, suas passagens estão tudo certo”. O que poderia dar errado com isso? Nada. Capaz. Não vai dar nada errado, vai dar tudo certo. O melhor é o seguinte: a tua IA tem acesso à tua conta, teus investimentos e tudo mais, e você programa intenções para ela para que ela, automaticamente, sem te consultar, faça transações para ti, como comprar passagem. Mas aí você pode… mas aí você pode… você não precisa nem tanto à terra e nem tanto ao céu. Você pode, por exemplo, deixar ela encontrar a passagem, ela (1:06:33) te avisar e você, então, no final das contas, fazer a autorização do pagamento, entende? Só faz isso. Pode ser. Dá para graduar isso aí. Mas esse tipo de coisa que o pessoal está pretendendo para o futuro. Então, não sei, vamos ver. Eu acho que a gente vai ter bastante para conversar. Está bom, então, é isso aí, né? Já foi o café, já foi conversa. Exato. Então, nós agradecemos a todos aqueles que nos acompanharam até aqui. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima! Até a próxima!  

Neste episódio falamos sobre o julgamento da constitucionalidade do Artigo 19 do Marco Civil da Internet no STF. Você irá descobrir o que muda na responsabilidade das plataformas e na remoção de conteúdo online. A discussão sobre o Artigo 19 do Marco Civil da Internet no STF redefine a responsabilidade de provedores e a moderação de conteúdo no Brasil. Aprofundamos como a decisão impacta a remoção de conteúdo ilícito, a necessidade de ordem judicial e o equilíbrio entre a liberdade de expressão e a proteção de direitos fundamentais. Analisamos os novos deveres das plataformas digitais no combate à desinformação e conteúdos nocivos, o que pode alterar o cenário do direito da tecnologia e a forma como a notificação extrajudicial será tratada. Para não perder futuras análises, siga nosso podcast, avalie este episódio e compartilhe​. ShowNotes Marco Civil da Internet: relator vota por responsabilização de plataformas sem necessidade de notificação prévia Episódio #47 – Especial Marco Civil da Internet (Abril de 2014) Foto do Episódio – Ailton de Freitas / DPU  Transcrição do Episódio (00:04) Este é o Segurança Legal, Episódio 381, gravado em 6 de dezembro de 2024: O Marco Civil no Supremo. Neste episódio, falamos sobre o julgamento da constitucionalidade do artigo 19 do Marco Civil da Internet. Segurança Legal com Guilherme Goulart e Vinícius Serafim. Um oferecimento Brown Pipe Consultoria. [Música] (00:30) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, como vai? (00:44) E aí, tudo bem? Olá aos nossos ouvintes. Eu estou me recuperando, cara. A gente não gravou semana passada por minha culpa, por minha máxima culpa. Eu estava com uma tosse alérgica violentíssima, ainda estou com tosse, então vocês não reparem se eventualmente eu parar de falar para ter que tossir, mas a minha tosse não vai ficar gravada, então fiquem tranquilos. (01:13) Eu vou ouvir, mas os ouvintes não. (01:16) Tu vais ouvir, mas daí tu já aturou tanto da gente mesmo, um pouco mais, um pouco menos não faz diferença. Sempre lembrando que para nós é fundamental a participação de todos por meio de perguntas, críticas e sugestões de temas. Então para isso, (01:34) estamos à disposição lá no podcast@segurançalegal, no youtube.com/segurançalegal, no Mastodon @seguranç[email protected]. Eu confesso, Vinícius, que eu tenho usado pouco o Mastodon porque agora o Bluesky está bombando. O Bluesky está bombando, acho que chegou a 25 milhões de usuários. Então você pode nos encontrar lá no Bluesky em direitodatecnologia.com ou no serafim.pt. (02:00) br, eu e Vinícius, respectivamente, e no @segurançalegal.bsky.social. Também temos a nossa campanha de financiamento coletivo lá no Apoia-se, no apoia.se/segurancalegal, onde você pode escolher modalidades de apoio e nos ajudar. A gente sempre conclama que você colabore com um projeto independente de produção de conteúdo. Nós tínhamos, agora que eu me lembrei, Vinícius, mas nós vamos avisar depois nas redes sociais, nós queremos fazer um sorteio de canecas aí no final do ano, que a gente tinha falado, e eu confesso que eu me esqueci de organizar isso para (02:31) este episódio. Mas vamos fazer, vamos fazer. A gente tem algumas canecas aí para fazer o sorteio. Tem também o blog da Brown Pipe, então se você puder acessar brp.com.br/blog, vai encontrar lá uma série de notícias que são atualizadas semanalmente. Na verdade, é brownpipe.com.br/blog-da-brown-pipe, mas se você acessar brownpipe. (03:02) com.br, vai achar o link facilmente. E lá você tem uma série de notícias, algumas que entram aqui para os nossos cafés. Destaco uma interessante aqui: o Bacen admitiu, Vinícius, um incidente de segurança envolvendo quem? O próprio Bacen. O próprio Bacen agora está na listinha que o próprio Bacen mantém de incidentes. (03:26) Bom, mas aí eu dou, se fosse um episódio de café, eu ia dar um café expresso para eles. (03:32) Sim, porque os caras tiveram a transparência. Pela transparência, pelo comprometimento em seguir os procedimentos e (03:43) tal e dizer: “ó, aconteceu com a gente, está aqui”. Como tem que ser. Qualquer pessoa que tenha um incidente que cause danos relevantes ou riscos, enfim, tem que comunicar. Então, se fosse um café, iria um café expresso. (03:55) Iria um café expresso. Já derramei água aqui no minuto dois do podcast. Então, tem o blog da Brown Pipe, lá você consegue se inscrever no mailing semanal também, Vinícius. Lá no próprio site da Brown Pipe, a gente tem uma lista de e-books e tem um e-book novo que saiu faz bem pouco tempo, que é a LGPD na (04:15) hotelaria: um guia para hotéis. É um documento que a gente produziu com uma série de recomendações para a rede hoteleira, que é uma área de negócios que realmente precisa prestar atenção nesses aspectos da LGPD pela mais variada coleta de dados pessoais, muitas vezes inimagináveis para a gente. Mas se a gente começa a pensar, você tem câmeras, você tem coleta de informações, às vezes até de saúde, para aquele hóspede que tem uma alergia a isso ou aquilo. (04:43) Ou até coisas muito simples, Guilherme, (04:46) como: eu fui fazer um check-in num hotel, cara, não era um hotel pequeno, sabe? E o que aconteceu, foi em Passo Fundo isso, de repente a pessoa que estava atendendo me passou o número dela, o telefone dela, e disse: “Ah, manda para mim a tua CNH”. E eu disse: “Não. Tipo assim, eu posso te mostrar, mas não vou mandar minha CNH para ti”. Eu disse que eu mostraria. Ela: “Ah, a CNH”. E ela: “Não, manda para mim nesse telefone aqui”. Eu: “Não, não vou te mandar meu documento. Te digo os dados, tu anota e tal, mas (05:21) não vou te mandar meu documento”. E, claro, ficou meio contrariada, porque é o procedimento que eles fazem o tempo todo lá. Ninguém fala nada. Mas enfim, esse guia é muito importante porque o Guilherme visitou diversos hotéis, não estou brincando. De fato, todos os hotéis que o Guilherme vai, aliás, não só hotel, em qualquer lugar que tu vais, tu já começas a avaliar a coisa dos dados. (05:49) É o tempo todo. Eu tiro foto dos avisos de privacidade, das (05:53) câmeras e tal. Até porque esse aspecto do hotel é uma área pouco tratada pelo direito. Então, para os estudantes que nos acompanham, também é uma área boa para realizar estudos, porque não tem muita coisa escrita sobre. Daí a importância desse nosso guia e a utilidade que a gente imagina que ele vai ter para essa comunidade da rede hoteleira. Bom, Vinícius, chegamos então a esse tema do artigo 19 do Marco Civil, o julgamento lá no STF da constitucionalidade do artigo 19. Apenas uma notinha aqui pós-edição, para deixar claro para (06:31) quem nos escuta, que nós fizemos esta avaliação que virá e que vocês escutarão levando em consideração a projeção de uma inconstitucionalidade do artigo 19. Porque, na verdade, até este momento, a gente tem o voto do relator, que é o Dias Toffoli, mas ainda precisamos ter o voto dos outros ministros. Junto com esse processo, ele está sendo julgado em conjunto com outro recurso extraordinário relatado pelo Ministro Luiz Fux, que também esbarra nesse tema, diz respeito ao dever de monitoramento das plataformas. A gente vai comentar muito rapidamente (07:09) aqui, mas tudo indica, o cenário todo, as manifestações dos outros ministros, que essa tese, a tese do relator, vai sair vencedora. Então, os nossos comentários sobre essa projeção de inconstitucionalidade se dão levando em consideração que sim, será considerado inconstitucional. Mas, claro, temos que aguardar os votos dos outros ministros. Mas, claro, como dizia Tom Jobim, o Brasil não é para principiantes, então pode ser que o cenário mude e a gente tenha que voltar (07:50) a falar sobre esse tema. Mas só essa nota inicial para deixar claro, caso não tenha ficado claro durante o episódio que virá. (07:58) Eu vou te fazer as perguntas, porque eu não sou da área. Eu tenho minhas opiniões, que eu vou compartilhar com o pessoal aqui, mas vou te fazer as perguntas de leigo. Então, o que diz e sobre o que trata o artigo 19 do Marco Civil da Internet? Por que alguns querem que seja inconstitucional, outros não querem, e outros querem o meio (08:18) termo? O que diz esse artigo 19 aí? (08:21) É bem isso mesmo, Vinícius. Só antes, deixa eu fazer um parêntese, que eu ia colocar uma questão para não perder isso, porque tem que estar no início. A gente está voltando a falar em um episódio dedicado ao Marco Civil 10 anos depois de nós termos gravado um episódio sobre o lançamento do Marco Civil da Internet, que foi em abril de 2014. E nós gravamos lá também em abril de 2014, o Episódio 47, “Especial Marco Civil da Internet”. E aí nós tivemos (08:57) alguns convidados, sendo eles o Alessandro Molon, que é o deputado relator do projeto na Câmara, e como convidados o Paulo Sá Elias, o Paulo Rená, nosso querido amigo Paulo Rená, Rony Vainzof e o nosso saudoso amigo Danilo Doneda. Acho que foi uma das primeiras participações dele. (09:16) Cara, eu acho que sim. E foi depois disso, em 2014, por conta desse episódio e de outros episódios do “Data Brokers” que a gente fez, que a gente começou a ter mais contato com ele. Daí ele me chamou para ir lá no Ministério da Justiça falar sobre… [Música] (09:54) Sempre foi uma questão discutida. Lá no nosso episódio, eu fui ver as notas, porque o podcast Segurança Legal já tem uma bagagem histórica para ver o que a gente falou naquela época. Então, lá tinha uma notinha no artigo 19 que dizia: “Olha, tem o risco aqui dos provedores deixarem de atender a demandas de retirada de conteúdo do ar quando eles souberem e enquanto não houver ordem judicial”. Porque a grande questão é essa: o artigo 19 diz que o provedor vai ser considerado responsável civilmente pelos danos decorrentes de conteúdo (10:34) gerado por terceiro se, depois de uma ordem judicial, ele não retirar o conteúdo do ar. Então, nós temos dois grandes grupos de pessoas que se posicionam sobre esse artigo, e um intermediário, que na verdade foi a solução dele, foi dizer que a partir de agora o regime de responsabilidade vai ser aquele previsto no artigo 21, porque o artigo 21 do Marco Civil era a exceção do 19. Se você tinha algum conteúdo gerado por terceiro, esse conteúdo era ofensivo ou ilícito de alguma forma, o (11:12) provedor não era obrigado a retirar, a não ser que houvesse uma ordem judicial. E a exceção do artigo 21 era que não haveria necessidade de ordem judicial para divulgação de imagens e violação da intimidade, com divulgação de imagem sem autorização dos seus participantes com cenas de nudez e atos sexuais. Essa era a exceção do artigo 21, de que não precisaria de ordem judicial, bastando uma notificação extrajudicial. E (11:50) o artigo 19 precisa de ordem judicial. Ou seja, não basta você fazer a comunicação extrajudicial. Bom, lá no início, então, a gente tinha dois grandes grupos. Os primeiros eram aqueles que diziam: “Sim, tem que ser como é o artigo 19, porque senão a gente vai dar muito poder para os provedores, porque eles vão poder realizar retirada de conteúdo”. Provedores ou plataformas, isso é uma outra questão. (12:21) Na verdade, o Marco Civil vai tratar dos provedores de aplicação e de conexão. Só que o grande problema é que nos (12:30) provedores de aplicação, praticamente qualquer coisa, as plataformas entram junto aí. (12:35) E aí, quem defende ou continua defendendo a constitucionalidade coloca que, sem precisar de uma demanda judicial, a plataforma poderia ficar com o conteúdo lá, ela não precisaria fazer nada com o conteúdo, não precisaria tirar. Ela poderia moderar se quisesse, mas não teria responsabilidade até ser notificada judicialmente. (13:08) Exatamente. A outra corrente vai no sentido de dizer: “Não, mas espera aí. E aqueles conteúdos flagrantemente ilícitos, em que não há dúvida da ilicitude?”. Porque o artigo 19 começa numa linha dizendo que é “com o intuito de assegurar a liberdade de expressão e impedir a censura”. E esse foi um dos aspectos colocados lá na decisão, de que a inconstitucionalidade estaria (13:50) também em você prever a priori, antes do caso concreto, a prevalência do direito fundamental à liberdade de expressão sobre todos os outros direitos, independentemente do caso. Haveria uma inconstitucionalidade aí, pelo fato de você não garantir a proteção adequada a esses direitos fundamentais que eventualmente poderiam ser afetados em prol da liberdade de expressão. Então, o outro grupo chegava e dizia: “E quando for um conteúdo flagrantemente ilícito, ainda assim ele não vai tirar?”. (14:22) O caso concreto que leva esse julgamento para o STF é um caso extremo. É o caso relatado pelo Ministro Dias Toffoli, de uma moça que teve um perfil falso criado e o Facebook se negou a excluí-lo. Ou seja, alguém criou um perfil falso de uma pessoa, esta pessoa entra em contato com o Facebook e diz: “Olha, criaram um perfil dizendo que sou eu, não sou eu, por favor, apaguem”. E o Facebook simplesmente disse: “Não vou apagar, precisa de ordem judicial”. E aí é aquela coisa, você começa a entrar num dos grandes problemas e numa das grandes discussões. (15:10) Tem muita gente, me parece que de forma incorreta, dizendo: “Ah, porque agora nós vamos ter uma afetação, o Supremo quer impor uma censura no país”. Não creio que seja isso. Não creio que haja um plano secreto do Supremo para impor censura no país. E aí é aquela história, na cibernética, eu até estava lendo um livro esses dias falando sobre isso, a gente tende hoje em dia a tentar simplificar a resolução de problemas muito complexos. Você tem um baita de um problema que é a desinformação (15:46) na internet, a responsabilidade dos provedores, os incentivos que eles têm para proteger ou não direitos e, para eventualmente, diante dos seus atos, prejudicar outros direitos fundamentais das pessoas. Esse é um problema dificílimo de se resolver, o mundo inteiro se debate para regular isso. E aí, de repente, a resposta que você tem é: “Não, o Supremo quer aplicar a censura no país”. Porque é relativamente fácil de você convencer uma pessoa que não entenda nada do assunto. Ela vê esse argumento, larga isso e deu. (16:17) Você tem essas duas correntes, e você tem esse caso, que é muito simples. E aí uma das discussões que pode se começar a colocar é: qual é essa liberdade de expressão de alguém criar um perfil falso na internet para começar a te difamar, para falar mal de ti, para começar a te prejudicar? A liberdade de expressão não é um direito criado para esse tipo de afetação. É diferente de eu ter o meu conteúdo e exercer, aí sim, dentro da liberdade de expressão, uma crítica (16:47) contra você, Vinícius, mesmo que seja uma crítica feroz, imaginando que você seja uma pessoa pública. Eu tenho o direito de te criticar, sem dúvida. (16:56) Muito embora, eu estou me lembrando agora de relance, mas tu deves lembrar desse caso também. Lembra que o Arthur Lira conseguiu tirar algumas matérias que envolviam ele, aquele caso da ex-esposa dele? (17:13) Se não me engano, contra o The Intercept. Eu vou dar uma procurada enquanto tu falas aqui, mas teve um lance que ele conseguiu remover a matéria sobre esse (17:26) negócio, o que é estranho, por ser uma pessoa pública e contra a imprensa. (17:31) Que não é bem o que, inclusive, esta inconstitucionalidade aqui não afeta a publicação em blogs de imprensa, que é um tema que eu vou falar aqui, mas blogs de jornalistas, isso é expressamente colocado na decisão. Só que o problema é que aquela internet lá de 2014, quando a gente gravou o episódio 47, não é mais a mesma internet do episódio 381, que a gente está gravando agora em 2024. As redes sociais, definitivamente, (18:06) não fazem as mesmas coisas e assumiram um papel, em todos os lugares do mundo, não somente de mera hospedagem de conteúdos, como faziam simplesmente lá no Orkut. Inclusive, tem um outro caso também, de relatoria do Ministro Fux, que deve ser julgado a seguir e que envolveu o Orkut. Ou seja, a gente está discutindo no STF um caso que começou lá no Orkut. (18:34) Está brincando? (18:35) Sim, cara, sim. Inclusive os representantes do Facebook disseram: “Ah, hoje é diferente. Hoje quem (18:45) tem um perfil falso consegue facilmente retirar esse conteúdo do ar”. Cara, não é verdade. Não é verdade. Qualquer tipo de problema que tu tens na tua conta… e quantos de vocês que nos ouvem ou nos veem nesse momento já não aconteceu com vocês ou com alguém que vocês conheçam, de perder uma conta do Facebook, perder o acesso por alguma razão, roubo de conta do Instagram… Cara, é um inferno. O atendimento da Meta para esses produtos deles, parece que eles estão pouco se lixando, entende? O atendimento é muito ruim. (19:26) Sem contar aquelas páginas que te deixam em looping. “Ah, faça não sei o quê”, daí tu clicas, “você tem que ir não sei onde”, daí tu clicas, vai não sei para onde… quando tu vês, tu voltaste para a página inicial. E não é piada o que estou falando. Lembro de um tempo atrás procurar isso por causa de uma pessoa que eu conheço e foi justamente isso, cara. Tu ficas dando voltas e não consegues resolver nada. Teve que judicializar, no final das contas. Imagina para retirar conteúdo. (19:52) Então, no final das contas, Guilherme, daria para dizer, desconsiderando nesse momento o caminho do meio, que nós temos um lado que defende a constitucionalidade do artigo 19, ou seja, que se mantivesse o artigo, porque exige uma ordem judicial para tirar conteúdo, usando como argumento a defesa da liberdade de expressão e a vedação à censura. (20:20) Como fundamento, como argumento. (20:22) Como argumento, sim. No entanto, a gente tem um lado negativo aí, que é que isso seria (20:28) feito em detrimento da proteção de direitos fundamentais. (20:31) Exatamente, perfeito. Porque se acontecer alguma coisa, até eu conseguir uma ordem judicial para tirar o conteúdo, tenho vários direitos meus que não vou conseguir exercer, porque quando acontecer, vai ser tarde demais. Por outro lado, o grupo que defende a inconstitucionalidade justificava que a norma, como estava, criava uma, entre aspas, imunidade para os provedores. (20:59) Isso. E aí (21:02) os provedores, meio que “dane-se” os teus direitos fundamentais. “Eu só tiro se tu tiveres ordem judicial, senão eu vou manter o conteúdo, mesmo que mentiroso, circulando, dando view, dando link, eu vou estar fazendo propaganda e ganhando dinheiro com isso”. Não é só a questão de deixar o conteúdo lá, eles também ganham dinheiro com isso. (21:24) O ponto negativo que foi colocado, Guilherme, e aí talvez para tu seguires, é que (21:31) eu estava vendo que o lado contrário à questão da inconstitucionalidade aponta que sobrecarregaria o judiciário, em razão de não ter mais a ordem judicial. Porque antes estava muito claro: era ordem judicial e acabou. Sem ordem judicial, não tem que tirar conteúdo, o provedor, a plataforma, não são responsáveis. (21:55) Acho que a gente tem que cuidar na hora de falar “provedor”. Se a gente falar provedor, tem que ser “provedor de aplicação” ou chamar de “plataforma”, senão vai parecer que (22:01) tem o provedor de conexão junto, que é diferente no Marco Civil. (22:05) Exato. Então, o provedor de aplicação ou a plataforma estaria correndo mais risco sem o artigo 19 valendo, porque a partir de agora basta uma notificação extrajudicial com relação a um conteúdo que, como tu dizes, é flagrantemente violento ou ilícito, etc. Se eles não tirarem, eles já poderiam ser responsabilizados. Claro, teria que ser apurada ainda a responsabilidade deles, aí sim tu levas para um juiz, mas eles poderiam eventualmente ser responsabilizados (22:38) por esse conteúdo que continuaria na internet. Em essência, essas são as duas posições. (22:43) E essa é a diferença entre os dois. E aí o efeito previsto, e a gente não sabe se isso vai acontecer, porque tem um outro problema aí no meio, que é o cenário por trás disso tudo. E é o fato de você… o timing. O Toffoli começou dizendo: “Olha, a gente aguardou o Congresso legislar por anos sobre esse aspecto, e o Congresso não legislou”. E aí uma crítica que se pode fazer: primeiro, não foi o (23:19) Supremo que escolheu julgar isso; isso foi levado ao Supremo. Claro que a escolha dele foi esperar um tempão para julgar, mas uma das justificativas que ele deu foi: “Estávamos esperando o Congresso legislar”. E aí nós tivemos nos últimos dois anos, talvez, pelo menos três legislações que tocavam nessa questão, seja das fake news e da desinformação, seja estabelecendo outras responsabilidades da plataforma. Porque uma coisa que não podemos negar é que, com a complexidade do ambiente digital, sobretudo das redes sociais, me (23:58) parece que o Marco Civil não dá conta. Nós precisamos de mais regras que prevejam comportamentos ativos das plataformas para evitar riscos sistêmicos, que é uma coisa que foi retirada lá do Digital Services Act da Europa. Ou seja, qual é a responsabilidade ativa que tu tens de manter uma rede segura, uma rede boa de se utilizar, uma rede em que você consiga resolver os problemas e evitar riscos, por exemplo, de desinformação? Esse é o ponto. (24:29) E também uma legislação que me parece que o Marco (24:35) Civil precisaria ser atualizado para lidar com isso, que acaba envolvendo o fato dessas plataformas começarem cada vez mais a ter seus próprios interesses, ou seja, defender os próprios interesses. As decisões que elas tomam em manter, impulsionar, te mostrar ou moderar certos conteúdos passam a ter uma relação com os próprios interesses delas, econômicos e políticos. As grandes plataformas se tornaram atores muito diferentes do que meros apresentadores de conteúdo. Elas começaram, inclusive, a (25:14) interferir nos processos democráticos de outros países, como a gente viu acontecer com o X. Mas não é só o X, a gente fala muito do X aqui, mas estamos esquecendo do Cambridge Analytica lá do Facebook. Estamos esquecendo, o próprio Toffoli coloca isso, quando o Google chamou o PL de “PL das Fake News” e colocou no site inicial do Google, na página inicial de busca, que aliás eu não vejo mais, porque não uso mais o Google para fazer pesquisa. (25:43) Mas qual é a complexidade maior? Me (25:45) parece que tentaram colocar todos esses problemas dentro do artigo 19, e me parece que o artigo 19 não está diretamente relacionado com isso. O artigo 19 está relacionado com aquelas situações de responsabilidade dos provedores por ato de terceiros, e pronto. Todos esses outros desdobramentos, eu não creio que, sendo constitucional ou não, o artigo 19 seja suficiente para lidar com isso. A gente precisaria de outra legislação. Inclusive, a decisão vai no sentido de pedir para que o Congresso, no prazo de 18 meses… (26:25) 19 meses, perdão, legisle sobre o tema. Mas qual é o outro problema? São muitos problemas. O outro problema é que o lobby das big techs e dessas plataformas no legislativo brasileiro é imenso. Os problemas que a gente está tendo para regular a inteligência artificial aqui, os andamentos dos últimos dias, a retirada de artigos… é surpreendente o poder que as big techs têm, não só no Brasil, mas falamos aqui do Brasil, na definição dos seus interesses em âmbito legislativo também. (27:04) Bom, então, falando um pouco mais (27:10) especificamente da decisão, tem essa questão do timing, tem essa questão também… até que ponto, por exemplo, o problema da desinformação e o abuso das próprias plataformas em enviesar seus algoritmos para recomendar conteúdo é um baita problema? Nas últimas alterações do projeto de lei de IA aqui no Brasil, retiraram isso, porque lá eles estavam dizendo que os algoritmos de recomendação movidos por IA seriam considerados de alto risco e, por consequência, teriam responsabilidades adicionais. Porque é aquela história que eu já contei aqui, não sei se já (27:49) contei, mas senão conto de novo: a recomendação em rede social é um baita problema, porque é uma das formas que, dependendo de como o algoritmo é configurado, pode te levar para um ou para outro lado, pode te mover, pode te tornar ou pode contribuir para que tu te tornes um extremista. E como você chega a isso? Algoritmo de recomendação: eu comecei a pesquisar por moto no YouTube e, de repente, estava vendo arma, gente sendo explodida, bonecos de pessoas sendo explodidos, como fazer arma, luta de (28:22) animais, pessoas se machucando em ferramentas. É um negócio super perigoso. E, mais uma vez, eu não sei se isso de fato é um problema do artigo 19, mas caiu nesse contexto e, nesse momento, tudo dentro da discussão da inconstitucionalidade do artigo 19. (28:46) Um monte de gato no mesmo saco. (28:48) Pode ser uma forma mais prática de explicar. E os cachorros juntos, os gatos e os cachorros juntos. E aí, o que o Toffoli coloca é que o artigo 19, (29:04) em face dessa decisão de exigir a ordem judicial, daria uma certa imunidade aos provedores no sentido de deixar desprotegidos e vulnerabilizados os outros direitos fundamentais que eventualmente fossem jogados para trás por conta da necessidade da ordem judicial. Porque se coloca um regime de responsabilidade civil em que tu tens o dano, tu sabes que o dano houve, tu tens alguém ali que pode evitar que aquele dano continue existindo e, ainda assim, tu precisas de uma ordem judicial para tanto. E essa (29:44) seria, na visão do Toffoli, e rebatida por muitas pessoas, a crítica que se faz. Na verdade, não seria uma imunidade, mas os próprios provedores defendem que o artigo 19 deveria ser considerado constitucional, porque, de uma forma ou de outra, eles são favorecidos nessa perspectiva de não ter que ficar moderando conteúdo. Deixa tudo lá o máximo que puder, porque eu, provedor, ganho com isso, sobretudo quando houver conteúdos que são (30:22) infringentes, conteúdos discutíveis ou fake news. A gente sabe, tem estudos que demonstram inclusive que conteúdos falsos acabam tendo um engajamento maior. Então, também tem um interesse econômico por trás dessas plataformas de que você não tenha a retirada tão facilitada de conteúdos. (30:46) É o que tu colocavas antes, não importa o conteúdo, o conteúdo traz engajamento para nós, está ótimo. Para nós, digo, para a plataforma em si. (30:57) Está ótimo. Guilherme, deixa eu te fazer uma pergunta. Então, qual é o impacto prático para os usuários? Para nós, qual é o impacto prático disso? (31:04) Eu vou ter que avançar um pouquinho aqui, porque eu preparei um material um pouco mais denso. Pelo visto, o Vinícius leu a decisão, porque ele está colocando várias coisas da decisão de 165 páginas. É um negócio denso, chato. (31:31) Mas tem um monte de coisa que não precisava. Às vezes, vai usando argumentos como “ah, porque as crianças…”. Sim, óbvio. (31:40) O que muda é que, muito provavelmente, as plataformas… inclusive uma das ordens colocadas ali é que as plataformas disponibilizem formulários eletrônicos para permitir a solicitação e a indicação de conteúdos considerados infringentes. E a decisão traz também um rumo (32:24) para o que deve ser considerado infringente, para fins da nova regulação da responsabilidade. Isso deve fazer com que as plataformas comecem a retirar conteúdos infringentes sem a necessidade de ordem judicial. Porque aqui também tem outra questão: “ah, mas e se ela não tirar?”. E se ela não tirar, ela pode ser responsabilizada objetivamente. Mas aí, para isso, eu vou ter que buscar, aí sim, a via judicial. (32:53) Então, se eu posso notificar a plataforma “ó, essa foto que estão divulgando minha aí, eu não autorizei, (33:00) isso é falso, é uma montagem, eu quero que vocês removam”, se eles não removerem, bom, aí eu tenho que pegar um advogado e entrar com uma ação. Mas daí eles vão ser considerados responsáveis civilmente por não terem retirado aquele conteúdo, mesmo sem a ordem judicial. Uma das grandes discussões era: “ah, mas se não tiver a ordem judicial, eu vou transferir para o provedor essa decisão”. Sim, é verdade, você vai transferir para o provedor (33:38) essa decisão. Mas entes privados precisam proteger direitos fundamentais de outras pessoas. E essa é uma coisa super interessante que, mais para o fim da decisão, vai… eu até anotei aqui. Eles destacam que a conjuntura atual deslocou o centro de enforcement dos direitos fundamentais da esfera pública para a privada. Isso se dá pela consideração, já bem conhecida no nosso (34:18) direito constitucional brasileiro, que é a eficácia horizontal dos direitos fundamentais nas relações privadas. Ou seja, nas relações privadas, as partes precisam respeitar os direitos fundamentais. Entendeu? Quando eu coloco uma regra lá no meu condomínio impedindo que, sei lá, indígenas frequentem a piscina, um exemplo absurdo qualquer, veja, eu tenho uma violação, e eu tenho o dever do condomínio de respeitar os direitos fundamentais de todas as etnias, e tudo mais. Assim como os provedores, (35:00) por se firmarem como atores que estão no centro, como a decisão coloca, dessa conjuntura de manifestação atual. Eles teriam, sim, esse dever de retirar conteúdos flagrantemente ilícitos. Claro que você pode ter dúvidas, mas aí também me parece que vai começar a se considerar a boa-fé e a diligência do provedor em lidar com esses conteúdos. Inclusive, o próprio provedor, diante de uma situação dessas, pode judicializar a questão. Ele pode retirar preventivamente, pode dizer que retirou preventivamente enquanto analisa e, depois de tomar uma decisão, pode botar no ar (35:43) de novo. Agora, por outro lado, o que a gente tem visto, e veja, eu não sei se essa inconstitucionalidade vai resolver esse problema, viu, Vinícius? Porque se diz: “ah, mas teria que ser desse jeito, porque senão vou dar poder demais para os provedores”. Não é assim que a gente lida com constitucionalidade ou inconstitucionalidade. Às vezes, a inconstitucionalidade de uma norma vai trazer efeitos negativos no ambiente de um país. Então, eu tenho que ver se é constitucional ou não, esse é o ponto. Os efeitos que isso pode ter, bom, aí é um (36:15) outro problema, que talvez o legislativo tenha que lidar. E que não vai lidar, esse é o ponto. O nó cego em que a gente está. Dificilmente vai lidar da forma adequada. Então, como vai ser agora? Cai o artigo 19 e a regra da responsabilidade é a regra do artigo 21. Ou seja, o que era exceção antes no Marco Civil, aplicável àqueles conteúdos de cenas de nudez ou atos sexuais de caráter privado, essa vai ser a regra. Tanto que o artigo 21 fala: “o provedor de aplicações (36:54) que disponibiliza conteúdo gerado por terceiro será responsabilizado subsidiariamente pela violação da intimidade (…) após o recebimento de notificação (…) deixar de promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo”. Então, o próximo passo que nós vamos dar é: ora, essas empresas, que são as mais valiosas do mundo hoje, elas, sim, vão precisar implementar novos protocolos para lidar com esse tipo de demanda. Lembrando que o caso que dá origem a (37:32) toda essa discussão era uma pessoa que teve um perfil falso criado e o Facebook não quis tirar do ar, quando era evidente a ilicitude. Este é o problema que alguns colocam: os provedores não estão… “Ah, mas 90% dos conteúdos nós já retiramos”. Sim, eles têm as próprias políticas, mas parece que não está sendo suficiente. Então, eles passarão a responder diante do risco da atividade, seja nos casos do 21, ele pode ser notificado extrajudicialmente, e também passam a (38:14) responder de forma objetiva quando promoverem a recomendação, o impulsionamento e a moderação. Porque, quando eles fazem isso, acabam interferindo de forma preponderante no fluxo informacional. Lembrando outra coisa: você ainda tem impulsionamento e publicidade de material ilícito. A gente viu, durante as eleições nesses últimos períodos, pessoas que pagam para impulsionar conteúdos ilegais, flagrantemente ilegais. Essa vai ser uma nova obrigação. Eles respondem de forma objetiva quando (38:52) tiver essa recomendação e impulsionamento, quando estiver diante de contas inautênticas e desidentificadas, o que temos que ter um pouco de cuidado, porque o problema de contas automatizadas, a ideia dos robôs, poderíamos ter uma afetação na abertura que as plataformas dão para que robôs atuem lá dentro. Mas o que a gente tem visto na grande parte, no X, por exemplo, são robôs que atendem aos interesses do próprio X, porque outras aberturas para robôs, para retirar informação de lá (39:28) de dentro para produzir relatórios, eles acabaram cortando. Enfim, não é porque é robô que é ilícito, esse me parece que é o ponto aqui. Mas essa ideia de contas inautênticas e desidentificadas pode trazer talvez um dever adicional, uma obrigação adicional para eles de identificar as pessoas. (39:53) É o que já acaba acontecendo, Vinícius. Porque hoje, tu vais criar uma conta, tens que dar o celular e tudo mais, senão tu nem crias mais conta em lugar nenhum. (39:59) E sem contar que, quando a gente falava de robôs há uns anos, estávamos fazendo referência a robôs que geravam texto, seguiam perfis, esse tipo de coisa, que ficavam impulsionando conteúdos. Agora, com IA, o TikTok já fez movimentos nesse sentido, identificando de forma clara que é IA, mas criando influenciadores que são IA, pessoas que não existem, com imagem e vozes que não existem. Então, o potencial agora, o que a gente chama de robô (40:38) para impulsionar conteúdo, vai para um outro nível também com o uso de IA. A possibilidade de geração de conteúdo falso, a possibilidade de edição dos conteúdos, de pequenos ajustes para passar os conteúdos adiante… tem um monte de coisa que tu podes fazer de forma completamente automatizada e vai ficar cada vez mais difícil de acompanhar isso. (41:07) A gente tem um volume cada vez maior de informações e (41:15) de interações nessas redes, e se fala em geração de conteúdo sintético, ou seja, conteúdo gerado por IA para alimentar o feed particular de cada pessoa, de forma individual. O “My AI” fica criando conteúdo específico para cada um de nós numa rede social. É um cenário em que o pessoal acabou de considerar o artigo 19 inconstitucional, tentando tratar uma situação que há tempos vem se arrastando, e com certeza nós temos situações completamente novas agora, que vão ter que ser discutidas e vão levar de novo… (41:53) Mas talvez seja como tem que ser. Acontece, aí existe o caso concreto e a gente discute. Mas talvez o problema seja que não fosse um problema do artigo 19, sabe? E é uma das críticas que se pode fazer, que se colocou coisa demais nessa discussão aqui. A gente está falando de… e aí a importância do legislador vir e legislar sobre IA, sobre responsabilidade de provedores e sobre desinformação. Porque os robôs, aqui numa perspectiva histórica brasileira desse último período, das (42:33) últimas eleições, são as redes sociais que permitiam que você tivesse robôs que trabalhavam para reproduzir e criar um falso engajamento, uma falsa importância para conteúdos de desinformação e conteúdos falsos, criados justamente para prejudicar processos eleitorais e também para prejudicar pessoas. É nesse contexto que os robôs caem aqui, só que robô não é só para isso, esse é o problema. (43:03) E ainda eles trazem uma lista taxativa de situações em que eles responderiam, ou seja, aumentou-se (43:14) o rol do artigo 21 para incluir o quê? Quando que eles vão responder de forma objetiva? Crimes contra o Estado Democrático de Direito, atos de terrorismo ou preparatórios de terrorismo, crimes de induzimento, instigação ou auxílio ao suicídio e à automutilação, racismo, qualquer espécie de violência à criança e vulneráveis, qualquer espécie de violência contra a mulher, tráfico de pessoas, incitação à ameaça ou práticas de violência física ou sexual, ou ainda divulgação de fatos notoriamente inverídicos ou gravemente (43:51) descontextualizados que levem à incitação à violência física, ameaça contra a vida ou atos de violência. E ainda, divulgação de fatos notoriamente inverídicos ou descontextualizados com potencial para causar danos ao equilíbrio do pleito ou à integridade do processo eleitoral. Ou seja, tudo isso atrairia a responsabilidade objetiva dos provedores. Uma das coisas que se coloca é que se fala bastante ali sobre o papel dos próprios termos de uso, da impossibilidade que as pessoas têm de discutir aqueles termos, porque são (44:22) contratos de adesão. E como há uma necessidade de que esses termos de uso, que vão guiar muitas vezes como o próprio algoritmo vai funcionar em atividades de moderação e de recomendação e impulsionamento, esses termos e esses algoritmos vão ter que incorporar essa lista aqui que o STF trouxe. Para quem não vai se aplicar essa regra? Para provedores de e-mail, para provedores (45:03) de conexão, que está fora, que é o artigo 18, mas provedores de e-mail, provedores de aplicação de reuniões, então ele fala sobre Zoom e coisas do gênero, e provedores de mensageria instantânea, exclusivamente no que concerne às comunicações interpessoais, porque esses serviços podem ser híbridos e poderiam ter incorporadas ali outras atividades, como aqueles grupos do Telegram. O próprio WhatsApp tem uns grupos diferentes lá agora. Então, se (45:42) eventualmente você começar a ter outras funcionalidades de redes sociais ali dentro, aí a gente vai ter que ver no caso concreto se também não se aplicaria. Eles falam sobre responsabilidades de marketplaces, (45:56) de marketplaces por venda de produtos, e eles seriam responsáveis, mas aí é Código de Defesa do Consumidor. (46:04) Sim, sim. Eu até nem vou falar aqui sobre marketplaces, pulei um pouco essa parte porque é bastante grande a decisão, devo (46:14) confessar esse mini pecado aqui que eu cometi. Mas você tem a questão de vendas de produtos ilícitos ou que não são homologados. Porque tivemos vários participantes nas audiências públicas que se fizeram antes, muitas pessoas manifestaram suas preocupações de, eventualmente, uma inconstitucionalidade do artigo 19 prejudicar marketplaces. Então, vamos falar que marketplace vai ser resolvido dessa forma. E aí a decisão também impõe aos provedores uma série de deveres de (46:52) segurança e de transparência, sobretudo para evitar, aplicando os princípios da prevenção и da precaução. Daí você falou em CDC, o Código de Defesa do Consumidor, o Código Civil, a LGPD e o Marco Civil, e a Constituição, por consequência, porque estamos no STF, eles devem ser interpretados de uma forma a compor esse fluxo de direitos. Ou seja, você precisa olhar para a relação, e aqui nós temos uma (47:30) relação de consumo. Já está reconhecido que o uso de redes sociais ou de serviços digitais, mesmo que gratuitos — que a gente sabe que não são gratuitos porque tem a monetização indireta —, se enquadram numa relação de consumo. Então, quando eu coloco todos esses diplomas legais em conjunto, o STF chega e diz que, para atender aos princípios da prevenção e precaução, em qual sentido? Eu, rede social, preciso compor um ambiente prevendo quais são os riscos para as pessoas que vão usar aquele ambiente. E com base nesses (48:10) princípios, eles devem evitar os chamados riscos sistêmicos, que daí é uma coisa que vem lá do Digital Services Act, que é amplamente… o Toffoli faz lá uma revisão das legislações internacionais e acaba chegando no DSA europeu. E que eles deveriam, baseando-se no princípio da boa-fé objetiva — e aí entra uma carga bem forte de Direito Civil —, o princípio da boa-fé objetiva tem um papel importante nas (48:45) relações privadas. Um dos papéis da boa-fé é justamente ser criadora de deveres, os deveres anexos à boa-fé objetiva. Ou seja, em qualquer relação privada, mesmo que não tenhamos em um contrato escrito certos deveres de proteção, de informação, de sigilo, mesmo que isso não esteja escrito, a consideração da boa-fé objetiva nas (49:29) relações privadas vai fazer com que eu e tu, contratantes, tenhamos que respeitar um do outro o sigilo das informações, ou eu tenho que te informar caso a utilização do meu serviço vá te causar um possível risco. Traz-se toda essa doutrina do direito civil para cá. E eu achei bem interessante, talvez um tanto quanto atípico, mas, querendo ou não, de qualquer jeito vai se aplicar. Então, o que o STF faz é trazer essa possível interpretação do 21, dizendo que alguns deveres anexos devem ser cumpridos, quais sejam: vou ler alguns aqui, é uma lista bastante grande, mas: atualizar os termos de uso, dar ampla publicidade, criar mecanismos para assegurar a autenticidade da conta e correta identificação dos usuários e para evitar a criação de contas inautênticas. Isso pode ser um problema, porque se ele responde por contas (50:49) inautênticas, vai ter que ter alguma forma de te identificar, com gov.br, sei lá. Bloquear contas automatizadas, com cuidado, repito, do problema das contas automatizadas, que nem sempre vão ser por mal. Elaborar códigos de conduta, regras padronizadas para moderação de conteúdo, constante atualização dos métodos empregados para moderação, dando ampla publicidade às modificações, combater desinformação, notícias fraudulentas, (51:25) monitorar os riscos sistêmicos, produzindo relatórios semestrais de transparência, dos quais constem os riscos identificados e as medidas preventivas — isso aqui é ipsis litteris o que a União Europeia definiu. Consigo retirar esta obrigação, este dever, da boa-fé objetiva? Consigo. Mas a forma mais segura de fazer isso seria por meio do legislador. E ainda, disponibilizar canais específicos de notificação, preferencialmente eletrônicos, para recebimento de denúncias (51:58) quanto à existência de conteúdo ofensivo ou ilícito, cuja apuração será prioritária. O que vai acontecer, me parece, é que as empresas vão precisar se especializar. Para aqueles casos mais flagrantes que estão no rol que eu falei antes, é mais fácil de resolver. Agora, como o próprio Toffoli disse, vai ter situações de zona cinzenta, situações complicadas, difíceis. E aí vai ter a diligência da empresa em regular essas situações. Me parece que entre a questão legal, seja ela qual for, (52:34) com a constitucionalidade ou agora inconstitucionalidade do artigo 19, e as pessoas conseguirem efetivamente exercer seus direitos, principalmente pessoas que têm dificuldades em lidar com a internet, mais vulneráveis, a gente tem um gap bastante grande. E me parece que seria interessante que a gente tivesse algum tipo de ferramenta ou iniciativa para intermediar esse processo, facilitar as coisas. (53:14) Eu encontrei lá (53:19) no documento, Guilherme, só que é lá no final, na página 165 do PDF, a última página. Eles citam lá que o Conselho Nacional de Justiça criará — eu não sei se isso aqui de fato vai acontecer — o Departamento de Acompanhamento da Internet no Brasil para monitorar o cumprimento desta decisão e o respeito aos direitos fundamentais na internet. O órgão atuará no levantamento de dados sobre a matéria, os quais serão consolidados em relatórios periódicos e embasarão estudos, diagnósticos e sugestões de estratégias (53:55) legislativas e de políticas públicas para melhoria do meio ambiente digital. O departamento atuará em colaboração com o STF e com o TSE, especialmente para o enfrentamento eficiente da desinformação e das notícias falsas no processo eleitoral. Eu não entendi muito bem, porque não tem muita informação sobre isso, mas não me parece ser algo que taparia esse gap que eu estou falando. Parece mais alguém que vai ficar observando, um observatório. (54:27) É uma coisa meio estranha, né? Você tem (54:32) muitas… eu queria que tivesse uma agência com a qual eu pudesse, de maneira central, conversar: “ó, estou com um problema lá no Facebook”, e eles tivessem canais para eu abrir algum tipo de demanda, que nem tem o consumidor.gov.br. (54:50) Que você pode usar também, dá para usar o consumidor para isso. (54:55) O ponto é, e eu até não tinha dado atenção para isso aqui, e critica-se muito o STF por variadas razões, (55:04) e acho que é plenamente legítimo você criticar. Isso sim é liberdade de expressão, você pode criticar os poderes constituídos. Não que o fato de você exercer sua liberdade de expressão vá transformar sua crítica automaticamente numa crítica correta, porque críticas também podem estar erradas. Agora, aqui, uma crítica talvez que se aplicaria é que isso aqui é papel do Legislativo. A decisão vai dizer que vai criar… e um dos problemas é justamente (55:41) esse: o legislador não fez o seu papel aqui. Nós estamos sofrendo por conta desta falta do legislador. Ele coloca a promoção de práticas de autorregulação regulada, que também é um caminho europeu, que você dá uma certa margem de regulação para o provedor, que na verdade já tem uma autorregulação, que são seus termos de uso, mas ele precisa ir um pouco mais além, inclusive com sistemas de gestão de risco. E uma parte da decisão diz que eles devem evitar qualquer ingerência indevida em (56:20) atividades políticas. O problema é que os provedores têm interesse em se engajar em atividades políticas, e esse pode ser um dos maiores problemas que estão por trás, que é um dos panos de fundo de toda essa problemática, que eventualmente não está relacionado com o artigo 19. Quando a gente olha para os Estados Unidos, a gente vê Elon Musk do lado do presidente eleito, que contribuiu para a eleição do presidente e vai participar do governo do presidente eleito. Veja que (56:57) isso está no centro das preocupações mundiais. Qual vai ser o papel das redes sociais diante do poder que elas têm? Isso a gente já vem falando há muito tempo. Nós já estamos vendo, e nós vimos nesses 10 anos, o que as redes sociais podem fazer com processos eleitorais, com o bem-estar das pessoas, com a autoestima de meninas, lá no caso do Instagram, e com tantos outros casos de intervenções, de interferências e de lobbies. É nesse contexto que vem essa decisão, (57:36) diante da falta do legislador em legislar. E o resultado acabou sendo esse. No final das contas, para terminar, eu acho que a pergunta que a gente deveria fazer é: o artigo 19 está sendo usado pelos provedores para permitir que danos evidentes continuem se propagando em prol da manutenção de certos conteúdos que atendam aos interesses econômicos e ideológicos dos próprios provedores? Se a resposta for sim, e se diante disso outros direitos fundamentais estão sendo preteridos, atendendo aos interesses dos provedores, de fato, algo está errado. (58:20) Agora, eu espero que aqueles que dizem que isso vai piorar a situação estejam errados. Não porque eu não gosto deles, mas porque se piorar, vai ser uma… eu espero que eles estejam errados, porque se eles estiverem certos, aí sim a situação pode piorar. E veja que a situação piorar ou melhorar não é a baliza que você usa para julgar a inconstitucionalidade de uma norma. A inconstitucionalidade é julgada num aspecto jurídico, não tão prático. (59:00) Quais os problemas que vai ter? Bom, aí é uma outra questão, mais pragmática. Mas, em geral, somos mais jurídicos do que pragmáticos no julgamento de inconstitucionalidades. Então, me parece que esse foi o caminho aqui. (59:15) Eu vou compartilhar aqui, Guilherme, rapidamente, a tela do navegador. E eu estou aqui no consumidor.gov.br. Olha só que interessante. Eu fiz uma pesquisa por “Facebook” e “Instagram”. Olha só, aqui, nos últimos 30 dias… pegar 2024. Foram contra Facebook/ (59:37) Instagram 12.000 reclamações recebidas. Total de finalizadas: 12.128. Índice de solução: 46%, está ruim. Índice de satisfação com atendimento: 1,6 de 0 a 5. Reclamações respondidas: 100%. E prazo médio de resposta: 7 dias. Se eu botar aqui para todo o histórico, ele não diz desde quando é, mas são 45.000. Então, em 2024, são 12.000, (1:00:08) no total são 45.000. Estamos falando de uns 2, 3 anos. 64% não é um número tão ruim. (1:00:15) Não é, mas nota 7 tu já rodas em algumas escolas por aí. Então está abaixo da nota mínima para passar. 64%. Satisfação com atendimento bem baixo, de 1 a 5, está em 2. Reclamações respondidas: 100%. Prazo médio de resposta: 7,3 dias. De fato, o pessoal anda usando sim o consumidor.gov.br para reclamar, por exemplo, do Facebook. (1:00:43) Além do Facebook, vamos ver se tem o Twitter aqui, agora X. (1:00:48) Vamos ver se… não tem ninguém reclamando do (1:00:51) Twitter nem do X. (1:00:54) Põe “Google”. O Google deve ter, ou “YouTube”. (1:00:59) Google, provedor de conteúdo e outros serviços de internet. Está aqui, Google. Vamos pegar todas. Solução menor, né? Pegar 2024, está bem maior. Tem mais reclamações, que são 23.000, (1:01:20) comparado com o Facebook. E índice de solução de 76% só em 2024. A nota de satisfação: 3,4, bem melhor que o Facebook. Recomendações respondidas: 99,9%. Demora mais para responder, quase 8 dias. (1:01:38) Aí o Google… olha que interessante, cara. O Google tem 101.000 reclamações no total. O Facebook tem 45.000, de todo o tempo. Índice de solução: 83% do Google, contra 65% do Face. Satisfação com o atendimento: 3,5 do Google. Reclamações respondidas: 100%. Claro que alguma coisa ficou para trás. (1:02:01) Na média, tem mais demora de resposta, 8,7 dias. Mas, sabe uma coisa interessante? No Google, você provavelmente vai ter mais retirada de questão relacionada à pesquisa. Eu não sei se entraria o YouTube junto aí. (1:02:18) O problema do YouTube é a própria, não só a moderação, mas o impulsionamento de conteúdo. Repito aquilo que falei. (1:02:26) O YouTube deve estar junto, Guilherme, porque não tem “Google” e “YouTube”. O problema desse impulsionamento e do que eles estão apresentando, eu acho que é (1:02:37) um dos grandes problemas da atualidade e acho que não é um problema do artigo 19. O que essas empresas estão fazendo para entregar conteúdos para as pessoas e o que esses conteúdos estão levando as pessoas a acreditar ou a fazer? Essa é a grande questão, a grande preocupação mundial. (1:03:01) Mas acho que é isso. (1:03:02) Beleza, cara. É bem interessante a gente ficar de olho para ver os impactos disso no dia a dia, (1:03:11) aquilo que é real, no sentido do impacto que a gente tem no nosso cotidiano. Quando alguém vem nos procurar ou tirar dúvida com a gente, às vezes familiar, amigo, sabem que a gente lida com esse tipo de assunto, e o pessoal às vezes vem meio desesperado, e a gente não sabe o que fazer. Teve uma situação, Guilherme, eu não vou citar aqui o nome da instituição, mas pessoas dessa instituição me (1:03:44) procuraram porque olha o que aconteceu: tem um telefone de atendimento dessa instituição, e a IA do WhatsApp começou a entregar, quando o pessoal procurava o telefone da instituição, estava entregando o número de celular particular de uma pessoa. (1:04:09) Estava na internet isso ou não? (1:04:10) Eu não sei, cara. Não sei como o negócio pegou. O pessoal não sabe também, e eles não estavam conseguindo falar com o Facebook para tirar o telefone de lá. Tu perguntavas o telefone para o serviço tal e (1:04:24) dava o telefone da pessoa. (1:04:25) Tu dizes que é a IA do WhatsApp? (1:04:27) A IA do WhatsApp. Vai saber se não estava no treinamento dela ou se ela estava buscando isso em algum lugar. Cara, o negócio é meio… a gente fica de mãos atadas. (1:04:38) Ainda mais sem uma legislação de IA. (1:04:40) Sim, é outro tema. Esse já é para outro episódio. Na verdade, este é o “Especial Marco Civil da Internet Parte 2”, que só demorou 10 anos para sair. (1:04:52) É de 10 em 10. A outra, daqui a 10 anos. (1:04:56) O que vamos fazer, né? Se a gente já está há mais tempo nessa estrada, vamos fazer o quê? (1:05:05) Café? Não, hoje não é café. Se tivesse café expresso, eu já disse, seria para o Bacen, por ter comunicado. (1:05:14) Numa pesquisa que eles fizeram, publicaram os dados das pessoas que participaram da pesquisa. Não sei em qual contexto, só vi o que eles falaram. Alguém rateou alguma coisinha lá e escorregou no botão (1:05:33) do mouse. Pode acontecer. (1:05:35) Então, está bom. Agradecemos a todos aqueles e aquelas que nos acompanharam até aqui e nos encontraremos no próximo episódio do podcast Segurança Legal. (1:05:46) Até a próxima. (1:05:47) Até a próxima.  

 Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing Neste episódio comentamos sobre o futuro da IA sob a gestão de Trump, o controverso sistema de vigilância Cortex e um bug no Nubank. Você irá descobrir os impactos da desregulamentação tecnológica e as consequências éticas e legais de falhas de segurança. Guilherme Goulart e Vinícius Serafim aprofundam a discussão sobre o futuro da Inteligência Artificial com a eleição de Donald Trump e a prometida revogação da regulação de IA, analisando o papel de Elon Musk neste novo cenário. A conversa aborda a importância da segurança da informação e da proteção de dados ao examinar o sistema Cortex do governo e o recente vazamento de dados. Além disso, eles debatem a vulnerabilidade no Nubank, que levantou questões sobre crime cibernético e ética. Este episódio é essencial para quem se interessa por cibersegurança, privacidade e o impacto da tecnologia na sociedade, conectando as falhas de sistemas com a LGPD e o ethical hacking. Para não perder análises como esta, assine, siga e avalie nosso podcast em sua plataforma de áudio preferida. ShowNotes Character Limit de Kate Conger e Ryan Mac Trump Planning to Unleash Artificial Intelligence by Repealing Restrictions A Trump Win Could Unleash Dangerous AI President Biden Issues Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence Her teenage son killed himself after talking to a chatbot. Now she’s suing As oportunidades e perigos de Elon Musk no cargo de ‘disruptor-chefe’ de Donald Trump A study found that X’s algorithm now loves two things: Republicans and Elon Musk New Research Points to Possible Algorithmic Bias on X Texto do PL 2.028-A Comissão aprova punição para farmácias que repassam dados de prescrição médica a farmacêuticas Projeto que pune farmácia que vende dado de receita médica avança na Câmara 99% dos sites de jornalismo no Brasil permitem uso de conteúdo para treinar IA Overview of OpenAI Crawlers Posicionamento da Coalizão Direitos na Rede e entidades parceiras sobre o sistema CÓRTEX do Ministério da Justiça e Segurança Pública MITRE shares 2024’s top 25 most dangerous software weaknesses Microsoft (MSFT) Partners with HarperCollins for AI Model Training Nubank: quem aproveitou o bug e sacou dinheiro ‘de graça’ pode ser preso? 📝 Transcrição do Episódio (00:00) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 380, gravado em 22 de novembro de 2024. Eu sou o Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias do último mês, porque ficamos um mês sem gravar. E aí, Vinícius, tudo bem? Olá, Guilherme, e olá aos nossos ouvintes e internautas. Ficamos bastante tempo sem gravar por várias coisas. Teve Feriadão, que acabou gerando algumas viagens e alguns deslocamentos. (00:38) Teve dois feriados. Tivemos um que caiu na quinta e outro que caiu na sexta-feira. Não, quarta e sexta. Depois, tivemos mais algumas coisas. Bom, acabou que tudo isso, em mais algumas situações, se juntaram para não gravarmos por um mês, praticamente. Mas estamos de volta. Estamos de volta aqui para partilharmos este momento de conversa sobre algumas notícias que nos chamaram a atenção, desta vez, tomando um café de verdade. Eu estou aqui com a minha caneca do Segurança Legal. (01:16) Está com um quebradinho aqui, Vinícius, mas está valendo. E eu estou com o meu negócio de Segurança Legal. Tu ganhou um desses, não ganhou? O quê? Pera, não estou vendo. Sim, tu tens um desses ou não? Tenho. Não, não tenho. Eu tenho o adesivinho ali. Aliás, neste final de ano, vamos nos comprometer publicamente agora: vamos sortear umas canecas. No final de ano ou início do próximo. Vamos ver, que a coisa tende a ser meio conturbada agora. (01:55) Neste último mês e meio que temos pela frente. Se você quiser, mande uma mensagem lá no [email protected], no Mastodon no @[email protected] e também no Bluesky @segurancalegal.bsky.social. O Guilherme, o direitodatecnologia.com, que sou eu, e o Vinícius é o @vserafim. (02:28) E claro, sempre sugerimos que você apoie o Segurança Legal lá no apoia.se/segurancalegal. Escolha uma das modalidades de apoio. Principalmente, você estará envolvido num projeto livre, desimpedido, Vinícius, de produção de conhecimento e de informação. Agradecemos, é bastante importante. Você também consegue ter acesso ao nosso grupo de apoiadores lá no Telegram. Acesse o blog da Brown Pipe. A Brown Pipe também é uma das mantenedoras deste podcast, melhor dizendo. Então, você acessa o site da Brown Pipe para ver os serviços que ela presta. (03:05) E também o mailing e as notícias do blog, que você pode receber. Vinícius está mostrando aí algumas das notícias da última semana. Você também consegue nos assistir lá no YouTube. Os nossos rostinhos bonitos estão lá à disposição e você pode ver os episódios passados, vídeos que o Vinícius grava com alguns tutoriais e tudo mais. É isso, Vinícius. Isso aí. Vamos para a mensagem de ouvinte. Vamos ver a mensagem que o nosso querido amigo Ricardo Berlim mandou sobre aquele episódio em que falamos sobre os celulares nas escolas. (03:48) Inclusive, esse tema tem evoluído, Vinícius, com uma evolução de projetos de leis e de leis nos estados. Fizeram uma reportagem no Fantástico há umas duas semanas também. Eu também não vi, vi que saiu, mas não cheguei a assistir. Mas basicamente ele estava numa sala de aula com as crianças mexendo no celular sem parar. Bem-vindo ao mundo dos professores. O Ricardo Berlim diz o seguinte, se referindo à pesquisa que falamos no episódio 378: quanto à pesquisa sobre o uso do (04:22) celular por crianças, acho que os dados fazem sentido. Muitos pais, como eu, deram celulares para as crianças durante a pandemia a fim de suprir uma carência de interação e viabilizar a participação em atividades escolares e hoje se arrependem. Acho que isso ajuda a explicar por que tantas crianças têm celular e, ainda assim, tantos pais gostariam que elas não tivessem. Em nosso caso, aqui em casa, tentamos deixar regras bem estabelecidas, usamos o controle parental do Google. Fica aí uma dica de episódio, ele diz, para tentar ter algum controle de tempo e conteúdo. (04:51) Infelizmente, no computador que eles também têm acesso, o Linux não dispõe de ferramentas tão eficientes, mas ainda assim mantemos algum controle. Temos regras como: nada de aparelhos na mesa durante almoço e jantar; os dispositivos devem ser usados ou deixar de ser usados até às 20 horas, com exceção de ouvir um ou dois episódios do podcast infantil para ajudar a embalar o sono. Ou também, por que não ouvir um ou dois episódios do podcast Segurança Legal? As crianças vão gostar também. E a parte mais difícil: tentar (05:22) estar à disposição das crianças quando elas querem fazer uma atividade offline, o que também ajuda a fazer com que a gente se desconecte. Mas a vida moderna… A mais nova, de 1 ano e meio, já quer pegar o celular quando fazemos um vídeo com os avós que estão longe ou para pedir a infame Popó, que seria, diz ele, a tal da Galinha Pintadinha. Um grande abraço. Abraço, Ricardo. E aí, Vinícius? Eu tenho um comentário: Ludovico Einaudi. Conhece Ludovico Einaudi? Os meus dormem muito bem ouvindo “Experience” (05:54) do Ludovico Einaudi, então fica a dica de usar o Ludovico Einaudi para botar as crianças para dormirem. De fato, o que ele coloca é bem relevante, principalmente, eu sinto muito na questão do offline, Guilherme. Porque no momento em que tu desligas a TV… Os nossos não têm celular, nenhum deles, nem o mais novo nem a mais nova. Já pediram algumas vezes, mas a gente explica por que não damos, como eu comentei naquele episódio, e continuamos não dando. (06:30) Mas acabamos batendo na questão da TV. E é muito claro, muito perceptível: quando tu desligas a TV, eles buscam atividades offline. Estar disponível é, muitas vezes, uma dificuldade. Porque de tarde, por exemplo, agora à tarde nós estamos gravando. O meu maior está aqui, está em casa, tem atividade até um certo horário e agora está livre, está lá grudado na TV. Já vi que ele está na TV. Mas, nesse momento, eu não posso estar lá com ele. Então, tem essa coisa de estar junto, fazer (07:10) offline, ela demanda mais dos pais. Aqui, a gente investe bastante em jogos de tabuleiro, coisinhas, jogos simples para jogar com a menor, mas não adianta. Ter filhos é ter uma dedicação a eles, para além de simplesmente nutri-los e educá-los, dando educação formal na escola. E eu entendo bem o que o Ricardo está colocando. É realmente delicado, mas é necessário. E quem sabe o Harari, que escreveu o livro “21 Lições para o Século 21”, (07:57) coloca que uma das questões que talvez seja mais valorizada no futuro, inclusive remunerada, seja esse tempo de cuidado com crianças. Mas a gente sabe muito bem que tem países hoje que nem sequer dão licença remunerada para os pais que acabaram de ter filhos, imagina para educar. Quem sabe seja no futuro, mas é bem isso, Ricardo. (08:38) É bem delicado, as pressões são bem grandes, como a gente comentou naquele episódio. Tá bom. Feito. Um abração, Ricardo. Obrigado pela mensagem. Abraço, obrigado. E esse tema vai voltar. A questão de educação… Ontem eu estava falando com a minha esposa que ela está fazendo uma cadeira aqui no Instituto Federal, no mestrado de Educação, e ela está trazendo uns livros bem interessantes. Depois vou ter que te mostrar, Vinícius, fica para um próximo episódio, mas de algumas pessoas que estão, de fato, pensando. (09:09) E esses insumos que a gente tem da Faculdade de Educação são interessantes. Não é nossa área, mas tem gente muito legal pensando o uso dessas tecnologias. Para o ano que vem, vamos voltar a falar sobre esse tema, que é um tema de bastante interesse da minha parte. Vinícius, vamos falar então sobre Trump, Donald Trump. Poucas pessoas se lembram, eu falava sobre isso com o Vinícius, nem ele lembrava. São 380 episódios, de fato, às vezes tem coisas que a gente não lembra, mas lá em 2016 nós gravamos um episódio, que eu confesso para vocês, também não tive (09:48) tempo de ouvir nem revisitar o show notes que a gente deixa guardado, mas fizemos algumas previsões lá com a primeira eleição do Trump em relação à tecnologia de maneira geral, que é o nosso interesse aqui e o interesse deste podcast: tecnologia, sociedade, segurança da informação e agora IA. Só lembrando, nesse episódio tivemos o Diego Canabarro, nosso querido conterrâneo e amigo. Se ele estiver nos ouvindo… Ele participou com a gente lá em 2016. (10:21) Qual é o tema agora? Enfim, quando fizemos aquela gravação em 2016… Trump foi eleito nesse último mês que ficamos sem gravar. Uma das coisas que ele já havia se manifestado sobre, ainda em outubro, é que, porque lá nos Estados Unidos o presidente Biden teve uma Executive Order, que seria quase como um decreto presidencial, estabelecendo algumas regulações de IA. E veja, (10:57) eram regulações… essa Executive Order não era nada demais, é meio que o consenso que nós temos no que diz respeito à regulação da IA, os controles, os guard rails que os estudiosos e as pessoas que lidam com esse tema têm quase como um consenso, por exemplo, regras éticas, de segurança e tudo mais. O Trump agora se manifestou dizendo que, abre aspas, “vamos revogar a perigosa ordem executiva de Joe Biden que impede a inovação em IA e impõe ideias radicais de esquerda ao desenvolvimento dessa tecnologia”. Essa Executive Order, na verdade, (11:35) não tem nada de extrema-esquerda, é uma norma, como eu disse, de regulação de IA. Fala sobre aspectos éticos, segurança da informação, proteção de dados, privacidade. E aí, talvez o que tenha preocupado o governo Trump e o Trump de maneira geral são aquelas regras de promoção de equidade e para evitar a discriminação e os vieses discriminatórios, além de proteção de consumidores, que é um dos grandes temas hoje quando falamos em IA, seja pela via dos dados com que você treina e tudo mais. Mas existem dezenas ou (12:09) centenas, talvez milhares de estudos que convergem no sentido de demonstrar os riscos e, não somente os riscos, mas as comprovações dos mais variados vieses que os modelos acabam tendo, seja pelos dados de treinamento, seja pela forma como são treinados, falta de medidas para conter certos comportamentos. Basicamente, o que eles acabaram dizendo é que a intenção com a revogação dessa ordem, que é o que deve acontecer, é que a IA se desenvolveria somente com base na proteção da liberdade de expressão e no (12:45) bem-estar humano. O mais interessante é que essa ideia de buscar liberdade de expressão e bem-estar humano não é incompatível com as regras dessa ordem executiva. Pelo contrário, parece que essas regras buscariam justamente o bem-estar humano. Sim, bem-estar humano sim, liberdade de expressão também, mas a gente sabe que o governo Trump e outros governos… Os Estados Unidos até têm uma visão, uma compreensão da liberdade de expressão bem diferente da nossa aqui, mas (13:21) tem-se uma interpretação um tanto quanto exótica da liberdade de expressão, como se ela servisse para, por exemplo, causar danos, cometer crimes. E a liberdade de expressão é um direito que encontra limites quando se choca com outros direitos fundamentais. Essa é uma visão mais europeia da liberdade de expressão. Eles também falaram que essas regras seriam “woke safety standards“. Esse termo “woke“, usado com bastante frequência pelo governo Trump e por aqueles que seguem mais ou menos essa linha mais trumpista… (13:57) O The Beat, que foi o texto que a gente traz, essa notícia que lemos aqui, junto com outras coisas para falar sobre esse tema, disse que é impossível separar essa intenção de revogar essa ordem da participação de Elon Musk no governo. O próprio Elon Musk já teria, no passado, criticado o ChatGPT, chamando-o de “woke“. O Ted Cruz também teria chamado as regras do NIST, porque essa Executive Order fala sobre a aplicação de algumas regras do NIST, e até a criação delas, sobretudo para a questão de (14:32) segurança. Então, o Ted Cruz chamou algumas regras do NIST de “woke AI safety standards“, e que isso teria a intenção de controlar o discurso. Uma preocupação muito grande com o problema da liberdade de expressão, quando a gente sabe que a liberdade de expressão tem sido usada como desculpa até para a difusão de desinformação. E temos visto isso muito mais fortemente no X, depois da compra pelo Elon Musk. Então, basicamente, fica claro que eles estão se colocando contra medidas que impedem (15:10) discriminação e desinformação. Esse é o ponto. Eles estão se colocando contra isso. E quando a gente olha no que o Twitter se tornou hoje, poderíamos correr o risco de que essa lógica do Twitter, do X, se projetasse também por uma falta de regulamentação da IA no mundo, com riscos, como eu disse, bastante previsíveis. No final das contas, o propósito deles seria relaxar essas regras para permitir que novas aplicações e novos desenvolvimentos da IA fossem realizados, fossem implementados, desprezando os (15:47) riscos existentes e, ao mesmo tempo, favorecendo justamente uma indústria da qual o próprio Elon Musk faz parte. O Elon Musk também tem interesse num desenvolvimento de IA com a derrubada de certos limites e de certas questões que visam justamente proteger as pessoas. Esse é o consenso. Você conseguiria atingir mais rapidamente um lucro. E aí, quando você nega, sobretudo com IA… Acho que com qualquer tecnologia podemos falar isso, mas é bastante perigoso hoje, porque muitos dos usos de (16:24) IA ainda possuem riscos inimagináveis. Nós não sabemos exatamente como isso vai se dar, por exemplo, na educação, que estávamos falando aqui antes. Então, quando você relega para segundo plano esses potenciais impactos negativos, podemos sim ter pessoas que certamente vão ser afetadas, sobretudo aquelas que já são discriminadas: grupos discriminados, pessoas negras, pessoas vulneráveis e tudo mais. No final das contas, Vinícius, o que também chamou bastante atenção é que isso tudo se vincula com (17:01) o protagonismo que o Elon Musk vai ter no próximo governo. Ele vai ter um cargo numa comissão de eficiência governamental, que basicamente vai buscar uma desregulamentação. E aí tem um artigo, que vai ficar no show notes, da The Economist, que é insuspeita. Você não pode falar que a The Economist é “woke” ou de esquerda, bem pelo contrário. E ela coloca alguns riscos desse protagonismo do Elon Musk no governo que virá agora. Claro, ele entrou de cabeça na campanha. Quem acompanhou mais de perto viu a (17:38) participação dele. Inclusive, foi feito um estudo, eu não trouxe aqui, que envolveu o próprio favorecimento de posts e do engajamento em cima de conteúdos que favoreciam o Trump. Foi feito um estudo que comprovou isso, depois se eu achar eu coloco aqui no show notes. E basicamente o risco que o The Economist está dizendo é que ele poderia favorecer mercados em que as suas empresas atuam, isso poderia prejudicar a concorrência e também um risco, acho que maior ainda, o fato de ele atuar em áreas que ele não tem (18:11) conhecimento. Veja quem está falando isso é a revista The Economist. Lembrando, e aí quem fala agora sou eu, das peripécias do Elon Musk que foram contadas naquele livro “Character Limit” do Kate Conger e Ryan Mac. Quem viu, a gente falou um pouco sobre esse livro aqui. Mas, basicamente, a The Economist ainda termina dizendo que nós corremos o risco de, a partir de agora, se naturalizar este, e eles usam exatamente essa palavra, o conluio entre políticos e magnatas. E que foi uma coisa que, embora sempre tenha ocorrido, talvez com uma (18:49) forma um pouco com mais pudor, agora se tornou despudorada. A olhos vistos, você consegue ver essa junção, esse conluio, nas palavras da The Economist, que pode vir a ser um problema, especialmente para a IA, que é o tópico do nosso comentário. Mas, a ver como essas coisas vão se desenvolver a partir de agora, Vinícius. Pois é. E o Elon Musk está processando, acho que pela terceira vez, a OpenAI e botou no mesmo saco agora a Microsoft também, com relação ao uso de Inteligência Artificial. Vamos ver o que vai dar isso aí. Quer pegar (19:27) mais uma tua? Pode ser. Eu trago uma aqui. Já que eu citei agora o Elon Musk com Inteligência Artificial, eu vou pegar uma minha rapidinho aqui, que é da Microsoft. É algo que a gente já comentou em outros episódios. O problema hoje, não que seja o único problema da Inteligência Artificial, longe disso, mas um ponto importante é ter informação de qualidade para treinar modelos de IA. A notícia que eu trago rapidamente aqui é que a Microsoft fez uma parceria com a HarperCollins, que é uma (20:11) editora. Ela detém vários títulos, e aqui eles citam várias vezes que são títulos de não ficção. Porque ficção, claro, é interessante também para treinar IA, mas não ficção é melhor ainda. A ideia é que eles vão ter acesso por 3 anos aos títulos para poder fazer treinamento de modelos de Inteligência Artificial ainda não definidos. Isso ainda não foi definido, que modelo que é, exatamente qual é o uso. E os autores poderão fazer um opt-in voluntário de ter as suas (20:53) obras utilizadas nessa parceria entre Microsoft e HarperCollins. Claro que há várias… Aqui tem uma coisa interessante que eu queria citar: no início deste ano, o Google entrou em um acordo com o Reddit de 60 milhões de dólares para também usar os reddits para o treinamento dos seus modelos de IA. Certo? Mas vai pagar para os usuários do Reddit? Provavelmente não. Passa longe. Então, assim como o X fez mudança nas políticas para poder usar os posts para treinamento, ou seja, tudo que gera hoje (21:35) dado orgânico… Vi uma outra esses dias: a Niantic está usando os dados do Pokémon GO gerados pelo jogo, com os usuários utilizando o jogo… Sim, Pokémon GO ainda existe. Utilizando esses dados para treinamento de modelos de IA. É um problema conseguir dados, dados de qualidade, principalmente orgânicos. Dados sintéticos têm sido utilizados para fazer alguns treinamentos e as últimas notícias é que não tem sido bom o resultado. Então, a Microsoft faz um acordo com a HarperCollins. Eu acho que a gente vai ver cada vez mais isso. Tem muito dinheiro (22:18) sendo investido em IA e isso dá um poder de aquisição para as OpenAIs da vida, para o Google, Microsoft etc., botarem grana a valer em aquisição de bases de informações, datasets, para conseguir fazer o treinamento dos seus modelos de IA. Então, está aí a notícia, fica o link lá depois para o pessoal no nosso show notes. E tu tinhas uma de IA para encaixar com essa, não tinha? Não, eu só queria te dizer que tu falou sobre a mudança da política do X. A ANPD já convocou o Twitter, ou X, para (22:57) explicar essa questão. Isso foi lá em outubro, eu acho, logo que eles fizeram aquela proposta da alteração de usar os dados das pessoas sem que elas pudessem fazer o opt-out. Eu acho até que a gente já comentou isso aqui no episódio passado, mas enfim, fica a referência. Na verdade, eu tinha uma aqui sobre a questão dos riscos. São duas: uma diz respeito ao problema dos riscos que comentamos antes, só retomando, porque teve um caso que envolve IA também, de um rapaz que (23:32) começou a ter uma relação um tanto quanto complicada com uma IA que simulava personagens. Ele usou o Character.AI e lá tu podes criar um personagem como tu quiseres. Pois é. Um dos possíveis riscos no uso de IA são essas situações em que pessoas mais vulneráveis poderiam ter certas vulnerabilidades ampliadas ou trazer certos riscos até para a vida das pessoas. Então, nós temos isso também que se liga com um possível mundo em que (24:14) você abra a guarda para a regulamentação. Você pode ter… claro, isso é um exemplo bem extremo de risco, não dá para se pautar por isso, temos que reconhecer, mas isso está acontecendo. Tem uma ação judicial lá nos Estados Unidos. Agora, aqui pelo Brasil, sobre este problema do treinamento, a gente sabe que há ações judiciais inclusive contra a Perplexity, e o New York Times tem uma… Inclusive, essa semana… O New York Times tem contra todo mundo. O New York Times está processando a OpenAI, está processando todo (24:47) mundo. E a gente vai precisar de uma teoria, e eu tenho certeza que nós vamos precisar reinterpretar as próprias leis de proteção de direitos autorais ao redor do mundo. Porque me parece, não sei se é bem uma tese, também não sei se sou só eu que digo isso, mas essas novas projeções que a gente tem pela via do treinamento, ou seja, um novo uso que você faz de obras protegidas por direitos autorais para chegar a um modelo, me parece que isso também deve ser entendido como uma violação de direitos autorais. E se isto não é claro, (25:24) nós vamos precisar alterar as nossas leis de direitos autorais para prever proteção em relação ao uso de IA. Qual é a notícia, então? Bem rapidinha: 99% dos sites de jornalismo no Brasil, disse o Núcleo Jornalismo, permitem o uso de conteúdo para treinar IA. Talvez o título seja um pouco enviesado, não é que eles “permitem” o uso de conteúdo, eles não dizem explicitamente que não pode. Ou seja, está lá e não tem nenhuma proteção contra. É, embora essa proteção a que ele se refira aqui também (26:07) não é uma… você pode desrespeitar essa proteção, vamos lá, que é o robots.txt. O que é o robots.txt? Se eu falar errado aqui, Vinícius, você, que é da área mais técnica, me corrija. Mas é um arquivo TXT que fica na raiz de qualquer site onde você consegue dar algumas instruções, sobretudo instruções que envolvem a não indexação daquele conteúdo, caso você não queira que ele seja indexado. Então os crawlers, os robôs que ficam varrendo a internet, sobretudo do Google, dos buscadores, para usar um exemplo, passam pelo teu site, leem o robots.txt, (26:42) veem que não podem indexar e seguem adiante. Por que eu digo que eles podem desrespeitar? Porque, na verdade, o robots.txt é um acordo de cavalheiros. “Eu quero passar, ler.” “Ó, não entra em tal lugar.” “Então tá, não vou entrar.” É um acordo de cavalheiros. O que o Núcleo disse? Que os jornais, e talvez pouca gente saiba, a gente já falou aqui no passado, as empresas de IA, para falar somente da OpenAI, elas também têm os crawlers que ficam varrendo a internet para treinar silenciosamente. Quer dizer, não é tão silenciosamente, (27:21) porque você vê lá nos logs que o IP deles acessou. Mas se você entra lá na OpenAI e busca por “crawler”, “robots”, você vai encontrar as instruções dos endereços IPs lá para fazer o bloqueio, Vinícius. Estou te mandando o link aqui. E a notícia justamente é essa: que esses jornais, talvez por ignorância – aqui não ignorância do ponto de vista negativo, mas por não saberem que podem realizar esse bloqueio pela via do robots.txt. Estou carregando o site aqui, está com (27:58) um probleminha… Não, agora veio. Deixa eu só compartilhar com o pessoal aqui. “Search bot”. Não, não é isso, Vinícius, eu te passei o link errado. Mas está aqui, user-agent, está certinho. Você inclusive pode bloquear, pelo que estou vendo aqui, o “search bot”, que é outra coisa, não é o crawler. É você impedir que a resposta do GPT use a pesquisa no teu site para produzir uma resposta. Seria um outro tipo de bloqueio. (28:43) Perfeito. O que mais temos aí, Vinícius? Hoje a gente está um pouco mais rapidinho. É, eu tive que pegar uma pastilha aqui, senão vou começar a tossir e não vou parar. Vai lá. Eu vou compartilhar uma rapidinha, essa aqui é bem rápida, e na sequência pego a do Nubank. Para quem acompanha segurança da informação, principalmente coisa de pentest, saiu há poucos dias, no dia 20, na verdade, dois dias atrás, (29:20) pelo menos a notícia no BleepingComputer, o Mitre compartilhou a lista que eles fizeram do Top 25 das fragilidades mais perigosas em software. É interessante, a gente tem o OWASP Top 10, que vai ser atualizado no ano que vem, 2025, já anunciaram, e tem essa lista do CWE, que é o Top 25 do CWE. Nessa lista, vou só citar alguns rapidamente, porque não deve ser nenhuma surpresa e nos chama a atenção porque continuamos encontrando esse tipo de (30:00) vulnerabilidade nos softwares por aí quando fazemos pentest. Elas continuam aparecendo. Então: Cross-Site Scripting está em primeiro lugar. Velho e bom conhecido Cross-Site Scripting. Out-of-Bounds Write não é tão comum de se encontrar, mas, no geral, na pesquisa deles aparece com bastante frequência. Aí depois vem SQL Injection, um outro bem conhecido, já foi o primeiro lugar em outros momentos. Já foi primeiro. Mas é impressionante como SQL Injection ainda aparece nessas listas. Terceiro lugar, medalha de (30:38) bronze. Está bom, de 25 está ótimo. Cross-Site Request Forgery (CSRF) é outro comum. Path Traversal, muito comum. Out-of-Bounds Read, nem tanto. Missing Authorization, que é a falta de controle de autorização. Então, autenticou o cara, mas não verifica se o cara deveria poder acessar alguma coisa. Injeção de código e por aí vai. A 14ª, que eu acho que poderia estar mais para cima, é Improper Authentication (autenticação inadequada). (31:11) Tem muito problema de autenticação. Tanto que eu gravei um vídeo só sobre autenticação lá nos ao vivos do Segurança Legal, discuti só autenticação para desenvolvedores. E por aí vai o Top 25. Esse tipo de lista é interessante para quê? Quando você vai passar por um pentest, é bom se certificar de que, pelo menos, o que está no Top 10 da OWASP ou no Top 25 do CWE seja verificado nos seus sistemas. (31:48) Porque esse aqui é o tipo de coisa que tende a ser mais explorado em um ataque. É só o que está na lista? Óbvio que não, mas aqui, como o próprio nome diz, é o Top 25. A outra notícia que eu vou trazer é com relação ao Nubank. E aqui tem uma coisa que me chamou a atenção, a gente acabou até discutindo um pouquinho sobre isso antes de entrar no ar. Deu um bug no Nubank que permitiu… O Nubank tem um esquema de saque de dinheiro nos terminais 24 horas. Se eu não estou (32:26) enganado, é gratuito para os correntistas ou para o Ultravioleta, não sei. Mas tem lá para você poder sacar dinheiro, já que o Nubank não tem caixas próprios. O bug permitiu que correntistas sem saldo suficiente, ou sem o saldo correspondente, conseguissem sacar dinheiro nos Bancos 24 Horas. Resultado: um monte de gente foi sacar dinheiro. O bug foi informado no TikTok por duas pessoas que falaram… não sei se foram as primeiras que se deram conta, mas elas mesmas falaram que (33:09) sacaram milhares de reais sem terem saldo na conta. Claro, a notícia é: o que tu fazes quando encontras uma oportunidade dessas? Exato, e vai para o TikTok. No TikTok. A notícia está no TecMundo. O pessoal foi lá e começou a anunciar, e a galera começou a ir para os bancos 24 horas fazer fila, inclusive de madrugada, segundo notícia do TecMundo, para sacar dinheiro que não estava na sua conta, que não existia na sua conta. Aí, Guilherme, isso aqui me chamou um pouco a atenção na matéria, até porque eles começam a trazer o que poderia acontecer. Até o título da (33:48) notícia é: “Quem aproveitou o bug e sacou dinheiro ‘de graça’ pode ser preso?”. Esse é o título da notícia. A crise ética que a gente vive, que não importa se vai ser preso ou não, cara, tu não fazes isso. Mas tudo bem. Claro, tu não fazes isso. Exato. Sacar dinheiro após um bug é crime? Diz aqui: “De acordo com a advogada especialista em direito, a exploração de uma falha como a registrada pelo Nubank pode ser enquadrada como um crime de furto, previsto no artigo 155 do Código Penal, que prevê como pena de um a 4 anos de (34:23) reclusão. Porém, isso não significa que os clientes que fizeram o saque podem ser presos.” Beatriz ressalta que, em casos como este, é possível que um acordo de não persecução criminal seja ofertado aos consumidores. Na prática, isso significa que os clientes podem evitar um processo e eventual condenação, possivelmente junto ao Ministério Público, a partir do retorno dos valores retirados. O correntista deve se sujeitar ao pagamento dos encargos pelos valores sacados, do contrário haveria vantagem ilícita, enriquecimento ilícito, explica Miguel Pereira Neto, advogado de Direito (34:52) Empresarial. Vou citar direitinho o nome da Beatriz, que é Beatriz Allia Colim, foi a primeira advogada que se manifestou aqui. Segundo Neto, que é o segundo advogado, essa etapa de avaliação de consequências criminais só deve acontecer depois que o banco em questão apurar as causas e movimentações suspeitas. Criadora de conteúdo de advocacia, Jéssica Andrade, respondeu no TikTok a um comentário sobre o assunto. O seguidor afirma que ele (35:31) e a namorada sacaram dezenas de milhares de reais na falha. Guilherme, num primeiro momento, mas eu não sou da área do Direito, para mim isso é uma vulnerabilidade, certo? Eu sei que não é isso, tu já me disseste que não é bem nessa linha, mas para mim é uma vulnerabilidade. O pessoal explorou uma vulnerabilidade num sistema pertencente a terceiro para ter algum ganho. Num primeiro momento eu pensei: “Nossa, isso aí (36:05) não é invasão de dispositivo informático?”. Porque tu estás explorando uma vulnerabilidade para obter uma vantagem, está mais ou menos na descrição lá. Mas depois tu disseste que não era bem isso. É, eu discordo respeitosamente dos colegas que falaram. Não sei bem se é uma questão de furto ali, porque, mal ou bem – e aí, claro, a gente vai saber que foi “mal” no sentido de que as pessoas não tinham esse dinheiro – (36:41) o dinheiro estava, de fato, na sua conta. Isso é diferente de eu, por exemplo, invadir a conta de outra pessoa para retirar os valores. Aí sim poderia ser um caso de furto. Mas a vulnerabilidade, se foi esse o caso, permitiu que eles, incorretamente, disponibilizassem o dinheiro na conta da pessoa. Então, me parece que esse caso seria um caso de apropriação indébita, que é o “apropriar-se de coisa alheia móvel de que tem a posse ou detenção”, do artigo 168. Só que a gente tem uma apropriação indébita específica que eu acho que se encaixa melhor nesse caso, que é a do (37:25) 169: “Apropriação de coisa havida por erro, caso fortuito ou força da natureza”. “Apropriar-se alguém de coisa alheia vinda ao seu poder por erro, caso fortuito ou força da natureza”. Detenção de um mês a um ano. A pena aqui é menor, inclusive. A do 168 é maior porque leva em consideração justamente o fato da coisa ter vindo por um erro para o teu poder. Porque quando algo chega à tua posse por erro, ou se você encontra uma coisa que foi perdida, você tem o dever de devolver aquela coisa, seja para as autoridades ou tentar buscar o dono. (38:08) Eu iria para essa tipificação aqui do 169 e não do crime de furto. Acredito que essa seria a resposta adequada. Agora, a gente também tem o problema ético, que acho que nem tem o que falar. Você não vai sacar milhares… O que você acha que aquilo ali é? Porque aí se encaixa no enriquecimento sem causa, que foi falado ali. Na verdade, enriquecimento sem causa no sentido de que todo aumento de patrimônio que você tem, você precisa demonstrar qual foi a origem. (38:44) Não só para, eventualmente, quem se desfez daquele valor, como até mesmo para o governo. Se de repente aparece 1 milhão na tua conta, a Receita Federal vai querer saber de onde veio aquele 1 milhão. Aumento de patrimônio e tudo mais. Então, você ainda tem o aspecto aqui de, independentemente da ação penal, que é pública incondicionada até onde eu vi, o Nubank tem o poder de exigir civilmente o valor de volta. Então eu não me preocuparia tanto com o crime aqui, de um (39:20) mês a um ano. De fato, os colegas têm razão, o cara não vai ser preso por isso, mas ele vai ter que devolver, evidentemente, o dinheiro. É óbvio, é lógico. É curioso pensar como as pessoas acreditam que teriam o direito de ficar com o dinheiro. Interessante pensar qual é o raciocínio, com base em que você pensa isso. Fazer o quê, né, Guilherme? Fico inclusive meio revoltado com isso, mas enfim. Duas notícias, Vinícius, para a gente ir terminando, também rapidinhas. A gente tem visto e tem criticado aqui ao (39:56) longo dos últimos tempos o próprio uso que as farmácias fazem dos dados pessoais. Se me perguntassem qual é um dos grandes problemas que a ANPD vai ter que tratar, que o país como um todo teria que tratar no âmbito da proteção de dados, eu diria proteção de dados de crianças e adolescentes, sem dúvida, mas eu diria também proteção de dados de saúde e a relação que nós temos com as farmácias, cujas práticas ainda meio que continuam sendo realizadas. A (40:31) novidade aqui é que a Comissão de Saúde da Câmara aprovou um PL lá de 2015, da deputada Alice Portugal, agora sendo relatado na Comissão de Saúde pela deputada Jandira Feghali, que altera a legislação sanitária para incluir a seguinte infração: violar o sigilo do conteúdo de prescrições médicas que estejam em posse de farmácias e drogarias, mediante a revelação do conteúdo dessas prescrições a outras pessoas, bem como pelo acesso e recebimento dessas informações pelos laboratórios farmacêuticos. Toda essa problemática que (41:09) foi objeto de uma grande reportagem do UOL, que foi inclusive referida pela Feghali no relatório e que também embasou os nossos episódios 361 e 362. Inclusive fizemos um exercício lá, subindo alguns dados de prescrições médicas para a Inteligência Artificial tentar projetar o perfil com base nos dados. O relatório da comissão apontou que esse PL é anterior à LGPD, porque ele é de 2015, e eu achei interessante apontar que a LGPD, segundo o PL, seria insuficiente para impedir o repasse de dados de (41:50) prescrição para os laboratórios. Eu não acho que seja o caso, acho que a LGPD consegue dar conta desse problema, mas fica a referência aqui que, caso isso passe, nós teremos barradas essas práticas de compartilhamento de dados das nossas prescrições com uma série de empresas, inclusive com as farmacêuticas. Um detalhe bem lateral, Vinícius, mas é outra coisa… a gente está ficando velho porque fica falando… eu já falei isso e fico bravo com as coisas que acontecem, fico frustrado com certas coisas que vão piorando, que é a coisa das (42:29) reportagens não referirem números de lei e nem números de projeto de lei. O que custa aos jornalistas que nos escutam colocar o número do PL? Porque eu perdi um tempão para achar o PL, porque eles estavam falando sobre um PL sem dizer qual é o número. Poxa, então você tem dificuldade. “Foi aprovado um PL”. Qual PL? Achei muito interessante que nem a reportagem do UOL e nem o release da própria Câmara dos Deputados publicou o número. Porque, em geral, eles colocam lá embaixo “PL número tal” para você (43:07) clicar e ver o texto, e eles também não fizeram isso. Então, fica aqui a reclamação, Vinícius. Registrada. Fica a reclamação registrada. Agora, o pessoal da Coalizão Direitos na Rede fez uma carta aberta sobre o caso Cortex, que nós também falamos aqui no episódio 378. Aquele sistema que o governo federal tem usado para organizar e concentrar dados de diversas fontes diferentes, inclusive de câmeras de monitoramento, dos cercamentos eletrônicos de algumas cidades, bilhetagem de (43:55) ônibus. Ouçam lá o 378 para saber exatamente o que o Cortex faz. E eles fizeram um posicionamento bem interessante, mais ou menos naquela linha do que a gente falou, ou seja, convergimos com o pessoal da Coalizão Direitos na Rede. Mas um destaque que eu achei bem interessante que eles fizeram é que 1.478 pessoas não autorizadas tiveram acesso ao Cortex, o que teria ficado comprovado por meio de uma atuação da Polícia Civil do Distrito Federal. (44:29) E que esses dados estão sendo usados para os mais variados crimes, inclusive crimes financeiros, que é o que hoje movimenta grande parte da bandidagem: golpe do PIX, motoboy, central de segurança, o golpe da portabilidade, mão invisível… A gente conversava sobre o que é “mão invisível”: aquele em que os caras te fazem instalar um aplicativo de acesso remoto. Aconteceu com uma conhecida minha. Pois é, você estava falando antes. E agora, inclusive, o pessoal lá do nosso grupo, um abraço para eles também, comentava um novo golpe (45:14) que saiu nos jornais por aí, nos portais, melhor dizendo, que é o golpe da carteira de motorista cancelada. Você receberia um SMS muito convincente dizendo que a sua carteira vai ser cancelada, você clica lá no botão, cai num site do gov.br igualzinho, gera um QR code, paga lá um valor relativamente pequeno para não ter tua carteira cancelada, quando na verdade era um golpe. Faço essa referência aqui e faço a ligação com o primeiro episódio do Segurança Legal. Estamos falando sobre isso desde 2012. (45:51) O primeiro episódio foi sobre consultas integradas e sobre o uso de dados desses sistemas governamentais para o cometimento de crimes. Então, isso ainda continua acontecendo, Vinícius. Perfeito, Guilherme. Café Frio e Café Expresso. Eu me esqueço que a gente tem essa do Café Frio e do Café Expresso. Eu vou mandar um Café Frio, Vinícius, e eu diria para os golpistas que estão usando o Cortex aí, e também para o próprio governo federal que tem permitido e não implantado medidas de controle de processo, (46:33) de autorização, duplos níveis de autenticação, enfim, cercamentos de endereços IPs que poderiam ser acessados. Ou seja, tem coisas que podem ser feitas permitindo ainda que o uso seja feito. Esse é um outro problema, que eu acho que não deveria, mas imaginando que ele vai continuar sendo usado, pelo menos que se apliquem medidas de segurança de acesso e autorização para evitar esse empréstimo e venda de senhas desses sistemas. Meu Café Frio vai para alguém que vai se importar muito com o meu Café Frio, que é o Trump, por estar relaxando (47:04) essas regulações envolvendo IA e outras questões de tecnologia em que ele vai se meter também, na contramão do que o mundo vem fazendo na preocupação de fazer com que a tecnologia seja utilizada de uma maneira adequada, que não cause prejuízos para os seres humanos. Meu café para ele. O Café Expresso, Guilherme, eu acho que o meu vai para o pessoal da Coalizão Direitos na Rede. Boa. Meu também, pela iniciativa. Você me salvou, eu não sabia para quem. Te salvei. Meu Café Expresso (47:41) vai para a Coalizão Direitos na Rede. Um abraço para o pessoal. Bom, então está bem, Vinícius. E, pessoal, esperamos que tenham gostado do episódio de hoje e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.  

 Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing Neste episódio, Guilherme Goulart e Vinicius comentam 10 recomendações cruciais para a gestão de incidentes, e você irá descobrir como preparar sua organização para lidar com ameaças digitais de forma eficaz.​ Aprofundando na gestão de incidentes, este episódio detalha a importância da segurança da informação e a conformidade com a LGPD. A conversa explora desde a elaboração de políticas de segurança e o treinamento de funcionários até o desenvolvimento de planos de contingência e a necessidade de testes de invasão. A discussão sobre resposta a incidentes e a correta comunicação de incidentes oferece insights para mitigar riscos de segurança, identificar vulnerabilidades e proteger dados pessoais. Entender esses processos é fundamental para uma estratégia robusta de cibersegurança e análise de risco. Para mais conteúdos, siga e avalie nosso podcast em sua plataforma de áudio preferida. ShowNotes: E-book da BrownPipe – Gestão de Incidentes: Entre riscos e dados pessoais Episódio #371 – 1º Encontro de Encarregados da ANPD, com a participação de Guilherme Goulart Artigo – The Psychology of Security de Bruce Scheneier  📝 Transcrição do Episódio (00:03) Com isso, acho que já podemos começar, Vinícius. Primeira… Ô, diga, diga, diga. Antes, antes, antes. Quem der boa tarde para nós ali no chat do YouTube, eu vou dar boa tarde no vídeo. Então, boa tarde ao nosso amigo Hamilton, que já estava enchendo de perguntas lá no grupo do Telegram. Boa tarde, Hilton. O Hilton sugere 12,5 itens. Eu gostei. 12,5 itens, só que o último item vai ficar aquela coisa, só metade do item e para por ali. Mas é isso aí, legal. Vamos lá. Bom, a primeira, então, a primeira recomendação, a primeira indicação aqui é:(00:43) Tenha em mente que incidentes vão ocorrer. Isso não é catastrofismo, não é desejar coisa ruim para você que está nos escutando, mas sim uma consideração verificável na própria realidade. Porque se a gente tem ambientes cada vez mais complexos, se nós temos pessoas trabalhando nesses ambientes com vários níveis diferentes, tanto de conhecimento quanto de comprometimento, se nós temos ambientes que também são regulados por regulações, por legislações diferentes e, principalmente, se nós temos hoje uma migração do crime físico, digamos assim, para o crime e para o ambiente digital.(01:29) E, claro, destacando que incidentes ocorrem não somente quando a gente tem agentes maliciosos, criminosos atuando para realizar invasões, exfiltrações de dados. Nós temos incidentes que podem ocorrer por vias acidentais. Nós temos incidentes que podem ocorrer até mesmo pela falta de treinamento de funcionários. Exato. Os incidentes não intencionais, Guilherme. Os incidentes de segurança que são como esses, assim, há uma falta de treinamento que acaba, no fundo…(02:06) …sendo essa falta de treinamento uma vulnerabilidade, e ela acaba resultando em uma ameaça que, de repente, é uma operação inadequada do sistema, até com perda de informações ou coisa parecida, por exemplo. E, de repente, isso se concretiza não porque a pessoa teve a intenção de causar um problema no sistema, mas porque, pela falta de treinamento que ela tinha, ela acabou concretizando aquela ameaça de operar erroneamente o sistema e causar perda de dados, por exemplo, ou uma indisponibilidade. Então, imagina de repente alguém que está iniciando em uma empresa na TI…(02:41) …gerenciando lá serviços de API, por exemplo, um gateway de API, uma central de gerenciamento de APIs, e de repente essa pessoa, ao entrar nesse painel para ver como é, de repente, ela desabilita a API de um cliente, de uma integração ou coisa parecida, ela vai causar um incidente de indisponibilidade, ainda que não intencionalmente, sem ter a intenção maliciosa de causar um prejuízo para a empresa. Lembrando, até no nosso guia a gente traz um exemplo ocorrido na Itália. E isso ocorre todo dia. Ontem mesmo eu recebi uma mensagem…(03:20) …assim: quando um grupo, um usuário vai enviar mensagens para um grupo de pessoas, ele, em vez de enviar via CCO (cópia oculta), ele envia com cópia para todo mundo, revelando o endereço de todo mundo ali naquele contexto. No exemplo italiano, a questão estava relacionada ao fato de que aquelas pessoas tinham uma determinada doença, então, entre todos aqueles destinatários, todos eles entre si ficaram sabendo que os outros destinatários possuíam aquela doença, fazendo com que aquele incidente fosse um incidente que…(03:56) …envolvesse dados pessoais. A gente vai falar um pouquinho depois sobre esse aspecto. Então, as fontes são muito variadas, sobretudo quando a gente começa a falar em nuvem e, até mais recentemente, quando a gente começa a falar em Inteligência Artificial. A gente tem que considerar que, a depender do uso que se faz dos modelos ou até mesmo como esses modelos são treinados, nós podemos, sim, ter incidentes tanto no seu uso, seja pela exfiltração de dados, pelo vazamento de dados, a possibilidade de outras pessoas receberem… a possibilidade de treinar os modelos com…(04:32) …informações que não deveriam estar lá. E aí outras pessoas passam a receber eventuais dados que não deveriam ser disponibilizados por esse meio. E também na própria questão do treinamento, as formas que você tem hoje como treinar e a ubiquidade quase de dados pessoais nesses ambientes e nos materiais que são usados para treinar esses modelos, também isso pode representar um incidente. Então, o ponto é esse: ambientes complexos e, principalmente, um aspecto psicológico. Nós temos muitas pessoas, e isso acho que acontece em qualquer área…(05:10) …as pessoas em posições de comando, em posições de gerenciamento, que não têm condições de avaliar adequadamente ou até mesmo de considerar as avaliações feitas pelas equipes de segurança. Porque quem toma as decisões, no final das contas, é o Board da empresa, a Diretoria da empresa, a gerência da empresa. Os tomadores de decisão também precisam ser conscientizados, mas muitas vezes nós temos pessoas que não consideram o risco. E o ser humano é muito ruim na hora de medir risco. É um comportamento psicológico. Até tem um artigo muito interessante do Bruce Schneier chamado…(05:46) …”Psychology of Security”, que ele diz justamente isso: nós somos péssimos para gerir riscos e para nos posicionar perante a riscos. Então, quando a gente coloca todos esses elementos juntos, a gente pode dizer com bastante certeza, assim, que incidentes vão ocorrer. Podem ser pequenos, mas também podem ser muito graves. Então, ter isso em conta, afastando aquela ideia de que “não, isso não vai acontecer comigo”, é uma primeira recomendação que a gente coloca. Tem um… quando até essa questão dos acidentes ocorrerem ou não… Essa de ter em mente que eles vão ocorrer, muitas…(06:22) …vezes a gente pode conversar com algumas pessoas de uma determinada empresa, do ambiente, e assim: “não, a gente nunca teve um incidente”. Só que daí tu começas a perguntar: “Vocês já tiveram uma situação parecida com esta?”. Ou parecida, algumas situações hipotéticas. “Ah, isso já aconteceu”. Pois é, isso é um incidente. Então, às vezes o pessoal acha que nunca aconteceu nada porque nunca pensou em certas ocorrências como sendo incidentes de fato. Aproveitando, Guilherme, o intervalo aqui entre um item e outro, vou dar uma boa tarde para o Hugo…(06:56) …que diz que acabou de entrar. Quando ele mandou a mensagem, disse que tinha acabado de entrar e já tinha dado gatilho lá para ele. Buenas, vamos para o próximo. Tem, sim, sim. Número dois: investir na preparação para incidentes é mais econômico ou mais barato do que arcar com os custos de um incidente não gerenciado. Isso está ligado também um pouco com a primeira, sobretudo acerca desse aspecto de tomadores de decisão acharem que, às vezes, a preparação, ou seja, o valor que ele vai ter que gastar tanto com treinamento, com produção de políticas, com consultoria, isso não…(07:34) …é uma coisa que se produz do nada. Pode achar que muitas vezes esse é um custo desnecessário. Só que, eu acho que é uma ideia bem simples de entender: quando a sua empresa não está preparada, quando ela não está nem um pouco preparada — e é bastante comum que empresas, mesmo hoje com a vigência da LGPD, não estejam preparadas —, a depender da intensidade ou do grau do incidente, vai ser muito mais caro você buscar tanto remediar o incidente depois que ele ocorreu. Porque é comum que incidentes graves possam escalar para situações que podem demandar a…(08:15) …ativação de planos de continuidade. Então, é comum que quem não tenha planos de gestão de incidentes também não tenha planos de gestão de continuidade. Então, o que acaba acontecendo é que é mais caro. No final das contas, é mais caro pagar para ver, porque não é possível saber quais os tipos de ameaças que podem atingir aquele ambiente. Como não se realizou ali uma análise de eventuais vulnerabilidades naquele ambiente, também você não sabe o quão vulnerável você está. E você meio que fica numa situação em que você não estava…(08:57) …preparado para reagir a ela. Você não sabe o que fazer, você não sabe sequer que precisa comunicar em alguns incidentes, conforme a gente vai ver depois, a órgãos governamentais ou até mesmo por necessidades contratuais. Porque, dependendo do tipo de serviço que você presta ou que você contrata, pode ser necessário também realizar comunicações para parceiros de negócio. Então, imaginar — e elas estão ligadas, Vinícius — primeiro que não vai acontecer contigo e, depois, que “ah, eu não preciso gastar com isso”, é um erro bastante grande. E veja, nós dizemos isso…(09:31) …porque nós já vimos situações, nós já atuamos em situações que acabou ficando mais caro, mais difícil, mais complexo. É uma dor de cabeça maior, no final das contas. E não é só mais caro porque de repente o fornecedor ou prestador de serviço vai demandar uma urgência de atuação dele, ou seja, ele vai ter que te passar na frente de várias outras coisas que ele está fazendo, presume-se. E é natural que quem tem, por exemplo, uma relação mais duradoura com um prestador de serviço acaba, obviamente, tendo ganhos em termos econômicos. Tu acabas otimizando melhor o teu custo com esses serviços.(10:09) Agora, quando eventualmente alguém que tu não tens relação nenhuma e tu precisas e tens que ser atendido com urgência, normalmente isso vai custar mais caro, sim. Não há dúvida nenhuma. Mas esses custos, eles não são só relacionados à questão do fornecedor, diretamente aquele pelo serviço cobrado. Eles também acabam surgindo de outras coisas, Guilherme. Às vezes tu vais contratar coisas que tu não precisas. Às vezes tu vais contratar um serviço que, na correria, não vai te atender, porque tu não vais ter tempo de…(10:41) …ficar avaliando o fornecedor, ficar buscando alguma referência. Então, tu vais ter que meio que buscar, ver o site e ver se o site, aparentemente, o que diz no site, se é confiável, se parece ser confiável, se as frases são bonitas o suficiente. E, de repente, ver a lista de clientes lá que a empresa atendeu e pensar: “Não, eu acho que dá para confiar”. E vai lá e faz uma proposta. Não vai ter tempo de ficar tomando propostas para poder comparar e analisar com calma enquanto o incidente está acontecendo. Claro que, às vezes, uma boa indicaçao te salva. Então, se tem alguém que já conhece…(11:15) …uma empresa como a Brown Pipe, por exemplo, já conhece uma empresa que já tem uma, teve uma boa experiência com ela e tal e compartilha contigo, isso acaba te salvando a pele muitas vezes. Mas, então, tu tens essa questão, tu tens esses outros custos, digamos assim, meio que indiretos da coisa, que resultam muitas vezes também de uma verificação malfeita ou de uma análise malfeita do incidente. Aí, de repente, tu tomas as decisões que ou não seriam necessárias ou seriam insuficientes, e isso tudo acaba redundando em custo depois, acaba redundando em retrabalho.(11:55) E o próprio custo do incidente concretizado, direto, Vinícius. Você pode ter perda de clientes, você pode ter perda de confiança no mercado, você pode ter multas. A gente fala sobre um custo mais indireto, mas o custo direto por si só já pode ser bastante razoável. E esse custo indireto também. Então, realmente, tu te preparares para, eventualmente, acontecer um incidente — e a gente vai ter alguns itens ali adiante —, preparar não é só comprar software. A gente tem várias coisas a serem feitas, mas eu…(12:33) …não vou adiantar os itens, Guilherme. Aproveitando, o Hamilton nos mandou uma pergunta aqui, Vinícius. Eu vou fazer, você pode fazer uma observação aqui sobre ela, que seria quase como uma 11ª, ele está falando que queria 12, então já tem mais uma aqui: “Podemos dizer que incidentes de segurança ajudam a conscientizar a organização sobre a importância da cibersegurança, visto que frequentemente há um aumento no orçamento de segurança após o incidente?”. Já que a gente está falando sobre valor, valores e tal. Aí tem uma coisa que…(13:04) …eu posso dizer que fui eu que falei, inclusive. Tem registros disso, fotográficos inclusive, há mais de uma década. Eu chamei de “a montanha-russa da segurança”. De tanto observar, a partir dos anos 2000, mais ou menos, que eu já atuo nessa questão de consultoria em segurança da informação e tal, e ver incidente acontecer lá no início, bem mais operacional do que hoje, que é mais focado em consultoria mesmo. E por observação, ou seja, pela nossa própria experiência, o que a gente observou é que sim, quando acontece um incidente, a empresa tende…(13:46) …a fazer um investimento em segurança. Se ela não tinha, ela de repente descobre que pode fazer ou que deve fazer. Se ela tinha e, obviamente, se aconteceu, foi insuficiente, ela sim, coloca mais recursos ali naquele momento. Então, tu imaginas que essa é a subida do investimento. Tem a subida do investimento na segurança, por isso que é a subida da montanha-russa. Aí tu chegas lá em cima, no pico, que as coisas se estabilizaram, o incidente foi controlado, as operações estão normais, a gente pode se acalmar. E aí, em vez de se ter — claro, não se precisa se manter no mesmo…(14:24) …nível de investimento que se chegou no pico da montanha-russa —, tu podes baixar um pouco e manter uma média ali. Mas o que normalmente acontece? A coisa despenca lá para baixo de novo, muito próximo dos níveis originais. A isso a gente viu várias vezes acontecendo. E aí passa um tempo, fica no vale lá da montanha-russa, naquela parte de baixo, aí daqui a pouco acontece um outro incidente e bate lá em cima no pico de novo. Então, isso é algo que a gente percebe pela nossa experiência de mais de 20 anos, a gente percebe claramente…(15:03) …que acontece. E não é muito difícil entender o porquê. Aconteceu comigo uma vez uma certa situação, envolvendo… estava dirigindo na estrada. E aconteceu uma situação que me botou… eu quase me acidentei. E aquilo me assustou, me causou um susto muito grande, eu fiquei bastante impactado por aquela ocorrência, principalmente ali nas primeiras vezes que eu fui viajar depois daquele incidente. Então, eu estava cuidando muito mais, eu estava muito mais alerta, eu estava… entende? Eu estava com cheio de cuidados, mais do que o normal. E olha que eu não dirijo, eu não…(15:41) …sou louco na direção. Mas passou um tempo, Guilherme, aquele meu investimento todo em cuidar na hora de dirigir, aquilo lá voltou para o estado normal da minha média da direção. Então, é natural a gente fazer isso. Agora, não é o ideal, porque essa montanha-russa faz com que a gente gaste muito mais do que o necessário. Vai lá para baixo, não investe o mínimo que seria necessário, daqui a pouco tem que gastar muito de novo, em vez de manter a coisa estável. E a própria segurança, a gente já falou disso mais de uma vez nos episódios iniciais lá do Segurança Legal, que a segurança é um atributo negativo, Guilherme.(16:27) Porque, enquanto tem problema para ser resolvido, é aí que a empresa procura. E olha quantas vezes nos procuraram já por problemas já existentes. Quando tem problema, tu tens uma coisa que queres resolver. No momento que tu resolveste o problema e não acontece mais incidente, porque tu atingiste um nível de segurança razoável e estás mantendo aquele nível, a impressão que dá é que a segurança não está mais servindo para nada, porque não tem mais nada acontecendo. E aí não tem mais nada acontecendo, e tu… “Eu não preciso mais, não preciso mais disso aqui, não vou mais investir nisso aqui”. Aí, tu, de novo, cavas um vale lá na montanha-russa. Então, é delicado isso. Sim, Hamilton, isso é um ponto bem…(17:06) …interessante que tu colocas. Porque, e mesmo o investimento em infra — a gente sabe que o Hilton trabalha nessa área —, mesmo o investimento em infra a gente vê isso acontecendo. Se faz, a coisa quebra, se a infra fica ruim, ruim, ruim, ruim… olha, ou investe ou vai parar de funcionar. Aí o pessoal investe. Mas, em vez de manter, deixa cair de novo para depois ter que comprar tudo de novo. Então, é um comportamento que a gente vê repetidas vezes no mercado. Sim, sem dúvida nenhuma. Isso também está conectado com a questão da psicologia da segurança. Segurança, a gente…(17:41) …sabe que é uma área muito complexa, porque ela envolve diversas outras áreas: economia, psicologia, direito, a própria Ciência da Computação. Então você tem uma área transdisciplinar, e não é só uma questão puramente técnica. E então isso está ligado com a questão da psicologia e de como as pessoas percebem os riscos no seu dia a dia, e tomam ou não decisões. Porque, se você for uma pessoa ligeiramente inteligente, você vai perceber como ter uma atitude segura em relação à sua saúde: você evita beber demais, você evita…(18:18) …fumar. Então, às vezes, esses riscos que estão um pouco mais longe daquele imediato passam a ser percebidos pelas pessoas como coisas que não vão te atingir. Mas antes de passar para a próxima, para que a gente traga um pouco de dados sobre essa percepção que a gente coloca aqui: tem um estudo bastante interessante da ISACA, que é o “State of Cybersecurity”, que eles fazem por ano. E o ano de 2024 tem vários números lá sobre a percepção de pessoas que atuam na área de cibersegurança. E eles dizem que uma das fontes de estresse para as pessoas que…(18:54) …atuam com segurança da informação, atingindo 45% dos respondentes, foi que o “budget is too low”, ou seja, o investimento ali é baixo demais. Não estamos inventando isso, não é algo que está fora do que a ISACA está dizendo numa análise mundial. O Hugo colocou no chat ali agora há pouco, ele colocou: “a psicologia do risco mais o cobertor curto”. Sim. E a falta… eu adicionaria… qual o nome? Hugo. Eu adicionaria ainda, Hugo, uma falta, muitas vezes, de formação de pessoas que não têm até o próprio conhecimento na área para também tomar decisões informadas. Vamos para a…(19:37) …próxima, Vinícius? Bora. Bom. Elabore uma política e procedimentos para gestão de incidentes. Precisa. Ou seja, como é que se faz, no final das contas? Via de regra, esse tipo de atividade da segurança, a própria LGPD coloca essa diferenciação, mas outras normas técnicas também diferenciam isso. Você tem medidas de segurança que podem ser consideradas medidas técnicas e você tem medidas de segurança que são consideradas operacionais ou administrativas, digamos assim. Então, as técnicas são aquelas muito mais ligadas à operação de ferramentas…(20:20) …propriamente ditas, ao uso, à escolha, à seleção de ferramentas propriamente ditas. Só que, nessa outra parte, a administrativa ou a organizacional, ela vai se basear, sim, em uma série de políticas. Inclusive, essa é uma das nossas áreas de atuação. Então, a primeira política no âmbito da segurança, que seria, se a gente fosse comparar com o arcabouço jurídico de um estado, de um país, a política de segurança ela estaria lá no topo da pirâmide, ela seria a Constituição do país. Então, a política de segurança é a Constituição da segurança da…(20:57) …informação de uma organização. E essa política, ela vai prever uma série de outras políticas que ficam abaixo dela. Então, você pode ter políticas de backup, você vai ter políticas de continuidade, você vai ter política de uso de recursos digitais, uso de ferramentas digitais, você vai ter política de trabalho remoto, outras políticas de conformidade, ou seja, aquelas que se relacionam com a LGPD e outras regulamentações, sobretudo no setor bancário. E é aí que entra a política de gestão de incidentes. E note que nós destacamos aqui “política e procedimentos”, porque…(21:38) …a política, ela sempre vai ser… claro, ela está no âmbito de uma organização, de uma atividade, mas ela acaba sendo um tipo de documento muito mais… não quer dizer, não tão operacional quanto os procedimentos em si. Ou seja, os procedimentos são aquelas coisas práticas, guias e “to-do”, ou seja, como você faz exatamente uma determinada coisa. E as políticas, elas vão ser mais organizativas. Então, essa política vai prever, por exemplo, que todos os incidentes dentro de uma instituição devem ser adequadamente registrados e tratados. Então, você vai criar, por meio dessa política, um ciclo…(22:20) …de atividades em que você vai ter… ela também vai constituir um grupo, um time de resposta a incidentes. E esse time, e claro, isso vai variar muito a depender do tipo de organização, do tamanho da organização, do tamanho dos setores envolvidos. Nem todas as instituições, as organizações, têm setores de segurança da informação, mas hoje é crucial que você tenha não somente esses documentos, mas também times habilitados a lidar com esses incidentes e conseguir percorrer esse incidente por toda a sua vida útil. Porque, veja, ele vai ser identificado, ele…(22:59) …vai ser tratado. Em algumas vezes, eu posso até identificar uma atividade que eu imaginei que era um incidente ou que me foi comunicada como incidente, mas não era um incidente. Eu verifiquei, fiz uma investigação preliminar ali, vi que era outra coisa, sei lá, desclassifico. E esses dados também vão servir como dados de inteligência para no futuro eu conseguir ver se estou, de repente, recebendo muitas notificações de incidente que não são incidentes, eu preciso, sei lá, melhorar meu treinamento, ou estou recebendo poucas, enfim. Ou seja, você consegue começar a produzir…(23:29) …indicadores, que vão compor ali, até em situações mais amplas, o teu sistema de gestão de segurança da informação. Mas o fato é que não é possível lidar com gestão de incidentes sem políticas, que daí vão prever como eles vão ser tratados, as categorias nas quais eles vão ser classificados, o envolvimento de quais cargos. Com a LGPD, que é o próximo aqui, mas os cargos que vão ficar envolvidos. Ou seja, é um documento crucial para que qualquer organização que queira gerir bem. Eu diria que não tem como fazer gestão de incidente sem uma política.(24:09) Então, fica essa recomendação aí. Essa questão de elaborar a política, ela esbarra no velho problema do pessoal não querer ser meio avesso à documentação. Porque tem um documento, no final das contas, tu vais ter que escrever um documento. E tem que ser um documento que tenha consequências daquilo que vai ser escrito. Se for mal escrito, não vai servir para nada no momento que tiver que ser acionado. Então, tu precisas de tempo para pensar no que tu queres colocar ali, o que deve ser colocado na estrutura e, propriamente, escrever.(24:50) Então, tu já tens uma certa resistência à própria questão pura e simples da documentação. E a questão do cobertor curto que o Hugo coloca, agora nesse momento aqui, que eu puxo essa questão do cobertor com relação ao tempo. Então, assim: “Ah, eu não tenho tempo de parar para escrever um documento desses, eu tenho um monte de coisa para fazer. Entende? Eu tenho que cuidar lá da migração não sei o quê, eu tenho que cuidar lá da nova estrutura que a gente está montando, eu tenho que ver como é que resolve um novo problema que surgiu, porque eu preciso agora disponibilizar de um jeito diferente o acesso a um determinado…(25:27) …serviço”. Então, isso aqui acaba ficando… não só isso aqui, a documentação em si do ambiente acaba ficando para segundo plano. Quantos são os lugares que têm uma documentação atualizada das coisas mais básicas, que é infraestrutura de rede, arquitetura de um sistema, arquitetura dos seus recursos? Quanto mais chegar num processo de ter uma política e procedimentos bem claramente definidos. Então, até coisas básicas, muitas vezes, a gente não encontra, como uma política de backup, uma coisa que é bem operacional, do dia a dia. E não é…(26:07) …o que vai… um dia vai ter que se acionar. Uma política de backup é coisa para o dia a dia. Então, realmente, tem uma dificuldade bastante grande de se investir recurso, tempo. Tempo é recurso. Tu estás investindo, claro, o tempo da tua equipe para fazer isso. E a equipe, por conta própria, não tem como ela: “Ah, eu vou fazer isso aqui”. Não, tem que ter um suporte, tem que ter um apoio de quem está mais acima. Em última análise, até do Board da própria empresa, de demandar esse tipo de coisa e entender que isso é importante e dizer: “Não, recursos devem ser alocados para isto”.(26:44) Então, é algo bem delicado essa questão de documentação e planejamento. É bem delicado, mas é necessário. Não tem muito o que fazer, tem que fazer. Pode seguir, Guilherme, para a seguinte. Considere as regulamentações vigentes como, por exemplo, a LGPD. A LGPD, na verdade, pessoal, ela foi um grande marco não só para a proteção de dados no país, ou seja, a gente não tinha uma lei específica para isso, embora algumas coisas estivessem diluídas em outras leis: Marco Civil, sei lá, Código de Defesa do Consumidor. Mas o que a gente tem aqui é que…(27:30) …dentro da gestão e da proteção de dados, foram previstas na própria LGPD e em uma série de outras resoluções e regulamentações já vigentes, também criadas pela ANPD, que é a Autoridade Nacional de Proteção de Dados, nós temos a imposição de uma série de medidas de segurança. Então, nós temos um pressuposto aqui, na verdade: que toda a atividade que tratar dados pessoais precisará, necessariamente, de possuir medidas de segurança da informação. E veja, medidas técnicas e medidas administrativas ou organizacionais, como eu comentei antes.(28:13) Medidas essas que precisam, inclusive, ser demonstráveis. E esse é um paradigma também diferente aqui do pessoal da segurança da informação. Porque quando se fala de segurança em proteção de dados, não basta aplicar as medidas, você tem que demonstrar a todo tempo, pela via do princípio da responsabilidade e prestação de contas, que você está tomando medidas aptas para tratar aquela categoria de dados naquele cenário de riscos. Então, veja que políticas, quando a gente fala nos documentos da ANPD que já foram publicados de recomendações de segurança…(28:51) …ou recomendações para agentes de pequeno porte, política de segurança está lá, é uma das primeiras. E aí é engraçado, porque se a ANPD considera que política de segurança é o mínimo que eu devo ter para agentes de tratamento de pequeno porte, o que dirá para os de grande porte? E nós sabemos que há agentes de tratamento de grande porte que não têm políticas aplicadas no ambiente. Então, por que a LGPD é importante além disso? Porque, a partir de agora, nós temos também a obrigatoriedade não somente de registro de todos os incidentes…(29:34) …de segurança que envolvem dados pessoais. Então, notem, já respondendo também — a gente sabe que é uma dúvida do Hamilton aqui — sobre a questão de comunicação de incidentes aqui de maneira geral. A LGPD e a resolução de comunicação de incidentes obrigam o agente de tratamento e a empresa, consequentemente, a não somente registrar todos os incidentes que tenham envolvido dados pessoais. E hoje, como a gente sabe, a grande maioria das empresas que prestam serviço, por exemplo, na internet, é muito raro que elas não estejam tratando dados pessoais. Então, nesse sentido, é bastante comum que incidentes de…(30:23) …segurança envolvam dados pessoais. E basta a gente… você aí, ouvinte, pensar nos últimos incidentes que você verificou, e você consegue verificar se houve ou não dados pessoais envolvidos. E, por envolver, nós já temos tanto a obrigatoriedade do registro interno — então, aí um diálogo com a política de gestão de incidentes —, essa política, ela vai dialogar com a resolução de comunicação de incidentes, com um prazo ali de três dias úteis para comunicação. Então, deve ser algo que funcione adequadamente. Ou seja, você precisa identificar os incidentes, tratá-los…(31:03) …em tempo hábil e, se for o caso, comunicar tanto a Autoridade Nacional quanto as pessoas atingidas, os titulares de dados pessoais, toda vez que esses incidentes tiverem… toda vez que esses incidentes atingirem de forma grave ou causarem risco grave para essas pessoas. Então, notem, se ocorreu um incidente e esse incidente teve dados pessoais — a gente sabe que essa acaba sendo a regra —, aplica-se toda essa regulamentação acerca da LGPD, as obrigatoriedades, inclusive de manter, porque a LGPD vai dizer, e a resolução vai dizer que você precisa manter o registro dos incidentes, inclusive aqueles que não forem comunicados.(31:50) Então, esse é o paradigma. Então, sim, a LGPD precisa fazer parte da sua gestão de incidentes. Se não havia ainda um motivo para você lidar com gestão de incidentes, saiba que a lei manda que você faça isso agora. E o Hilton ainda comenta que algumas empresas nem sabem que tiveram um incidente e acabam sabendo antes pela mídia. Ou seja, a mídia comunica antes os incidentes. E aí entra uma coisa bem interessante, Hilton, que a gente já comentou в outros episódios aqui com relação a essa, que é também uma responsabilidade da mídia. Porque o que o pessoal quer é ter o…(32:28) …dar a notícia antes e ter clique, ter a galera acessando. Mas a gente acaba tendo, como é que vou dizer assim, muitas vezes, uma exaltação, quase que uma exaltação do atacante. Quando a gente vê essas matérias, os grupos de mídia. Tem alguns grupos aí que… porque o que acontece? A empresa… se coloque no lugar de quem sofreu um incidente. Pode até saber que aconteceu e estar lidando com a coisa ainda. Então, dificilmente está todo mundo preparado para tratar o incidente, Guilherme. Então…(33:10) …o pessoal entra, muitas vezes, em pânico. A equipe entra em pânico porque o pessoal fica naquela: “O que que eu vou dizer? O que que aconteceu?”. Dá uma tonteada, assim acontece. E aí, de repente, tu tens que lidar com uma mídia, com um site, com um jornal, etc., que entra em contato contigo dizendo que vai publicar uma matéria sobre o incidente que aconteceu contigo, do qual ele quer saber qual é a tua posição até tal hora, porque a matéria vai para o ar de qualquer jeito. Ou nem entra, às vezes.(33:53) O pessoal joga… Ou nem entra em contato, pode até acontecer. Mas o pessoal adora fazer aquela: “Até o momento da publicação desta matéria, não recebemos… a empresa X não se pronunciou”. “X”, está dizendo. Não é o X, Twitter. Não posso nem mais usar “X” agora. Azar do Elon Musk, que botou o nome de uma letra na empresa dele. Azar, não estou nem aí. A empresa X virou lugar-comum. Então, tem esse… imaginem esse processo de ter que se manifestar dando detalhes que tu nem sabes ainda exatamente o que aconteceu. Estás recém…(34:35) …levantando, tem que olhar com cuidado, porque às vezes tu olhas, achas que é uma coisa, aí tu investigas um pouco melhor, vês que foi outra. Então, de repente, tu te manifestares muito cedo também sobre as causas ou os detalhes de um ataque pode fazer com que dês informação incorreta. E, por outro lado, o atacante não tem escrúpulos nenhum de dizer o que quiser dizer para ser reconhecido ou de alguma forma assim. Então, ele não tem nenhum compromisso com o que ele vai dizer. Agora, já a empresa mentindo… pode até estar mentindo, cara. Pode até estar mentindo. E…(35:09) …aí a coisa complica para o lado da empresa. Porque, poxa, eu tenho que provar que tu não foste atacado? Exato. Prova. Provar que tu foste atacado até é possível, com exposição de dados e tal. Provar que tu não foste atacado é uma coisa um tanto complicada. O Lucas Silva acaba de nos mandar um salve. Uma boa tarde, Lucas, seja muito bem-vindo, cara. Valeu por estar com a gente aí na… Obrigado, cara. Na live da gravação desse Episódio 379. 378, Vinícius? Agora não lembro mais. Sim, sim. Lembrando que nós estamos num dia de trabalho à tarde, que também…(35:57) …sempre é bom contar com o esforço. A gente sabe que o horário não é o melhor, mas assim… 379, perdão. 379. Ah, viu? A gente sabe agora. Já que tu puxaste essa, a gente sabe que o horário não é o melhor, a gente sabe que não é, mas é o horário que a gente consegue fazer com certa tranquilidade isso aqui. Então, buenas, vamos para a próxima, Guilherme. Vamos. A próxima é a número cinco. A número cinco: treine funcionários para reconhecer e tratar incidentes. Isso aqui se vincula com aquilo que eu não quis adiantar muito lá na número um, que o Guilherme comentou, que foi: tenha em mente que incidentes irão ocorrer. Se você está nos ouvindo desde o começo, eu comentei lá que, às vezes…(36:37) …o pessoal acha que não aconteceu nada porque não reconheceu a existência do incidente. E não é que não reconheceu por uma vontade. Muitas vezes, o pessoal не entende que aquilo é um incidente de segurança. Então, eu vou dar um exemplo aqui que a gente já viu mais de uma vez, em mais de uma situação, em que você tem, por exemplo, um ambiente de teste de uma determinada aplicação. Esse ambiente de teste, ele não tem nenhuma vinculação com o ambiente de produção, porém, como acontece em 100% dos casos, ele tem os dados de produção, ainda que…(37:15) …desatualizados, ainda que não seja do último dia, ele tem os dados de produção para que os testes possam ser feitos. E aí, de repente, esse ambiente de teste está com uma configuração mais relaxada de segurança e acaba permitindo que certos dados acabem sendo expostos. Então, o que acontece nesses casos? O pessoal acha que não aconteceu um incidente porque se trata do ambiente de produção. Mas isso é um incidente de segurança. Não importa que o ambiente é de teste, se os dados que saíram do ambiente de teste são dados do ambiente de…(38:02) …produção, ainda que dados que não estão atualizados. Você tem um incidente de segurança. E se esses dados forem dados pessoais, aí encaixa no que o Guilherme acabou de falar. O incidente de segurança com envolvimento de dados pessoais. Então, esse treinamento é importante porque, daqui a pouco, alguém не entende que um relatório impresso com a listagem de devedores, por exemplo, ou uma listagem num hospital, como eu vi certa vez, uma listagem de pacientes com HIV positivo grudado na parede… Exato. Sim. Tu achas que não, mas sim.(38:48) É verdade, a gente já comentou isso. Isso foi há muitos anos e eu comentei aqui no Segurança Legal num outro episódio. Então, assim, é um incidente de segurança. Tu não podes ter uma lista de pessoas HIV positivo grudadas num local com circulação pública. Como é que eu sei que era circulação pública? Porque era um ambiente que eu estava dentro, saca? Eu vi a lista. Então, não é algo… não é porque está no papel, na mídia física, que não é um incidente de segurança. Então, a gente tem vários aspectos, notem. Não é só o e-mail lá que o cara mandou sem querer para todo mundo com os dados…(39:20) …o cara expor esses dados na parede, num ambiente fisicamente pouco controlado, é um incidente de segurança também. E esse aí é grave, Guilherme, porque esse aí acaba envolvendo dados pessoais sensíveis, esse que eu comentei, porque é dado de saúde. Então, é algo bem delicado. Eu vou… eu estou com uma tosse horrível, estou conseguindo, segurei até agora sem nenhuma crise. Eu estou sentindo a crise vir, então vocês fiquem com o Guilherme, que eu já volto. Ponha só o meu vídeo aí. O Guilherme vai me ouvir tossindo, mas vocês não vão. O que eu…(39:56) …ia dizer é que, justamente, cada uma dessas recomendações daria um episódio autônomo. O problema e a questão do treinamento, ela também é colocada como uma boa prática, sobretudo pelas regras lá dos agentes de tratamento de pequeno porte. Então, se é indicado para o pequeno porte e você é mais do que pequeno porte e não tem, preocupe-se muito. Porque aquilo é o baseline que a ANPD está dizendo que deve ser. Então, o treinamento de segurança de maneira geral e a própria questão de treinamento para reconhecer ameaças, que seria…(40:32) …outra coisa aqui. Essa perspectiva aqui é do sujeito comunicar internamente. Como nós temos… Desculpa, só antes de seguir, puxar um comentário do Hamilton aqui. Ele diz que vive batendo nisso, nessa questão dos dados de produção em ambiente de homologação. Ele cita: “Vivo batendo nisso, ambiente de homologação não fica exposto para a internet”, diz ele. E, de fato, cara. E mesmo não ficando exposto para a internet, tem que cuidar, porque às vezes tu tens esse ambiente não está exposto para a internet, mas está acessível para as pessoas, para os funcionários.(41:08) Tu tens gente trabalhando remotamente, daqui a pouco o pessoal está baixando esses dados e, a partir daí, tu perdes o controle. Então, esse é um outro ponto, Guilherme. Quando a gente fala de prestar um serviço em segurança da informação, a empresa que presta esse serviço, como a Brown Pipe, por exemplo, ela tem que ser muito séria no sentido dos cuidados que ela toma com os dados que ela, eventualmente, obtém acesso no curso do seu trabalho, na execução das suas atividades. Porque, senão, tu podes ter um incidente de segurança lá no terceiro, que de repente teve acesso às informações de homologação e acabou expondo.(41:47) Então, isso é bastante delicado. Agora, vai lá. E eu expandiria também os treinamentos para outras partes que, eventualmente, se relacionam com os teus ambientes. Os ambientes podem ser muito diferentes. E nós temos um cliente em especial que tem muitas outras empresas se conectando aos serviços dele, o que demanda um cuidado maior sobre o treinamento dessas centenas ou milhares de pessoas que, eventualmente, podem adotar práticas inadequadas. Então, você tem o treinamento para evitar incidentes, você tem o treinamento para reportar incidentes, que é…(42:23) …mais isso que a gente está falando. Então, passa a ser importante você, inclusive, conscientizar os seus usuários sobre o que é um incidente. Porque, repito, a gente tende a achar que incidente é um cara que invadiu, ou ransomware, que também é um incidente gravíssimo. Mas, e a gente faz um acompanhamento semanal aqui de decisões da União Europeia até para municiar aqui possíveis recomendações e tal, para… como a questão de tratamento de dados se dá em outros lugares do mundo. E uma das multas de autoridades estrangeiras que sempre…(42:56) …ocorre são pessoas perdendo notebooks ou computadores que не estão criptografados. Teve um que foi muito engraçado: o sujeito, ele manda o notebook dentro de um pacote, não criptografado. O pendrive estava criptografado, só que ele mandou a senha junto com o mesmo pacote. Não adiantou nada. Foi multado por conta dessa não separação de canais. Então, a questão é essa. E esses treinamentos, eles devem ser repetidos e adequados. E uma coisa: a gente sabe que um dos nossos valores aqui enquanto empresa é empatia, solidariedade e…(43:37) …empatia. Eu estava relendo ontem os nossos materiais aqui. Nós também temos que nos colocar no lugar das outras pessoas que, eventualmente, estão tendo que passar por treinamentos que não são da área delas, que elas não entendem o porquê estão fazendo aquilo. Então, nós, enquanto profissionais dessa área, também temos que nos colocar nos sapatos dos outros, no sentido de ter também essa empatia, essa solidariedade. Porque, às vezes, a forma como o treinamento é realizado não ajuda, viu, pessoal? Pode piorar a situação. Mas, enfim, fecha parênteses aqui. Vamos…(44:08) …para a próxima, Vinícius. Bora, bora, bora lá. Bom, a sexta, então: monitore alertas e comunicados de entidades externas relevantes, como clientes, fornecedores, parceiros e órgãos reguladores. Na verdade, são várias coisas, mas eu queria destacar, já te passo a palavra, que é uma questão que está ligada com a quinta. Na verdade, tudo isso está ligado, faz parte de um assunto só. Mas se tiver algum que não está, a gente errou, é um problema, botou errado. Porque o que acontece? É muitíssimo comum, ou seja, se há um problema, os teus funcionários…(44:48) …não estarem treinados para te reportar. E aí também tem a ligação com a política, ou seja, eles precisam saber como reportar. Você precisa também, naquela política lá, prever quais vão ser os canais. Nós também precisamos ter… as organizações também precisam se acostumar — e isso eu acho impressionante, a gente é da área, a gente entende a seriedade disso, mas eu acho impressionante como as empresas se negam, às vezes com comportamentos deliberados mesmo, a lidar com comunicados feitos por partes externas. Porque uma coisa é você acompanhar comunicados…(45:24) …de entidades relevantes, ouvir o Segurança Legal para saber o que está acontecendo, seguir, claro, e ver ameaças pelo mundo, acompanhar novos CVEs, acompanhar zero-days. Ou seja, você tem que ficar antenado. Mas também você precisa olhar para aquilo que o mundo externo está te comunicando ativamente. É muito comum que a gente tente… gravamos um episódio sobre isso, inclusive, sobre comunicações de vulnerabilidade. O número… porque é comum que você comunique a empresa e a empresa не faça nada. Então, conectando tudo isso, a tua política…(46:01) …que a gente comentou lá antes, ela deve prever mecanismos e canais para que você consiga tratar rápida e adequadamente comunicados realizados por partes externas, inclusive qualquer usuário da internet, qualquer pessoa que, eventualmente: “Olha, eu sou usuário do teu serviço aqui, notei uma vulnerabilidade, notei uma situação…”. Aconteceu. Claro, você vai ter que filtrar, você vai ter que lidar, eventualmente, com… mas assim, é uma fonte riquíssima de situações. E mesmo que entre ali, sei lá, num ano, dois ou três comunicados úteis, se aquilo evitar que você passe pelos…(46:40) …efeitos de um incidente grave, já valeu a pena. Então, essa é a recomendação aqui. E aqui a gente tem o episódio 50, Guilherme. Acabei de compartilhar o link para quem está no YouTube. Ah, não, eu não vi aqui, cara. Eu não vi. Pera que eu vejo. Vai falando que eu vejo aqui. Mas é 50 e 2014. A gente gravou esse episódio falando justamente disso. A gente citou duas situações lá que a gente entrou em contato para gravar o episódio. Então, nós catamos dois lugares com problemas de segurança e comunicamos o problema para os dois.(47:16) E que fique bem claro, isso é uma coisa bem importante. A gente fez isso… eu fiz como pessoa física. Eu não mandei e-mail com Brown Pipe, coisa parecida, para justamente não parecer aquela história de quebrar a janela para oferecer vidraça nova. “Já viu como dá para quebrar tua janela? Então, aqui está a vidraça”. E estou vendendo grade. Isso não se faz. Oferecemos o serviço, só avisamos, sem nenhum compromisso. Então, a gente entrou em contato com eles como pessoa física, como se fosse um cliente das duas empresas. E uma delas foi bem legal, eles corrigiram o problema.(47:48) E a outra… a gente não conseguiu. Lembro que a gente apanhou para caramba, a gente não conseguiu comunicar. E teve um, ao longo desses anos, eu não sei se foi antes ou depois desse episódio, Guilherme… ah, foi em 2014, só para… 2014. Teve uma situação aí de um, com um banco, que uma pessoa entrou em contato com o banco, inclusive ouvinte nosso, não sei se tu lembras disso, e falou do que tinha acontecido e pediu assim: “Olha, eu tentei comunicar, tentei conversar…”. E os caras entraram numa de ser agressivos comigo, entende? “O que que tu fizeste?”(48:26) “Como sabia? Como é que ele sabia?”. Então, assim, poxa, o cara está entrando em contato… Nunca mais esse cara vai ligar para essa empresa avisando de um problema que ele percebeu na internet. Nunca mais. Porque, cara, ele não vai correr o risco. E eu, sabendo disso, eu também não vou fazer, entende? Se eu soubesse, um dia, “cara, vou ficar quieto, esses caras reagem mal para caramba quando dá um problema”. Então, isso aqui se vincula, Guilherme, acho que esses dois itens, aquela… acho que, como tu disseste, essa coisa de entender esses comunicados e os funcionários treinados para reconhecer…(48:56) …esses comunicados e agir de forma adequada é muito importante. Porque, às vezes, o cara na ponta, o que primeiro atende, não sabe o que dizer. Aí, às vezes, morre ali, que foi o que aconteceu no caso do episódio 50. Numa das, a gente não conseguiu chegar no pessoal da TI. E, às vezes, pode ser que a pessoa não saiba o que fazer, ela consegue passar para alguém da TI, e o cara da TI, que seja o cara da segurança ou do sistema, da infra, etc., alguém, o gerente da área, o diretor de área, etc., reage daquele jeito, assim: como não sabe como reagir, parte para cima…(49:33) …do cara que está comunicando. Ou como um outro banco fez uns anos atrás: desafia o atacante a fazer de novo. “Não, não aconteceu nada, eu desafio ele a fazer de novo”. E o cara, no dia seguinte, deu mais comprovação de que tinha invadido de novo. E o banco teve que tirar o home banking do ar. Então, assim, a forma de reconhecer essas comunicações e de reagir a isso vai além só da questão técnica, gente. Acho que, no fim das contas, essa relação com o mundo exterior, com o teu cliente que te comunica, ela é extremamente importante. Vamos adiante.(50:11) Bom, a sete. Bora. Seja transparente, comunique incidentes a partes interessadas de forma adequada e em tempo hábil. Era também uma questão que o Hamilton colocou antes. E também muito comum, aqui no Brasil e em outros lugares também, é necessário dizer, mas aqui no Brasil também é bastante comum que as organizações achem que elas vão conseguir esconder o incidente, sobretudo quando elas, de fato, tomaram consciência técnica, ou seja, que elas têm informações adequadas, informações sérias, corretas, de que o incidente efetivamente…(50:55) …ocorreu. Hoje, no estado de governança, no estado de conformidade que nós vivemos hoje, sobretudo por LGPD e, mais para o ambiente financeiro, eu posso me referir que é uma área que a gente atua também, ou seja, instituições financeiras, não há mais espaço para você se omitir no âmbito da comunicação. Porque a gente tem que entender, e as empresas sabem muito bem disso, que a ocorrência de um incidente, ela é quase sempre uma demonstração de que algo errado aconteceu. Sim. E, claro, tem incidentes que dá para se dizer que são inevitáveis, tem riscos…(51:37) …que são incontroláveis. Tem as próprias questões envolvendo a própria enchente aqui no Rio Grande do Sul, que já modificaram o próprio cenário de riscos físicos. Diga, Vinícius. Porém, sobre o ocorrido aqui no Rio Grande do Sul, a gente chamou a atenção até para um site que tem, não lembro agora o nome do site, que tem esses riscos mapeados, as áreas de… Ministério da Infraestrutura, eu acho. Sim, eu não lembro. Tem que olhar. A gente gravou um episódio sobre essas ocorrências e a gente citou esse, inclusive deu o link lá do site…(52:16) …e tal, que mostrava que esses riscos de alagamento nas regiões em que eles aconteceram, principalmente na região metropolitana, eles já tinham sido mapeados, e o risco não era baixo, era alto. Então, assim, não dá para… ali na… como é que é o nome daquela rua ali junto, bem no centro de Porto Alegre, junto ao cais, que tem os armazéns? Sim, sim, mas segue. Mauá. Na Mauá, não dá para tu pegares e montares um escritório junto da Mauá, botar teus computadores todos no térreo, teus servidores todos no térreo, tua infraestrutura toda…(52:57) …no térreo, e dizer: “Ah, não, nunca vai acontecer nada”. Sendo que tem risco mapeado para vermelho, de que é alta a possibilidade de enchente, de alargamento. Então, não é exatamente uma surpresa. Não é uma situação de negligência. Mas por que muitas empresas resistem? Porque comunicar o incidente vai ser a admissão, de alguma forma, de que algo errado ocorreu. E, muitas vezes, é bastante comum, inclusive, que a empresa comunique o incidente, mas não comunique o que ocorreu. E há um espaço aí para o grande público, eu reconheço…(53:36) …isso, para você, sim, reservar certas informações. Porque se você der todos os detalhes do incidente, você pode estar se expondo a outras ameaças que poderiam, levando em consideração essa informação que, muitas vezes, é sigilosa. Mas veja que a própria ocorrência do incidente, não há mais espaço para que você o mantenha escondido. Até porque, a LGPD, mais uma vez, incidentes que envolvem dados pessoais, eles devem ser, não só registrados internamente, mas se houver, diz o próprio artigo 48, que eu já tinha falado antes aqui, ou seja, incidentes…(54:17) …que possam acarretar risco ou dano relevante aos titulares devem ser comunicados em tempo hábil, três dias úteis, para a autoridade nacional e para os próprios titulares, para que eles possam, eventualmente, tomar medidas de proteção. Então, quando você deixa de comunicar, e você, inclusive, deixa de comunicar ao mundo externo e à própria autoridade, você está se colocando numa posição de fragilidade jurídica muito grande e de desconformidade. Porque se alguém anunciar, isso vai ser pior, porque você vai ter que dar explicações do porquê você não…(54:53) …comunicou. Inclusive, mais sobre os prazos: se você não conseguir cumprir o prazo, você precisa dar informações qualificadas sobre por que aquele prazo não foi cumprido. Aí você vai dizer: “Ah, mas a autoridade ainda не ofereceu grandes multas”. Olha, gente, a gente consegue, tem sistemas abertos de informação aberta da ANPD. Estão sendo diariamente comunicados diversos incidentes para a autoridade, e a autoridade está tomando medidas. Isso é público. Você entra lá no site da ANPD, você consegue ver…(55:32) …essas informações. É público. Inclusive, foi uma das respostas da ANPD ao aumento da publicidade de suas ações. Então, vejam, as coisas estão acontecendo. E eu ligo lá com o dois: quem investe na preparação é mais econômico. Eles, esses aqui, estão íntimos. Ou seja, не esconda, que pode ser pior. Tu acabaste respondendo já a pergunta que o Hamilton fez. O Hamilton fez um batalhão de perguntas aqui agora. Vou pegar a penúltima dele aqui: “Aqui mesmo no podcast, sempre comentamos que a comunicação interna e externa durante a gestão do incidente é crucial”.(56:06) “Podem dar umas dicas para minimizar o estrago de uma comunicação evasiva?”. Aquela história de: “Ah, não aconteceu nada”. Aí vem, “não teve nenhum problema”. Aí vem algo e desmente que teve. Acho que tu já respondeste essa questão, Guilherme. E, de fato, tem essa calibragem do quanto tu vais abrir quando acontece o incidente. Ela tem que ser muito bem feita, tem que ser muito bem estudada. Não é só uma questão técnica de TI, Guilherme, porque tu tens as regulações, LGPD, por exemplo. Tu vais ter que entrar em contato, eventualmente, com a ANPD. Mas tu também tens uma decisão a…(56:43) …ser tomada ali de até que ponto a gente vai abrir, que informações a gente vai dar, o que é necessário, claro, o que é ético, pesar isso com relação ao impacto que isso pode ter no negócio. Tem um monte de variáveis. Eu não estou dizendo, notem, eu não estou defendendo que o impacto no negócio é correto que se sobreponha à questão ética. Mas a gente sabe muito bem que, eventualmente, vai acontecer essa discussão. A discussão não cabe, muitas vezes, a uma decisão da TI. É algo mais estratégico da empresa mesmo.(57:31) Envolve o DPO e, às vezes, pode ficar fora da demanda do DPO. O DPO pode dizer: “Ó, vocês deveriam fazer tal coisa”. Estou comunicando. Nota, Vinícius, que a estratégia de comunicação está ligada a um planejamento realizado na montagem das políticas. Vão chegar incidentes que vão demandar algum tipo de comunicação, e as suas políticas devem estar adequadamente preparadas sobre quando escalar, como escalar e os rumos, inclusive critérios. O que nós faríamos seria isso: você vai colocar critérios a serem tomados nas…(58:12) …decisões de comunicações. Tecnicamente falando, para a ANPD, só para concluir, para a ANPD você não pode esconder. Para ela, você vai ter que dar tudo que ela pedir. Para o público externo, eventualmente, alguns detalhes você vai poder omitir, mas não a própria inexistência. Mas aí tu percebes que, eu acho que o caso concreto, a situação do caso concreto, vai se impor. E, sim, o correto é avisar a ANPD. Mas eu não posso também ignorar o fato de que talvez as empresas vão modular isso, até que ponto… Entende? “Eu acho que eu vou…(58:48) …correr o risco de não comunicar e vou deixar quieto para não me expor”. A gente não está, de jeito nenhum, recomendando isso. Longe da gente. É pior. Então, assim, é bem delicado. O Hugo faz um questionamento aqui, Guilherme, que eu vou juntar com uma do Hamilton aqui. O Hugo escreve o seguinte: “O time de resposta técnica, idealmente, é diferente do time de comunicação. Infelizmente, nem todas as empresas podem ter essa especialização de tarefas”. Sim. E o outro comentário do Hamilton aqui: “Sei que hoje temos times enxutos na defesa, e o time de resposta a incidentes costuma ser o mesmo…(59:24) …Uma organização deve lidar com ameaças…”. Ele puxa uma outra coisinha aqui, um pouco mais longa. Mas, pegando aqui essa questão dos times diferentes. Resposta a incidentes, gente, envolve todo mundo na empresa. Não é coisa só para o pessoal da TI, não é só para o time de respostas a incidentes. Ela envolve toda a organização. Quem tem que puxar isso é o time de respostas a incidentes. A questão dos treinamentos, a questão das políticas…(1:00:00) …garantir que todo mundo está entendendo tudo direitinho, estabelecer uma cultura de resposta a incidentes e tudo mais. Agora, a atuação no incidente, desde a detecção do incidente, o tratamento, acaba envolvendo, sim, toda a equipe. E essa questão da comunicação, eu diria que mesmo uma empresa que не tenha uma equipe completamente separada só para a comunicação, tem que ter, no mínimo, na política de respostas a incidentes, uma atribuição de quem vai coordenar essa comunicação. Porque a pior coisa que tu podes ter é um…(1:00:38) …monte de gente dando respostas diferentes para atores externos diferentes. Falar uma coisa para a ANPD, falar outra coisa, de repente, para um site que te questiona se aconteceu ou algo assim, ou uma coisa que tu falas para um parceiro de negócio. Então, tem que tomar… é bom centralizar isso. Eu vou ter que tossir aqui, Guilherme. Lê a próxima, que eu comento. Só deixa eu tossir. Leremos, então, a próxima. Desenvolva planos de contingência para indisponibilidades, incluindo aquelas relacionadas a serviços de nuvem. Claro que aqui a gente adentra…(1:01:15) …um pouquinho em contingência e talvez gestão de continuidade, mas é inevitável ultrapassar talvez um pouquinho esse… Não é que… é o seguinte: não existe resposta a incidentes só dizendo que tem que responder ao incidente em quanto tempo. Tu tens que saber o que tu vais fazer quando vais responder ao incidente. Então, depende da natureza do incidente, tu vais ter que acionar certos procedimentos, tu vais ter que acionar certos planos de contingência, dependendo do… Tu podes ter desde um incidente que envolve um e-mail que vazou, passou no teu DLP lá…(1:01:49) …de pessoas que estão envolvidas ali com as suas operações. Até alguém, de repente, que não usou segundo fator de autenticação na console administrativa da tua nuvem. Tu não usaste uma senha forte, tu não usaste um token físico para proteger o acesso à tua conta, e alguém abusou de um acesso, obteve acesso e saiu destruindo todos os teus servidores, tua infra lá na nuvem. Então, o que tu fazes? Onde é que tu vais buscar informação de como tu deves reagir nesses momentos? Então, não adianta só ter essa política de resposta a incidentes se…(1:02:34) …tu não tiveres os teus planos de contingência, teus manuais operacionais do que fazer. Como é que eu recupero um backup? “Ah, eu не lembro, tenho que perguntar para o Guilherme, que é quem faz o backup, que está de férias”. Está de férias. Ou nem está de férias. E o Guilherme: “Cara, como é que a gente faz para recuperar aqui? Cara, a gente… quanto tempo leva para recuperar esse negócio?”. E o Guilherme vai dizer: “Cara, não sei. A gente está levando umas horas para fazer um backup incremental, mas eu não tenho ideia de quanto tempo vou levar para recuperar isso, nem o espaço total que eu vou precisar. Deixa eu ver”. Então, assim, poxa, são procedimentos, são coisas…(1:03:10) …que já deveriam estar muito bem estabelecidas para, quando chegar no pior momento, tu conseguires saber o que fazer. Porque a pior coisa que pode acontecer, Guilherme, é no momento de estresse tu teres que montar os teus procedimentos de cabeça. É a pior bucha, como a gente pode falar. A chance de tu cometeres erros é bastante razoável. E nós já passamos por isso. Nós dois já trabalhamos de forma bem mais operacional, 24×7, inclusive, em alguns clientes há alguns anos. E a gente sabe muito bem qual é a sensação de tu estares no meio…(1:03:45) …de um fogaréu, tentando encontrar o problema, ver o que aconteceu. E nós estamos falando de infra, nem estamos falando de ataque propriamente dito. Mas entender o que aconteceu para tentar restaurar as coisas ao seu estado anterior, ao seu estado normal de funcionamento, ou minimamente próximo do estado normal de funcionamento. E o estresse pega, не tem jeito, ainda mais quando tu ficas horas em cima de uma situação. Então, ter as coisas bem escritas, te dizendo o que fazer, o passo a passo, é muito bom, é muito interessante. E aí, se tu me permites, Vinícius, rapidinho…(1:04:22) …te interrompendo. Isso também fica ligado ao treinamento. É uma das coisas, inclusive, que a gente colocou no nosso guia. Atividades de resposta a incidentes, a depender do nível, do grau de criticidade do incidente, vão ser situações de intenso estresse para todos os envolvidos. Então, treinamentos e até situações em que você faz simulações podem ser úteis. Ligando lá com o treinamento também. Mas, em outros, até você pode precisar, sim, ter todas essas políticas e todos esses procedimentos impressos, porque você não sabe… você pode…(1:05:01) …precisar desse negócio impresso. E pode não ter onde tirar. Então, sei lá, dependendo do incidente, você… Então, acho que se liga um pouco ao que você colocou aí, Guilherme. Deixa eu… um exemplo muito singelo que eu uso na minha estrutura do meu lar, que está aqui, meu lar. Está aqui, minhas cópias físicas das coisas. Eu tenho aqui o Ventoy, para quem não conhece, é bem interessante. Ventoy, com Y. Não vai aparecer, ele vai cortar. Não, ele aparece. Ventoy, bem interessante. Tem um monte de imagem…(1Š:05:38) …de Windows, Linux e tudo mais para botar aqui em caso de emergência. E, o mais importante, eu tenho os mapas da minha rede, que é um pouco complexa aqui, por incrível que pareça. Eu tenho switch redundante, tenho um monte de coisa redundante aqui, VLAN, tem um monte de coisa aqui. E aí eu tenho um pendrive, que é o disaster recovery. Nele, eu tenho todo o meu mapa, meus mapas em PDF, as cópias das configurações de tudo que eu preciso. E olha, é uma coisa simples, é uma coisa minha, pessoal. Está criptografado, óbvio, claro. Sem dúvida, tem senhas, tem tudo aqui dentro. Então…(1:06:19) …se der algum problema qualquer, eu não preciso sair catando os documentos na internet, onde é que eles estão e tal. Eu vou direto aqui, eu coloco o pendrive, abro, vejo os documentos, está beleza. E olha que eu tenho a rede praticamente na cabeça, ainda assim é importante ter ela acessível aqui. Não tem papel, mas numa mídia offline aqui, que eu posso acessar a qualquer momento. A nona seria: registre adequadamente todos os incidentes e aprenda com eles. E aqui eu estou puxando um pouco a brasa para o meu assado aqui, da área da LGPD, Vinícius. Porque veja, a…(1:07:00) …resolução que hoje nós temos, o regulamento de comunicação de incidentes… eu já comentei antes, ele sugere… não, ele demanda, ele ordena, ele obriga, você impõe. Tem que ficar botando para reforçar. Exige que você mantenha todos os incidentes registrados, mesmo aqueles que não foram comunicados. Isso aí eu comentei antes na parte da política, que é a terceira recomendação, que é muito importante que você faça o registro desses incidentes. E a política deve colocar quais…(1:07:46) …são os critérios que você vai utilizar para classificá-los. E esses critérios podem variar de organização para organização. Mas hoje, um dos critérios é: envolveu dados pessoais ou não envolveu dados pessoais? Porque a própria atuação posterior, se envolver dados pessoais, logicamente vai trazer para a gestão desse incidente o encarregado. O encarregado tem essa obrigação também de participar dos incidentes. Então, isso tudo deve ficar registrado. Você deve estar apto a, a qualquer momento, poder conseguir demonstrar ou explicar e demonstrar como aqueles incidentes estão sendo tratados. Não só por conta da ANPD, que é importante, sim. O que… você vai ter que cumprir a regra que provém da lei, então você vai ter que cumprir. Mas não só por isso. Você pode ser demandado a fazer essas demonstrações por parceiros de negócio, por outras autoridades reguladoras, seja no ambiente financeiro, instituições financeiras. Mas pensem que, eventualmente, você pode, inclusive, ser processado e ter que dar demonstrações de que você conduz um certo tipo de operação técnica na área de…(1:09:01) …segurança da informação e que você consegue comprovar como tal coisa está sendo realizada. Então, é por isso que o registro adequado é importante para essas situações de proteção e de atendimento a regras legais, de conformidade para outras entidades reguladoras. Mas acho que tem esse outro elemento também, que é muito deixado para trás: aprenda com os incidentes. O que… e aí o Vinícius talvez possa falar também um pouco mais, mas assim, de que adianta você resolver um incidente que teve como causa raiz uma vulnerabilidade e não resolver…(1:09:38) …aquela vulnerabilidade? Então, a fase posterior, depois que você conseguiu reconstituir o ambiente ao seu estado original, seu estado normal, desativou lá as medidas de contingência, “bom, está tudo funcionando direitinho”. E agora, o que eu faço para que isso não aconteça mais? Acho que esse é o paradigma dessa nona recomendação. E nota que isso é até relativamente fácil, até acontece. A questão de uma certa ocorrência de uma vulnerabilidade ser corrigida quando gera um incidente, isso é até relativamente comum. Agora, o que fica, o buraco que fica…(1:10:20) …pela falta desse aprendizado é tu repetires aquela vulnerabilidade. Aquela vulnerabilidade no teu ambiente, ela pode ter origem na falta de conhecimento de operação de um determinado equipamento ou de uma determinada configuração de serviços, uma falta de entendimento de como funciona um determinado protocolo. Ela pode estar relacionada ao desenvolvimento. Então, quem desenvolve, OK, corrige aquela vulnerabilidade, mas não entendeu qual é a origem daquela vulnerabilidade. Ou seja, que tipo de decisão de arquitetura de software ou decisão na…(11:11:02) …hora de desenvolver que gerou aquele incidente. E aí, fazendo um jabá aqui para a Brown Pipe, Guilherme, quando a gente faz os nossos relatórios de vulnerabilidade, que a gente faz um pentest, por exemplo, agora puxando a brasa para o meu assado, a gente sempre coloca um monte de informação que vai para além da correção, além da necessidade de correção, para garantir que seja entendida a origem do problema, o tipo de decisão ou o tipo de padrão de desenvolvimento que gerou a ocorrência daquela vulnerabilidade, para que não aconteça mais a inserção de novas vulnerabilidades semelhantes…(1:11:42) …àquela ou da mesma natureza daquela que foi corrigida. Então, isso é bem comum, isso é bastante comum. Então, realmente, é uma boa fonte de economia ou de perda de dinheiro para a empresa, para a organização, você aprender ou deixar de aprender com os incidentes que já ocorreram. No momento em que acontece um incidente ou que você sofre um pentest, encontra os problemas, você gastou, investiu naquilo. Se a tua equipe não aprende com aquilo ali, ou se tiver uma rotação muito… um turnover muito grande na…(1:12:23) …equipe, e o pessoal que vai chegando novo não vai sendo preparado dentro daquela experiência que já foi acumulada, vai acontecer de novo. E tu vais ter que investir de novo e vais ter que gastar de novo com os mesmos problemas. Gasta por causa de outros problemas, mas não por causa dos mesmos problemas. Aí, realmente, tu vais estar perdendo dinheiro. Certo. Então, a décima e última. Só o Hugo aqui mandou uma mensagem no chat dizendo: “Incidente tem que indicar ações corretivas para que não aconteça novamente. Beleza. E com o prazo…(1:13:02) …estipulado de acordo com o grau de complexidade para correção”. Exatamente. Prazo é outra coisa. Outra coisa importante é a questão, Hugo, de que você pode também, seja de forma voluntária, ou porque eventualmente um gestor vai achar que aquilo não é importante, ou porque as equipes acabaram deixando de dar cumprimento às políticas de gestão de incidentes, e a gestão também entende que isso não é importante, a coisa acaba ficando para trás. Às vezes, até por conta de outras demandas que a equipe tem. Isso é bastante comum para quem atua com segurança.(1:13:40) Inclusive, aquele documento da ISACA coloca isso: falta de tempo é algo que, infelizmente, atinge muito. São atividades… às vezes, trabalhar com segurança é complicado também porque, às vezes, é difícil de planejar muito bem o teu trabalho, a depender das circunstâncias. É difícil de você computar, inclusive, os tempos necessários, ou ocorrem muitos imprevistos com segurança. Então, me parece que é um pouco também da atividade essa questão do tempo, infelizmente. Claro, tem formas de organizar e tudo mais. Por falar em tempo, Guilherme… você precisa… vamos…(1t:14:13) …para a última. E aí eu vou deixar a décima e última para que você comente, Vinícius, que é: como atividade preventiva, considere testes de invasão e auditorias. “Como assim? Mas a gente não está falando de gestão de incidentes nem de jabá da Brown Pipe?”. A gente está falando das duas coisas: de incidentes e também do jabá da Brown Pipe. Mas não somente por conta do jabá, porque a gente entende que é importante. É óbvio que vai ser importante aqui. Tem tantas outras empresas que você pode contratar…(1:14:51) …no lugar da Brown Pipe. Eu não recomendo, mas, enfim. Testes de invasão e auditorias de segurança, de maneira geral, eles ajudam a te dar uma consciência de qual o teu estado, como tu estás, como teus sistemas estão. “Ah, mas o pentest vai dizer quais são as vulnerabilidades que tu tens”. Se ele se resumir a isso, ele não é um bom pentest. Um bom pentest, ele vai além de te indicar as vulnerabilidades, ele vai te dar uma visão de como está a qualidade do teu desenvolvimento, ou do desenvolvimento do terceiro que tu estás contratando para fazer uma aplicação para ti. Porque não adianta só encontrar as vulnerabilidades que existem hoje, corrigi-las e pronto.(1:15:35) Adianta, é bom fazer. Mas se tu só fazes isso e percebes que, de repente, “Olha, a natureza das vulnerabilidades que estão sendo encontradas aqui indica um time que não está maduro com relação à segurança”, algumas vezes até com relação ao próprio desenvolvimento. Assim, quando tem erros ou situações muito, muito básicas dentro de um sistema, tu percebes que é falta de experiência, que tem que se consolidar melhor a equipe. Então, se tu não tens essa visão, se tu não entendes isso, não tens esse feedback e não o utilizas, consequentemente, para ajustar a equipe…(1:16:09) …tu vais ter problema de novo. Então, sim, tem que consertar o pneu furado para a gente não estragar a roda do carro. Mas não adianta tu consertares o pneu furado e continuares andando na mesma estrada cheia de “miguelitos”. Vai furar de novo. Entende? Não adianta, estás indo por um caminho que não é bom, vai furar novamente. Então, é necessário realmente fazer bom uso desses recursos, como pentest e auditoria, para justamente evitar que os problemas, as eventuais vulnerabilidades que existem no sistema ou no teu ambiente como um todo, acabem dando origem ao incidente de segurança que vai ter que disparar todo o teu plano de resposta a incidentes, teus planos de contingência, eventualmente comunicação com a ANPD. Você percebe que, às vezes… não, aquilo que o Guilherme colocou lá no início: “Tenha em mente que incidentes irão ocorrer” e “Investir na preparação para incidentes”. OK, ajuda. Mas se você não… por que deixar o incidente chegar ali? Dá para investir um pouco mais antes, claro, para não ter que acionar o teu plano de resposta a incidentes, para não ter que acionar o teu plano de contingência, que é o mundo ideal. E aí, de novo…(1:17:29) …a segurança como atributo negativo. A gente só consegue mostrar quando ela só aparece mesmo quando falha. Porque se tudo isso aqui andar direitinho… para tu não esqueceres o teu plano de resposta a incidentes, que aí entra lá no item cinco, de treinar e tal. Aquele treinamento tem que manter isso vivo, ativo ao longo do ano. Senão, na hora que tiver que acionar… “não treinei”. Passa um ano, não aconteceu incidente nenhum, aí tu tens que acionar, ninguém sabe nem por onde começar. Então, se não acontecer nada… a gente torce…(1:18:05) …para que não aconteça. Você investe na prevenção, faz pentest, faz auditoria, ajusta. E tem que ajustar, preparar os planos de contingência, preparar o de resposta a incidentes. Se der tudo certo, não vai ser necessário acontecer nada. Não vai acontecer nada? Não. Mas esse é o ponto. Tudo certo. Essa é uma das grandes dificuldades desse tipo de atuação que envolve, mais nessa… quando você, preventivamente, deve evitar certas coisas. Eu gosto do exemplo da saúde. É comum, você também… acontece com a sua saúde.(1Š:18:44) Se você fizer tudo certo, você vai estar vivo. Sim. Aí vem aquela coisa: “Ah, esse negócio… eu fiquei cuidando, nunca comi carne com gordura, não sei o quê, e nunca tive nada. Eu sempre lavo as mãos, mas quer saber? Olha, nunca aconteceu, então vou parar de lavar as mãos, não está adiantando. Eu lavo as mãos e não acontece nada”. Mas é um pouco uma brincadeira para, repito mais uma vez, esse artigo que é bem interessante do Schneier, “Psychology of Security”, que lida um pouco sobre como as nossas…(1:19:18) …ou como nós reagimos a riscos de maneira geral. Ele avalia, inclusive, aquelas situações sobre “por que as pessoas têm mais medo de andar de avião do que de andar de carro?”, embora o risco de você sofrer um acidente de carro seja muito maior do que de avião. Brutalmente maior, muito maior. Então, essas observações da área, um pouco da economia comportamental, também entram aqui nessas nossas avaliações, Guilherme, no final. Diga. Tem um comentário aqui do Hugo, justamente…(1Š:19:54) …sobre a questão do treinamento recorrente. Ele fala: “Vocês mencionaram as simulações. Fazemos isso no trabalho e ajudam bastante”. Claro, olha só. Mas se tu não fizeres simulação e não tiver incidente, meu Deus do céu, já era. E ele coloca ainda: “Durante as simulações, você pode analisar se os treinamentos e as políticas estão a contento”. Obviamente, há uma limitação. Corretíssimo, Hugo. Porque quando tu simulas, tu vês como o pessoal se comporta. Se o comportamento não seguiu aquilo que o treinamento espera como resultado, ou a política não foi…(1:20:31) …o teu plano de resposta a incidentes não pode ser seguido porque, de repente, não existe mais um recurso, não existe um determinado ativo no ambiente… Opa, o plano está desatualizado, a gente tem que atualizar. É um negócio aqui que a gente não tem nem mais como fazer, porque não existe mais isso aqui. Então, a gente acaba… acaba sendo bem importante essas simulações. Bom, lembrando então, pessoal, já nos dirigindo aqui para o fim, essa foi a… a gente agradece ao pessoal que nos acompanhou durante essa gravação.(1:21:10) Essa live. Valeu a companhia do Hugo, do Hamilton, do Lucas também. Muito bom, pessoal, obrigado demais. A gente agradece demais. Lembrando que essa também é uma oportunidade desse guia que a gente lança aqui sobre gestão de incidentes, entre riscos e dados pessoais. Aí, depois, vai finalizar toda essa parte técnica, depois os links vão ficar todos disponíveis aqui. Se você estiver assistindo tanto no YouTube, quanto depois lá no feed ou pelo Spotify, você vai conseguir achar o link. Essas 10 recomendações que a gente trouxe, elas…(1:21:45) …estão lá no fim do documento, mas vocês encontrarão algumas das coisas que falamos de uma forma mais organizada. Se você quiser também refletir um pouco mais, é aquela coisa, a leitura também… você ouvir uma pessoa falando é uma coisa, mas você ler sobre aquilo te ajuda também a construir o conhecimento de uma forma diferente. Então, fica essa nossa contribuição aí para o mercado da segurança. A gente espera que vocês gostem. Vinícius, quer falar aqui? Eu vou compartilhar…(1:22:10) …rapidamente aqui a visão do manual. Então, está aqui a capinha dele e tal. Você pode ver os tópicos que a gente colocou aqui dentro, o sumário dele: Introdução, Afinal, o que é um incidente de segurança?, a definição do que é, Por que sua empresa deve estar preparada para um incidente de segurança?, Qual o papel da LGPD na preparação para incidentes?, Como preparar uma empresa?, Participação do primeiro encontro de encarregados da ANPD que o Guilherme participou. Então, tem um link lá que é bastante interessante e, depois, um vídeo da apresentação. É um vídeo…(1:22:47) …um link para o vídeo. E tem, óbvio, a gente fez um, depois desse evento que teve na ANPD, a gente gravou um episódio sobre a tua participação lá, Guilherme, que a gente expandiu, inclusive, a discussão. Eu não sei se tu tens o número do episódio à mão aí. Sim, é bem fácil de achar aqui, eu já coloco ele aqui. Vamos ver aqui. Primeiro encontro de encarregados ANPD. Este aqui foi sobre… 371. Esse aqui foi sobre… deixa eu ver se a gente não gravou um outro. Não, é esse aqui mesmo. Ah, então vou compartilhar ali no YouTube o link…(1:23:31) …pro 371, que é esse episódio que a gente acabou de comentar. Então, está bom, pessoal, é isso aí. Muito bom tê-los aqui conosco ao vivo. Também agradecemos a todos aqueles e aquelas que nos acompanharam até aqui e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima. A gente continua transmitindo aqui, Guilherme. Eu só vou… estão se despedindo do pessoal que está aqui. Valeu, abraço aqui no chat. E a gente vai encerrar a transmissão em 5, 4, 3, 2, 1. [Música]

Neste episódio comentamos o massivo ciberataque ao Internet Archive, o controverso sistema de vigilância Cortex do governo e o debate sobre a proibição de celulares nas escolas. Você irá descobrir os impactos diretos desses eventos na sua privacidade e segurança digital.​ Aprofundamos a discussão sobre o Cortex, o sistema de vigilância estatal que cruza dados de milhões de brasileiros, como biometria e localização em tempo real, sem ordem judicial, levantando debates sobre privacidade e a necessidade de uma LGPD Penal. Analisamos também o ataque que tirou o Internet Archive do ar e expôs dados de 31 milhões de usuários, as novas políticas do X (Twitter) sobre moderação de conteúdo e o uso de posts para treinar inteligência artificial, e os riscos do reconhecimento facial com óculos inteligentes. Um debate essencial sobre segurança da informação, proteção de dados e os limites da tecnologia. Para não perder nenhuma análise, assine nosso podcast, siga-nos e deixe sua avaliação.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes The Internet Archive is under attack, with a breach revealing info for 31 million accounts Internet Archive wobbles back online, with limited functionality X finally making long-feared change that enables ‘creeps’ BlueSky down: X/Twitter competitor knocked offline after mass exodus from Elon Musk’s site X’s downfall led Bluesky to gain 500,000 Brazilian users in just 2 days ANPD convocará X para explicar uso de dados de usuários para treinar IA Programa de vigilância do MJ permite a 55 mil agentes seguir “alvos” sem justificativa Com cláusula “anti-imprensa”, governo dá acesso ao Córtex até para guardas civis Da placa de carro ao CPF – Conheça o Córtex, sistema de vigilância do governo que integra de placa de carro a dados de emprego Como funciona o Córtex, super sistema de vigilância do governo Cade investiga 33 multinacionais por formação de cartel no país Teles estudam usar dados de clientes para vender score de crédito Maioria dos pais é a favor de proibir celular nas escolas, diz Datafolha Terrifying Smart Glasses Hack Can Pull Up Personal Info of Nearby Strangers in Seconds Harvard duo hacks Meta Ray-Bans to dox strangers on sight in seconds 📝 Transcrição do Episódio (00:00) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 378, gravado em 18 de outubro de 2024. Eu sou Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes. Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção, tomando um café ou outra bebida. Pegue, então, a sua bebida preferida e venha conosco. Para entrar em contato conosco e enviar suas críticas (00:32) e sugestões é muito fácil: basta enviar uma mensagem para [email protected], no Mastodon em @[email protected] e no Bluesky @segurancalegal.bsky.social, além, é claro, do direitodetecnologia.com, que sou eu lá no Bluesky. Dá para você agregar o seu domínio lá, que seria o “verificado” do Bluesky. E o Vinícius no serafim.p. (01:03) br. Isso aí. Estou sem a referência aqui na pauta, mas eu sigo o Vinícius lá, então siga o Vinícius lá você também. Já pensou em apoiar o projeto Segurança Legal? Acesse o site apoia.se/segurancalegal и escolha uma das modalidades de apoio. Entre os benefícios, você terá acesso ao nosso grupo exclusivo de apoiadores lá no Telegram. Ontem, por exemplo, postei algumas das notícias que seriam tratadas aqui para dar um gostinho para a audiência. E como sempre, Vinícius, a gente sempre pede que você considere apoiar um projeto independente de (01:34) produção de conteúdo. Você tem essa garantia da nossa independência aqui, né, Vinícius, para trazer as informações importantes aqui para vocês. E inclusive, Guilherme… Calma, calma. Já ia puxar a mão, para quem está vendo no YouTube, o Guilherme já ia fazer um… mas, fazendo um adendo ao que tu falas, eu estava conversando ontem com uma pessoa, com um profissional que trabalhou em uma empresa que nós atendemos há algum tempo pela Brown Pipe, e ele está revisitando os episódios mais antigos do Segurança Legal. Estava (02:10) no 227, uma coisa assim. E ele ouvindo e dizendo: “Cara, tudo que acontece agora, tudo que vocês apontam, que vocês apontavam lá dentro da empresa, vocês já estavam gravando isso, está lá no podcast, está sendo dito lá no podcast”. E cara, exatamente. O podcast serve também como propaganda da Brown Pipe, a gente fala que é um oferecimento da Brown Pipe em todo início de episódio. Eu acho que dá para dizer que a gente iniciou a empresa em torno do podcast, né, Guilherme, em 2012. Sim, o podcast veio antes, veio (02:50) antes da Brown Pipe. Veio antes da Brown Pipe. A gente já tinha a intenção, já tinha a ideia ali em 2012, a gente estava pensando na criação da Brown Pipe. E a gente sempre foi muito transparente em dizer que nós somos independentes, a gente не tem nenhum tipo de filiação ou de patrocínio de algum produto específico de segurança, principalmente no que diz respeito ao nosso trabalho. A gente é bem independente nesse sentido, e o que a gente traz no podcast é conteúdo que a gente usa no nosso (03:26) trabalho. Então, você está ouvindo o Segurança Legal, a gente não está escondendo o jogo, a gente está trazendo coisas que são realmente importantes, realmente úteis. E sim, se um dia você ou sua empresa nos chamar, chamar a Brown Pipe para atender, você também, que é também um jeito de apoiar o podcast. De passagem, contrate a Brown Pipe, que também é um jeito de apoiar o podcast Segurança Legal. Vocês vão ver que muito do que a gente coloca no nosso trabalho, das discussões que a gente tem com os nossos clientes, nas nossas reuniões, nas nossas trocas de experiências, (04:04) porque a gente conversa muito com o cliente, a gente se preocupa muito em fazer troca de conhecimento, não só entrega de coisas pontuais. A gente troca experiências ali com o cliente, e vocês vão ver que muita coisa está no podcast, foi dita no podcast ao longo desses anos. Então, é um conteúdo realmente útil. Sem falsa modéstia, é um conteúdo que é útil, é um bom conteúdo. Aproveite o conteúdo, porque é um bom conteúdo. E apoie o Segurança Legal contratando a Brown Pipe, é uma outra forma (04:45) também. Além disso, eu preciso destacar que semana que vem — hoje gravamos no dia 18 de outubro de 2024 —, semana que vem, dia 25 de outubro, às 15 horas, nós faremos uma ação ao vivo do podcast. A gente vai falar um pouco lá sobre resposta a incidentes, gestão de maneira geral de incidentes. E se você tiver na sexta-feira com tempo e tiver o interesse de participar, de ouvido na empresa ou no home office… mas é um tema, vamos lá, é um tema super relevante, questão de gestão de incidentes. A gente vai… eu posso dar o spoiler do material, (05:28) Guilherme? Posso? Eu acho que pode. Acho que sim. Pode. Então, tá. Então, o Guilherme autorizou. Vou dar o spoiler: vai ter o material, então, que a gente vai compartilhar, o material escrito que a gente vai compartilhar sobre gestão de incidentes na sexta-feira. E a gente vai fazer a nossa conversa em torno desse material e de algumas outras coisas. Como vai ser ao vivo, como a gente já fez em outro episódio, você pode acompanhar a gente na gravação. E se você quiser largar alguma pergunta lá, de repente você não pode ouvir tudo, está lá trabalhando e não tem como ficar (06:00) 100% do tempo prestando atenção no que a gente está falando, de repente você pode largar uma pergunta ou outra para nós lá no chat. A gente vai estar no YouTube, no chat lá do YouTube. Conforme a gente conseguir, a gente encaixa na nossa fala, responde, comenta. E se a gente não conseguir na hora, a gente pode trazer em algum outro momento. Mas fiquem à vontade para nos acompanhar, então, fazer uma companhia para a gente na sexta-feira que vem, dia 25 de outubro. Não vai ser café, mas você pode (06:38) trazer um café também. Bom, e aproveitando que a gente falou sobre a Brown Pipe antes, não deixe de visitar o blog da Brown Pipe. Você vai encontrar semanalmente algumas notícias importantes sobre segurança da informação. Nos últimos tempos, bastante coisa sobre proteção de dados, mas algumas relações interessantes. Olha, o Vinícius está mostrando: compartilhamento indevido com a Meta, empresa multada por uso ilegal de sistema de controle de ponto, e a terceira notícia é um hospital multado em 200.000 € por falhas graves (07:11) na segurança de dados de pacientes. Esse tema, segurança da informação e proteção de dados, anda cada vez mais de mãos dadas. Inclusive, vamos fazer algumas considerações sobre esse aspecto, sobre esse lado do problema, na nossa live da semana que vem. E ali na própria Brown Pipe, se você quiser, você pode se inscrever no mailing semanal para acompanhar e para receber lá na sua caixa de e-mail algumas dessas notícias que vão para o nosso blog. Também temos o YouTube, a gente já falou antes. Você pode acompanhar alguns episódios. Sobretudo, Vinícius, eu já vou começar jogando a (07:46) bola para ti, porque houve um… nós temos esse serviço chamado Internet Archive, que sofreu um baita de um incidente, um baita de um ataque, melhor dizendo, nos últimos dias. Explica para nós o que aconteceu e por que esse tema é importante para nós. Cara, a gente не sabe o que aconteceu. O que se sabe até o momento é que houve um Distributed Denial of Service. Então, um atacante teria utilizado vários dispositivos que vieram principalmente da China — o Brasil foi o terceiro, agora (08:27) esqueci o país. O Brasil foi o terceiro. Era China, um outro país e o Brasil. A origem… Coreia, acho que foi. Deve ter sido Coreia. Agora não tenho certeza, mas o Brasil foi o terceiro na origem de tráfego que foi utilizado. Então, tráfego de rede, pacotes TCP em boa parte, para entupir o acesso aos links lá do Internet Archive. Então, esse ataque tirou o Internet Archive do ar, que era o que a gente sabia em um primeiro momento. Em um segundo momento, e vocês vão poder ver isso na notícia do The Verge, vocês vão (09:06) ver que não só houve um Denial of Service, mas também teve uma quebra de segurança que acabou revelando informações sobre 31 milhões de contas, provavelmente a nossa também, que está lá. Você nem contou ainda por que é importante. Nem contei ainda, mas já estou dando o spoiler aqui. 31 milhões de contas. Não vazaram senhas. As senhas, na verdade, estavam protegidas com Bcrypt, que, aliás, tem um… eu tenho um vídeo lá no canal do Segurança Legal no YouTube em que a gente falou justamente sobre (09:40) armazenamento de senhas, uso de Bcrypt, etc. É um material que a gente colocou lá um tempo atrás, eu fiz uma live sobre isso. Então, está lá o material para quem quiser saber mais sobre Bcrypt. Mas essa senha que vazou no formato Bcrypt… eventuais atacantes não tiveram acesso à senha em texto claro, como a gente chama. Para eles conseguirem recuperar a senha, eles vão ter que tentar quebrar cada um desses Bcrypts que eles conseguiram recuperar. Óbvio que, se a senha for fácil, не vai ter muito esforço. Mas senhas que foram bem escolhidas vão estar razoavelmente protegidas (10:19) desse eventual ataque secundário, digamos assim, em cima dos Bcrypts vazados. E vazaram detalhes sobre as contas: nome, e-mail, esse tipo de informação. Agora, por que o Internet Archive é importante? O Internet Archive tem… vamos falar da natureza do serviço, Guilherme. Ele tem um objetivo, talvez o inicial e principal dele quando eles começaram, alguns anos atrás, que era ser uma biblioteca da internet. O que uma biblioteca faz? Ela guarda exemplares de livros que foram publicados. E na internet, o que eles (10:57) fazem é guardar “exemplares” dos sites publicados. Então, vocês podem… não sei como está funcionando. Deixa eu entrar aqui para ver como eles estão nesse momento, se o Wayback Machine está funcionando. Acho que está, tu estavas usando antes, né, o Wayback? Sim, sim, está. Só que quando você cai na página do Archive direto, ele mostra… Dá até para mostrar a mensagem ali do “Service availability”. Beleza, eu vou mostrar aqui. Essa aqui é a página principal hoje do Internet Archive. Estão dizendo que estão tendo problema e tal. Quando aconteceu… ah, eu (11:33) queria mostrar para vocês rapidamente o Internet Archive Wayback Machine, mas não está aqui, acho que o link… Será que o link está indo aqui? Não está. Wayback Machine, que te permite… Ué, estou clicando e não está indo. É, pior que não está indo mesmo. Que bom. Mas eles têm esse serviço, Wayback Machine, em que você pode colocar o endereço de um site e ver cópias do site que você colocou ao longo dos anos. É muito interessante para pesquisa e tudo mais. Mas, enfim, eles têm um outro serviço… Advogados usam às vezes para buscar uma informação que (12:08) eventualmente foi publicada, você consegue usar em processos e tal. Pessoal de OSINT também. Também, também. Mas, enfim, eles têm um outro serviço que не é só a cópia do que tem na internet, mas de hospedagem de conteúdo para a comunidade da internet. E uma das coisas que dá para hospedar lá, adivinha? Áudio de podcasts. E há muitos anos, lá em 2012, uma dupla que procurava um lugar para hospedar um podcast encontrou o Internet Archive. Gratuitamente. No início do projeto, gratuitamente, a gente encontrou o Internet Archive e até nos surpreendeu que (12:53) a gente conversou com eles, a gente trocou informações com eles por e-mail, até foram bem rápidos nas conversas que a gente teve. A gente gostaria… a gente viu que eles tinham um esquema de coleções para não largar nossos episódios todos soltos lá dentro. Nós queríamos criar uma coleção chamada “Segurança Legal” e botar nossos episódios de Segurança Legal dentro. E eles responderam prontamente, dizendo: “Olha, publiquem os primeiros 10, eu acho… 20?”. Acho que tinha um número que eles pediram. “Publiquem os primeiros tantos, e a gente cria a coleção e depois joga tudo lá para dentro”. E assim foi feito. A (13:27) gente fez a gravação, eles criaram a coleção para nós, jogaram nossos episódios todos lá dentro, e a gente ficou feliz da vida. Até o momento presente, todos os nossos episódios, até hoje, desde então, foram publicados sempre no Internet Archive. E aí sofreram esse ataque. Então, se você está tentando ouvir nossos episódios direto do site, fazer o download lá, не está funcionando ainda. Os episódios antigos… nós temos backup de todos os episódios, então a gente не tem preocupação em ter perdido (13:59) o conteúdo em si, mas os episódios antigos, por enquanto, estão indisponíveis. Você não vai conseguir baixar. E no Spotify, a gente percebe que tem funcionado porque tem cache. O Spotify está baixando o MP3 do Internet Archive, mantendo em algum lugar lá dentro, então tem cache. E a gente acabou publicando os episódios mais recentes do Café, o último e esse aqui também, e o outro também. A gente continua publicando no YouTube. Então, no YouTube, você consegue ver, não os mais antigos, mas tem um (14:34) bom tanto lá dos mais recentes. E a gente está publicando na AWS, por enquanto, os arquivos, enquanto não volta o Archive. É isso, nós fomos afetados por esse negócio, mas isso já faz um tempão. Cara, nós estamos há umas três semanas nesse negócio, mais ou menos. Vai fechar quase um mês já. Então, é eine pena. Quem atacou está dizendo que atacou porque é um serviço norte-americano que está rodando nos Estados Unidos, e (15:11) os Estados Unidos apoiam Israel, etc. A gente não vai entrar nessa discussão neste podcast, que não é o objeto, mas o ataque teria sido porque o Internet Archive seria fácil de atacar, é norte-americano e pelo apoio dos Estados Unidos a Israel. Enfim, essa foi a coisa. E o Guilherme aqui acaba de trazer… não sei por que tu não falou, tu mandou aqui no chat. Podia ter falado. Posso falar? Não, agora eu vou falar, tu mandou para mim, eu vou falar. Perdeu a chance. O Guilherme lembrou que os primeiros episódios a gente (15:48) publicou no blog dele, no blog antigo. Teu blog existe ainda? Aquele blog, não. Ele publicou no blog dele os primeiros episódios, e depois a gente criou o site do Segurança Legal e começou a colocar tudo lá. Se você quer ver como é possível algo melhorar bastante, ouça o nosso primeiro episódio de Segurança Legal, que você vai ver a qualidade do áudio comparada com a de hoje, nem chega perto. E também a qualidade dos apresentadores, que eram os mesmos, mas, há mais de 10 anos, a gente (16:25) tinha outro jogo de cintura para gravar o podcast. Então, você que quer gravar um podcast e acha que os primeiros ficaram ruins, fique tranquilo, você vai melhorar. É só não desistir. Vamos embora. Muito bem. Enquanto você falava aqui, eu estava tentando ver se o blog estava fora do ar, se está funcionando. Direito e… Tecno, ao vivo, Vinícius. Ao vivo. Me manda o link, se tiver, que eu já compartilho com o pessoal. blogs… Eu não consigo digitar… blogspot… está no ar. Está no ar. Manda aí, que eu vou compartilhar com (17:05) o pessoal. O último episódio, a última postagem, faz só 10 anos, mas tudo bem, está lá. Meu, tem o logo da Brown Pipe antigo ainda, com uma foto que eu tirei dos campos aqui da região. É verdade. Está aí. Só da internet… Olha, minha defesa de mestrado ali em 2012, tinha esquecido. A tua entrevista para a Rádio Justiça do STF. Participação sobre vazamento de fotos íntimas de atrizes de Hollywood. Será que o áudio está aqui ainda? Eu recebi… Ah, está no Internet Archive, está meio quebrado, mas o áudio está. Mas (17:57) tem ali, por exemplo, alguns dos episódios ainda estão lá. Se você for ver, é um histórico interesante. Canal do Otário. Decisão que ordenou retirar o vídeo do Canal do Otário. Lembro, lembro. O podcast Segurança Legal, te mandei ali, de 2012, Interceptação Telemática, falamos inclusive com o Paulo César Herman, teu colega, meu colega de mestrado. Eu mantive. Tu vês, esse blog aqui era desde 2006. Eu entrei no mestrado em 2009. Eu lembro até que o meu professor comentou na aula: “Bah, ele tem um blog, vocês acessem lá e leiam sobre (18:35) Direito da Tecnologia”, porque, veja, em 2006, a internet era muito diferente do que é hoje. Faz quase 20 anos, 18 anos isso. Quase 20 anos, exato. E quase 20 anos, e a gente já estava estudando esses temas. Então, é legal olhar para esse histórico aqui também. É bem interessante. É isso aí. Deu um momento… como a gente chama? Momento nostalgia. E eu dando spoiler das notícias aqui. Vamos lá então. Vamos para o nosso café. O que tu queres comentar? Qual é a tua primeira notícia? Rapidinho, eu (19:08) quero falar sobre o retorno do X. No nosso último Café, a gente falou, faz um tempinho já, que a gente ficou duas, três semanas sem gravar. Claro, vocês acompanharam essa grande queda de braço entre… Eu não sei se dá para chamar de queda de braço, basicamente, porque tem ordens judiciais descumpridas, você tem a participação do Supremo Tribunal Federal e a resistência… aí sim, nesse sentido daria para se dizer, do X em descumprir essas ordens. Bom, teve tudo aquilo que a gente já comentou, não vou refazer tudo o que aconteceu. Já falamos demais sobre esse assunto, (19:48) mas decidiram voltar. Nomearam representantes, “bom, vamos pagar a multa”. A multa ficou. Os caras, antes de voltar, pagaram a multa, só que depositaram o pagamento da multa em uma conta errada. Fizeram o PIX errado e tiveram que peticionar dizendo que a conta era errada. Bom, depois houve o retorno no país. Muitas pessoas notaram, em muitas reportagens estrangeiras, americanas, em jornais americanos, enfim, comentando sobre o aumento da desinformação e como o X tem cada vez (20:26) mais se tornado, por suas políticas de falha no âmbito da moderação, um espaço cada vez mais apto para florescer discursos homofóbicos, islamofóbicos e de desinformação mesmo. Inclusive, no último furacão que houve lá nos Estados Unidos, teve muita desinformação sobre isso. Mas com a volta do X, não exatamente porque voltou, mas concomitantemente, houve uma decisão que o Musk já havia anunciado anteriormente, que era modificar o sistema de blocos. Então, você no Twitter vai lá, bloqueia alguém, aquela pessoa não consegue nem (21:09) interagir contigo e nem ver os teus posts. A partir de agora, com a nova política do Musk, à qual ele vinha se opondo, sobretudo porque muitas pessoas bloqueavam contas que ele achava que deveriam ver, e ele, por entender que essas contas deveriam ser vistas e fugir desse sistema de blocos, a partir de agora, se os posts forem públicos, pessoas que foram bloqueadas poderão ver os posts de quem as bloqueou, o que basicamente destrói o sistema de blocos, que seria um tipo de moderação de conteúdo pessoal que, (21:45) me parece, toda a rede deveria permitir. A ideia de bloquear é: eu publico algo, eu não quero que tu vejas e te bloqueio. Exatamente. Agora, uma vez que tu me bloqueies, eu vou poder ver os teus posts. E isso, em uma timeline que fica cada vez mais não aquela das coisas que você segue, mas sim uma timeline moderada pela plataforma, você perde um pouco o poder que você teria de: “Ah, o algoritmo está me mostrando esse cara aqui, eu não quero mais ver esse cara” ou “Se eu interagir com ele, não quero que ele veja as minhas interações também”. Mas isso vai ser quebrado. Eu acho (22:25) que uma coisa é te forçar a ver o conteúdo de outra pessoa, o que acho que não está sendo mexido. No momento que eu não quero mais ver o teu conteúdo, eu não vejo, eu te bloqueio, não quero ver teu conteúdo e acabou. Certo, eu te bloqueei. Agora, eu não sei, eu tenho minhas dúvidas, dado o que a gente viu acontecendo com relação, principalmente, à questão de políticos que usam o Twitter como plataforma oficial de sua comunicação. Vários fazem isso, de todos (22:56) os espectros políticos, todos os posicionamentos. E eu acho que esse pessoal, por exemplo, não tem o direito de impedir que se olhem os posts deles, entende? Eu acho que isso deveria ser forçado. Não tem essa de bloquear e não deixar. “Ah, vou sair bloqueando jornalista, vou sair bloqueando opositor, vou sair bloqueando não sei quem para não verem os meus posts”. Se o cara está pegando só esse caso, não sei se de forma geral isso se aplicaria, mas se ele está publicando e usando isso como canal oficial de comunicação institucional, eu acho que (23:33) ele não tem que ter o direito de bloquear mesmo. Uma conta institucional não deveria ter. O cara que está usando para fins institucionais, acho que não deveria ter mesmo. Por outro lado, pensando em todo mundo agora, não especificamente no caso de políticos, cara, se tu estás dizendo um negócio em uma rede pública, não é um grupo privado de conversa, tu estás largando ali e queres impedir que uma determinada pessoa ou um certo grupo de pessoas veja os teus posts? Ou não vejam? É impedir que eles (24:03) vejam. Impedir que vejam. Eu não sei se eu me oponho tanto a essa regra de “tudo bem, tu queres bloquear o cara, beleza, mas o que tu publicas é público, todo mundo vai poder ver, inclusive quem tu não gostas pode ver”. Então, eu не vejo, não sei se isso é um problema tão grande. Eu creio que é, porque você perde um controle que você poderia ter sobre quem pode ler o quê, mais ou menos. Não é um grupo fechado, mas com o negócio público, vai lá, cria outra conta e vai ver teu conteúdo. Sim, mas aí tu (24:38) percebe, tu vais ter que criar uma outra conta que não é você para… Mas se o cara se importa contigo a ponto de tu teres que o bloquear, tu achas que o cara não vai fazer isso? Eu não vejo vantagem em fazer isso. E acho que o que… me forçar a olhar um conteúdo, beleza, acho que não pode acontecer mesmo. Agora, me proibir de ver algo que é público… Isso já ocorre, porque eu acho que seria romper com a ideia de ou você ter o teu perfil fechado ou você ter o teu perfil aberto, permitindo um controle mais granular. (25:12) Os caras falam, também, algumas reportagens falam sobre situações de pessoas que eventualmente podem estar sendo perseguidas, situações de pessoas que começam a usar os teus posts para te agredir. Em um cenário de uma rede que vai ficando cada vez mais tóxica, esses controles mais granulares permitiriam você fugir de certos ataques e coisas do gênero. E, além disso, além dessa polêmica, eles também alteraram os termos de uso para que todos os posts feitos pelos usuários possam ser usados para treinar (25:47) tanto modelos de machine learning deles como a inteligência artificial lá, o Grok. E veja, sem opt-out. E isso revoltou demais. O opt-out, eu recebi o e-mail deles dizendo… depois da atuação da ANPD aqui no Brasil. Sim, e eu recebi um e-mail da Meta, a gente falou no podcast. Eu recebi, me oferecendo o opt-out. Aí eu fiz o opt-out, lembra disso que eu comentei, acho que no episódio? Sim, a gente conversou no episódio. Eu recebi um e-mail de volta dizendo então que iriam (26:19) respeitar o meu opt-out, que não iam utilizar nenhuma das minhas informações de nenhuma das plataformas da Meta para fazer o treinamento dos modelos deles. E é importante ter lembrado isso, porque o próprio Ronaldo Lemos comentou sobre esse caso dia desses lá no Bluesky, que por menos do que isso a ANPD impediu que a Meta treinasse o modelo dela daquela forma como ela estava promovendo. E esses e-mails que nós recebemos, acho que todo mundo que tem conta lá recebeu, foram encaminhados depois de um acordo (26:55) com a ANPD para colocar o uso dessas informações pessoais dentro de um contexto que permitisse à pessoa realizar algum tipo de controle. Bom, depois de tudo isso, o Bluesky recebeu 100.000 usuários em 12 horas, o que causou uma queda temporária da autenticação deles, não dava para entrar mais no site. Em 48 horas depois disso, tanto da retirada da ferramenta do block quanto do uso de dados para treinamento de inteligência artificial, em 48 horas foram em torno de 500.000 pessoas. E o Bluesky já (27:37) se tornou o terceiro aplicativo mais baixado na loja da Apple nos Estados Unidos. Além disso, e por último, a União Europeia também começou a considerar, para a aplicação de multas para o X, contabilizar o faturamento das outras empresas do Musk, e não somente do X. O que aconteceu? O Alexandre de Moraes passou em concurso na Europa, foi isso que aconteceu? Passou para a corte europeia? Ele fez um concurso, passou e está lá aplicando multa no grupo inteiro lá também? Olha só. A grande (28:17) questão que tem se colocado, e nós já lemos diversas mensagens do Musk publicamente xingando autoridades na União Europeia, é que as regulações começam a se demonstrar ineficientes para conter certos avanços dele. Então, eu não sei dizer se juridicamente isso se ampararia, a depender do país, mas em nível de União Europeia, no que diz respeito às regulações do AI Act, enfim, do Services Act deles lá também, se isso se ampararia. Mas como as multas podem chegar a até 6% do faturamento, se (29:02) colocar a Tesla também junto com o X e com outras empresas, a multa pode ficar bem salgada. O fato é que pessoas diferentes de países diferentes estão tomando medidas, em alguns casos até de forma parecida com as que foram tomadas aqui, para tentar conter o que tem se firmado como comportamentos muito desviantes da rede social, basicamente do X. Aquele último livro, que acho que a gente comentou, o livro sobre ele que a gente comentou no último episódio, comenta um pouco da dinâmica (29:40) de como as decisões eram tomadas. É um livro-reportagem, basicamente. Já veio para o Brasil, e tal. Enfim, depois eu pego o nome, que não lembro exatamente. Mas, enfim, acho que você pode tocar uma tua, Vinícius. Quer falar sobre a pesquisa da Datafolha, o que os pais estão pensando? Esse é um assunto que me é muito caro. Eu até conversei hoje, ainda pela manhã, com algumas pessoas sobre isso. Eu vou compartilhar já direto a notícia para a gente comentar em cima (30:11) dela aqui. A matéria da Folha de S.Paulo está falando que a maioria dos pais é a favor de proibir celular nas escolas, diz Datafolha. A pesquisa mostra que 43% dos pais de crianças dizem que os filhos de até 12 anos têm um aparelho próprio. Cara, eu acho que, dependendo do ambiente que tu olhares, da escola, poder aquisitivo, etc., isso pode ser bem maior. Isso pode ser bem mais do que só 43%. Eu acho que aqui, por exemplo, é um pouco mais. Dos colegas do meu filho, acho que mais de 43% (30:57) têm celular. Mas, enfim, esse assunto me é muito caro porque eu me preocupo bastante. Eu tenho filhos e vejo claramente o comportamento deles e de colegas deles com relação a celular. A gente já vem observando isso há bastante tempo, mesmo antes de eu ter os meus filhos. A gente grava o podcast há mais tempo do que eu tenho meu filho mais velho. E a gente já vem falando há bastante tempo desse tipo de uso. Bom, o que a pesquisa traz? 62% da população, segundo o Datafolha — eles pegaram brasileiros a partir dos 16 anos —, (31:37) apoia o banimento dos celulares em sala de aula, tanto em sala de aula quanto nos intervalos. Na parcela da população que tem filhos de até 12 ou de até 18 anos, o apoio à proibição é um pouco maior: 65%. 43% dos pais de crianças de até 12 anos dizem que o filho já tem aparelho celular próprio, e até 18, 50% têm aparelho celular próprio. Guilherme, eu, pessoalmente, metendo minha opinião aqui, não chego a dizer que é um grande problema. Há pouco tempo, por exemplo, deve ter outros pais que nos escutam e talvez se identifiquem com essa (32:16) situação. Meu filho не tem celular próprio, ele tem menos de 12 anos. Ele foi viajar com a turminha e, para esta viagem especificamente, eu separei um celular com chip, configurei esse celular para ele poder usar para conversar com a gente e ponto. Um “burning phone” para ele poder… não chega a ser um “burning phone”, mas para ele poder tirar as fotos dele, poder mandar mensagem, falar com a gente a hora que ele quisesse. E depois ele voltou de viagem, a gente recolheu o celular, acabou, не tem mais o celular. Então, eu não vejo tanto problema os (32:56) filhos já terem aparelho próprio ali pelos 12 anos. A questão não é em si o aparelho, mas sim o uso que se faz do aparelho. É ainda maior o número dos que consideram que o celular… estou lendo aqui da matéria, para quem não está vendo no YouTube… é ainda maior o número dos que consideram que o celular traz mais prejuízos do que benefícios ao aprendizado de crianças e adolescentes: 76% da população e 78% entre os que são pais de crianças. Olha que interessante. Eu julgava que o pessoal não tinha tanta consciência assim. Eu imagino que (33:32) a Datafolha fez a pesquisa direitinho, metodologicamente, aquela coisa toda. Então, claro, esses números me surpreenderam. Mais de 70% da população e pais de crianças acreditam que o celular em sala de aula traz mais prejuízo do que benefício. Isso me surpreende. Por que me surpreende? Me parece aquela coisa do cara que fuma… Cala a boca tu, aquela piada. O cara que fuma, hoje em dia, (34:15) tu sabes que aquilo te faz mal, mas por N razões, e claro, existe o vício, existe toda uma questão complexa, fisiológica, psicológica e tudo mais, que nós não vamos discutir aqui. Mas tu sabes que aquilo faz mal, mas por alguma razão qualquer, tu continuas usando aquele recurso, o cigarro, por exemplo. E me parece que isso aqui me lembrou um pouco essa situação. Os pais sabem que faz mal, pela pesquisa. Sabem que prejudica e, no entanto, tu vês que… Eu não sei se sabem, (34:54) Vinícius, mas 70% acham que faz mal. Eu até acho o número meio alto. Também achei. Não faz sentido a gente dizer “eu acho que a pesquisa está errada”, não fizemos a pesquisa, então vamos pegar a pesquisa. Estou me baseando no que a pesquisa está dizendo. Se quase 80% da população e dos pais acham que faz mal, e 43% — e acho que esse número é até mais alto — dos pais de crianças de até 12 anos dizem que os filhos já têm (35:27) aparelho, tem uma coisa meio estranha aí. E o próprio comportamento dos pais… e aí vamos apelar para a nossa experiência do dia a dia, Guilherme. Dos pais que tu vês por aí, dos pais que eu vejo por aí quando a gente vai a um restaurante, quando a gente vai viajar, num almoço na casa de amigos ou numa viagem que tu faças. Tu vês um pessoal num restaurante de férias e tal, os pais estão grudados na porcaria do celular. E a galera… aquela velha cena do casal sorrindo, tirando a foto, (35:59) faz a selfie, aí para de sorrir e cada um fica no seu celular. E depois vai para a tarefa enfadonha de ter que comer aquilo que pediram no restaurante. Não sem antes… Não sem antes fotografar. Claro, mas estou dizendo, faz a selfie com o sorrisão bonito, casal legal, guarda o celular, faz as publicações que tem que fazer e aí: “tá, agora tem que comer isso aqui, depois que eu tirei a foto”. A pior parte é que vira secundário o negócio. Entendi. Eles entrevistaram uma amostra (36:33) deles aqui. O instituto Datafolha entrevistou presencialmente uma amostra de 2.029 pessoas, representativa da população brasileira com 16 anos ou mais, em 113 municípios do país, nos últimos dias 7 e 8 de outubro. A margem de erro geral é de 2 pontos percentuais para mais ou para menos, ou seja, dentro de um nível de confiança de 95%. Ou seja, os números seriam sólidos. A gente está falando de mais de 70% dos pais falando que o negócio faz mal. No recorte dos pais com filhos até 12 ou 18 anos, a margem de (37:06) erro é de quatro pontos. A margem de erro aumenta um pouquinho, mas ainda assim é alto, estamos falando de mais de 70% de qualquer jeito, para mais ou para menos. As mulheres se mostram ainda mais preocupadas do que os homens com o prejuízo do celular ao aprendizado de crianças e jovens: 78% delas acham que o aparelho traz mais prejuízos do que benefícios, ante 73% da população masculina. No recorte de gênero, margem de três pontos. O apoio à proibição nas escolas é maior entre aqueles com mais escolaridade. Interessante isso. Isso aqui (37:36) é interessante, Guilherme, porque é aquela coisa do “efeito do salgadinho”. Não conheço. Sabe o efeito do salgadinho? Não sei o que é isso. Tu tens aquele salgadinho que não é frito, é ao forno, tem menos sódio, não sei o quê, não tem gordura trans, e custa R$ 50 a grama do salgado, estou exagerando aqui. E tu tens aquele salgado que a gente diz que é o “isopor”, aquele isopor com gordura e sal, que é R$ 1 o grama. Então, o que (38:14) acaba acontecendo? As famílias de mais baixa renda tendem a se alimentar ainda pior do que já se alimentam. Tendem a consumir um produto de uma qualidade ainda mais baixa porque não têm um controle muito grande. E nem dinheiro para comprar o salgadinho ao forno com menos sódio. Então, tu percebes aqui, tu intensificas o problema. O cara já tem pouco dinheiro para se alimentar direito, e o pouco dinheiro que ele tem, ele ainda vai comprar uma coisa que está acessível para ele, que faz muito mal para ele. E aqui a gente tem a mesma (38:52) coisa. O apoio à proibição nas escolas é maior entre aqueles com mais escolaridade. Ou seja, quem já tem mais escolaridade acaba tendo um entendimento maior, os próprios pais, de que “cara, faz mal esse negócio, eu tenho que ter algum controle”. Pessoas com menor escolaridade tendem, pelo que a gente está lendo aqui, a deixar os filhos mais expostos ao uso dessas tecnologias, com menos controle. Mas deixa eu só fazer uma observação, e eu não tenho filhos, Vinícius, você tem, você pode me confirmar isso. O que parece ser uma (39:25) contradição… Ora, se tantos pais sabem que faz mal para a educação, por que dão o celular para o filho levar para a escola? Eu acho que também tem um elemento de você nem sempre conseguir ter o controle total sobre as situações acerca de crianças. Fico pensando naquelas crianças, a cena clássica da criança fazendo birra no supermercado porque quer alguma coisa, o pai не quer comprar, e aí o pai, para evitar a gritaria, pega e compra. Acho que tem esse elemento também. Acredito que deva ser bem difícil criar um filho. Você (44:15) não vai levar” e acabou. Eles não insistem, entende? Não tem que ficar no “ai, mas deixa eu levar?”. Não pode. “Ai, não sei o quê”. Não tem. Eles olham, podem olhar, não tem problema, mas não vai levar, e acabou. Então, para o celular, o que a gente faz? À medida que eles vão ficando mais velhos, tu tens que dar a explicação. Então, para o celular, meu filho mais velho já está tranquilo para eu explicar para ele o porquê não do celular. Ele já perguntou algumas vezes, sentei com ele: “Filho, entende que o celular faz mal para a criança, principalmente quando envolve redes sociais”. Eu expliquei para ele o que é (44:47) criar uma rede social. Ele já sabe que tem colegas dele, principalmente meninas, que já têm Instagram, então ele já sabe. Ele não usa, mas já sabe que o pessoal tem. E eu expliquei para ele que tem um estudo, não sei o quê, em uma linguagem para ele compreender, e beleza. Ele sabe que daqui a um tempo ele vai ter, mas neste momento ele sabe que eu não estou dando para ele porque eu gosto dele e não quero que ele seja prejudicado por causa de um celular. É claro que faz sentido. Mas a (45:18) gente sabe e ele entende, a criança entende. Agora, isso só acontece se tu tiveres um diálogo. E para ter um diálogo, precisa ter tempo. Quando eles falam aqui que aqueles com maior escolaridade… o apoio à proibição é maior entre aqueles com maior escolaridade, aqui tu pressupões, não é regra, tu pressupões que, tendo maior escolaridade, a tendência é que a pessoa tenha mais tempo em casa, tenha um diálogo mais aberto com os filhos. Um (45:51) teste qualificado, talvez. Estou pegando um recorte meio… entende? Porque não é pré-requisito, eu sei, mas estou dizendo que talvez tu tenhas, por isso que estou falando do efeito salgadinho aqui. O efeito salgadinho: é muito mais fácil tu comprar um pacotão de salgadinho cheio de gordura trans e sal, entregar para a criança e deixar na frente da TV ou de um celular se entupindo com aquilo do que tu parar… não digo que tem que gastar num salgadinho mais caro, mas de repente comprar uma fruta. Tu convenceres a criança a comer uma fruta, e (46:28) tu sentares para conversar, trocar uma ideia, explicar o porquê não. Eu acho que tem um monte de coisa aqui que pode estar envolvida nesse processo, nessa questão da escolaridade que é citada. E talvez eu acho que faz sentido. Claro, aqui a gente не tem condições de falar sobre pedagogia, sobre educação de crianças, é uma experiência bem empírica, mas talvez o problema com o celular… assim, o celular está causando, de forma documentada, danos para a educação de crianças, jovens e, agora eu falo (47:05) enquanto educador, e adultos. Algo… eu contei, acho que aqui, um dia desses, uma aluna minha estava assistindo à televisão no celular. E aquilo me chamou bastante atenção, porque era uma aula. Enfim, mas estava lá assistindo a um programa de televisão. Pensando: “Poxa, a pessoa está assistindo à televisão…”. Nunca tinha visto que tem alguns celulares que têm televisão. Sim, sim, nem precisa. Tu baixas o aplicativo e assistes. Então, aquilo me chamou a atenção. Me parece que a questão do celular é um sintoma de algo (47:39) maior, de outros problemas. Agora, deixa eu trazer uma outra pesquisa, Vinícius, a gente tem que passar adiante, 50 minutos já. Só deixa eu citar mais um tópico dessa pesquisa que é bem interessante. Antes que alguém fale “ah, isso é de tal espectro político, de tal espectro, desse outro, não sei o quê”. Olha que interessante aqui, eles se preocuparam com isso. Em um país polarizado, a preocupação com celular une lulistas e bolsonaristas. Entre os que afirmam terem votado no presidente Luiz Inácio Lula da (48:09) Silva (PT), 61% se declaram a favor da proibição do aparelho nas escolas. Entre los que votaram no ex-presidente Jair Bolsonaro (PL), são 63%. Então está ali, 61%, 63%, que se declaram a favor da proibição do aparelho nas escolas, acham que, de fato, faz mal. Interessante. Os eleitores dos dois polos opostos estão ainda mais próximos quando o Datafolha pergunta sobre o impacto do celular para o aprendizado de crianças e adolescentes: para 76%, o aparelho traz mais prejuízos do que benefícios, tanto entre lulistas quanto entre (48:47) bolsonaristas. Interessante. Não, talvez seja desimportante esse dado. Não, parece uma coisa meio fora do propósito ali no meio do caminho, mas eu acho que eles quiseram mostrar: “isso aqui não está relacionado necessariamente a um determinado espectro político”. A gente sabe muito bem que o efeito das redes sociais, o uso das redes sociais e do celular, a questão do papel do WhatsApp, dessas coisas todas nas eleições, na questão política, a gente sabe muito bem disso. Então, talvez por isso eles trouxeram essa coisa meio, eu diria, (49:24) inusitada. Esse recorte talvez provocativo. Eu diria provocativo. Interessante. A gente está falando de pesquisas. Só para também lincar esse tema com o tema do nosso episódio anterior, sobre IA no ensino e na pesquisa. Então, se você não ouviu, vá lá e escute também, depois de ouvir este episódio. Mas tem a nossa pesquisa, que é a TIC Kids Online Brasil, Vinícius. A nossa não, aquela pesquisa brasileira. A nossa brasileira, claro. Mas a pesquisa que a gente sempre comenta aqui, do (50:04) mesmo pessoal que fez aquela pesquisa do estado da adequação à LGPD no Brasil. Tem vários números. Você vai ver ali que tem vários números. Eu destaquei dois aqui enquanto você falava. Crianças e adolescentes por dispositivos utilizados para acessar a internet. Os números que eu vou passar não significam que são essa porcentagem de todas as crianças do Brasil, são das crianças que acessam a internet. Não achei aqui o número de crianças que acessam a internet na (50:35) população toda, mas das que acessam, eles mediram qual foi o equipamento utilizado. Tablet: 11%. Computador portátil: 23%. Computador de mesa: 22%. Videogame: 22%. Televisão: 70%. Eu perdi o celular. Telefone celular, o número, Vinícius? 97%. Nossa Senhora. É, por isso que aquele número, aqueles 43%, está meio baixo lá, mas tudo bem. 97%. Então, me chamou a atenção aqui esse número também. Eu posso falar sobre o caso Cortex? Tá bom, fala. A Agência Pública retomou um tema que não era de todo desconhecido. Enfim, é um sistema (51:33) que está funcionando desde 2021, 2020. Enfim, antes havia algumas limitações, mas do jeito que ele funciona hoje, ele está assim desde 2021. Em 2020, até teve uma reportagem do The Intercept Brasil falando sobre. É um sistema governamental mantido pelo Ministério da Justiça e Segurança Pública que visa a agregar dados de várias fontes diferentes. Então, o Ministério da Justiça montou esse “broker”, digamos assim, de dados, claro, para serem utilizados para fins de segurança pública de maneira geral. E esses dados vêm de diversas fontes (52:21) diferentes. Esse sistema tem sido utilizado e já foi disponibilizado para mais de 180 órgãos públicos, tendo 55.000 usuários, tudo com dados da Agência Pública, em uma belíssima reportagem. E porque traz à tona o que, na minha visão, é um problema. O que ocorre é que essas pessoas conseguem acessar esses dados não somente sem dar nenhuma motivação para essas consultas, como também sem a necessidade de autorização judicial. Entre as pessoas que usam esses dados, você tem membros de Forças Armadas, policiais civis, militares, federais, (53:07) agentes penitenciários, setor de inteligência do Exército, ABIN, Gabinete de Segurança Institucional e até bombeiros também utilizam isso, além de órgãos do Ministério Público de estados, enfim, mais ou menos ligados a alguma atividade. Mas o que chama a atenção é justamente essa questão de não haver nenhuma motivação para acessar esses dados. O próprio Ministério disse que essa motivação não seria necessária e que, além disso, não caberia a eles controlar quem acessa o quê nesse sistema. Eles disseram: “O controle de acesso para realização de consultas…” — e olha a palavra (53:48) usada, tanto nessa fala deles quanto na portaria que instituiu o Córtex: “realização de consultas”. As palavras importam, as palavras têm um sentido. Não se usa as palavras, em muitos casos, ao acaso. O uso de “alvo” aqui. O que é o alvo? Enfim, investigação e tal. Presumo. Presumo, presumo. Sim, alvo de investigação ou de acompanhamento aqui. “…é feito pelo ponto local de cada instituição, indicado pelo seu representante maior, através de ofício, etc.”. Bom, tem essa (54:34) portaria. Eles então permitem também que empresas privadas enviem informações para o Córtex, e que tanto órgãos da administração pública como dados provenientes de prefeituras também vão para esse sistema. A Agência Pública teve bastante dificuldade para conseguir números aqui de monitoramentos e tal, mas acabaram descobrindo ali em 2022… eles fizeram um pedido que foi negado. Eles disseram aqui, em algum momento, que isso poderia comprometer investigações ou operações. A Agência Pública, via Lei (55:15) de Acesso à Informação, pediu: “mas quantas pessoas foram monitoradas?”. Não pediu quem, nem por quem, nem por quê. Ela só pediu o número. E o Ministério disse que não poderia dar essa informação porque pode comprometer investigações ou operações em andamento, o que definitivamente não é verdade. Mas eles conseguiram recuperar um dado de 2022 dizendo que 360.000 (55:43) alvos em 2022 teriam sido monitorados. Bom, então o que esse Córtex agrega, vocês devem estar se perguntando, se é que já не leram a reportagem. Em primeiro lugar, eles conseguem ter acesso a imagens de 35.900 câmeras espalhadas pelo país em tempo real. Muitas dessas câmeras, eu не sei se todas, Vinícius, eu tenho dúvida, eu não entendi direito ali se todas, então eu vou dizer “muitas”, pode ser que sejam todas, possuem sistema de OCR para reconhecimento de placas. Mas será que isso está na própria câmera ou no serviço de backend que recebe as imagens? (56:26) Pois é, não sei. Porque, como eles estão recebendo as imagens, eles poderiam aplicar isso. Deve estar no sistema. Isso deve ser no sistema que recebe as imagens e aplica em tempo real. Sim, aí seria em todas que estão olhando. Pode ser que sim, pode ser que não. Eu digo que não sei porque a gente tem que concordar também que, a depender da resolução da câmera, pode ser que ela não pegue a placa. Sim, e tem câmera que tem essa funcionalidade embutida nela mesma. Sim, sim, sem dúvida. Mas, (56:55) enfim. Então, tem essa possibilidade aqui. Em tempo real, eles conseguiriam, por exemplo, fazer o tão aclamado, inclusive pelo governo de São Paulo, o tal do cercamento eletrônico. O que envolve o cercamento eletrônico? Bom, eu sei quem entrou e quem saiu de determinada área. E eles conseguem, veja, acompanhar onde efetivamente as pessoas estão indo. Basicamente, é possível saber onde as pessoas estão indo. A gente teve aquele problema do sistema Last Mile, que permitia ao Gabinete de Segurança (57:30) Institucional, a ABIN, na verdade, rastrear pelas torres de celulares. E a gente gravou um episódio sobre isso. Bom, veja que, por meios diferentes, se uma pessoa está de carro, você consegue saber basicamente a mesma informação. Eu sei que o Vinícius saiu de tal lugar e foi para tal lugar, porque tais e tais câmeras… inclusive, você conseguiria configurar o sistema para dizer: “olha, se o Vinícius entrar nessa área aqui, me manda um alerta”. Só que não é só isso. Eles ainda agregam notas (58:01) fiscais, cadastros do SUS (inclusive com dados sensíveis e dados das pessoas que usam serviços do SUS), registro de tratores e máquinas agrícolas, cadastro de empregados… Nessa aí eu estou tranquilo, не tenho nem trator nem máquina agrícola. Estou de boa. Mas, cadastro de empregados, eles conseguem saber quem trabalha em qual lugar, por quanto tempo e tudo mais. Acho que salário também, que é o tal do RAIS, né? Restrição sobre veículos, manifestos de cargas rodoviárias e listas de pessoas politicamente expostas. A ideia é que (58:32) eles avancem isso. Você falou que é uma questão de política, na verdade isso vem desde o governo Temer, foi bastante ampliado no governo Bolsonaro e, ainda agora no governo Lula, a coisa continua funcionando. E ainda na gestão do Flávio Dino, tentaram fazer uma auditoria para trás, mas desistiram. Então, é uma coisa que está ultrapassando a orientação política. É uma coisa que a gente sempre diz aqui: você implanta isso porque aquele governo te agrada; не se esqueça que o governo pode (59:06) mudar, ou que o Estado, para além do governo, tenha interesse em manter aquilo funcionando, que é o que parece ser o caso. E veja, ninguém aqui é contra a persecução penal, ninguém aqui é contra a resolução de crimes, mas é inegável, muitas vezes, o que se chama de populismo penal. O que é o populismo penal? “Eu vou colocar todo mundo na cadeia e isso vai resolver os problemas do crime”. Como se colocar pessoas na cadeia fosse a única forma de você resolver crimes, ou não só resolver, mas diminuir o crime. Você sabe que tem uma série, um caminhão… Nem vou puxar esse fio, eu (59:45) já tinha uma resposta para dar, mas a gente vai entrar em uma área que não é nossa. Mas é um pouco de populismo no seguinte sentido: “vamos monitorar todo mundo, que daí a gente consegue resolver todos os crimes e as pessoas vão ficar mais seguras”. Exato. “Vamos botar um monte de câmera na cidade que a gente vai ficar mais seguro”. É isso aí. E isso envolve tanto aquela sensação de monitoramento… Existem dezenas, não, centenas de estudos que falam sobre os efeitos negativos do monitoramento na vida das pessoas, o impacto que isso tem na vida (1:00:17) das cidades. É um problema de urbanismo também: quais os lugares que vão ser monitorados ou não. E envolve uma série de coisas. A gente fala sobre cidades inteligentes hoje, um grande tema. Bom, as cidades inteligentes, a inteligência que se está colocando nas cidades tem sido usada para fazer esse tipo de coisa aqui. E mais, Vinícius, o que mais me chamou a atenção é que os caras têm acesso à bilhetagem de ônibus municipais, e que permitiria que eles conseguissem, em tempo real, saber CPF, nome dos passageiros, linha, prefixo, (1:00:55) data e hora do embarque e mais: latitude e longitude dos ônibus. Tudo isso em tempo real. A gente falou aqui, eu не sei se eles estão tendo acesso à biometria, porque a gente comentou há alguns anos no podcast sobre uso de biometria em ônibus. E a gente comentava, eu lembro bem, Vinícius: “Mas imagina só qual vai ser o sistema que vai armazenar essa biometria facial? Será que vai ser seguro o suficiente? Será que não vai ser transferido para terceiros? Será que não pode ser invadido? Será que não é um servidor num canto (1:01:27) de uma empresa de ônibus que poderia ser mal utilizado?”. E bem, hoje se está utilizando sistemas de bilhetagem de ônibus para alimentar sistemas de persecução penal, veja, sem ordem judicial. Esse é um problema. Porque, basicamente, dessas 55.000 pessoas que têm acesso, e já se identificou aqui que há uso, aluguel e venda de credenciais sendo feitas, eles identificaram isso. Episódio número um do Segurança Legal. Exato. A gente retorna mais uma vez. Então, veja, é uma coisa que não está sendo muito controlada. Eles ainda (1:02:07) querem buscar mais dados ainda. Então, as prefeituras, para que elas entrem, em alguns casos, elas têm que fornecer os dados que elas têm para que consigam entrar no sistema. Isso é feito por meio de acordos de cooperação técnica. O The Intercept, nessa reportagem que eu comentei, de 2020, eles comentaram que tiveram acesso a um vídeo de um membro da polícia, e ele dá uma explicação do que é possível fazer com o sistema. Ele disse: “Os agentes conseguem, a (1:02:44) partir da placa do carro, saber toda a sua movimentação pela cidade, com quem você se encontrou, quem te acompanhou nos deslocamentos e quem te visitou. Também podem cruzar esse histórico com informações pessoais e dados de empregos e salários, incluindo boletins de ocorrência e passagens pela polícia”. Pois bem, então, dito tudo isso, e eu já comentei alguns dos problemas aqui, isso é pura e simples vigilância estatal fora do arcabouço jurídico necessário, e ainda mais sem uma LGPD penal. Isso é populismo penal, isso é (1aijadir direitos e comprometer direitos fundamentais dessas pessoas que estão aqui e que estão sendo monitoradas, muitas vezes sem motivação. É uma quebra do que a gente chama de devido processo legal, inclusive de investigações. E não se pode tudo. O Estado não pode tudo. E essa, inclusive, é a diferença entre o Estado e o bandido. O bandido pode tudo, claro, desviando-se da lei. Mas o Estado, o compromisso da existência do Estado é que ele не possa tudo e que ele deva respeitar regras, o “due process of law”, (1:03:49) o devido processo legal de maneira geral, não somente no processo. E a impressão que eu tenho é que a gente vai meio que como o sapo dentro da panela. Aquela história… que eu não sei se é verdade, se não é, como é que a gente diz, mito urbano, lenda urbana. Se é real, eu não sei, nunca tentei cozinhar um sapo. Não teria sentido. Mas a gente vai perdendo um pouco o controle de certas (1:04:21) coisas enquanto sociedade, e alguns absurdos começam a acontecer e, veja, está tudo bem. Você tem sistemas, tem vazamentos, vendas de credenciais, pessoas utilizando, documentado que isso está acontecendo. Isso é coisa para cair ministro. Isso é coisa para você, efetivamente, fazer alguma coisa para colocar algum limite, sobretudo de motivação. E eu fico muito preocupado com o uso desses sistemas para essas finalidades de forma descontrolada. (1:05:05) Deveria ser a coisa mais controlada do Estado. E também, o pior, nesses acordos de cooperação técnica, que daí é outra reportagem da Pública, eles têm uma cláusula que impede que os órgãos que usam o sistema comentem. Aqui: “proíbe a transmissão a outros órgãos e entidades, tampouco divulgar à imprensa que possível ocorrência foi decorrente de informações contidas no sistema, de forma a detalhar sua dinâmica de funcionamento”. Eu vou, Guilherme, te passar aqui o link para botar na pauta depois e vou só compartilhar rapidamente com o pessoal. Tem um vídeo de três anos atrás do Intercept (1:05:42) Brasil sobre o Córtex. Ah, legal. Então vai estar lá no show notes também. É um vídeo que está lá no YouTube sobre o sistema Córtex. Beleza, então vai estar o link lá para o pessoal poder dar uma olhadinha. E também, enquanto eu fui catar o vídeo, eu achei uma notícia muito interessante que eu acho que é de utilidade pública, do UOL. A notícia é: “Sagui drogado”. O que tem a ver? “Homem dá maconha e bebida alcoólica para macaco-sagui, filma o crime e é preso”. Bem feito. Com essa, eu (1_06:23) posso pegar uma notícia minha, que não é essa. Não vale essa notícia. Não, essa não valeu. Você pode falar de uma parecida com essa, Vinícius? Uma parecida com essa, dos óculos. Não, mas não tem nada a ver com essa. Por que? Como assim? Não está ligado com o uso de dispositivos que vão permitir identificar pessoas e mais? Ah, eu achei que era parecido com o do sagui. Coitado do sagui. Não, com o do Intercept, do Córtex. Um Córtex privado, talvez. Quando saiu o óculos da Meta, quando a Meta lançou o óculos, o menorzinho, (1:06:59) o Meta Quest, que é um negócio gigante ainda, deu todo um fuzuê, o óculos com IA integrada e tal. Eu comentei, não lembro com quem foi, se foi contigo ou se foi lá com a Dani, com a Camila, com o Mateus, não sei com quem foi. Mas eu comentei da possibilidade de tu estares usando um óculos desse, e eu até falei: “Bah, não sei se eu me sentiria à vontade na frente de uma pessoa com um óculos desses”. Porque daqui a poco ela pode estar ali com o óculos, se ele tem (1:07:30) integração com a internet — não precisa nem ser direta, com a IA —, se tem acesso à internet, tem acesso à IA, ponto. Mas se ele tem microfone, tem câmera, etc., pouco custaria ele ficar analisando, pegando amostras da minha voz, ou pegando efetivamente o que eu estou falando, o que eu estou fazendo na frente da pessoa. Gravam voz, gravam. Eles têm microfone e câmera. Então, pouco custaria isso ser enviado para algum lugar, sendo feito um processamento em tempo real e dando dicas para a pessoa (1:08:01) que está ali conversando comigo. A pessoa está em uma reunião. Entende o potencial disso? Foi a primeira coisa que eu pensei quando eu vi o lançamento desses óculos. Pensei justo na coisa errada que dá para fazer. Então, de repente, estou lá em uma reunião, conversando contigo, ele está analisando para mim os argumentos que tu estás colocando e me dando dicas, me soprando no ouvido: “ele está citando tal coisa, provavelmente ele está querendo ir nessa direção”. Uma coisa meio… não tão futurista assim, talvez. E agora eu vejo que com essa (1:08:31) notícia, que foi tu que levantaste inclusive, que eu achei bem interessante, alguns estudantes fizeram exatamente isso. Eles integraram… Esses estudantes, Vinícius? Esses estudantes. Mas foi muito interessante o que eles fizeram. Eles pegaram o óculos, justamente o óculos da Meta, e fizeram uma identificação em tempo real usando biometria facial, identificando os rostos das pessoas e trazendo, em tempo real, detalhes sobre elas. Tipo um “doxing” em tempo real. Então, eu olho para o Guilherme com o óculos, ele me traz o nome do Guilherme, informações da rede social dele, começa a (1:09:16) me trazer um monte de informação do Guilherme ali no óculos. Eles fizeram isso. O que daria para fazer, eles efetivamente fizeram. A matéria é do futurism.com, “The Smart Dox”. Inclusive, chamaram o projeto de “AI X-Ray”. E o que eles fazem, efetivamente, é capturar a face das pessoas em tempo real, passar essa captura para um serviço chamado PimEyes, se não estou enganado. E a partir dessa captura, eles identificam a pessoa. Nós (1:09:57) testamos o site, o PimEyes (“P-I-M-E-Y-E-S”), “face search engine, reverse image search”. A gente testou isso logo antes de gravar e funciona, ele identifica a pessoa. E a partir daí, eles usam um Large Language Model para fazer a pesquisa na internet, em redes sociais e tudo mais, por dados sobre aquela pessoa. Inicialmente, eles acharam uma coisa muito interessante. Em seguida, segundo a matéria, eles se deram conta, ou foram chamados a atenção, de que “olha, isso é um perigo, é uma coisa complicada”, e acabaram convertendo (1:10:37) a solução que eles desenvolveram em um alerta, não é algo que eles pretendem tornar público. Mas chama a atenção, não sei se é nesta matéria, que há algum tempo, o próprio Google… deixa eu ver se é nesta matéria aqui. Sim, aqui. Os jovens estudantes não foram os primeiros a fazer o release de uma ferramenta como essa. Como revelado pelo The New York Times, pela repórter Kashmir Hill, em um livro (1:11:17) que ela escreveu sobre IA, tanto o Facebook quanto o Google construíram ferramentas de reconhecimento capazes de identificar rapidamente faces, ou seja, fazer um reconhecimento em tempo real. Mas decidiram не seguir adiante com a tecnologia por causa de problemas óbvios relacionados à privacidade. É aquela história: achar que eles simplesmente jogaram isso aqui fora, eu acho que é uma inocência, muita inocência achar que o Google e o Facebook desenvolveram isso e “meu Deus, isso aqui é perigoso” e jogaram fora. Eu acho que (1:11:58) isso pode estar sendo utilizado de alguma outra maneira, ou vai acabar vindo em algum produto, ou já está sendo colocado em algum tipo de produto. Então, à medida que a gente vai tendo óculos conectado com IA, um reloginho conectado com IA, um bottom que vai na tua camiseta conectado com IA, um anel conectado com IA… vocês vão encontrar soluções assim por aí. E à medida que esse negócio se torna cada vez mais potente, e potente no sentido de conexão ubíqua, ou seja, conectado o tempo todo, (1:12:33) acesso a modelos de IA cada vez mais rápidos, uma capacidade cada vez maior e mais rápida de resposta, a gente tende a ver tecnologias mais comuns nesse sentido. Desde tu pegar um computador e estar em uma reunião com o computador e, em vez de tu iniciares uma conversa, ou mesmo com o celular, que agora o ChatGPT finalmente lançou a conversa avançada… O meu já tinha faz um tempo. Conversa avançada, áudio? Já tinha. Eu interrompia ele… Que chato isso. Até atualizou para uma melhor, para uma (1:13:07) tecnologia melhor. Mas eu já conseguia conversar, interrompendo, conversar mesmo. E ele ia respondendo, eu o interrompia, ele aguardava. Então, agora tu imagina, em vez de ter isso, tu estás lá com um fonezinho de ouvido, com o celular na mesa, a reunião rolando, o ChatGPT no modo de escuta. Ele está ali, escuta, não precisa nem do fone de ouvido, ele só está no modo de escuta, te dando um resuminho, fazendo uma análise do que estão falando para ti na tela do teu notebook, que é bem normal tu estares em uma reunião hoje com o notebook aberto. Então, isso já pode (1:13:39) ser feito. É correto tu fazeres isso sem avisar as pessoas? É correto tu submeteres um grupo a uma análise, uma pessoa a uma análise em uma conversa que ela está tendo contigo, sem ela saber que tu estás fazendo isso? Simplesmente pelo fato de que tu podes ter isso de alguma maneira escondido no teu óculos, no teu bottom, no teu pingente no pescoço, seja lá o que for, no teu relógio. Eu gostaria que, se alguém usar um óculos desse perto (1:14:13) de mim, o óculos acendesse uma luz vermelha para mostrar: “estou gravando você”. O primeiro smartphone que eu tive, que foi um Nokia, era smartphone sim, era o N95, pode ser? Era o Nokia N95. Ele tinha uma luzinha. Com câmera fotográfica, câmera super boa, lente Carl Zeiss para a época. E ele, quando você ia gravar um vídeo, acendia uma luzinha vermelha. Imagino que com essa preocupação, para que as pessoas… Hoje, claro, isso não existe mais. Hoje as pessoas se filmam (1:14:52) e se fotografam sem barulho, sem luzinha e sem nada. Se naturalizou. Mas na época, você tinha uma preocupação dessas. Só para destacar, Vinícius, essa PimEyes, ela também oferece uns serviços de proteção para retirar fotos da internet, para te avisar caso uma nova foto apareça. E o top service deles aqui, que é o Advanced, custa 17.000… (1:15:18) por ano. Daí tu podes fazer pesquisas ilimitadas, podes acessar as fontes das imagens, você tem 500 alertas… 17.000? Dólares. Não, reais. R$ 17.000. Ah, então está barato. O Open Plus, por ano, é R$ 800. Mas a ideia seria você identificar eventuais ocorrências e tudo mais. Caramba. E aí, tem mais uma tua, Guilherme? A gente já passou de uma hora e quinze. Sim, sim. Eu gostaria de falar rapidinho sobre um outro, foi um verdadeiro escândalo, dá para se dizer, (1:16:05) porque algumas multinacionais começaram a montar o que eles chamaram de cartel. Foi uma investigação promovida pelo CADE em que eles identificaram que 33 empresas multinacionais formaram esse chamado cartel para trocar dados de empregados. Foi uma prática que se iniciou lá em 2004 e foi até 2021. E eles montaram tipo um pool, uma “joint venture” ilegal, claro, para trocar informações sobre salários e benefícios dos empregados, envolvendo dados como salário atual, se a (1:16:42) pessoa tem veículo ou не, qual o plano de saúde da pessoa, se tem transporte ou não, vale-transporte, vale-alimentação, as demissões feitas, férias, licenças, educação, benefícios de planos de saúde, entre outros. Eles tinham, inclusive, canais digitais para a troca dessas informações entre eles, até grupos de WhatsApp, e faziam até mesmo encontros durante a pandemia, claro, em home office, para proteger a segurança de todos. E qual era o objetivo disso? Que as pessoas que estivessem nessas listas не receberiam benefícios nem ofertas (1:17:21) vantajosas. Você usaria isso para saber informações, tipo uma “blacklist”, mas, na verdade, era para prejudicar os consumidores. E por que o CADE entra? Porque afeta a concorrência entre as empresas. Ou seja, você está afetando ali não somente a concorrência, mas também as próprias situações em que essas pessoas poderiam ganhar mais. Porque, como todo mundo tem acesso aos dados de todo mundo, você poderia oferecer salários iguais ou menores e não aumentar. É uma forma de você lidar com um eventual déficit informacional ali (1:17:56) natural entre mercados como esse. E esses impactos acabaram atingindo, segundo o CADE, o âmbito da concorrência. Mas, nota, não é só a concorrência. A reportagem não falou sobre isso, não sei se eles se deram conta, certamente se deram, mas você tem aí uma violação clara da LGPD, porque essas pessoas… é um tratamento totalmente ilícito com fins discriminatórios. O Vinícius está mostrando a lista dessas empresas. É difícil de encaixar na (1:18:34) tela aqui. São multinacionais, mas você vai encontrar, por exemplo, bem conhecidas, como IBM, Natura. Me chamou bastante atenção que isso estaria… Para não listar apenas algumas, Guilherme, eu vou ler só o primeiro nome de cada uma delas: Alcoa, Alumínio, Avon Cosméticos, Cargill Agrícola, Claro, Coca-Cola Indústrias, Companhia Siderúrgica Nacional, Danisco Brasil, General Motors do Brasil, Goodyear do Brasil, IBM Brasil, (1:19:14) Kimberly-Clark, Klabin, Arcos Dourados Comércio de Alimentos, Monsanto, Nestlé Brasil, PepsiCo… Lembrei do Roberto Justus xingando o cara. PepsiCo do Brasil, Philips do Brasil, Pirelli, Sanofi-Aventis, Serasa, Siemens Energy Brasil, Souza Cruz, CPFL, Syngenta, Vale, Volkswagen do Brasil, Votorantim Cimentos, Votorantim Industrial e White Martins. (1:20:04) Essas são as 33 listadas aqui na matéria do Robson Bonin, da Veja. E nessa mesma linha ainda, houve uma outra notícia que as teles, as nossas teles aqui, Claro, Vivo e tudo mais, estão estudando usar dados de clientes para começar a vender score de crédito. Na verdade, é uma intenção, um estudo. Eles estão estudando isso, mas, e eu não sabia disso, Vinícius, as teles já compartilham dados de clientes pós-pagos para os birôs de crédito desde 2020. Eu não sabia disso. A novidade agora é que eles vão começar a fazer isso também para os clientes pré-pagos. E aí existiria (1:20:54) uma API para consumir esses dados. Eu vou ler aqui o que o Leonardo Silva, executivo de IA e Big Data da Vivo, disse: “serão considerados variáveis como tempo de relacionamento, tipo de plano, comportamento de pagamento do usuário na operadora, que venderá diretamente a informação da nota”. Eles, de forma muito adequada, entrevistaram o nosso amigo Rafael Zanata. Ele diz o seguinte: que o problema é que daí você poderia passar a fazer uma perfilização de pessoas mais pobres, que seriam as pessoas que, em geral, iriam (1:21:28) utilizar os planos pré-pagos. E, claro, eles vão dizer: “ah, vai ser muito bom, imagina só, a pessoa não tem conta em banco, mas se ela vai tirar um crediário e ela é uma boa pagadora da sua conta de telefone, poderíamos ter vantagens de score de crédito”, aquela coisa toda que se coloca. Enfim, o problema здесь, inclusive para os dados dos pós-pagos que já são transmitidos, é a questão também de proteção de dados. Você tem um desvio de finalidade. Os dados não foram (1:22:03) recolhidos para criar esse score de crédito naquele contexto. E você não vai poder se opor a esse tipo de tratamento. Provavelmente, eles vão usar o legítimo interesse para fazer isso, mas me parece que não passaria no teste do legítimo interesse vender dados de uso de telefones para fazer discriminação. E como uma coisa claramente proibida pela LGPD. A gente sempre teve essa coisa aqui no Brasil: “eu preciso registrar todo mundo com o Marco Civil”, tem que registrar. E os telefones, ninguém pode criar um telefone (1:22:41) sem a identificação de quem ele é, porque senão essa pessoa pode cometer crimes. É curiosa essa restrição aos direitos que se coloca. Nos próprios Estados Unidos, a gente brincou antes, você tem lá os “burning phones”, você vai lá, compra num posto de gasolina um telefone e fala. Você pode cometer crimes? Sim, você pode cometer crimes, assim como você pode cometer crimes com armas também, que aqui no Brasil você teve uma ampliação. Assim como o dinheiro também é usado para cometer crimes. Mas o ponto é como são curiosos esses (1:23:13) usos, algumas justificativas que se usam para, por exemplo, começar a coletar dados de todo mundo para depois desviar a finalidade para novas finalidades não relacionadas com aquela justificativa que você deu para interferir em direitos fundamentais. E aí, depois você passa a usar isso, por exemplo, para o mercado de crédito, para gerir risco de crédito, mesmo para quem eventualmente não vai buscar crédito ou não pode se opor. Então, é um pouco do estado do que tem acontecido no Brasil com a proteção de dados. Pois é, cara. (1:23:47) É aquela velha questão que a gente já discute há muito tempo: proteção de dados e mau uso. É uma coisa que o pessoal diz: “não vai acontecer, não vai acontecer”. Mas abre uma brecha, deixa a coisa um pouquinho descontrolada, e tu já começas a ter gente fazendo mau uso das coisas. Bom, falando em mau uso, Guilherme, eu vou trazer uma última aqui. Vamos lá. Eu já dei a minha última, agora é a minha última aqui. É mais uma curiosidade, mas tem a ver. A Deebot, “Deebot robots vacuums”, ou seja, aspiradores de pó da Deebot. (1:24:27) Eles têm no aspirador de pó deles, no robô aspirador, câmera e microfone. Câmera eu até entendo, para ver… Não, mas… tem os sensores, talvez, tem o LIDAR, tem um laser, um radarzinho para mapear obstáculos. Mas o que os caras estão fazendo? Eles estão mapeando as casas das pessoas, óbvio, para poder aspirar, que é o que o robozinho faz, mas eles estão tirando fotos, mandando informações, mapas 2D e 3D do ambiente que eles estão aspirando e (1:25:12) gravando áudio, e mandando essas informações de volta para casa, ou seja, mandando lá para os servidores do fabricante, em tese para treinar modelos de Inteligência Artificial. Exatamente para quê, etc., não se sabe. Quem está advogando isso é o… eu vou dizer o nosso amigo, que nós já trocamos mensagem com ele, então somos amigos, já nos autorizou há anos a traduzir artigo dele e tudo mais. Da Inteligência Artificial, quando as pessoas traduziam manualmente. Hoje não precisa mais. Que é o Bruce… Poxa, o (1:25:58) nosso amigo Bruce, o Bruce Schneier. O Bruce Schneier cita uma matéria de uma agência de notícias australiana. Está aqui a notícia, vou clicar aqui, vou abrir rapidamente. Então, ele referencia esta notícia aqui, vai estar lá no show notes para vocês. Justamente, o que eles descobriram é que esse robô, fabricado pela Deebot, esse aspirador de pó, está coletando fotos e áudio para treinar uma inteligência artificial do seu fabricante. Para que exatamente, não se (1:26:34) sabe. Só se sabe que ele está, enquanto aspira a tua casa, coletando informações. Eu espero que nenhum de vocês que esteja nos ouvindo agora esteja com um desses equipamentos em casa, porque deve ser um saco comprar um negócio desses e, de repente, descobrir que tem microfone e câmera nele. Ou seja, eu já iria pegar ele, trazer aqui para a minha bancada, abrir e sair fazendo… Tu mandaste… Não, eu mandei que o Google já fez isso, as câmeras Nest. Eles tinham uma central Nest deles que também tinha um microfone escondido. Eles disseram que foi um erro, aquele (1:27:15) microfone escondido ali. “A gente botou aquele microfone lá…”. Às vezes você está fazendo um equipamento qualquer: “Olha só, coloquei um microfone sem querer”. Mas aconteceu recentemente com pagers, a galera sem querer botou uma carga explosiva em uns pagers por aí. Esse tipo de situação… Que eu mostre do Nest também? Não, só ele dizendo que o Google admitiu o erro de ter um microfone. Mas o seguinte, isso aqui é bem interessante porque é só para chamar a atenção que os dispositivos estão cada vez mais complexos e a gente (1:27:50) já comenta isso há bastante tempo. Hoje, ter um microfone em um relógio de pulso não é novidade. Todo smartwatch já tem comando de voz e não sei o quê. Então, tu tens um monte de microfones ao mesmo tempo. A gente comentou há vários episódios, isso deve fazer uns 10 anos, pelo menos, Guilherme, que tem mais câmera e microfone em um dado ambiente do que pessoas. Só o celular garante duas ou três câmeras e um microfone, no mínimo, por pessoa. Só o celular. Sem contar… mas vamos contar uma para o celular, (1:28:28) para ser justo. Ainda entre nós aqui, quantas câmeras a gente tem aqui em volta? Sim, tem o tablet, tem a Alexa, tem a câmera do celular… Já está aqui a Alexa querendo responder. Então, tem câmera do celular, tem a câmera do computador, tem a câmera do notebook, enfim. E agora o aspirador com câmera e microfone gravando o que acontece na tua casa. Que bom, maravilhoso. Eu fico bem feliz em ver que essas profecias, não nossas, algumas talvez nossas, mas eu já não lembro mais, (1:29:05) se realizando. Estou sendo sarcástico, gente, eu не estou nem um pouco feliz de saber que tem microfone por aí escondido na casa das pessoas, e câmera. É isso, Guilherme. É isso. Sobre o… só para… ainda sobre o… eu estava procurando essa notícia. Na verdade, a Nest tinha uns termostatos. Sim. E eles disseram que não iam fazer uma coisa e depois fizeram. Falamos sobre isso, eu lembro bem do caso. A Nest tinha uns termostatos para fazer climatização, “smart home” lá nos Estados Unidos. (1:29:43) A gente mostrou as notícias, inclusive, acho que a gente mostrou até, gravou vídeo no YouTube sobre isso. A Google comprou a Nest. Aí sai uma matéria dizendo: “Não se preocupem, a gente não vai usar os dados do Nest”. E no dia seguinte ou dois dias depois, sai uma matéria dizendo: “Google vai utilizar os dados do Nest”. Então, sim, a gente gravou sobre isso, a gente tem episódio sobre isso. Não sei se tu consegues achar, Vinícius. Cara, eu estou procurando, ele (1:30:16) deve ter ficado perdido em algum de notícias. Cara, não sei se a gente gravou um episódio especificamente sobre isso, e de qual maneira a gente vai indicar o episódio? Mas você não vai conseguir ouvir agora, porque enquanto… Não tem, não tem no… Também não achei. Deve estar em alguma notícia que a gente gravou por aí. Então, vai ser difícil encontrar esse Nest aí. Quem sabe uma ferramenta de IA que indexe tudo que a gente já (1:30:44) falou no Segurança Legal até agora ajude a gente a encontrar? Eu não gosto muito dessas ideias. Sei que você fica feliz por isso. Não, pô, a gente vai conseguir localizar muito mais rápido aquilo que a gente falou. “A gente falou em algum episódio sobre Nest”, ele vai lá, cata e nos mostra o episódio. Mas é isso aí, cara. Café Frio e Café Expresso. Café frio. Ah, puxa, você me pega de surpresa. Não, surpresa não, a gente tem que encerrar com isso. Bom, eu vou dar o Café Frio para o Córtex, para o Ministério da Justiça de maneira geral. (1:31:14) Apesar de, enfim, ter diversas iniciativas importantes, de trabalho magnífico no âmbito, sei lá, do Direito do Consumidor, da secretaria do consumidor, mas essa aqui eu sei que são coisas difíceis de voltar atrás. Mas, pelo menos, regulamentar, restringir, justificar acessos e consultas, tem que ter nisso aqui. Além, é claro, da gente estar precisando de uma LGPD penal. Café frio vai para… Vou dar o Café Frio para o Córtex mesmo, para o sistema. Como eu não quero ser monitorado pelo Ministério da Justiça, o meu Café Frio vai ser para a Deebot, (1:31:56) essa empresa chinesa que nem sabe que eu existo. O Ministério da Justiça, se quiser usar o Córtex com alguém do Segurança Legal, por favor, utilize com o Guilherme Goulart. O Café Expresso… Cara, eu não tenho Café Expresso. Não sei para quem dar o Café Expresso. Para a Pública. Agora eu vou ser monitorado, porque agora eu estou entrando nessa, dizendo que vou dar o Café Expresso para a Pública. Vou dar o Café Expresso para a Pública pela matéria que foi feita, muito bem feita, com (1:32:34) bastante informação. E eu acho que não é boato, daquele jeito que a gente gosta. Teve uma parte ali, Vinícius, que eles dizem: “ah, tem aqui os acordos de cooperação técnica já realizados com as prefeituras e ‘pá’, link para os acordos de cooperação”. Você consegue ler todos os acordos. Todos. Isso é que é jornalismo. Às vezes a gente vê coisas assim: “ah, que um estudo apontou…”. Onde? Cadê o link para a droga do estudo? Cadê o link para o artigo? Não colocam. Acho que é medo que a concorrência pegue (1:33:06) e também faça uma matéria sobre o assunto. Para não sair do site. Desculpa, isso foi uma inocência minha gigantesca. Realmente, é para não sair do site. É verdade. É isso, Guilherme. Acho isso. Então, mais uma vez, chamando para quem chegou até aqui, talvez pulou o início, chamando você para a nossa live na próxima sexta-feira, às 15 horas. A gente vai estar gravando o episódio do Segurança Legal ao vivo sobre gestão de incidentes de segurança, obviamente. E de novo, é a (1:33:43) gravação normal do podcast, que nem a gente já fez outras vezes. Esse assunto já está um tempo no forno e finalmente vai sair. Vai ter distribuição de conteúdo, a publicação de um conteúdo em texto para você ir acompanhando. E depois, também, se não puder acompanhar, não tem problema. Se puder entrar lá, acompanhar a gente, quiser mandar alguma dúvida, alguma pergunta, fique à vontade. Se a gente conseguir, a gente encaixa. Ajude a gente a divulgar nosso trabalho também lá no YouTube. Então, vai lá, dá uma moral para a gente, diz que está assistindo, dá um joinha, aquela história do sininho, aquela (1:34:16) coisa toda. Então, dê um apoio para nós lá, que também é uma forma de divulgar e de apoiar o Segurança Legal. Claro, claro. É isso aí, Guilherme. Tá bom, então. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima. Beleza, deixa eu parar aqui. Estou parando o Audacity, Guilherme, que está gravando, e vou tirar o urso aqui da sala do Discord. Então, sim, você que está vendo a gente pela primeira vez aqui gravando no YouTube, a gente grava usando o Discord. Depois de muitos anos, a gente usou o Skype. Quando o Skype não (1:34:58) tinha sido comprado ainda pela Microsoft, era bom, funcionava muito bem. Ele tinha uma qualidade… eu me lembro até da carinha dele, excepcional. Era muito bom. Quer dizer, acerca da qualidade de áudio. Da segurança, acho que não era grande coisa. Bom, não, mas naquela época acho que nada era seguro. E aí depois a gente começou a usar o Jitsi, antes dele virar o Jitsi Meet na web. O Jitsi, verdade. Que era o XMPP, o protocolo, né, Vinícius? XMPP, acho que (1:35:30) é. XMPP, que é o Extensible Messaging and Presence Protocol, que era uma promessa, que todo mundo deveria usar XMPP para os sistemas se conversarem entre si. Só que, na verdade, o que as big techs não querem é que os sistemas se conversem, querem que você fique só dentro do deles. E aí, depois do Jitsi, a gente ficou usando o Jitsi por um bom tempo. Sim. Aí começou a ficar muito ruim, a gente começou a gravar local. Sim, a gente entrava na sala, gravava local e juntava tudo localmente por (1:36:07) muitos anos também. Afinal de contas, já faz 12 anos. Sim. E aí, depois de um tempo, fizemos algumas tentativas em outra coisa e chegamos até o Discord. A gente não chegou a testar aquele via OBS, que você faz a conexão direta entre os… tem o NDI. O NDI é uma coisa bem interessante para quem gosta de mexer com áudio e vídeo. É bem interesante, mas acho que não ficou… a gente corre o risco muito grande de ficar dessincronizado o áudio e sabe, fica uma (1:36:44) coisa meio estranha. E a gente tem, hoje a gente grava com o Craig no Discord, para que saia o áudio ali. A gente grava local no Audacity, que é o nosso backup, caso dê alguma caca muito errada. E nós temos a gravação no OBS, que eu faço local aqui, que é essa edição que você está vendo no YouTube, é gravada aqui no OBS, capturando o Discord do Guilherme, o áudio que vem dele. E a gente já teve que recorrer… no último episódio, tu pegaste o áudio do Discord. Não, desculpa, do OBS. (1:37:19) Do OBS que grava do Discord. Sim, sim. A minha máquina reiniciou, na verdade, eu perdi a minha gravação local, e a gravação do Discord, por algumas questões de rede, ficou meio picotada. Então, nem tem mais essa… Às vezes o Discord começa a degradar. Até para quem pergunta como são feitas as gravações. Mas, enfim, existem outras ferramentas, até pagas, que você consegue fazer isso. Tem, tem. Mas a gente nunca chegou em uma coisa que valesse realmente a pena, (1:37:50) além do custo, tem que pagar o negócio, mas que fizesse uma diferença enorme. Principalmente o áudio. Eu vi uma vez um sistema, eu perdi o nome, que algumas bandas usavam para ensaiar pela internet. Mas eu confesso que não sei como eles resolviam essa questão da latência e tudo mais. A latência tem que ter algum tipo de sincronismo. Cara, eu só vou dar uma extra aqui, uma notícia extra que tu separaste, que é bem interessante, rapidinho, da BBC. (1:38:28) O título me chamou a atenção. O título deles é: “A Microsoft relança o pesadelo da privacidade que é a ferramenta de captura de tela com IA”. O Recall, lá da Microsoft. O Recall que fica gravando tudo que tu fazes no teu computador para tentar… Cara, tirando toda a parte ruim, o que ele faz essencialmente é gravar tudo que tu fazes no computador e dizer: “quando foi que eu falei com fulano?” ou “onde que eu botei o documento que eu baixei de não sei onde?”. E o Recall consegue, ele sabe o que (13910) tu fizeste. É uma inteligência artificial que sabe o que tu fizeste no computador. E, claro, por que isso é o pesadelo da privacidade? Cara, imagina tu ficares dando print de tudo que tu fazes no teu computador o tempo todo. É essencialmente o que essa IA faz. E a Microsoft fez o lançamento, a galera caiu em cima, ela voltou atrás: “não, nós vamos dar uma olhadinha”. E agora ela está relançando o Recall. Apesar de todos os apontamentos de privacidade e tudo mais. Eu achei o site aqui, Vinícius. O aplicativo chama JamKazam. (13951) Achei ele. Os músicos que gastaram os últimos seis anos construindo a melhor plataforma no mundo para ajudar músicos a tocar juntos, com alta qualidade de áudio e vídeo. É free. Tem uns vídeos ali, teria que ver como funciona. De repente, não sei se a gente não poderia usar isso aqui. (14028) Pois é. Esse negócio é bom. E música tem que ter uma qualidade razoável. Claro, claro. Tem uns vídeos ali, depois eu vou assistir direitinho. Interessante. Olha aí, quem está querendo gravar música ou até mesmo podcast, pode usar. Além das dicas que a gente deu, dá uma olhada nesse cara aqui. Tem um canalzinho separado. Legal. Estavas guardando isso aqui para mim? Era isso que tu estavas fazendo? Não, cara. Então, claro, tu tens que ter… (14102) Enfim, mas aparece o pessoal tocando junto aqui. Microfonezinho ligado em cada um. Todos eles estão usando Mac, por algum motivo. Tem o plano free, tem o Silver que é por mês, tem o Gold que é por mês. Não é nada absurdo. E tem o Platinum, que é o preço padrão de IA na internet. Mas não é ruim, não, cara. Justo. Eu vou… eu estou neste momento já botando meus dados aqui, estou criando uma conta para vocês verem como vale a pena assistir a esses minutos que (14139) vêm depois do Segurança Legal. É o que a gente chama de serendipidade. Quando é que eu imaginei que nos minutos extra do Segurança Legal eu ia conhecer uma nova plataforma de gravação de áudio? Obrigado, Guilherme, por ter escondido isso de mim até o presente momento. Não, mas eu tinha me esquecido disso na minha vida, não sei por que lembrei agora. Ah, porque a gente estava falando dos apps. Cara, mas isso aqui pode ser bem interessante para nós. Sim, pode ser bem interessante. Acho que vale a pena dar uma investigada. (14208) Ótimo. Beleza, então. Com o JamKazam a gente encerra esses minutos extras que a gente deixou aqui para vocês. Muitíssimo obrigado para quem teve a paciência e o tempo de nos acompanhar até aqui e um grande abraço, né, Guilherme? Vamos lá. Até a próxima, pessoal. Não, “até a próxima” já foi, não pode usar essa frase no final. Um abraço, gente, até mais. É isso, um abraço, gente, até mais. Pode. Deixa eu parar de gravar aqui, peraí. Então, tu viste o videozinho dos caras tocando ali? Não vi, vou ver agora na sequência, quando terminar de (14237) gravar. Deixa eu só desligar aqui. Fala, galera, um abraço.   

Neste episódio, falamos sobre o guia da UNESCO para a IA Generativa na educação e pesquisa. Você irá descobrir os potenciais, os riscos e os desafios éticos e pedagógicos dessa tecnologia para alunos e professores.​ Aprofundamos a discussão sobre a Inteligência Artificial Generativa na educação e pesquisa, analisando o relatório da UNESCO. O guia aborda os riscos da IA, como a desinformação, o plágio acadêmico e a ampliação da exclusão digital. Comentamos sobre a importância da ética em IA e os desafios pedagógicos que surgem com a adoção dessas ferramentas. A conversa, conduzida por Guilherme Goulart e Vinícius Serafim, passa pela necessidade de desenvolver o pensamento crítico, a influência das big techs e a urgência de políticas educacionais claras. Debatemos também a regulação de IA, o princípio da explicabilidade e o que tudo isso significa para o futuro da aprendizagem. Se você gosta do nosso conteúdo, não se esqueça de seguir, assinar e avaliar o podcast na sua plataforma preferida Visite nossa campanha de financiamento coletivo e nos apoie! Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing   ShowNotes Guia para a IA generativa na educação e na pesquisa da UNESCO Livro – A fábrica de cretinos digitais: Os perigos das telas para nossas crianças – Michel Desmurget Livro – Faça-os ler!: Para não criar cretinos digitais – Michel Desmurget Livro – Guardrails: Guiding Human Decisions in the Age of AI – Urs Gasser e Viktor Mayer-Schönberger Podcast Uol Prime – A morte não é mais para sempre: os dilemas da vida eterna digital 📝 Transcrição do Episódio (00:02) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes. Depois de tanto tempo sem gravar, sempre jogando para a semana seguinte e não dando certo, com trabalho e tudo mais, e os posts caindo. Por duas vezes, cortaram minha fibra ótica em duas sextas-feiras. (00:42) A gente está lutando, porque tivemos uma série de problemas técnicos hoje aqui. Agora chegou a gata, mas nós vamos conseguir, vamos vencer esse episódio. Vamos lá. Pior, só contextualizando também, o Archive, que é o nosso host dos MP3 do podcast, sofreu um ataque cibernético que eles classificaram como catastrófico e está já há dois dias fora do ar. Então, nossos episódios estão todos lá. Por enquanto, só vão poder nos assistir no (01:18) YouTube. O próximo, este que você deve estar ouvindo, a gente vai colocar em um lugar alternativo, mas está complicada a situação lá, não somente para nós, mas para todo mundo que hospeda material lá. Beleza. Bom, vamos lá. Lembrando sempre que para nós é fundamental a participação de todos por meio de perguntas, críticas e sugestões de temas. Estamos à disposição pelo e-mail no podcast@segurancalegal. (01:45) com, no YouTube, no mastodon @[email protected], eu no @direitodatecnologia.com, o Serafin no twitter.com/viniciussemeao e o @segurancalegal no BlueSky. Também temos a nossa campanha de financiamento coletivo lá no apoia.se/segurancalegal. E a gente conclama que vocês ajudem, que vocês colaborem com um projeto independente de produção de conteúdo. A gente vem notado, Vinícius, que os apoios vêm caindo, o que a gente entende como natural, até porque as pessoas, existem hoje cada vez mais iniciativas de apoio, enfim, das (02:27) mais variadas. Mas a gente, mais uma vez aqui, pede, para nós é importante. E tem bastante podcast para dividir a atenção. Eu mesmo tenho bastante podcast no meu feed aqui. É a chamada economia da atenção. Mas aqui você tem qualidade, aqui não são aqueles mesmos. Tem um detalhe, a gente quer público, obviamente, a gente quer que você nos ouça e nos indique para outros amigos, mas, ao mesmo tempo, a nossa preocupação aqui não é (03:06) trazer as coisas de forma que a gente consiga simplesmente mais atenção, pura e simplesmente. Por isso, a gente traz coisas que julgamos relevantes e que sejam interessantes para você que nos acompanha, até em respeito ao tempo que você dedica a nos escutar. E também, quando você indica para alguém, pode ficar tranquilo que está indicando alguma coisa que é sólida, que faz algum sentido, Guilherme. Não é o único, tem mais informação por aí, mas a gente toma esse cuidado. A gente (03:38) não está aí só por causa da atenção. É um pouco que se conecta com o tema de hoje, IA na educação, e como também os conteúdos, os próprios conteúdos educativos, cada vez mais os alunos acabam migrando para coisas mais facilitadas, mais rápidas. Alguns até sequer procuram mais no Google, procuram agora no TikTok. O Guilherme está lá no TikTok dançando e tudo mais. A dança da LGPD. Não tenho feito essas coisas, mas tem conteúdo dessa natureza lá. Eu sei que tem. Estou zoando, (04:12) estou zoando porque justamente tem gente que faz para chamar a atenção, tem de tudo. Mas, Vinícius, apoie o podcast Segurança Legal. Se você nos ouve e já apoiou, considere apoiar. Você paga lá R$5 por mês, já é suficiente para ajudar este podcast a continuar existindo. E se você não quiser apoiar com dinheiro, apoie divulgando o projeto, recomende, passe adiante. Apoie comentando lá no YouTube, engajando nos posts, isso ajuda a fazer a divulgação. Claro, aparece mais. Converse (04:53) conosco lá no YouTube também, se você estiver nos assistindo por lá. Tem o blog da Brown Pipe, não podemos nos esquecer, Vinícius. Lá no brownpipe.com.br você vai encontrar aquele blog com notícias atualizadas semanalmente, relacionadas a essa nossa área, com curadoria do Guilherme. Exato. E você pode se inscrever no mailing, se quiser receber o mailing semanal ali na sua caixa de e-mail também. Bom, o tema de hoje, a gente ficou três semanas sem gravar, então o próximo café ele vai (05:31) ficar mais substancial, vai ser um jarrão de café, porque tem bastante coisa. O Twitter voltou, teve esse incidente com o Archive, teve coisas acontecendo no Brasil de novos incidentes, plataformas vendendo dados. Uma grande plataforma brasileira que está fornecendo dados para vários órgãos governamentais, que pega dados até de bilhetagem de ônibus. Mas aguarde, falaremos no próximo café. Hoje, o tema que a gente já tinha preparado, Vinícius, é que nós vamos (06:07) falar sobre o guia da Unesco chamado “Guia para a IA Generativa na Educação e na Pesquisa”. É um grande tema, eu acho que é uma das grandes questões da Inteligência Artificial hoje. Repito aquilo que o nosso amigo Paulo Rená comenta, ele já falou, enfim, mas eu sempre gosto de trazer essa ideia: quais são os problemas que a IA vai resolver para nós ou que a IA vai nos ajudar a resolver? E uma das questões propostas aqui, claro, há críticas e há ponderações que a gente vai fazer, é justamente seu uso no âmbito da educação. E esse guia, ele traz, (06:47) ele faz um overview geral, envolvendo questões mais direcionadas para países e para instituições, não é um guia que o estudante propriamente vai usar. Ele está numa perspectiva um pouco mais macro e traz uma série de preocupações. Por exemplo, ele começa a trazer aquele princípio que é um princípio da centralidade do ser humano, um princípio importante e relevante. Quem estuda e escreve na área de Inteligência Artificial vê esse princípio sempre aparecendo, que o ser (07:21) humano tem que estar no centro das preocupações para o uso dessas tecnologias. A gente sabe que esse é um baita de um desafio, porque colocar o ser humano no centro das preocupações da IA implica em você confrontar uma série de interesses comerciais. O Vinícius comentava, na verdade, a gente estava discutindo uma hora e meia antes de gravar sobre isso. O Vinícius nos lembrava aqui daquele caso da OpenAI, que aliás, começou Open e agora não é mais Open. Já faz um tempo que não é mais Open. (07:53) A história da OpenAI, para quem quiser procurar, até a saída de muita gente que estava no início, inclusive o Ilya Sutskever. A saída dele se deu justamente por discordâncias com relação à segurança do desenvolvimento da Inteligência Artificial. A questão do superalignment, que se chama, tinha um (08:33) time de superalinhamento dentro da OpenAI, justamente para garantir a segurança do modelo com relação aos seres humanos. E teve aquele evento antes do Ilya sair, eles tentaram tirar o Sam Altman, derrubaram o Sam Altman do cargo de CEO, e o Sam Altman fez o que fez e conseguiu voltar e detonou com tudo, passou o trator. E por que tiraram ele? Na época, chegaram a dizer que o board perdeu a confiança nele. Mas por que o board perdeu a confiança nele? Porque eles tinham acordado em ter um certo (09:12) controle do ritmo de desenvolvimento da IA, para que esse ritmo não fizesse com que a segurança ficasse em segundo plano. A gente não está falando de segurança da informação, está falando de segurança de funcionamento, com essa questão de proteção dos seres humanos e que os resultados sejam próprios para aquilo que você busca, segurança nesse sentido. E o que o Sam Altman estava fazendo? Ele estava dizendo uma coisa dentro da OpenAI e fazendo outra, ou seja, estava comprando empresa e contratando gente para desenvolver (09:44) chip, para treinar mais rápido os modelos, estava acelerando. Então, isso gerou uma confusão na época, derrubaram ele. Não lembro se deu 24 horas que ele ficou fora, mas ele conseguiu voltar. E no que ele voltou com força total, a galera começou a sair fora. Não que ele tirou, o pessoal resolveu sair mesmo. E o Ilya fundou uma nova empresa, se eu não estou enganado, é Safe AI. Ele funda uma nova empresa de (10:21) segurança da Inteligência Artificial, focada na segurança da IA, no safety da IA. E é uma empresa aí que está com 3, 4 meses de existência e os caras conseguiram levantar uma boa grana. De novo, assim como tudo, qualquer serviço de IA tem que pagar por mês, qualquer levantamento de investimento em IA, a gente está falando de alguns bilhões. Então eles conseguiram levantar os bilhões deles também para tocar essa empresa adiante. A gente vê que a OpenAI não é mais Open, já não é (10:58) há um bom tempo, é fechada. Quando a gente fala em safety aqui, eu não sei exatamente qual é a proposta deles, mas para as regulações, de maneira geral, sobretudo o AI Act, mas também os projetos de lei que a gente tem aqui no Brasil, vão mais ou menos nessa mesma linha. Mais uma vez, a gente bebe na fonte europeia, que é tanto você avaliar e definir certos usos da Inteligência Artificial que seriam de alto risco ou até mesmo proibidos, e outros que não teriam riscos tão grandes. (11:35) Mas você tem uma abordagem no risco. E o guia faz isso, ele avalia os riscos no uso, sobretudo porque, e esse é um dos pontos que a gente levantava antes, uma coisa é você usar o ChatGPT para escrever um e-mail, outra coisa é você usar ferramentas de IA generativa para educação de pessoas, sobretudo para educação de crianças. E até porque a educação de crianças e a educação de adultos também difere, sobretudo nas medidas pedagógicas, que eu acho que é um problema também que a gente vai falar. Quais são os (12:11) riscos mais ou menos identificados aqui? Primeiro, para esses valores humanos, para o agir humano. Lembrando que isso é a Unesco que está trazendo, não a gente. É o guia, a partir de agora é guia que a gente fala. Para o agir humano e para a própria agência humana e de que forma as nossas decisões importantes podem ser impactadas pela Inteligência Artificial. Inclusão, equidade, igualdade de gênero, diversidades linguísticas e culturais. Isso é muito importante e passa desde o uso de modelos que sejam (12:50) treinados para respeitar, sobretudo, diversidades linguísticas e culturais. A gente sabe que há uma prevalência, embora as IAs generativas que a gente conhece hoje sejam muito boas para fazer traduções, mas é inegável que ela tem uma prevalência do inglês. Então, se você for pensar em locais mais pobres, em países da África, por exemplo, que vão certamente estar utilizando línguas não muito faladas ou não muito presentes na internet, você pode afetar demais ou até mesmo excluir esse tipo de (13:26) grupo do uso dessas ferramentas. Então, também esse embasamento e a própria, você colocar nesses contextos opiniões, expressões culturais e plurais também, é um grande desafio. E é um grande desafio, sobretudo, porque a gente não sabe direito com as ferramentas que a gente tem hoje exatamente como elas são treinadas. E aí eles começam a colocar diretrizes para governos e para instituições. Fica bastante claro que a preocupação é com essa questão dos riscos e também colocar as IAs generativas dentro de um contexto de adequação ética e (14:04) pedagógica. E, professor, você tem experiência com isso, trabalha numa universidade também, e a gente vê que é muito comum nesses ambientes você usar uma tecnologia simplesmente por usar, para dizer que está usando. Quando usa. Na verdade, eu ia pegar o “quando usa”, porque o que eu já vi dessas lousas eletrônicas e não sei o quê em universidades por aí, não foi nenhuma nem duas, eu vi em algumas. Dei aula em alguns lugares e, quando tu vê, está aquele negócio pegando pó, ninguém mais sabe nem como funciona. Exatamente. No fundo, no fundo, (14:45) não pode ser uma expressão de uma educação que promova valores humanos válidos. E com o uso de tecnologias de maneira geral, não pode ser simplesmente você jogar aquilo para dentro dos ambientes. Quando joga, o exemplo das lousas é muito bom, fica largado, abandonado. Mas na verdade, e agora eu falo isso como o professor Guilherme, em verdade, em verdade vos digo, é que a gente sequer conseguiu integrar o computador e a internet dentro de uma pedagogia (15:30) bem estabelecida. Eu falo isso por mim, na minha área, que é o Direito. Eu sei que na área da tecnologia da informação, que é a área que o Vinícius atua, certamente a coisa é diferente. O cara está estudando engenharia da computação, ele vai… Tem um certo uso. Mas veja, você precisa inserir essas ferramentas, essas tecnologias, dentro de um contexto pedagógico. Porque o que eu vejo muito hoje na minha realidade, saindo um pouquinho, são alunos do curso de Direito fazendo trabalhos no celular, escrevendo trabalhos substanciais no (16:09) celular. Mas aí que está, quando tu gasta R$7.000 num celular, tu normalmente opta entre o celular e um bom notebook. Exatamente. E um ótimo notebook. Você compra um Mac com 7.000. Mac não, Macbook, claro que não. Por sete… Ah, não compro, mas não compro de jeito nenhum. Mas beleza, a gente está lidando com uma situação que… Eu percebi claramente isso, até a própria faculdade vinha num movimento de precisar de menos computadores em laboratório porque quase todos os alunos tinham seus próprios notebooks. (16:48) E de uns anos para cá, a coisa se inverteu. Tem cada vez menos notebook e a galera está com cada vez mais celular. Porque o pessoal vai lá e gasta 6, 7 mil no celular e não compra um notebook. “Ah, eu não tenho notebook.” Pô, mas tu está com um celular de R$7.000, amigo. O que tu está fazendo? “Ah, não tenho o notebook.” Porque não precisa, faz tudo ali e tal. Não duvido que tenha gente já fazendo TCC digitando com os dedões. Não duvido, não duvido. (17:22) Então. Agora vou dizer uma coisa que vai ficar muito louco: com IA generativa, talvez precise menos ainda dos dedos para gerar um TCC no celular. Mas fecha o meu parênteses. Os riscos trazidos pelo guia, um deles… Então, tu tens essa característica. Quanto é o Mac mais barato que eu encontrei aí? Macbook? 6.200, 6.300, 5.400. É, mas assim, R$5.500, um 2020, 8GB de RAM e 256. Mas, enfim, é um computador. Sim, sim, de boa. Tá, mas beleza. E aí é isso, (18:05) eu acho que a gente ainda tem… E isso o relatório também fala, quando ele começa a falar sobre o que a gente vai resolver. Ele diz exatamente: um dos problemas enfrentados pelos sistemas educacionais ao redor do mundo, ou seja, a IA sozinha não vai resolver qualquer um desses problemas. Ao lidar com problemas educacionais de longa data, é fundamental afirmar que a capacidade humana em ação coletiva, e não a tecnologia, são os fatores determinantes para se chegar a soluções (18:36) eficazes. É uma baita de uma constatação que eles colocam aqui. Lê mais devagar, tu leu muito rápido. O relatório aponta que a IA, sozinha, provavelmente não vai resolver qualquer um dos problemas enfrentados pelos sistemas educacionais ao redor do mundo. Ao lidar com os problemas educacionais de longa data, é fundamental afirmar que a capacidade humana e a ação coletiva, e não a tecnologia, são os fatores determinantes para se chegar a soluções eficazes. E isso vai de encontro ao que (19:12) as próprias universidades muitas vezes fazem quando lidam com a tecnologia. Primeiro, por não levar em consideração essa abordagem centrada no ser humano, por ignorar muitas vezes tecnologias que já estão dadas e sendo usadas por alunos, e outras vezes por tentar trazer tecnologias já totalmente superadas para o ambiente acadêmico. A gente não, me refiro ao Brasil, a gente não conseguiu lidar muito bem com isso ainda. E pior, nós temos problemas, se a gente for falar em educação básica, de escolas que não têm banheiro. (19:50) Você nota que os contextos de uso da Inteligência Artificial são contextos também que vão passar pela riqueza dos países e das populações envolvidas. Dentro de uma mesma cidade, você vai ter escolas caríssimas com todas as ferramentas possíveis e você vai ter escolas que não têm banheiro. Então isso é um problema. Claro, não é o foco da nossa fala aqui, mas a gente não pode ignorar isso, porque senão fica muito fácil. Joga Inteligência Artificial lá e deu. Então, isso é uma questão importante. Eu acho que eles não abordaram com a devida (20:33) profundidade a questão da dominância das big techs. Embora isso não tenha ficado claro, me parece que os interesses comerciais dessas grandes empresas podem sim entrar em conflito com esses objetivos dos valores humanos. E isso já acontece um pouco quando a gente fala em sites e serviços abertos na internet que acabam tratando dados de crianças. A própria Microsoft teve aqueles casos lá com a Prefeitura de São Paulo, tratando dados de alunos e de professores. Ou seja, você já tem certas tendências que (21:08) acredito que elas não desapareceriam com o uso de IA também, porque são tendências ligadas à big tech. E uma outra constatação que a gente faz aqui no Brasil, porque o uso da IA, sobretudo a generativa, por alunos já é uma coisa dada, Vinícius. Professores também, mas eu já vejo isso no meu cotidiano, uma coisa muito comum, os alunos estão muito mais rápidos, digamos assim, no uso. Eu tenho, claro, estou olhando num universo bem restrito, Guilherme. Eu tenho conversado com professores da faculdade aqui da cidade, de alguns cursos, eu (21:50) andei trocando alguma ideia com eles, e o que eu pude perceber é que eles já percebem que os alunos estão utilizando direto para fazer trabalho. Já se dão conta, ou no mínimo já desconfiam que isso está acontecendo. Mas eles mesmos não entendem muito bem como funciona, como se utiliza, o que dá para fazer. Eles ficam surpresos quando tu mostra um produto como o mais famoso, ChatGPT, um produto pago funcionando, ou quando tu mostra um Perplexity da vida, que a gente já comentou algumas (22:26) vezes aqui, funcionando, eles ficam apavorados. Ou seja, eles não têm a real noção do que realmente dá para fazer. E os alunos têm uma tendência, até pela ociosidade de tempo, talvez por uma abertura, por estarem mais receptivos a novas tecnologias, a experimentar coisas novas, eles acabam sendo os primeiros a experimentar. Claro que eu estou falando isso de um universo bem limitado, super limitado. Não tem um estudo que mostre, mas assim, a gente, claro, é uma coisa um pouco intuitiva, a gente não pode ignorar. O conhecimento é assim, a gente parte (23:10) também das nossas experiências para projetar possíveis cenários. Não parece que é algo que não esteja acontecendo, embora não tenha uma pesquisa nesse sentido. Agora, as faculdades e universidades, de maneira geral, elas também têm uma parcela de culpa, porque a sua grande maioria já deveria ter políticas muito claras sobre isso e também promover não somente treinamentos, mas políticas sobre como os próprios professores devem lidar (23:50) com isso. Veja, a Unesco tem esse relatório, é uma coisa que já está dada, mas eu trago um outro problema que as universidades brasileiras ainda não resolveram. As escolas estão começando a cogitar, com alguns projetos de lei, se não me engano no Rio de Janeiro, nesse sentido, que é o problema do uso do celular na sala de aula. O celular, a gente sabe, é uma baita de uma ferramenta que pode ser usada em contextos educacionais, aquelas ferramentas do Google, realidade aumentada para (24:22) pirâmide, sei lá o quê, aulas de História. Você tem uma série de usos interessantes, mas esse uso não está sendo feito. O uso que se faz do celular hoje nas salas de aula, nas séries iniciais e também na faculdade, é muito para você sair dali, para você se desviar do que está acontecendo. Então, vejam, a gente ainda tem outros problemas em relação à tecnologia que ainda sequer estão sendo debatidos nas universidades. Você não debate, (24:57) as universidades não estão dando aos professores meios para lidar com o fato de que, às vezes, você tem mais da metade da turma imersa em outros assuntos. E, claro, o professor que se preocupa com os alunos, ele fica preocupado, porque fica meio que num cenário de difícil de lidar. Então, quando eu coloco ainda Inteligência Artificial entre outros problemas que nós precisamos resolver, eu acho que as instituições estão ficando para trás e estão perdendo o passo. (25:30) A questão é que eu não colocaria a IA propriamente como um problema, assim como eu não creio que a internet seja necessariamente um problema ou que o celular seja o problema. A questão é a forma como essas coisas acabam sendo utilizadas, que aí sim são um grande problema. A gente está falando aqui de graduação, dos nossos alunos, na nossa experiência. Mas eu tenho filhos pequenos que estão na escola e tenho conversado com alguns professores, e o pessoal percebe (26:07) um problema bem sério, que é essa questão do uso de celulares por crianças. Tem coleguinhas da minha filha, que são crianças pequenas, que não estão na primeira série ainda, que têm Instagram. Rede social, a gente já comentou, já citou o livro aqui “A Geração Ansiosa”, você pode procurar, está disponível para venda em português. “A Geração Ansiosa” demonstra uma clara relação entre essas redes sociais como Instagram, TikTok, etc., e depressão em (26:52) adolescentes, principalmente meninas. Então, a gente já tem problemas sérios com relação a isso. Eu já, volta e meia, pego uma carona no ônibus que leva meu filho até a escola e cansei de ver criança grudada no canto do ônibus, olhando só para o celular, jogando. E aí independe do tipo de jogo, mas jogando, em vez de estarem interagindo uns com os outros, em vez de estarem ali brincando, discutindo, (27:25) daqui a pouco vai estar um em cada canto com um celular. Então, a gente já tem problema com mau uso de tecnologia. Não precisa necessariamente proibir a tecnologia, mas o mau uso está sendo percebido como um problema. Tanto que é uma discussão bastante grande nos Estados Unidos. Teve o retorno das aulas lá há umas duas ou três semanas, e qual foi a grande discussão nacional? Era que os alunos (27:56) estavam chegando em escolas que tinham banido o celular. Algumas baniram, outras exigiram que o celular fosse deixado num certo lugar antes de ir para a aula. Isso gerou uma boa de uma discussão. E a coisa está sendo tratada em nível de vício. Tem adolescentes admitindo que estavam viciados, que sentem falta, mas que se sentem melhores sem o celular disponível. Essa é uma discussão que a gente já está tendo. Nota que quando a gente está falando de Inteligência Artificial, a IA por si (28:35) só não é um problema. O problema é a maneira como tu vai empregá-la. Eu já disse, inclusive para professores do meu filho mais velho, “Olha, eu estou usando IA com ele, estou usando ChatGPT”. “Ah, mas está usando para quê? Para pegar resposta de problema?” Não, é um uso orientado. Então, eu oriento ele como ele deve utilizar, acompanho a utilização que ele faz, e é uma ferramenta extremamente útil. Ele já estudou inglês com auxílio do ChatGPT, ele já estudou (29:11) inglês, biologia, matemática. Então é útil, tu tens bons usos para isso. Assim como a internet, quando começou a ficar efetivamente acessível, a galera entrou numa piração de que todo mundo ia copiar tudo da internet. E como alguns fizeram. Eu, no primeiro semestre que dei aula, fazia tempo que não via isso, peguei um aluno só, isso aconteceu uma vez só. O cara me apareceu com o trabalho da Universidade da Bahia impresso, botou o nome dele e esqueceu de tirar uma série (29:48) de coisas dali. Tive que zerar o trabalho, o cara copiou o trabalho, baixou na internet e botou o nome dele. Quantos não fazem isso com a internet? Não fizeram e não continuam fazendo? Com a IA, o nível de escala é qualitativamente mais problemático e mais complexo do que simplesmente copiar coisas de algum lugar. Mas é mais complexo. Hoje você tem antiplágio. Embora os programas que as instituições oferecem já façam (30:25) automaticamente revisão de plágio nas entregas de trabalhos digitais, claro que é um problema, eventualmente passa. Mas parece mais complexo porque você tem situações em que o sujeito não vai ser pego. Daí a importância das políticas dentro das instituições para, de alguma forma, regular, estabelecer esses valores, ensinar de fato, que é o papel das escolas e das universidades, ensinar uma abordagem ética. Porque se a gente parte do pressuposto que essas pessoas, a partir de agora, é um caminho sem volta e todo mundo vai ficar usando isso para o futuro, a gente precisa ensinar as (31:04) pessoas a bem usar essas tecnologias. Concordo. Gostei que tu falou no plural ali, “essas tecnologias”, porque eu acho que nem sequer a internet a galera sabe usar direito. E aí tem aquele outro livro, “Os potenciais para a educação”. Sim, sim. E a gente tem aquele outro livro que a gente já citou algumas vezes aqui, que é “A Fábrica de Cretinos Digitais”, do Michel Desmurget. É um livro francês, foi traduzido para o português já há bastante tempo, em que ele coloca (31:37) justamente isso, essa incompetência. Sabe usar, é como se fosse o equivalente, com o que ele coloca com relação à internet. A analogia que eu estou fazendo é: é como se tu dissesse que o cara sabe ligar a TV, sabe sintonizar, sabe trocar canais, mas não tem capacidade crítica nenhuma para selecionar o que assistir. Aí o cara vê porcaria na TV. Tem coisa boa na TV? Claro que tem, só que o cara fica com o pior porque ele não tem uma visão crítica da coisa. E é exatamente o que ele coloca: a galerinha que sabe usar (32:11) a internet… o pessoal fica “Nossa, meu filho sabe usar internet”. Não dá para confundir saber usar ou acessar a tecnologia, navegar por ali, com ter uma visão crítica do que tem ali e ser capaz de selecionar o que é bom, o que é útil, aquilo que faz sentido. As redes sociais, com um monte de fake news, com um monte de bobagem sendo dita em diversas áreas do conhecimento humano, estão aí para demonstrar justamente isso. Se a coisa chama a atenção, não importa que seja a maior imbecilidade do mundo, a galera compra e se atira. (32:49) Sabe usar o Instagram, sabe usar o TikTok, sabe usar o navegador, mas não tem visão crítica para fazer o negócio. Claro, a gente já precisa disso há um bom tempo, porque aquele que não sabe o que está fazendo, ele vai pegar a internet, o navegador e vai copiar um conteúdo, e vai pegar a IA e vai gerar um conteúdo. Sim, ele vai fazer, só muda um pouco o funcionamento. Mas o cara não sabe o que está fazendo. E esse cara, ele (33:29) vai ser pego muito fácil no plágio. E pode tornar-se um problema, mas não tem como o cara enganar um professor que está acompanhando ele. Se existe um acompanhamento de um professor, a gente sabe por experiência própria que quando tu bate o olho no negócio, tu diz: “Ah, não foi tu que escreveu. Lamento, mas não foi tu”. A gente tem essa percepção, porque tu conhece o cara, tu (34:01) conversa com ele, tu sabe como ele se expressa, e de repente vem uma coisa que sai completamente fora dos padrões dele. Então, tu tens esse uso. E tu vai ter aquele que vai ser capaz… Ainda é um plágio, ele não vai copiar literalmente as ideias, mas é aquele cara que já tem a manha de pegar no livro, mudar um pouco as palavras, reescrever a coisa sem botar nada dele, só copiando a ideia do outro e torcendo um pouco o texto para não ser pego num antiplágio, que o (34:38) antiplágio essencialmente não pega ideia, ele pega trechos de texto. Por enquanto. É isso essencialmente que ele faz. Então, esse cara, ele vai se beneficiar sim do ChatGPT. E sim, ele vai conseguir enganar um monte de gente. Mas, ao mesmo tempo, ele vai chegar em momentos que não vai conseguir sustentar aquilo que está escrito, porque ele não sabe. E se ele aprendeu a ponto de sustentar, bom, deu certo o aprendizado de algum jeito. Mas (35:09) raramente isso vai acontecer. O cara tem um negócio escrito ali que não sabe sobre o que está falando. Eu me sinto assim no ChatGPT quando uso ele para pesquisar uma coisa que não é da minha área, eu fico no escuro. Não sei se ele está mentindo para mim ou não, não sei se ele está alucinando. Aí eu tenho que pesquisar outras fontes para me certificar de que aquilo que ele está me dando realmente faz sentido. Quando é da minha área, eu consigo avaliar. Agora, quando não é, eu preciso buscar outras fontes para verificar. Esse procedimento, essa forma de (35:40) usar a tecnologia, seja a IA ou seja a internet, o Google, sair pesquisando coisas, esse ensino que o Desmurget coloca lá na “Fábrica de Cretinos Digitais”, é o que a gente está perdendo. A gente não está conseguindo agir na mesma velocidade que isso vem sendo adotado pelos alunos, principalmente por uma certa negligência das instituições. A internet já está no Brasil há 30 anos, comercialmente. Se em 30 (36:21) anos os alunos hoje não são ensinados… você pressupõe que, por eles serem bons em usar redes sociais, eles sabem pesquisar na internet. Muitos dos meus alunos não sabem pesquisar na internet. Muitos dos meus alunos se surpreendem, por exemplo, ao conhecer o Google Scholar, o Google Acadêmico. Que nem para Direito você vai encontrar uma série de coisas, tem outras melhores. A faculdade paga para eles, e esse também é um desafio que a gente tem, a faculdade paga para eles uma (36:59) ferramenta super caríssima para pesquisa de artigos acadêmicos do Direito e que não teve um momento que a faculdade até desabilitou porque não era usada. A pessoa não usa. A gente imaginou que essa facilidade no acesso a uma série de informações iria melhorar a qualidade do que é produzido nas instituições. E olhar a história também nos mostra que, com questões talvez até menos complexas do que a inteligência artificial, a gente ainda não conseguiu (37:41) resolver. O guia, então, é dividido em seis capítulos. No primeiro, ele começa a trazer o que é a IA generativa, explica, traz uma explicação, já coloca alguns desafios ali, seja por meio de toda essa engenharia de prompts, seja também o fato dos alunos poderem aceitar passivamente o que a inteligência vai trazer, sem uma avaliação crítica. E isso a gente já vem acontecendo. Hoje de tarde vi uma sentença em que o (38:16) juiz esqueceu de apagar o prompt. Não sei se é verdade, está rolando em grupo, mas é factível. E outra em que a sentença inventou uma redação de um artigo do Código Civil, o que já aconteceu comigo diversas vezes quando eu tentei, hoje até meio que já desisti, para discussões mais complexas. Então, você tem esse problema dessa dificuldade, sobretudo de alunos mais jovens, mas na faculdade também vai ocorrer, de você não conseguir distinguir quando a ferramenta está alucinando ou (38:51) simplesmente trazer respostas muito simplórias para aqueles problemas muitas vezes complexos e que vão exigir… na verdade, tem problemas que não é nem certo e errado, tem problemas que você só quer que o aluno reflita sobre aquilo. E esse uso, tu falou dos alunos jovens, mas como tu disse, tem juiz… já aconteceu, não só esse caso aí que tu ficou sabendo por um grupo, mas teve caso notório na (39:24) mídia de um juiz que… não foi ele, ele usou a IA, não revisou o que a IA fez, e a IA inventou lá uma jurisprudência que não existia. E foi o advogado, lá nos Estados Unidos, não aqui no Brasil. E inclusive a parte que discordou da sentença foi para cima justamente apontando isso: “isso aqui não existe”. E a gente teve uma situação que comentou no podcast há um tempo atrás, de um jornal, a gente mostrou até a notícia (40:00) no jornal que saiu o prompt. Mas o prompt foi legalzinho, o jornalista pediu: “Escreva um artigo isento…” não sei se tu lembras disso. E o prompt saiu logo no início da matéria. E o cara publicou, saiu no jornal a publicação tal qual o prompt foi colocado. Tu tens esses acidentes que vão acontecendo pelo caminho. E, por enquanto, esses acidentes nos mostram o que está acontecendo. (40:44) A gente consegue perceber o que está acontecendo por causa desses acidentes, porque eles ainda acontecem, ou por descuido de alguém pegar e simplesmente sair copiando o negócio, ou porque copiou junto o prompt, ou porque a forma de escrita ficou meio na cara que é o ChatGPT. Só que a coisa vai chegar num ponto que tu vai ter, se já não temos, ferramentas integradas nas edições de jornais e tal, que o jornalista vai ter que revisar ainda por um tempo, mas daqui a (41:20) pouco não sei. Vai ter um cara para fazer… Esse é um outro problema, na verdade. É uma situação de uso de IA que vai ser cada vez maior. Com a IA se aperfeiçoando, vai ter mais possibilidade também de impedir certos maus usos, se quiser. Imagino eu. Esse é o papel da educação. Se a gente não acreditar na educação… e eu não acho que é possível substituir professores, por exemplo. São todas essas controvérsias que o guia acaba trazendo. Por exemplo, ele coloca (41:58) logo no início o agravamento do que se chama de uma “pobreza digital”, porque a gente sabe que não vão ser todos os alunos do mundo que vão ter condições de utilizar isso. Pessoas mais orientadas ainda têm dificuldade. Você pode ter desde esse agravamento de uma pobreza digital a situações de pobreza de dados. Porque quando a gente fala em IA generativa, a gente acaba pensando no ChatGPT, mas eu não acredito que esta seja a melhor, não acredito que estas (42:32) ferramentas comerciais deveriam, pelo menos, ser utilizadas em contextos educacionais. E o guia acaba trazendo outras que eles chamam de “EduGPTs”, que daí seriam modelos especificamente treinados para uma determinada audiência e mais delimitados. Ele fala inclusive do MathGPT, o GPT de matemática. Ou seja, você vai ter um modelo treinado para lidar com matemática. Isso facilita lidar com um baita de um problema que a gente comentava antes, que é o problema epistemológico da Inteligência Artificial, que é: ela não (43:07) consegue te dizer, muitas vezes, como que ela chegou até aquilo, ou por que ela está dizendo aquilo. Então, isso acaba conflitando com outro princípio, que é o princípio da explicabilidade dentro da Inteligência Artificial. Vinícius, se me permite, vou fazer um pequeno parêntese aqui: eu apresentei, nessa semana, no Congresso Internacional de Direitos Humanos de Coimbra, um trabalho justamente sobre o princípio da explicabilidade dentro da Inteligência Artificial, não relacionada à educação, num contexto (43:46) mais geral. Mas dentro da educação, ele é mais importante ainda. E essa explicabilidade, o Vinícius comentava antes, você tem uma série de dificuldades aí, sobretudo quando você tem modelos generalistas como o GPT. Mas existem já estudos, não vou falar aqui só sobre explicabilidade, mas existem já estudos promovendo modelos explicáveis. Ou seja, as empresas teriam que ter um novo dever ou uma nova obrigação de, pelo menos, tentar produzir uma arquitetura de um modelo que seja explicável, seja por ele (44:22) mesmo ou por outras formas de explicação. Esse é um problema a ser resolvido ainda, e ele se faz mais presente ainda dentro da educação. Todos os problemas legais, a gente está usando francamente essa ferramenta sem, pelo menos no Brasil, um marco normativo importante. O Judiciário está usando sem o marco normativo adequado. A gente precisaria mudar inclusive Código de Processo Civil e Código de Processo Penal para você lidar com esse tipo de coisa. E usar desse jeito tão rápido assim é uma coisa que me preocupa. É uma (45:01) ferramenta. A gente não pode esquecer o início do ChatGPT. Não tem como falar de LLM e IA sem falar do ChatGPT. Foi a aplicação que maior número de usuários teve em menor tempo na história da humanidade. Nunca nenhuma aplicação… Assim, o ChatGPT foi a aplicação que mais rapidamente teve 100 milhões de usuários. Essa ferramenta, o acesso a ela é muito fácil. De novo, no celular. A gente não está falando nem… os principais recursos de conversa (45:50) e tudo mais tem no celular. Tem no computador, tem para Mac que eles fizeram, não sei por que fizeram a ferramenta só para Mac, mas não fizeram para Windows nem para Linux a ferramenta nativa. Tu pode usar no navegador e no celular tu tens o esquema da conversa avançada, aquelas outras coisas. E essa ferramenta está disponível para te fazer desde as coisas mais simples. Eu faço um negócio muito legal para te dar uma ideia de como isso está no dia a dia, e é por isso que ela acaba (46:24) aparecendo em tudo quanto é canto. Por que se usa mais Windows dentro do ambiente corporativo? Historicamente, as pessoas sempre acharam mais tranquilo, sempre tiveram mais à disposição usar Windows, muito mais fácil de usar do que Linux, por exemplo. À medida que essa ferramenta está disponível para uso pessoal, em que uma pessoa aponta para a outra, a pessoa naturalmente acaba levando isso para o dia a dia dela no trabalho. Para uso pessoal, pega, experimenta fazer isso: pega uma lista de (46:52) mercado que tu tem para fazer compras e só larga no ChatGPT e diz assim: “organiza para mim isso aqui para eu poder comprar no mercado da forma mais otimizada possível”. Ele organiza as coisas de tal maneira que tu pode pegar tudo que tu quer sem ficar indo e voltando no mercado, sem ter que pensar. Tu pega a lista, tu segue a lista, tu vai pegar tudo juntinho, agrupado, bonitinho. Mas é educação? Calma aí. É uma coisa, desde essas coisas mais simples, até… (47:22) o juiz olha para o lado, ele tem um monte de coisa para fazer, ele vai ganhar tempo, vai se livrar rápido. Não estou dizendo que o cara está pensando na maldade “ah, vou me livrar disso aqui”. Não estou dizendo isso, mas ele vai terminar logo a tarefa que ele tem que realizar, ele vai ganhar tempo para fazer outras ou para descansar. Ele vai usar esse negócio. E na educação, eu não vejo a coisa apenas como um grande problema, nem tampouco como a solução, (47:53) como uma coisa que vai resolver todos os problemas que nós temos. Mas para te ter uma ideia, existe uma coisa chamada Khan Academy, com K-H-A-N. Eles estão usando, já há algum tempo, eles criaram um agente, tipo um tutor para crianças. Se é voltado para criança… estava mais caro no início, agora o preço está caindo, como sempre acontece. Aí sim, a lei de Moore entra, que daí o preço cai, a capacidade aumenta. Tu tens mais capacidade por menor preço e cada vez mais tecnologia mais (48:30) acessível. Eles estão trabalhando num tutor de IA com o objetivo de resolver o seguinte problema: tu ter um tutor de qualidade, com conhecimento, com, entre aspas, uma boa formação, que seria essa IA, disponível para todo mundo, inclusive lá nos rincões da África que tu citou antes. Inclusive lá. E chegar a um ponto que isso seja de graça, de tal maneira que, em vez de tu ter um professor com 15, 20, 30 alunos numa sala de aula, tendo que atender cada um, (49:14) tendo que entender todos de uma maneira mais generalizada, tu tem um que possa se dedicar a um aluno especificamente, entender as dificuldades daquele aluno, a forma daquele aluno entender, no contexto social daquele aluno, cultural. Eu não creio que uma coisa vai substituir a outra. Não creio que tu vai ter um tutor de IA que vai fazer com que tu não tenha mais professor. Isso estaria muito errado se tu simplesmente fizer essa substituição. Por outro lado, eu não acho que não usar IA seja algo necessariamente benéfico. Eu (49:54) acho que, como é uma ferramenta com potencial muito grande e que pode sim facilitar muito a passagem de conhecimento, o treinamento de pessoas, a educação, mas também o treinamento de pessoas em atividades específicas, pontuais. Assim como um bom livro me coloca à disposição um professor que eu não teria condições de ter, por barreiras físicas ou financeiras, e me coloca à disposição um professor que eu não conseguiria ter junto comigo, o livro pode me trazer um pouco do (50:34) conhecimento desse cara. E, de uma forma análoga, a IA pode fazer isso até melhor do que o livro, porque as formas de interação… não porque… as formas de interação… tu não pode assumir que necessariamente tu vai pegar e jogar fora professor, jogar fora livro. Tu pode juntar essas coisas. Eu tive uma… quando saiu agora a conversa avançada do GPT, eu resolvi bater um papo com ele para testar, sobre as obras do Tolkien: “O Senhor dos Anéis”, “O Silmarillion”, “O Hobbit”, etc. E foi uma (51:12) conversa muito interessante. Foi uma conversa muito interessante. “Por que fulano… aconteceu isso?”, “Quem que era…?”. Trazer fatos e coisas que eu teria que… que eu não teria como pegar todas as obras e, num período de tempo assim, levantar essas curiosidades que eu estava levantando. Você está vendo a tua experiência enquanto professor. A perspectiva da educação aqui, eu acho que ela é mais complexa. Você tem um espírito crítico de olhar. Eu, por exemplo, que entendo (51:44) pouco… Veja, a gente está aqui numa perspectiva de ensino. O guia fala sobre isso. Ele traz, lá mais para o final dele, tabelas de possíveis usos. Lá na página 31, 32. Porque a preocupação do guia é tanto no ensino quanto na pesquisa, que são domínios e problemas também diferentes. Qualquer pessoa que fez uma faculdade sabe que dentro das universidades não é só ensino, é pesquisa também. E aí você vai ter possíveis usos diferentes. Um desses usos é isso que você falou, que seria (52:24) um possível consultor para um esboço de pesquisa. Eu, enquanto pesquisador, quero promover um tema, então eu vou usar uma dessas ferramentas para chegar adiante ali. Só que ele coloca os riscos também. Numa dessas aqui, Vinícius, que seria o instrutor, você comentou antes, eu posso ter… qual é a vantagem dentro de um contexto de educação? Buscar a inteligência artificial para atividades autodirigidas. Você comentou: “ah, eu quero aprender”, pode ser mesmo sobre “O Senhor dos Anéis”, “eu quero aprender mais porque não?”. Estou estudando (53:08) Letras, a minha dissertação vai ser sobre “O Senhor dos Anéis”, então eu vou buscar ele para uma pesquisa dirigida. E aí os riscos, eles vão variar se você simplesmente estiver tendo uma conversa desinteressada com ele ou se for uma pessoa que vai usar aquilo para promover uma pesquisa científica na área de linguística. E o que essas tabelas trazem, claro, nós não vamos lê-las, mas por exemplo, uma das possibilidades é instrutor individual de habilidades linguísticas. E aí, nessas tabelas, que daí vocês depois (53:43) vão lá dar uma lida também no guia, ele diz os usos potenciais, mas não comprovados, domínios de conhecimento ou problemas apropriados, resultados esperados. Por exemplo, resultados esperados para instrutor individual de habilidades seria tutoriais individuais de idiomas no nível iniciante, ou seja, também engajamento, oferecer um feedback personalizado para os erros daquele cara e tudo mais. Os tipos de ferramentas que podem ser usadas, requisitos para os titulares… Aí, Vinícius, que eu acho que entra a questão. (54:19) Porque o requisito aqui está estabelecendo… pode ser estabelecida uma idade limite, o estudante deve ter uma motivação intrínseca, o estudante deve ser capaz de adotar uma abordagem crítica às sugestões e verificar sua precisão. Certo? Por isso que o nivelamento que o sujeito tem que ter para usar especificamente nesse uso, que seria um instrutor para línguas, o cara precisa ter um certo nivelamento. E os riscos aqui, que é o problemático, é preciso estar atento à linguagem (54:51) culturalmente insensível ou contextualmente imprecisa, bem como à inadvertida perpetuação de estereótipos ou preconceitos culturais, limitar oportunidades de interação com a vida real, expressão e opiniões de pensamentos plurais. Ou seja, ele tenta trazer esses possíveis usos observando sempre esses domínios, requisitos, resultados esperados, possíveis riscos, métodos pedagógicos humanos necessários. Aqui na questão da linguística, ele coloca: o cara tem que saber fazer prompts. Entende? Porque se ele não souber, você pode (55:29) empurrar e colocar ele numa situação de um ensino pobre. Guilherme, nota que isso não é da IA, isso é da internet, isso é do celular como ferramenta. Se não tiver um preparo, uma preocupação em preparar esse aluno, e eu não estou dizendo lá na graduação, estou dizendo desde o começo, desde o primeiro contato com o celular, se não tiver uma educação, e não só por parte da escola, mas dos pais, porque são os que primeiro disponibilizam a tecnologia para os filhos, e se não tiver uma educação que inicia ali, uma (56:08) orientação, uma instrução de uso, de compreender essas tecnologias, acontece o que o Desmurget coloca: o cara sabe usar, mas é um cretino digital. O cara é incapaz de selecionar uma informação sólida, incapaz de pensar por conta própria de forma crítica e tirar uma conclusão ou uma nova ideia. E isso não é específico para a IA. A IA é só uma ferramenta ainda mais avançada. E sim, eu acredito que ela tem, (56:50) como a gente comentava antes, meu filho usa… claro, mas tu estás ali com ele. Nem todos os pais estão ali com os filhos usando tecnologia. “Toma o celular e não me incomoda”. “Toma o tablet”. Então, eu dou o tablet para ele e ele fica quietinho. Tem esse primeiro aspecto. O segundo aspecto é: eu, além de ficar junto, me preocupo com o uso que ele faz, a gente entende como essas tecnologias funcionam, sabe as coisas boas e ruins e tenta fazer um filtro, dar essa orientação. E ao mesmo tempo, tu tens que ter uma certa barreira ética. Não posso deixar uma criança ou um adolescente vir com um problema da escola e simplesmente perguntar para a IA qual é a resposta. Não é esse tipo de uso, não pode fazer. E o pessoal já aponta isso como sendo um problema no Science Direct, etc. Quanto mais gerar um artigo científico… (58:04) é o ápice da coisa que inicia pequenininha lá na educação infantil, cruza pelo ensino médio e vai adiante, que é o cara publicar um artigo escrito pelo ChatGPT cheio de erro e o negócio ainda passar num evento, ser aceito por uma publicação. A gente entra num outro problema que é o mercado das publicações. Se está passando coisa escrita pelo ChatGPT, tem outras porcarias que nem foram escritas pelo ChatGPT que passaram também. (58:43) A gente sabe da história do que tivemos com a Covid. A gente tem um problema que não é só da IA ou do simples uso dela. Eu acho que é mais uma tecnologia que pode ser muito bem utilizada e está sendo extremamente útil, mas ela também tem o potencial de um mau uso violento. Um mau uso que não é só no cara que quer fazer uma bomba e pega a instrução com a inteligência artificial, mas um mau uso que gera pessoas mal (59:23) formadas numa faculdade. Já é pouca gente que está na faculdade, aí o cara chega na faculdade, não lê o que tem que ler, não estuda e simplesmente se atira no que o ChatGPT entrega. Aí nós temos um problemão mesmo. Concordo contigo, é um baita de um problema. É a proposta do guia, justamente, você enfrentar esses possíveis problemas. A ideia de um consultor de IA para bolsa de pesquisa é ótima. Só que quais são os riscos? É preciso ter atenção ao alto risco da IA inventar (1:00:04) informações, como publicações de pesquisa inexistentes; de usuários serem tentados a copiar e colar esboços de pesquisas gerados por IA, o que pode reduzir as oportunidades de aprendizado por meio de tentativas e erros para pesquisadores em início de carreira. Sim. E ao mesmo tempo, para pesquisadores de início de carreira, por exemplo, quando eu fui publicar um artigo numa revista internacional, eu tinha uma noção de inglês, mas não para escrever de uma maneira formal, totalmente correta. (1:00:36) E a gente teve que pagar na época, até foi o Weber que pagou, uma pessoa, uma tradutora, uma pessoa que trabalha profissionalmente com isso para fazer a revisão. E as mudanças que foram feitas foram muito interessantes. Valeu a pena ter gasto isso, mas foi uma grana. Eu lembro que na época foi ele que pagou, eu vivia de bolsa, para mim era uma grana aquilo, quase minha bolsa inteira. Agora, com o ChatGPT, com o prompt (1:01:13) certo, tu consegue pegar o teu texto e traduzir ele para um inglês digno de ser publicado numa revista científica. É diferente de tu gerar um trabalho do zero, que tu não fez, com ideias que não são tuas. Usos, cara. Exato, mas esse é o ponto: usos. Se você está numa faculdade de Letras – Inglês, você não pode fazer isso. Pra gente aqui, pode fazer algum sentido. Eu já traduzi parcelas de texto para italiano e vice-versa, ajuda bastante, mas em contextos menos arriscados. (1:01:56) Então, poderia dar essa dica para o cara que está estudando para ser um tradutor? O cara não vai poder fazer isso. Ele poderia verificar os resultados dele, pedir para ele traduzir um texto que ele deveria traduzir numa faculdade de Letras. Sou mais apocalíptico: a gente não vai precisar de tradutor muito em breve. Talvez. Mas aí é aquela questão da profundidade, e eu insisto nisso. Eu não acho que a IA, para a minha área de conhecimento hoje, me traga (1:02:32) grandes reflexões. Por exemplo, tradução é um negócio seríssimo. Não só tradução de um e-mail, mas de um texto que você está estudando. Você não lê em alemão, tem um artigo lá em alemão, você traz parte do artigo. Uma coisa é uma tradução de um autor, feita por um tradutor profissional que entende as obras originais. A tradutora lá do Machado de Assis. E outra coisa é só um tradutor técnico. (1:03:05) E aí tu leva uma obra para ele que ele nunca viu, e o cara vai lá e traduz. E olha que é uma coisa fácil, que é a minha área, que é técnica. Esquece poesia, que é mil vezes pior. Cansei de ver tradução de livro que tinha lá o “quadro de chaves” ou o “driver”, o motorista. “O quadro de chaves”, pelo amor de Deus, cara. Tinha “quadro de chaves” em quase tudo (1:03:36) que era livro traduzido de TI, da área da Ciência da Computação, para o português. Quase todos tinham o “quadro de chaves”. E para quem está nos escutando e não se ligou, “quadro de chaves” é o teclado (keyboard). Pelo amor de Deus, tu tem que ter uma noção de contexto. Então, sim, é uma coisa extremamente séria. Eu tinha uma tradução, troquei esses dias todas as minhas traduções do “Senhor dos Anéis” por uma outra editora, outro tradutor. Cara, muito melhor. (1:04:12) Então, mas eu acho, sinceramente, que vai chegar num ponto que a IA vai ser capaz de fazer isso. Vamos voltar para o guia. Volta pro guia. Porque a gente já precisa ir encaminhando para o fim. Eu tenho alguns pontos mais aleatórios, então. Dentro desses usos mais concretos que o guia traz, uma coisa que me preocupou bastante… o guia é interessante, tem que ser lido, mas tem várias coisas que eu fiquei preocupado. Essa adoção meio acrítica às vezes, a questão (1:04:45) dos interesses comerciais não foi muito tratada. E eles trazem, apesar de por diversas vezes trazer preocupações relacionadas à proteção de dados pessoais, direitos autorais, sobretudo de professores… cara, isso é um baita de um problema para a profissão. Porque é muito fácil você incorporar professores ou incorporar práticas de professores em modelos. Os caras têm… eu acho que eles foram muito rápidos em sugerir, por exemplo, “gêmeos generativos de assistentes de ensino”. Gêmeos de quem? Gêmeos dos professores. (1:05:29) Então, veja, se eu vou começar a treinar IAs para serem gêmeos de professores, eu entro num universo de problemas aí, até mesmo de relações de trabalho, relações de emprego, direitos da personalidade, o que você vai fazer com esses modelos, a possibilidade de extrapolar para outros usos. Eu fiquei preocupado em ver um documento da Unesco sugerindo gêmeos de professores de Inteligência Artificial. Guilherme, mas essa é uma das possibilidades. Se eu disser que é um negócio fantástico, tu vai ter um treco, mas essa é uma das grandes possibilidades da IA. (1:06:11) Ela conseguir apoiar o ser humano. E os problemas que tu levantas, e eu não estou desconsiderando eles, esses problemas trabalhistas, éticos e tudo mais, são os problemas que a gente teve com a imprensa, quando começamos a ter cópia de livros em massa. A gente teve esses problemas quando veio o computador, a gente teve esse (1:06:43) problema agora com a IA, e a gente vai ter de novo. E a gente vai ter que… são problemas diferentes, claro que sim, mas a gente vai ter que se debruçar sobre eles, vai ter que resolver, porque a tecnologia vai ser utilizada, ponto. Ela não vai parar, ninguém vai parar de desenvolver esse negócio. E o que a gente precisa, e acho que é aquilo que tu colocou, são guard rails, aquilo que cuida para não descambar. Mas o guard rail ele não bloqueia a estrada, ele dá (1:07:13) uma certa direção na coisa, mas não bloqueia a estrada. Bloquear, não vai acontecer. Certos carros não devem andar nessa estrada, entendeu? Certas estradas não devem ser percorridas. Tanto que o AI Act começa a estabelecer usos proibidos na União Europeia, e o mundo vai sair por esse caminho também. Eu falo dos guard rails, mas na verdade essa metáfora não é minha, já é usada no âmbito do Direito. Tem um livro chamado “Guardrails: Guiding Human (1:07:49) Decisions in the Age of AI”, do Urs Gasser e do Viktor Mayer-Schönberger, um cara famoso que escreveu um livro sobre direito ao esquecimento. É mais sobre ética e Inteligência Artificial. Mas essa coisa do gêmeo digital, do gêmeo generativo, me preocupou um pouco. Eu tenho mais de um artigo, uns três, sobre o uso de inteligência artificial para (1:08:25) animar perfil de pessoas mortas. Nossa, isso aí é um baita de um problema. Já está ocorrendo. Quando eu e o Colombo escrevemos sobre isso, era um negócio meio ficção científica, e a gente acertou em cheio, porque isso já está acontecendo. De repente, o professor morre. Quer dizer então que se eu tenho o gêmeo dele… percebe os problemas que isso pode…? Vou indicar para ti e para os nossos ouvintes. É por isso que a gente (1:08:54) não consegue juntar tanta gente, tem tanto podcast. Mas eu vou indicar aqui, no podcast apresentado pelo Toledo, José Roberto Toledo, que é o “W Prime”, tem o episódio número 35, cujo título é “A morte não é mais para sempre”. Não se anime, não quer dizer que você vai viver com seu corpo para sempre, quer dizer que um gêmeo digital, um gêmeo generativo seu, vai continuar existindo. Isso aqui dá um episódio, a gente podia discutir esse assunto. Podia trazer alguém, Guilherme. (1:09:39) Convida o Colombo, vê se ele topa. Porque é uma coisa curiosa e mexe com algo muito profundo do ser humano, o que tu entendes como sendo a vida, o que é ético ou não, se tu achas que continua existindo tendo uma cópia digital tua. Tem o caso dos pais, ali no podcast do Toledo, que estavam com uma doença, com receio de morrer… era o filho que tinha morrido, que eles (1:10:17) fizeram… Não, não era o filho. A mãe estava triste e eles fizeram… Quem fez foi o Santini, o cara que faz os deepfakes no Twitter. Mas eles falaram de um caso de uns pais que estavam com uma doença e criaram uma cópia digital deles preventivamente, para caso eles viessem a faltar, o filho deles não deixasse de ter o contato com eles. Inclusive, Vinícius, agora me dei conta de uma coisa: um dos… a gente (1:10:56) submeteu, não vou dizer qual é o evento, mas a gente submeteu para alguns workshops para um evento, um deles é sobre direito e proteção de dados de pessoas mortas. E aí entra essa questão: até que ponto tu podes fazer isso? Imagina tu criar um… Hoje, o que já acontece, que é mais próximo e já dá rebuliço em termos trabalhistas, é aula gravada de professor. Quando tu gravas a aula de um professor, tu estás criando uma cópia digital dele, não generativa, digital. (1:11:33) Ele está dando a aula ali, está gravado. Se tu queres que outros alunos vejam a aula daquele mesmo professor, em vez de ter o professor, tu usas a cópia que tu fizeste dele, que é o vídeo gravado. E tu tocas o vídeo de novo. E aí tem aquelas várias discussões: “o professor ganha para gravar uma vez o vídeo e depois a entidade que pagou pela gravação usa quantas vezes quer?”. Agora, tu imaginas com IA generativa? Daqui a pouco, em vez de gravar o vídeo, tu vais ser contratado para gerar um clone, um gêmeo (1:12:04) generativo teu. “Nós te pagamos tanto, vamos criar um gêmeo generativo teu e tu nos dás permissão para usar isso para dar aulas para sempre”. Nessa perspectiva, focando na educação, mas você tem o caso da Madonna, que se negou. Por outro lado, teve o caso do James Earl Jones, o cara que fazia a voz do Darth Vader. Ele morreu recentemente e permitiu que a voz dele fosse usada por IA. Ou seja, ele cedeu esses direitos de uso de voz para treinar uma IA, claro, vai ser da (1:12:50) Disney, para usar a voz na franquia que agora não tem mais fim. Eu acho que a gente vai ter que terminar. A coisa meio que saiu um pouco do rumo, mas tudo bem, variar um pouco. O relatório, se você quiser ler na íntegra, vai ter acesso, inclusive vai ter o link no show notes, e você pode baixar e ver. A gente leu, eu usei o NotebookLM para me ajudar. (1:13:23) E depois eu fui passear nele. Mas eu acho que no final das contas, essa discussão que a gente tem é interessante. Se por um lado tem as boas aplicações possíveis, e óbvio que tem, coisas extremamente úteis que a gente vai fazer com IA, por outro lado, a gente tem que ter certas preocupações para que as coisas sejam feitas de uma maneira segura para todos nós, como indivíduos e como sociedade. Tanto é que, lembrando, na principal empresa de Inteligência Artificial do mundo hoje, que é a OpenAI, (1:14:02) deu briga por causa desse assunto, justamente da ética, da segurança do modelo. E aí surgiu uma outra empresa, que é do Ilya, focada na parte de segurança em IA. E temos a OpenAI cada vez mais fechada, cada vez mais focando no mercado e avançando cada vez mais rápido, que é justamente a preocupação de quem se preocupa com a segurança da aplicação de inteligência artificial. Eu acho que tem que ter esse diálogo, porque não adianta simplesmente dizer que (1:14:34) não deve ser utilizado. Não vai acontecer. Os caras tentaram frear, fizeram aquela cartinha do “Apocalipse da IA”, que um monte de gente assinou dizendo que tínhamos que suspender por seis meses para ver o que ia acontecer. Não se suspendeu porcaria nenhuma, a coisa se acelerou muito rápido. Os Estados Unidos proibiram a Nvidia de vender seus chips na China, os chips de treinamento de IA. A Nvidia é uma empresa americana, os chips foram fabricados em Taiwan, que fabrica chip para o mundo inteiro, para tudo quanto é coisa. E os chips estão vazando (1:15:08) na China. Enfim, existe uma proibição. Por quê? Porque os Estados Unidos têm preocupação, não querem que a China, seu principal concorrente comercial, tenha uma IA tão potente quanto a que eles estão fazendo. E a China, por meio da Huawei, está investindo nos seus próprios chips. É uma briga, é uma escalada que ela não vai parar por causa da segurança. A questão é o quão rápido a gente consegue correr do lado para impor alguns (1:15:43) controles mínimos nessa coisa toda que está acontecendo. Porque não vai parar. Nosso histórico é que mais ou menos não vai parar. Repito, o AI Act, eles classificam lá os sistemas por riscos. E eles têm lá no anexo 3 os sistemas de IA de risco elevado na União Europeia. Então você tem uma série de obrigações adicionais e de controles para sistemas de risco elevado. Um dos sistemas de risco elevado elencado por eles nessa norma é educação e formação profissional. Determinar o acesso, (1:16:21) a admissão ou afetação de pessoas a instituições, avaliar resultados de aprendizagem, efeitos de avaliação de nível de educação adequado, e controle e detecção de práticas proibidas durante testes. Aqui no Brasil, o MEC vai ter que se pronunciar também sobre isso em algum momento. Deixa eu tratar aqui, Vinícius, o que o guia fala também de alguns passos: passos para a regulação da educação, passos para provedores de IA generativa e passos para usuários institucionais. Na regulação da educação, ele propõe seis passos. (1:17:01) Sim, você precisa ter regulamentações gerais para o uso desse negócio, internacionais e regionais. Tem que ter estratégias abrangentes para o setor governamental. E o Brasil, nesse ponto, já tem. Dias desses, foi bem noticiado o Plano Nacional de Inteligência Artificial, vários bilhões vindo para cá. Ou seja, o Estado… e aqui, claro, com todos os cuidados que um Estado vai… porque hoje você começa a falar do Estado da Educação e as pessoas já vão falar “ah, mas vai colocar ideologia na IA”, aquela bobajada toda. Não, aqui estamos falando de (1:17:38) uma perspectiva de que os Estados precisam investir em modelos sérios, éticos, bem treinados, com diversidade para aquela audiência, para aquela cultura. Esse tipo de coisa que a gente não quer perder. Não podemos perder, porque qualquer pessoa que entrou numa escola, dependendo do estado que você está, vai ter práticas culturais sendo realizadas diferentemente dentro do próprio Brasil. Isso que torna difícil modelos genéricos de educação para todo o mundo. (1:18:12) É justamente nesse ponto, em vez de um modelo genérico, que uma IA generativa pode criar coisas personalizadas, ajustadas, se for bem treinada, para cada realidade. Se for bem treinada, talvez ela consiga resolver parte de um problema que não é tão fácil. E, ao mesmo tempo, tu tens insuficiência de formação de professores. Tem que ser resolvido com IA? Acho que não. Tem outras (1:18:45) formas de resolver. Agora, a IA pode ser utilizada como ferramenta para ajudar a reduzir esse gap. Inclusive para os próprios professores que têm deficiências na formação. Enfim, não tem solução simples para problema complexo. Segue aí. E ele diz isso, a IA não vai resolver certos problemas que a IA não tem como resolver. Problemas de direitos autorais e tratamento de dados, obviamente, é um grande problema, sobretudo pelo mau uso que a indústria de (1:19:22) tecnologia já mostrou. Quando a gente fala hoje sobre a “Fábrica de Cretinos Digitais”, tudo aquilo que você colocou antes, a gente está falando de uma indústria que, de forma genérica, sim, produziu voluntariamente sistemas que eles sabiam que fariam mal para crianças e adolescentes, ponto. E nós vamos entregar para estes grupos sistemas para ensinar pessoas? Não acho que seja a responsabilidade dessas empresas fazer isso. Guilherme falando. (1:20:00) E mais ou menos é o que diz também o guia aqui. E também desenvolver capacidades técnicas de maneira geral, ou seja, como isso vai ser utilizado na educação e na pesquisa, nesses dois domínios. As instituições têm que ter, e aí o Estado vai ter que interferir nesse sentido. Eu não acho que vai acontecer aqui no Brasil, mas de promover sim boas práticas que as instituições devem adotar, tanto para permitir uma atuação mais proativa dos professores ou para ensinar os professores e para estabelecer normas éticas. Veja, normas éticas para uso de internet a gente não tem até (1:20:38) hoje. Mas agora com a IA, me parece que a gente vai precisar sim de normas éticas para o uso. As faculdades vão ter que ter lá o seu guia ético para uso de IA na pesquisa. Senão eu vou ter que fazer esse negócio lá para a minha turma. Vai chegar no momento que vai ficar insustentável. Passos para os provedores, tem vários. A gente pensou alguns aqui, principalmente essa questão dos problemas econômicos, a questão de responsabilidades humanas. Ou seja, você, quando construir esses modelos, precisa levar em consideração e endossar a adesão (1:21:14) a esses valores humanos. Veja, a gente está falando de educação, então valores fundamentais, propósitos legítimos. E aí fica a pergunta: será que as big techs conseguem fazer isso? Dados e modelos confiáveis, ou seja, vai ter um custo maior, é caro fazer isso. Geração de conteúdo não discriminatório, explicabilidade e transparência, e reconhecimento de limitações e prevenção de riscos previsíveis. Sim, quando a gente fala em IA, a gente tem que adotar uma abordagem orientada para o risco. E quando (1:21:47) esse guia propõe possíveis usos, eles foram muito felizes em estabelecer também os possíveis riscos. Porque com base naquelas planilhas, uma universidade consegue sentar e estabelecer algumas possibilidades. O que as instituições não podem, que daí seriam os passos para os usuários institucionais, é fechar os olhos. Auditorias nos algoritmos, acho que isso não vai acontecer, mas enfim, é o que o guia diz. Validação da proporcionalidade e proteção do bem-estar dos usuários. (1:22:21) Ou seja, isso tem que estar dentro de um contexto maior de especialização de uma educação para o momento atual. E quando a gente critica às vezes as universidades, os modelos de ensino, muitas dessas críticas são válidas. A gente continua dando aula e continua ensinando como se fazia no século XIX, lá com os jesuítas. E no Direito ainda mais, aquela coisa mais fechada. É bem verdadeiro. A gente precisa talvez que esse seja um gancho para a gente renovar práticas. Agora, é aquilo que o (1:23:01) guia também fala: não adianta você falar isso para turmas imensas dentro das faculdades, para professores que não recebem adequadamente, ou que não são treinados, ou que têm várias turmas lá nos nossos rincões do interior do país, com várias séries ao mesmo tempo. Mas basicamente, a gente teve mais recentemente no Brasil um boom, uma comercialização da educação que acaba prejudicando iniciativas como essa. Você tem instituições muito comercializadas e que, inegavelmente, não vão querer levar isso (1:23:37) adiante, porque não é do interesse deles. E aí você acaba criando, acho até que você falou isso esses dias, você vai acabar criando níveis de educação. De repente, vai ter aí algumas que vão usar IA para substituir professor, EAD, IA e tudo mais. E aí você vai ter aqueles bons professores, aquelas aulas mais orientadas ou um uso acompanhado da IA que vai ser caríssimo, só poucas pessoas vão usar. E é justamente isso que o guia não quer, que é ampliar a pobreza e a exclusão. E o Sam Altman disse justamente isso numa entrevista: ele disse que o presencial vai ser o premium. (1:24:14) O presencial vai ser o premium, vai ser caro e não vai ser para todo mundo. Para variar um pouco. Eu uso especialmente uma ferramenta, o Blackboard, e ele tem algumas coisas que me preocupam um pouco. Você coloca o seu conteúdo lá dentro e tem um botão “gerar questões com esse conteúdo”. E aí alguns dos conteúdos são meus, são textos que eu escrevi, por exemplo. Eu não sei bem, não consegui encontrar, te confesso, estou treinando essa ferramenta. (1:24:54) Além de você ter domínios de educação e pesquisa diferentes, você vai ter problemas que vão afetar os estados, as instituições, as universidades, as instituições que desenvolvem os sistemas, e problemas que vão afetar de formas muito diferentes professores e alunos. Não é só uma questão do ensino e de como você vai formar principalmente crianças, que é mais crítico, mas também como os professores vão transitar nesse… Guilherme, falando em professores, eu preciso buscar uma pequena na escola e preciso encerrar (1:25:31) por aqui. A IA até conseguiria fazer isso, pega um carro automaticamente. Tem os carros, mas é uma boa prática buscar o filho na escola. Se dá para buscar, é bom. Não vou substituir isso. Ainda não. O carro vai lá buscar minha filha na escola. Leiam, para os interessados, leiam o guia. Quem está na área de educação, por favor, dá uma olhada que vale a pena. E vamos lá, aguardamos vocês no próximo (1:26:03) episódio do podcast Segurança Legal. Até a próxima. Até a próxima. Beleza, Guilherme. Pera aí que estou terminando de gravar aqui. A gente descobriu hoje que o Craig, que a gente usa para gravar, é um urso, não é um cachorro. Tu viu isso? Eu achei que fosse um cachorro, é um urso pardo. Esse episódio número… estou gravando aqui, 377. Eu fui procurar “A Fábrica de Cretinos Digitais” e obviamente caí na Amazon. (1:26:40) E aí ele dá o “frequentemente comprados juntos”. Trouxe o “Geração Ansiosa”, óbvio. Mas trouxe um outro do Michel Desmurget aqui, que é “Faça-os Ler, para Não Criar Cretinos Digitais”. Opa, legal. Óbvio, o cara pegou uma onda muito positiva do livro dele, então escreveu outro. Tá bom, vamos conceder. Mas está muito bem avaliado, 4.7, (1:27:12) e já em português. Já está traduzido. Diz aqui: “um dos melhores livros que eu li em 2024”. Escreveu isso em 2 de janeiro… não, estou brincando, 5 de setembro. Parece bem pequenininho aqui o livrinho, o cara está segurando na mão. Estou te passando aqui o link do Craig, que é o urso, não é mais o cachorro. Eu já tenho a gravação aqui, ainda estou gravando para o pessoal que está nos acompanhando no YouTube. Então já estamos pegando essa dica que tu estás dando dos (1:27:45) livros. O Internet Archive ainda está fora do ar. A gente sobe num S3 aí da Amazon e era isso. Vai ser a despesa que a gente vai pagar para a galera baixar. Mas enfim, o Archive, se voltar, a gente sobe. Tu achas que edita ainda hoje? Como é que tu achas que vai ser? Não, hoje eu não vou mais conseguir, já é 5:30. Então tá bom. Meu caro, àqueles que nos acompanharam até aqui, um abração para vocês e valeu. Valeu, abração, até mais.  

Neste episódio comentamos o caso dos pagers-bomba no Líbano e o bloqueio do X no Brasil. Você irá descobrir os bastidores do ataque de supply chain e da disputa entre Elon Musk e o judiciário brasileiro.​ Guilherme Goulart e Vinícius Serafim analisam o sofisticado ataque de supply chain que transformou pagers em bombas no Líbano, um evento com implicações diretas na guerra cibernética e espionagem entre nações. Com a participação de Lucas Lago, o episódio explora a vulnerabilidade tecnológica e os métodos de inteligência por trás da operação. A discussão também aborda a complexa situação do X (Twitter) no Brasil, detalhando o bloqueio de IP determinado pelo STF, a manobra com a Cloudflare, e o debate sobre liberdade de expressão versus doxing e a proteção da privacidade e segurança da informação. Assine, siga e avalie o podcast para não perder nenhuma análise. Participação especial do Lucas Lago. Visite nossa campanha de financiamento coletivo e nos apoie! Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes What we know about the Hezbollah pagers that exploded in Lebanon What was Hungarian company’s role in manufacturing pagers that exploded in Lebanon? Conselho de Segurança da ONU convoca reunião de emergência após explosões no Líbano Glenn Greenwald: how the NSA tampers with US-made internet routers ShadowPad: How Attackers hide Backdoor in Software used by Hundreds of Large Companies around the World Hackers do ataque à SolarWinds invadiram e-mails do governo dos EUA Stuxnet Stuxnet explained: What it is, who created it and how it works Malware CCleaner ShadowHammer: uma operação em larga escala Pagers Explode Across Lebanon in Apparent Attack on Hezbollah How Israel Built a Modern-Day Trojan Horse: Exploding Pagers Exposição de dados de delegados dá novos rumos ao bloqueio do X Esquema contra Moraes foi descoberto por CNH, suborno e ameaça de morte PF apura exposição em massa de dados pessoais para intimidar delegados Intelectuais de diversos países lançam carta aberta contra Musk e conclamam apoio ao Brasil Musk chama governo da Austrália de ‘fascista’ por nova lei sobre desinformação em redes sociais Primeiro-ministro da Austrália critica Elon Musk por chamar governo de “fascista” Anatel notifica Cloudflare e X (Twitter) deve ser bloqueado; rede diz que colabora com governo STF aplica multa diária de R$ 5 milhões à X por descumprimento de decisão judicial Record companies in Italy take successful action against CloudFlare Why We Terminated Daily Stormer Why Cloudflare kicked out the neo-Nazis Moraes multa X em R$ 5 milhões por ‘truque’ que driblou bloqueio à rede social no Brasil X apresenta representante legal ao STF, e Moraes determina que vínculo com plataforma seja comprovado 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 376, gravado em 19 de setembro de 2024. Eu sou o Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês algumas das notícias desta última semana. Tudo bem, Vinícius? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes. Notícia não faltou, mas vamos ficar com as duas principais manchetes dos últimos dias.(00:43) Não vamos gravar amanhã, pois é feriado aqui no Rio Grande do Sul, e tivemos que condensar nossa rotina de quinta-feira. Tinha bastante coisa, mas essas duas já vão dar bastante pano pra manga. Então, pegue o seu café, sua água ou sua bebida preferida e venha conosco. Para entrar em contato conosco, enviar suas críticas e sugestões, é muito fácil: basta enviar uma mensagem para [email protected].(01:10) Estamos no Mastodon como @segurancalegal@mpsocial e no Bluesky como @segurancalegal.bsky.social. Temos recebido mensagens de ouvintes, mas terão que ficar para o próximo episódio por conta da urgência dessas notícias. Já pensou em apoiar o projeto Segurança Legal? Acesse o site apoia.se/segurancalegal e escolha uma das modalidades.(01:32) Entre os benefícios, você terá acesso ao nosso grupo exclusivo de apoiadores no Telegram, onde os apoiadores viram primeiro a notícia sobre os pagers que vamos falar. Há também a recomendação do blog da BrownPipe, onde você pode ver nossa curadoria semanal de notícias importantes sobre segurança da informação, direito da tecnologia e dados pessoais.(02:04) Você também pode se inscrever na mailing list do Segurança Legal para receber as notícias em seu e-mail. Se você ainda não está nos acompanhando pelo YouTube, saiba que pode fazê-lo. Pode ligar na sua televisão e ver nossos rostinhos bonitos em youtube.com/segurancalegal.(02:29) É isso, Vinícius. Vamos direto ao tema. Diga. Uma coisinha: no YouTube, tenho feito uma série de vídeos. Não estou conseguindo fazer toda semana, pois é um pouco mais apertado, mas são vídeos sobre os fundamentos de segurança da informação e algumas coisas mais “hands-on”. Na semana passada, fiz uma live sobre autenticação para desenvolvedores.(03:08) Brinquei com Go para demonstrar algumas coisas. Ficou longo, mas você pode pausar, acelerar, etc. Lá tem conceitos bem interessantes não só para quem programa em Go, mas em qualquer linguagem de programação. Voltando para quem desenvolve, há discussões sobre autenticação, e farei um em breve sobre autorização. O que está lá da semana passada é sobre autenticação. Confiram no canal do Segurança Legal. Recado dado. Perfeito.(03:44) Bom, a primeira notícia é o que chamamos de “o incrível caso das explosões de pagers” ocorridas no Líbano, envolvendo uma ação até o momento atribuída ao Estado de Israel, por meio de sua agência de inteligência, o Mossad. Essas explosões visaram atingir o grupo Hezbollah, um grupo paramilitar fundamentalista que teria adquirido 5.000 dispositivos.(04:11) Eles compraram 5.000 dispositivos. Pelas informações que temos, não foram todos que explodiram, mas muitos explodiram. Foram cerca de 2.800, quase 3.000 dispositivos. As notícias falam em 2.700, outros em 2.800 e alguma coisa, resultando em pessoas feridas. Desses 5.000, uns 3.000 teriam explodido.(04:35) Lembrando que o Hezbollah comprou esses dispositivos há algum tempo, visando escapar da capacidade de Israel de monitorar e interceptar celulares. O Lucas Lago, que convidamos para falar sobre o tema, vai abordar justamente isso em um áudio que nos enviou. Para contextualizar, desses dispositivos, entre 2.800 e 3.000 explodiram.(05:12) A notícia, até este momento, é de que quase 2.800 pessoas ficaram feridas e 12 morreram, para ver o impacto forte disso. O número aumentou para mais de 12 depois que explodiram os walkie-talkies. Explodiram os pagers num dia e, no dia seguinte, os walkie-talkies. Alguém mencionou celulares, mas isso não foi confirmado. Os walkie-talkies, sim, rádios de comunicação.(05:53) O Hezbollah importa esses aparelhos da fabricante Gold Apollo, que permitia que a BAC Consulting, uma empresa húngara, os fabricasse. Depois, vamos falar um pouco mais sobre isso. A hipótese mais estabelecida, embora ainda não provada, é que eles teriam colocado pequenas cargas de explosivos nesses equipamentos, em um ataque que depois explicaremos, chamado de ataque de supply chain. Houve uma intervenção nesses dispositivos, não foi como se tivessem sido comprados e uma vulnerabilidade ativada.(06:24) O Lucas fala sobre isso no áudio dele, e podemos comentar em cima. É importante dizer que esse grupo é amplamente reconhecido como um grupo terrorista e, por isso, enfrenta diversas dificuldades para adquirir equipamentos, devido às sanções que os países impõem às empresas que negociam com eles. Isso pode ter influenciado a atuação de grupos menos conhecidos para fornecer esses equipamentos.(06:57) Existe outra hipótese, mas vamos ouvir o áudio do Lucas e depois comentamos sobre como eles explodiram para podermos avançar. Assim que quiser, toque o áudio. O nosso amigo Lucas Lago estava no evento Mind the Sec e ia assistir à palestra do nosso amigo Fábio Assolini, que participou por muitos anos conosco.(07:29) Mandei um abraço nosso para o Fábio, que o Lucas conseguiu entregar. Que legal. E o Fábio mandou outro abraço de volta. Muito bem. Vocês ouvirão um ruído de fundo, pois o Lucas Lago está no evento Mind the Sec. Vou colocar o áudio dele na sequência.(08:09) Olá, Vinícius. Olá, Guilherme. Bom dia, boa tarde, boa noite para todos os ouvintes do Segurança Legal. O Vinícius pediu para eu repetir e expandir um fio que escrevi no Bluesky sobre os pagers-bomba. Todo mundo viu as explosões dos aparelhos usados pelo Hezbollah no Líbano, principalmente pagers e walkie-talkies. A primeira coisa importante a falar é que nenhum desses dois dispositivos tem bateria interna grande o suficiente para ter gerado aquelas explosões. Ontem, saiu uma reportagem no New York Times que apontou que as baterias foram adulteradas para conter uma pequena quantidade de PETN.(08:49) É o explosivo também conhecido como pentrita e, aparentemente, mais poderoso que nitroglicerina. É uma coisa bem poderosa; uma pequena quantidade causa um estrago legal. O mais provável é que esse ataque esteja sendo executado há muito tempo. A reportagem do New York Times sugere pelo menos dois anos de trabalho de infiltração na linha de produção dos aparelhos, inclusive com a criação de empresas de fachada para controlar a produção e distribuição. O principal suspeito de ter executado o ataque é Israel.(09:29) Israel tem uma política de obscuridade total em relação a operações militares, então dificilmente confirmarão ou negarão a autoria. Ficarão em silêncio. Mas Israel tem capacidade, interesse e flexibilidade moral suficiente para realizar esse tipo de operação. De certa forma, os métodos parecem muito com os inaugurados pelo ataque do Stuxnet contra as centrífugas do Irã. Os Estados Unidos também tiveram um grande esforço para contaminar a linha de produção de pendrives na época, pelo menos é o que tudo indica.(10:06) Do ponto de vista de inovações tecnológicas, aprenderemos muito pouco. Tudo indica que foi um ataque de supply chain que pode se dar ao luxo de ser pouco sofisticado na área de tecnologia. O pessoal de espionagem e inteligência terá bem mais para aprender aqui. Esse episódio é mais uma escalada do jogo de gato e rato entre o Mossad и o Hezbollah.(10:45) O uso dessas soluções de baixa tecnologia, como pager e walkie-talkie, já era uma resposta do Hezbollah à preocupação com as capacidades do Mossad de conseguir dados e metadados de smartphones. Pense no uso do Pegasus, o famoso spyware que usaram inclusive contra o Jeff Bezos. Um ponto que me parece muito importante é que esse ataque não pode ser visto como algo pequeno. Israel tinha acesso a informações privilegiadas, porque se conseguiu adulterar um pager e um walkie-talkie para ter um explosivo na bateria, com certeza conseguiria alterá-los para ter acesso aos dados transmitidos.(11:24) É seguro assumir que fizeram isso por algum tempo. Nesta semana, Israel decidiu tanto revelar que teve esse acesso privilegiado por tanto tempo, quanto abrir mão dele. Ao realizar este ataque, ficará claro para o Hezbollah que isso aconteceu, e eles certamente darão o próximo passo no jogo de gato e rato, tentando mitigar as formas que Israel conseguiria afetá-los.(12:00) É muito raro um atacante que tem um acesso privilegiado abrir mão dele em troca de nada, a não ser que já houvesse alguma suspeita. Esse ataque claramente deve ser visto nesse contexto e provavelmente indica uma escalada. Abraço, pessoal. Antes de tirar do Bluesky, a última mensagem que ele botou no fio foi: “essas são as principais contribuições que consigo trazer. Surgindo algo interessante, adiciono aqui. Se viu esse fio na timeline de alguém, segue aí”.(12:45) Fica a dica, sigam o Lucas. Ele escreveu na sequência: “Se quiser comprar meus cursos, se deu mal, não tenho curso para vender”. Lucas, obrigado pelo teu áudio e por interromper teu evento. Você estava lá e gentilmente contribuiu aqui. Ficou sem café, sem lanche, para sair e gravar. Quando formos a São Paulo, pagaremos um sanduíche de mortadela lá no mercado público para você.(13:31) Ele traz várias coisas, como essa matéria do New York Times, que ele linkou e estará no shownotes. Saiu o “The Daily”, podcast do New York Times, com a principal manchete do dia, com o repórter que escreveu essa matéria. Eles colocam esses principais pontos que o Lucas trouxe, principalmente o fato de ter levado mais ou menos dois anos preparando essa estratégia. Ao contrário do que vimos no começo, que diziam que teria sido um carregamento de pagers comprado pelo Hezbollah, desviado, mexido e devolvido, o que está parecendo é diferente.(14:06) O que parece é que outra empresa pediu licença para a empresa taiwanesa para produzir. Essa licença, obviamente, não é de graça; ela deve ter pago por isso. O pessoal foi atrás do endereço dessa empresa que teria produzido os pagers, e é um endereço residencial onde não há fábrica nenhuma. Montar 5.000 pagers…(14:45) Não estou nem dizendo fabricar, estou dizendo montar. Imagino que eles não pegaram os pedidos prontos; eles efetivamente montaram. Montar esses 5.000 pagers, se foi o Mossad, eles têm que ter utilizado uma linha de montagem. Não se monta 5.000 pagers em casa com duas ou três pessoas; precisa de bastante gente.(15:18) E não só montar, mas projetar uma alteração nele para que, ao receber um determinado código — o pessoal do New York Times comentou que, se recebesse um código específico, ele acionaria —, ele pudesse explodir. A modificação não é simplesmente abrir e jogar explosivo dentro. Não imagine que eles abriram, jogaram explosivo e fecharam.(15:49) Tem que ser feita uma modificação no equipamento para que ele exploda de forma controlada, seja em uma janela de tempo ou por uma mensagem. Não se pode simplesmente botar explosivo lá dentro; tem que montar um circuito minimamente confiável para não explodir acidentalmente ou falhar no momento do uso. Alguém tem que projetar isso para 5.000 equipamentos. A estimativa é que levaram dois anos na execução.(16:25) Isso chama a atenção: o investimento e o esforço para fazer esse ataque. Podemos começar pelos diferentes cenários. Este é um podcast que trata também de segurança da informação. O ataque de supply chain, que já explicamos, é uma situação em que um agente malicioso consegue entrar na cadeia de produção, neste caso, de um equipamento físico.(17:06) Pode-se entrar no meio da logística e comprometer a segurança de equipamentos físicos. A novidade aqui foi a explosão, mas no passado há outros casos. A própria NSA, em 2014, na esteira do caso Snowden, revelou que implantava dispositivos para interceptação de tráfego em servidores e roteadores.(17:51) O Glenn Greenwald revelou na época que a NSA implantava dispositivos de interceptação. Tinha até foto dos agentes abrindo caixas de roteadores da Cisco, fazendo modificações em uma bancada, fechando tudo e usando as fitas adesivas originais. O menor dos problemas é esse. Eles interceptavam fisicamente o equipamento, implantavam dispositivos de backdoor, encaixotavam novamente e encaminhavam aos destinatários.(18:29) Isso foi revelado em 2014, mas já acontecia desde 2010 e provavelmente antes. O ataque de supply chain envolve isso ou também a possibilidade de ter acesso ao processo de desenvolvimento de softwares para implantar códigos maliciosos dentro de softwares legítimos. Esse problema é tratado em normas como a ISO 27002, que fala sobre as melhores práticas de segurança.(19:11) A questão é conhecida, mas a diferença está na intensidade do impacto e na qualidade geral, comparando com as práticas de segurança que geralmente discutimos aqui. Quando falamos em cibersegurança ou ciberguerra no âmbito da inteligência, de países contra países, abre-se um novo campo de problemas e motivações.(19:49) O custo que o Vinícius colocou, não apenas o financeiro, deve ser altíssimo. Há uma questão de organização e muitas pessoas envolvidas. No âmbito das motivações, é isso que temos que destacar. As questões de segurança da informação que comentamos, embora o vetor seja o mesmo (ataque de supply chain), diferem qualitativamente da segurança que discutimos para empresas e pessoas comuns.(20:32) É muito difícil identificar e evitar esse tipo de ataque por causa das motivações. Quando falamos em supply chain, o que está mais perto da nossa realidade não são coisas explodindo, mas a questão da Cisco que você citou, de alterarem um roteador para fazer sniffing de tráfego. O que chega mais próximo do nosso dia a dia são bibliotecas de software que, eventualmente, são comprometidas e utilizadas no desenvolvimento.(21:11) Você acaba utilizando um software com uma biblioteca comprometida. Nos últimos tempos, temos comentado sobre esse tipo de problema de segurança em supply chain, mais focado no ambiente de software. Agora, estamos vendo uma situação especial em que colocam uma carga explosiva dentro do dispositivo.(21:48) Discutimos se isso era cibersegurança ou não. No final das contas, é uma carga explosiva acionada remotamente. Existe a discussão se foi remoto ou não, porque os aparelhos explodiram não exatamente no mesmo momento, mas em uma janela de umas 3 horas.(22:27) Uma hipótese é que, como é um equipamento ligado a uma rede, poderiam ter sido programados para explodir por meio de um comando. Essa é uma hipótese. Mas também li, e acho que faz sentido, que poderiam explodir por um timer, o que deixaria a operação menos complexa. Você programa e eles explodem numa janela de tempo.(23:39) Depois que explodissem, ninguém mais os utilizaria, então não faria sentido explodir uns em um dia e outros em outro. Teria que ser uma ação orquestrada. O que o Vinícius vai falar é que, para um agente como um estado ou uma agência de inteligência, comprometer tecnicamente ou colocar novos dispositivos para ações remotas é algo básico.(24:15) Por outro lado, se os caras ficaram dois anos fazendo isso, acho pouquíssimo provável que todo esse esforço fosse para colocar uma carga explosiva com um timer fixo, sem poder intervir. O negócio explodiria em um tempo pré-determinado. Se tiveram todo esse esforço, minhas fichas estão no seguinte: eles poderiam ter um mecanismo de timer, mas acho que se perde muito o controle.(24:59) Você vai querer explodir no momento mais adequado, e estamos falando de geopolítica, estratégia militar. Talvez no momento em que querem invadir ou percebem que o Hezbollah está se organizando para fazer algo. Seria uma carta na manga. Pensando friamente, eu não faria todo esse esforço para colocar um equipamento que eu não pudesse controlar exatamente quando detonaria.(25:34) Acho pouco provável. O que acho mais provável é que, com ou sem timer, deixaram uma forma de intervir remotamente, inclusive acionando a explosão, adiando-a, ou com um mecanismo de segurança do tipo “se eu perder o contato, ele explode em X tempo”.(26:20) O custo para fazer isso seria muito baixo. Vou mostrar um exemplo, um módulo que qualquer um pode comprar para Arduino, para mostrar o que está disponível. Uma agência de inteligência terá coisas muito melhores. Deixa eu fazer um disclaimer: você falou “comprar e brincar”. É brincar mesmo com Arduino, não fazer bomba. É importante destacar, pois nem todo mundo está habituado com esse cenário.(26:51) Quando falamos “brincar”, nos referimos a plataformas de microcontroladores para realizar projetos, estudados em universidades. Arduino é uma delas. Você monta miniprojetos de eletrônica e computação, e uma possibilidade é realizar comunicações entre dispositivos para fins totalmente lícitos. Ninguém fica fazendo bomba por aí. Apenas para mostrar o que temos no mercado.(27:22) Há coisas que permitiriam isso há uma década. Eu estava tentando achar o site do fabricante, mas aqui está um desses módulos. É o SIM800L, mas há vários modelos. Essencialmente, são um celular. Você pode receber sinal, fazer e receber ligações, enviar e receber SMS.(27:58) Ele tem entrada e saída de som e GPIO (General Purpose Input/Output), pinos que você pode usar para controlar o que quiser, como acionar um relé, uma lâmpada. Você pode pegar um desses módulos, usar com um Arduino, e mandar uma mensagem SMS para ele. Se a mensagem for “Liga a lâmpada 1”, ele liga. Em vez de uma lâmpada, você aciona uma carga explosiva.(29:06) Isso é pequeno, do tamanho de uma moeda de R$1. E está disponível para comprar no AliExpress ou em lojas de microeletrônica no Brasil. Se você tem um módulo desses para brincar com Arduino, imagine o que o Mossad não tem acesso em termos de miniaturização. Se tiveram tempo para projetar, foi barbada colocar um recurso desses lá dentro.(29:37) O New York Times comentou a possibilidade de que, em uma quantidade tão grande de pagers, é possível que pelo menos um não tenha explodido e possa ser analisado. Seria arriscado. Eu não abriria; tenho até medo de ficar perto de um. Vai que alguém botou à venda no eBay um que não explodiu.(30:13) Olha o risco que Israel assumiu. Eles venderam esses pagers, mas vai saber se não foram parar em outro lugar. Alguém pode pegar e vender o seu no eBay. A questão é que esses pagers não só teriam sido modificados para explodir, mas também para permitir o rastreamento.(30:47) Já que eles não só explodiram, mas antes disso estavam sendo utilizados para rastrear e capturar mensagens. Faz sentido, dado o esforço investido. Eles estavam usando pagers, uma tecnologia antiga, para fugir do monitoramento de celulares que Israel já fazia, aproveitando sua capacidade para isso.(31:20) Chegaram a usar essa capacidade para matar pessoas-chave do Hezbollah, usando não só localização, mas interceptação. Então, se tivessem modificado o pager só para explodir, seria pouco provável. Devem ter modificado para levantar informações, monitorar trocas de mensagens, e, como brinde, meteram uma carga explosiva para quando não pudessem mais usar, causando mais um efeito no alvo.(33:15) Isso é mais provável, dado o esforço. Concordo com o Lucas: não tem muita tecnologia nova, não é uma “cyber weapon” como costumamos dizer. O que já vimos no passado que se aproxima disso? O Stuxnet de 2010, considerado o primeiro malware a causar danos a estruturas físicas, desenvolvido pelos EUA e Israel para sabotar centrífugas de enriquecimento de urânio no Irã.(33:55) Eles conseguiram infectar o Windows e o software Siemens Step 7 que controlava as centrífugas, alterando a velocidade e o volume de gás, fazendo-as superaquecer e estragar. Quando falamos em segurança da informação para empresas, o dano tende a ficar no espaço digital. Você destrói informações que, de forma indireta, terão impactos na vida física. Um hospital atingido por ransomware, por exemplo, pode levar a mortes pela falha dos sistemas, mas é indireto.(35:15) O Stuxnet é interessante porque o software causou danos físicos diretamente. O caso da NSA de 2014, o ShadowPad, também via ataque de supply chain, incluiu um trojan no software de gerenciamento de servidores da NetSarang. O CCleaner também foi alvo, com dois cavalos de Troia inseridos, atingindo 2 milhões de usuários no que pode ser o maior ataque de supply chain.(36:29) O ShadowHammer de 2019 envolveu malware nas atualizações da Asus, atingindo até a BIOS. Os atacantes obtiveram um certificado válido para assinar o malware. Teve também o SolarWinds. O ponto de atenção aqui é que, embora tenha um pouco de tecnologia sendo usada para causar danos a pessoas, não é da mesma forma que com malwares que se autorreplicam ou interagem com outros sistemas.(37:04) O ataque é emblemático porque matou pessoas, o que não é comum no mundo da segurança da informação. Mas não tem muita tecnologia nova. Com dispositivos que você compra na internet, poderia colocar um explosivo remoto em qualquer coisa, até num sapato. Você vende para o grupo, o cara põe o sapato com o dispositivo e uma bateria, e dias depois explode.(37:46) Nem precisa ser remoto. A pergunta é: foi um ciberataque? Estamos avaliando apenas a explosão. Não sabemos se não havia outro mecanismo, se a modificação nos pagers não permitia obter informações ou ler mensagens. Nesse aspecto, sim. Ou se eles poderiam simular o envio de uma mensagem de uma fonte confiável.(38:23) O efeito que vemos é o da explosão. Obviamente não foi a bateria que sobrecarregou e explodiu. Se olharem os vídeos, é uma explosão, não uma bateria pegando fogo. As explosões são fortes. Tem uma filmagem de uma câmera de segurança em um caixa: uma mulher atendendo, o cliente na frente, e o negócio explode com deslocamento de ar. É explosivo mesmo.(39:01) Não sabemos se não havia outro recurso lá que permitisse a escuta passiva, a captura de mensagens. Os pagers só recebem, não enviam. Ele é passivo, dificulta a localização. Você põe um negócio lá que monitora o que o pager recebe e ativamente manda para algum lugar com esse novo circuito. Eventualmente, Israel poderia até injetar uma mensagem no pager, como fizeram interceptando uma ligação telefônica de um alvo.(40:37) Disseram para o cara subir em um andar para conversarem, e quando ele foi, atacaram. Já fizeram isso com telefone, poderiam ter preparado algo assim com o pager. Considerando apenas a explosão, é um explosivo acionado remotamente, algo trivial para uma agência de inteligência hoje em dia. Se tem outra coisa, ainda não sabemos.(41:15) Para concluir: eu tinha um pager da Motorola. Lembro do som, ele vibrava. Era um aparelhinho. Você via a mensagem e procurava um telefone para ligar. Havia mensagens de texto também, não só o bipe. Você ligava para uma central e pedia para mandar uma mensagem, que aparecia no pager. Não fui atrás das tecnologias atuais, mas imagino que não seja muito segura. Seria fácil interceptar os sinais.(42:36) O Vinícius vai mostrar o site da Gold Apollo, a empresa que teria concedido a marca para a empresa húngara fabricar. Ao que tudo indica, a Apollo não tem nada a ver, também foi vítima. No site deles, em “Products”, eles mostram o que fazem, inclusive “restaurant pagers”. Fui procurar para vender no Brasil e só achei esses.(43:46) Tem o numeric pager, o alphanumeric pager… imagino que seja um desses modelos. Uns até parecem mais sofisticados. Eles têm transmissores, um “patient call watch” para chamar socorro… coisas do ambiente hospitalar. Realmente espero que isso não vire uma tendência, porque o mundo atual já é bem difícil. A história do “drone pager”… essas coisas vieram para ficar. Vamos ver muito disso, infelizmente. Vamos esperar que apareça um pager que não explodiu para análise.(45:10) Agora, aquele tema do X, um verdadeiro buraco negro que nos puxa. Não vamos mais falar sobre o X. Mas acontecem coisas absurdas. Se você está nos ouvindo, provavelmente já sabe do caso Cloudflare. Preciso trazer algumas informações antes. Ficou claro que as ordens que culminaram no bloqueio do X no Brasil envolviam a tentativa de bloquear conteúdos e retirar perfis do ar sobre um tema que não sabíamos qual era.(45:49) O discurso sobre liberdade de expressão… claro, o problema está em xeque, a rede está fora do ar, mas não sabíamos o que o STF estava buscando bloquear. Era perseguição política? O que se descobriu, e vai ficar no shownotes, é que alguns perfis estavam usando o Twitter para expor dados de delegados da Polícia Federal, o chamado doxing.(46:30) Ameaçando e expondo pessoas, em especial o delegado Fábio Shor, responsável por investigações contra o ex-presidente Bolsonaro. Alguns “influenciadores” começaram a divulgar esse discurso, envolvendo dados dessas pessoas. A partir disso, começaram a investigar. Basicamente, as pessoas que tiveram seus perfis afetados por essas ordens que o X não quis cumprir estavam envolvidas em ações para expor dados de delegados federais, inclusive, em alguns casos, de crianças.(47:46) Eles expuseram fotos do delegado Fábio, que não tinha fotos publicadas na internet. Conseguiram uma foto da sua carteira de motorista. Reconheceu-se que era um grupo muito organizado, a ponto de colocar um bicho de pelúcia amarrado no limpador de para-brisa do carro do delegado, no endereço residencial dele. Algumas postagens perguntavam se o delegado era procurado “vivo ou morto”.(48:24) O Carlos Afonso faz uma reflexão sobre liberdade de expressão. Parece claro que esse tipo de ação, expor e ameaçar delegados da Polícia Federal, colocando em risco não só ele, mas sua família, não está coberto pela liberdade de expressão. Foi esse conteúdo que o X se negou a retirar do ar.(49:04) Na esteira dessas descobertas, há outros problemas. Uma delegada federal começou a ser alvo de tentativas de suborno por meio de e-mails anônimos criptografados, usando o ProtonMail. Ela deixou de responder e começou a ser ameaçada. Essa delegada também atuou no inquérito das fake news e das milícias digitais.(49:46) Esse episódio foi descoberto em uma campanha de exposição e intimidação de outros delegados que trabalhavam em investigações com Alexandre de Moraes. A campanha teria sido conduzida pelo blogueiro Allan dos Santos, que está nos EUA desde 2020 com ordem de prisão. Ele anunciou que pagaria R$5 milhões para quem tivesse provas contra Alexandre de Moraes na Operação Acrônimo.(50:24) Esse fio foi puxado por uma operação da PF que chegou nos pedidos de bloqueio para evitar que esses dados de delegados, às vezes com fotos de crianças, continuassem no ar. Foi todo esse relatório que embasou a decisão do STF de bloquear o X, porque a plataforma não quis retirar o conteúdo.(51:02) Outra questão interessante: algumas dessas fotos, inclusive do delegado que não tinha fotos na internet, foram acessadas via Infoseg, um sistema federal parecido com o Consultas Integradas. Foi o tema do nosso primeiro episódio do podcast. Conversei com o Rafael Zanatta sobre isso esta semana. Passei para ele nosso primeiro episódio, com o alerta de que estávamos horríveis, com áudio ruim, tudo travado. Estávamos aprendendo.(51:47) Julgo que estamos muito melhores do que naquele primeiro episódio. A PF está investigando isso. Descobriram que a conta de um juiz, provavelmente invadida, teve 4.000 consultas via VPN no Infoseg em um único dia. Deve ter uso de robôs, roubo de credenciais. Mas isso é tema para outra conversa.(52:21) Depois, tivemos uma carta assinada por mais de 50 acadêmicos e intelectuais ao redor do mundo, se colocando contra as ações de Musk. A carta dizia: “A disputa do Brasil com Elon Musk é apenas o mais recente exemplo de um esforço mais amplo para restringir a capacidade de nações soberanas de definir uma agenda de desenvolvimento digital livre do controle de megacorporações”. O conteúdo estará no shownotes.(52:46) Foi um movimento internacional importante, se posicionando contra Musk. Além disso, Musk chamou o governo da Austrália, via seu primeiro-ministro, de “fascista” porque estão querendo aprovar uma nova lei de desinformação online. Vão impor multas de até 5% da receita anual para empresas que não façam uma gestão adequada do risco de desinformação.(53:27) O primeiro-ministro australiano criticou Musk, dizendo: “As redes sociais têm uma responsabilidade social. Se o senhor Musk não entende isso, isso diz mais sobre ele do que sobre o meu governo”. A Austrália é uma das nações mais bem colocadas no ranking de democracia da revista The Economist, insuspeita nesse caso. É um país bem estabelecido, não tem nada de fascista lá. As leis são parecidas com as da União Europeia.(54:35) Isso já seria suficiente para falarmos sobre o assunto, mas aí veio o caso Cloudflare. O bloqueio do X no Brasil foi feito… a gente citou três formas: retirada do app das lojas, que seria agressivo; mexer no DNS, que seria facilmente burlável; ou o bloqueio dos endereços IP, que foi o que optaram por fazer.(55:49) Mesmo que você resolva o DNS para o IP correto, o IP estaria bloqueado. Por isso, quase todo mundo ficou sem acesso. O aplicativo tentava conexão, mas não conseguia. O que aconteceu agora foi que o X migrou seus servidores para uma estrutura da Cloudflare. A Cloudflare ajuda a proteger sites contra ataques, principalmente negação de serviço.(57:06) Os servidores do X não ficam mais expostos diretamente. O acesso é feito pelos endereços da Cloudflare, que repassa as conexões. Se alguém tentar atacar o site, a Cloudflare simplesmente move o serviço para outro IP e o site continua funcionando. Com isso, não há um endereço fixo, mas uma faixa de endereços que a Cloudflare gerencia.(58:32) O resultado é que não tem mais como fazer um bloqueio por IP como vinha sendo feito. Se fossem bloquear os IPs da Cloudflare, bloqueariam vários outros serviços. A Cloudflare teria uma fatia de 98% do mercado de empresas que usam esse tipo de serviço de segurança na nuvem, com cerca de 4 milhões de clientes.(59:45) O detalhe é que quem contrata esse serviço são empresas grandes, como bancos, agências de viagem, hospitais, empresas aéreas. Se tentassem bloquear por IP, derrubariam uma quantidade absurda de serviços no Brasil. Quem resolveu voltar atrás foi a própria Cloudflare, que ajudou mesmo sem ter sido citada na petição.(1:01:15) O Twitter (X) passa a usar a Cloudflare, e essa mudança na arquitetura fez o serviço voltar a funcionar no Brasil, tornando os bloqueios inefetivos. Durante isso, o próprio X disse, em 18 de setembro, que colaboraria com as autoridades brasileiras. A conta oficial Global Government Affairs disse que fizeram uma modificação em seus provedores de rede que causou uma “restauração temporária e inadvertida” dos serviços e que continuariam seus esforços para retomar o serviço em breve.(1:03:28) Quando o STF e a imprensa perceberam que o X voltou a funcionar, a Anatel iniciou comunicação com a Cloudflare. Surpreendentemente, eles disseram que iriam colaborar, isolando a faixa de IPs do Twitter para permitir que os bloqueios voltassem a funcionar. Isso envolveu um custo para todos. A Anatel disse que o desbloqueio se deu por uma ação deliberada do X para restabelecer o serviço.(1:04:51) E aí veio a decisão do STF, do ministro Alexandre de Moraes, em 18 de setembro de 2024. Ele diz: “É dolosa, ilícita e persistente a recalcitrância da plataforma X no cumprimento de ordens, confessada diretamente por seu maior acionista, Elon Musk, em publicação no próprio X dirigida a todo território nacional”. A publicação de Musk dizia: “Qualquer magia suficientemente avançada é indistinguível de tecnologia”.(1:06:11) Arrogante, não? O cara fez uma coisa muito avançada… A decisão continua: “Não há, portanto, dúvidas de que a plataforma X, sob o comando direto de Elon Musk, novamente pretende desrespeitar o Poder Judiciário brasileiro”. O STF determinou que a Anatel adotasse providências para manter a suspensão, incluindo os novos acessos via servidores CDN como Cloudflare, Fastly e Edgecast.(1:07:24) E que o Twitter Brasil suspendesse a utilização desses novos acessos, sob pena de multa de R$5 milhões. Intimou-se o presidente da Anatel, o Twitter e a Starlink, diante de sua responsabilidade solidária. Qual o racional disso? Poderíamos pensar que Musk, em conluio com a Cloudflare, buscou isso para viabilizar a continuidade do serviço.(1:08:39) Eu imaginei que a Cloudflare compraria a briga. Mas, logo depois, a Cloudflare não só não comprou a briga, como colaborou voluntariamente com a Anatel. Aí a coisa perde o sentido. O cara vai para o X se vangloriar e, logo depois, o bloqueio é restabelecido. Qual o fundamento?(1:09:58) A Cloudflare já se envolveu em retiradas de conteúdo antes, por violação de direitos autorais na Itália. Mas tiveram um caso emblemático e delicado com a retirada de conteúdos nazistas e negacionistas do Holocausto no Reino Unido. Nesse caso, não foram tão rápidos. Reclamaram que era um “precedente perigoso”. A decisão foi tomada depois que os neonazistas começaram a dizer que a Cloudflare apoiava sua causa. Aí tiraram do ar, a contragosto.(1:11:16) É delicado eles ficarem controlando conteúdos ativamente enquanto CDN. Mas isso não se aplica diante de uma ordem judicial. Depois de tudo isso, saiu a notícia de que o X decidiu apresentar dois novos representantes legais no Brasil. Palmas para o profissional.(1:12:29) Eles apresentaram, mas ainda não está certo, pois não entregaram a documentação que comprove a representação. Têm 24 horas para isso. Parece que o X vai, sim, bloquear os perfis solicitados pela justiça. Isso serviu para uma coisa interessante: fazer o pessoal usar outra rede social. O Bluesky, para mim, está sendo muito mais útil do que o Twitter jamais foi.(1:13:06) O Twitter eu já tinha largado de mão. É só bobagem, e depois que Musk mexeu, você recebe coisas que não te interessam. O Bluesky está sendo uma experiência muito boa. Serviu também para vermos o que é um papo furado. Vieram à tona as situações em que Elon Musk, o “defensor da liberdade de expressão”, compactuou com governos autoritários por causa de seus interesses.(1:13:40) Essa palhaçada de que ele defende a liberdade de expressão não dá para levar a sério. Ele está se complicando com outros países, com a União Europeia. Vamos ver mais confusões envolvendo Musk. Aqui, a multa é de R$5 milhões, mas veja o valor das multas que empresas como Google e Microsoft tomam na Europa. Nossas multas às vezes são irrisórias em comparação.(1:14:48) Nos EUA, a multa é ajustada ao poder financeiro da empresa. É interessante acompanhar isso e não só entrar na vibe do que as pessoas dizem sem saber. Converso com familiares que perguntam sobre Musk. Quando pergunto se sabem dos detalhes, a galera não sabe. Estão achando que ele é um bastião da liberdade de expressão, mas ele é um grande hipócrita.(1:15:25) A professora Shoshana Zuboff, autora de “A Era do Capitalismo de Vigilância”, escreveu um artigo explicando que o Twitter não é uma arena pública, mas um local onde o discurso é controlado por um algoritmo. Isso está ficando mais claro. Mas também vemos uma luz no fim do túnel. Tinha gente que ganhava dinheiro lá. É ruim porque ele força as condições para o bloqueio.(1:16:43) O judiciário está bloqueando porque conteúdos gravíssimos de ofensas a delegados não foram retirados. A empresa se recusa a cumprir. Na verdade, é ele que está se autobloqueando. Ele tem o dinheiro para brigar, contratar advogados, fazer um estudo. Acontece que ele não tem argumento. Quando há gente fazendo doxing e incitando ataques, isso não é liberdade de expressão.(17:38) Dentro dos limites da liberdade de expressão, há coisas que nos espantam. Nos EUA, pode-se levantar uma bandeira nazista; aqui, você vai preso, assim como na maior parte da Europa. Acho que nós estamos mais certos do que eles. Os norte-americanos estão errados. Não é possível que alguém possa fazer uma coisa dessas, defender uma ideia que prevê a extinção de outros seres humanos.(18:14) Há outras coisas semelhantes que atacam pessoas por suas escolhas e pregam ideias perigosas. Se essas coisas forem divulgadas sem restrição… não é censura a priori. Você faz e sofre a consequência. Quer poder dizer o que quiser e ficar por isso mesmo? É delicado.(18:53) Esse tema anda imprevisível. Se me perguntassem se isso aconteceria, eu duvidaria. Mas se eu pudesse apostar, diria que a coisa tende a se estabilizar com a indicação dos representantes. Vamos terminando, a não ser que aconteça outro fato bombástico em relação ao X.(19:33) De repente, dá tempo de fazer um adendo antes da publicação. Mas espero que não. Café expresso e café frio. Para quem vai o café expresso? Vou te ajudar: um café expresso para nosso amigo Lucas Lago, que topou participar. E outro para o Assolini, que estava com ele no evento. Pode ser. O frio é fácil. É para o X, né?(20:05) No caso dos pagers, é mais sério, não dá para envolver o café. Não sei se para a Cloudflare… ela está prestando um serviço. Hoje, empresas desse porte têm um compliance forte. Conversava com uma pessoa que dizia que, ao contratar um prestador, fazem uma análise do passado da empresa. Se houver envolvimento com corrupção, por exemplo, aponta-se um risco regulatório à imagem.(21:11) Surpreende-me, porque imagino que essa contratação não se deu com Elon Musk botando o cartão de crédito no site. Acredito que envolva algo maior. Eu daria para eles o café frio. Hoje, a distribuição teve bastante café frio. Terminamos fisicamente cansados de falar sobre essas coisas.(21:47) Vamos ver os próximos capítulos da novela. Agradecemos a todos que nos acompanharam. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima, Guilherme. Para aqueles que continuam assistindo, ficou um buraco no áudio porque a fonte se desprendeu do Discord. Quando vi, teu áudio estava mutado. Ajustei e comecei a gravar.(22:29) Teremos que passar para o Mateus a trilha do cachorro para ele encaixar no vídeo. Vai ter um trabalho extra de edição. Pessoal, vamos para o feriado. Um abraço a todos. Nos encontramos semana que vem, se tudo der certo. Até. Abração.

Neste episódio comentamos a nova pesquisa “Privacidade e Proteção de Dados” do CETIC.br. Você irá descobrir o cenário atual de adequação das empresas brasileiras à LGPD e por que ele é preocupante.​ Guilherme Goulart e Vinícius Serafim analisam os dados da mais recente pesquisa do CETIC.br sobre privacidade e proteção de dados no Brasil. A discussão aprofunda o nível de conformidade das empresas com a LGPD, revelando uma evolução tímida e práticas superficiais, como a baixa realização de inventário de dados. Abordando o tratamento de dados pessoais e dados sensíveis, o episódio debate a importância do encarregado de dados (DPO), a governança de dados, a segurança da informação e os riscos de incidentes de segurança, que afetam os direitos dos titulares. Assine nosso podcast, siga-nos nas redes sociais e deixe sua avaliação.  Visite nossa campanha de financiamento coletivo e nos apoie! Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Privacidade e Proteção de Dados Pessoais – Perspectivas de indivíduos, empresas e organizações públicas no Brasil Outras pesquisas do CETIC.BR 📝 Transcrição do Episódio (00:00) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e, aqui comigo, está o meu amigo Vinícius Serafim. Tudo bem, Vinícius?— Tudo bem, Guilherme. Olá aos nossos ouvintes e àqueles que nos acompanham pelo YouTube.— O meu amigo, e o amigo de todos vocês que nos escutam também. O amigo de todos aqueles que estão aqui conosco. O Vini é um cara muito amigável. Sempre lembrando que, para nós, é fundamental a participação de todos e (00:36) todas, por meio de perguntas, críticas e sugestões de tema. Para isso, estamos à disposição dos ouvintes pelo e-mail [email protected], no YouTube (youtube.com/segurancalegal), no Mastodon (@[email protected]) e, agora, no Bluesky. Siga-nos lá também no Bluesky, em @segurancalegal.bsky.social. Mas se você só colocar “Segurança Legal”, ele já vai achar. Siga o Vinícius em serafim.eti.br e eu, que vos falo, em direitodatecnologia.com. (01:13) São os nossos domínios personalizados, né, Vinícius? Tem um macetezinho lá que você consegue fazer algo que seria próximo, naquela outra rede, que não é bem um verificado, mas talvez uma demonstração de que, pelo menos, você é dono daquele domínio. Já é alguma coisa. Temos também a nossa campanha de financiamento coletivo no Apoia.se, em (01:38) apoia.se/segurancalegal. A gente sempre pede para que você considere apoiar um projeto de produção de conteúdo que está há 12 anos no ar.— 12 anos no ar. 12, né? Em 2012 nós começamos.— 12 anos no ar. Então, veja que a gente se esforça para manter o podcast no ar, e isso também passa pelo apoio dos ouvintes, que é bastante importante para nós. Então, considere também fazer o apoio.— Não deixe de pagar a Netflix… Quer dizer, não, não deixa de pagar a Netflix, não!— Aí não, Guilherme! Aí eu desisto, eu vou sair.— Mas sabe que eu não assino mais (02:18) Netflix, cara? Existe vida além da Netflix.— Ah, poxa, mas tem coisa legal lá.— Tem, eu fico pulando de um serviço de streaming para outro. E, claro, numa casa que tem criança, a coisa muda um pouco também.— É verdade. Mas, enfim, até o… esqueci o nome do nosso ouvinte que comentou no grupo do Telegram sobre “Anéis de Poder”, de trocar o Twitter pelo Bluesky, e trocar o Twitter pelo “Anéis de Poder”. E eu respondi: “Olha, não pode ter Twitter na mesma frase, ou X na mesma frase, que tem ‘Anéis de Poder'”. Não se (02:59) compara.— Eu acho que foi o Israel, Vinícius, estou vendo aqui.— Ah, o Israel. Beleza. Um abração para ti e para todos os nossos amigos lá do grupo do Telegram, que eu não sou tão presente lá no grupo.— Mas eu estou tentando convencer o Guilherme a gente criar um servidor no Discord, mas isso está em discussão ainda.— Eu te confesso que eu não gosto muito do Discord, mas eu sei que os jovens usam bastante. Então, se você está nos ouvindo e quer o servidor no Discord, nos avise que a gente cria. (03:36) É fácil fazer isso, Vini?— É fácil, fácil. A gente está usando para outras coisas, mas não para servidores abertos. Inclusive, Guilherme, tem o canal “palco”. Explica para nós o que é esse canal “palco”.— Se a gente tiver o servidor no Discord e a galera entrar lá, o pessoal entra e a gente tem o chat, tudo igual. Pode ter para assuntos diferentes, para sugestão de temas, por exemplo. A gente pode botar coisas diferentes lá. (04:06) É muito legal. O cara pode entrar lá e largar uma sugestão de tema. A gente pode ter lá dentro o canal VIP, e a gente revê um pouco esse funcionamento do grupo VIP. Então, dá para ter um canal VIP, dá para ter um canal aberto, público, e a gente pode ter, entre as diversas salas de bate-papo de voz, uma delas que é “palco”. Ou seja, o pessoal pode entrar, a gente está transmitindo e a pessoa vai conversando com a gente durante a transmissão. E, claro, só o nosso áudio (04:36) e vídeo que consegue entrar. Então, eu acho que valeria a pena, cara.— Mas isso não rola no celular?— Rola, claro, óbvio.— Não, mas tu és muito radical contra o Discord. O Discord é bom.— Não é que… tu pegas o Telegram, por exemplo, com todos os defeitos que ele tem, é um aplicativo leve, que roda no teu telefone, não precisa de muitos recursos. Não sei como é o Discord.— Eu rodo, nunca tive problema, para mim sempre foi de boa. Inclusive, eu uso em outro ambiente de (05:10) trabalho, lá na faculdade. A gente usava Signal direto, e continua usando para coisas mais sensíveis, mas para a nossa comunicação do dia a dia, para as nossas conversas, a gente está usando direto o Discord. Porque daí chega o pessoal: “Ó, estou na sala da Coordenação”. “Fulano, está aí? Preciso conversar contigo”. Eu caio lá na sala do Discord, tem a sala da Coordenação, o pessoal entra e eu converso. Tem umas funcionalidades bem interessantes, cara. Acho que poderia ser bem útil para os nossos ouvintes. (05:45) Enfim, isso é algo que a gente tem que discutir ainda. Não tomaremos decisões açodadas durante a gravação de um episódio.— Não, mas se for a vontade da maioria, eu digo que fico, Vinícius. Eu vou lá e não tem problema. Aí vou ter que mover fundos, fazer uma campanha no Telegram.— Sabe que, antes da gente começar, você me lembrou um negócio. A gente tinha toda uma promessa do metaverso, e isso que você falou logo me trouxe à mente a ideia: “Entra lá (06:20) na sala da coordenação” ou “entra lá na sala do grupo tal”. E a galera pagou caro por aquilo. A gente pensava que aquela tecnologia poderia servir para esse tipo de coisa, só que, na verdade, a gente está usando coisas mais simples e que funcionam também. Envolve toda aquela questão de você criar necessidades e também todos os hypes que a gente tem visto, como o que houve no metaverso. O (06:50) pessoal do Direito caiu de cabeça no “direito do metaverso”. E eu não sei se, claro, não dá para comparar, mas a gente tem um hype também acontecendo com a inteligência artificial. E a gente, às vezes, entra naquela ideia de que a inteligência artificial vai resolver todos os problemas do mundo, e não é bem assim também.— Sim. Eu vou fazer uma coisa aqui, Guilherme. Vou largar uma pesquisa, uma enquete, lá no grupo VIP do Segurança Legal no Telegram. Estou botando aqui: “Pessoal, pesquisa durante a gravação. (07:26) O que você prefere?”. Vou botar aqui as opções: “Grupo no Telegram” ou “Servidor no Discord”.— Enquanto o Vinícius está falando, para a gente não ficar te ouvindo preencher a pesquisa: esse é o nosso grupo VIP lá no Telegram, que, até este momento, os apoiadores têm acesso. E lá a gente troca uma ideia, conversa. Eu até apareço com um pouco mais de frequência. A gente acompanha quando tem gravação, a gente avisa, e notícias surgem lá também. Em geral, coisas muito (08:11) bombásticas, logo que saem, sempre tem algum “hackerzinho” de plantão para avisar, inclusive nós, às vezes, colocamos algumas notícias lá também. Então, é uma forma de manter contato. Aqui veio a pesquisa: “Grupo no Telegram ou servidor de Segurança Legal no Discord: o que você prefere?”. Temos um voto já para “Grupo no Telegram”. Vamos ver. Mas vamos ao nosso tema principal, que é por isso que nós estamos aqui hoje. O tempo hoje está contra nós. Na verdade, o tempo está sempre contra nós. Mas a privacidade e o cenário de adequação da LGPD no Brasil… (08:53) Você já ouviu na abertura. Hoje, a gente vai falar sobre essa pesquisa do Cetic.br, do Comitê Gestor da Internet, que é esse órgão que realiza todas aquelas pesquisas de que a gente já fala: TIC Domicílios, TIC Empresas, TIC Crianças, etc. E a gente vem repercutindo essas pesquisas; quando elas aparecem, a gente sempre comenta aqui a importância desse tipo de pesquisa no Brasil. É a pesquisa mais importante nessas áreas que são feitas, sem dúvida, aqui no Brasil. A gente gosta também, sempre, de recomendar para a academia, para (09:34) aquelas pessoas que estão na faculdade, enfim, vão produzir seus TCCs, suas dissertações, suas teses, e que, quando envolve a análise dessas questões mais do uso mesmo da internet pelos brasileiros, esse tipo de pesquisa, ou esse grupo de pesquisas, melhor dizendo, é obrigatório. E agora, em 2023, eles repetiram essa pesquisa, que também foi feita em 2021, que é a “Privacidade e Proteção de Dados Pessoais: Perspectivas de Indivíduos, Empresas e Organizações Públicas no Brasil”. Então, a gente tem (10:14) essas três grandes seções. O documento tem 208 páginas, mas também está em inglês, obviamente para pessoas de fora que queiram consumir esses dados. Nós temos esses três domínios, essas três sessões. Hoje, nós vamos falar somente sobre as empresas, com o foco, claro, o título já diz, em privacidade e proteção de dados. E o foco é observar, conversar um pouco sobre esses números, tentar tirar alguma coisa deles, porque não é fácil. A gente estava conversando aqui antes, ficou uma hora, eu acho, (10:48) sobre esses números. Tem algumas coisas que são difíceis de tirar conclusões. Né, Vinícius?— Eu acho que vou deixar para falar quando a gente entrar nos gráficos, para não começar a adiantar algumas coisas aqui.— Beleza, sem problemas. Então, eles têm um texto inicial que destacaram, antes da gente entrar nos números. Se você estiver nos acompanhando pelo YouTube, vai ver os gráficos que a gente vai projetar ao longo do (11:19) episódio. Basicamente, eles destacam logo no início o papel da ANPD, o papel dos novos regulamentos todos. Então, basta a gente pensar no regulamento de comunicação de incidentes e no regulamento de encarregado, que eu não sei se a pesquisa pegou isso, acho que não ainda, porque é do ano passado, publicada agora. Então, certamente, o papel da ANPD se faz aqui importante. Mas eles colocaram de uma forma muito educada, Vinícius, e acho que já tem uma primeira interpretação aqui: o apontamento (11:50) deles de que “ainda há espaço para ampliação da cultura de proteção de dados nas empresas” foi uma abordagem bem positiva do fenômeno. Mas eu leio isso, e leio o estudo como um todo, como algo que demonstra uma situação muito preocupante, na minha opinião. Porque essa frase, dizer que “ainda há espaço para ampliação da cultura”, significa que tem um espaço ainda não preenchido de uma lei que completa seis anos e que lida não somente com uma questão minha, Guilherme, falando aqui enquanto titular dos dados. Eu, enquanto titular, fico preocupado, porque os nossos (12:29) dados estão sendo tratados nas mais variadas situações, com as mais variadas finalidades e hipóteses. Mas eu me preocupo tanto quanto empresário, como advogado e consultor na área também, porque pode ficar muito caro para as empresas. Pelo que a gente nota, e essa é mais uma percepção nossa, muitas empresas estão “pagando para ver”, estão deixando para depois. E o custo de deixar para depois pode ser muito alto. Eu acho que essa pesquisa demonstra um pouco esse cenário geral, que é uma coisa meio percebida já por quem é da área, por quem trabalha com isso, né, Vinícius? (13:10) Sim, e pelo que a gente olhou ali nos gráficos, nós estamos falando de um espaço de mais ou menos 70% ainda para ser preenchido, por baixo. Então, realmente… mas é um pouco do que a gente já conversou e já falou em alguns dos nossos outros episódios sobre esse tema, Guilherme: enquanto não tiver algum tipo de consequência, uma consequência efetiva, isso tende a ficar muito em ações pontuais, como a gente vai ver em (13:50) alguns gráficos, e talvez não tão bem feitas quanto parece, com baixa efetividade, talvez. Então, quando a gente for ver a questão de contratos, por exemplo, a gente vai ver que um monte de gente está adequando contrato, só que, às vezes, a única ação é essa: adequar contrato. E adequar contrato é o quê? É dizer que respeita a LGPD. Então, nós temos várias situações. Quer ir direto para os gráficos?— Só para dizer que esse (14:28) tipo de pesquisa pode ter alguns problemas também, e claro, isso está muito relacionado com a nossa percepção sobre esses temas. Diante de uma pesquisa séria como essa que o Cetic faz, é meramente uma percepção mesmo. A gente tende a ver a realidade de acordo com as nossas experiências, então alguns números nos pareceram altos. Mas isso é uma percepção que estamos colocando diante de uma pesquisa cientificamente feita. Isso é importante dizer, não são essas enquetes que nem a gente faz (15:09) aqui. Isso é uma pesquisa conduzida por técnicos da área, por pessoas com metodologia descrita no documento. Os dados estão lá para você ver. Porque eles puxam alguns desses dados da TIC Empresas 2023, que também acho que dá para anotar aqui para deixar no show notes depois, que tem uma série de indicadores, inclusive alguns bem interessantes quanto à questão de práticas de segurança digital por setor e tudo mais. Então, nós temos essa questão: alguns números parecem altos. E também nós temos uma questão muito mais ampla e (15:45) complexa nesse tipo de pesquisa. Isso não é um problema dos pesquisadores, nem da metodologia, mas sim de quando você tem respondentes que, ao responderem a alguma coisa, podem ter um viés, uma resposta diferente do comportamento que eles têm. Eles poderiam estar anunciando um comportamento incorreto, errado ou inadequado. Então, há uma tendência, não que todo mundo vá ser desonesto, nada disso, mas há uma tendência de as pessoas, às vezes, não serem totalmente honestas. Veja, o (16:21) Vinícius estava lendo aqui um pouco sobre a metodologia. Você tem muitos gestores de TI sendo entrevistados. Então, poxa, quando você questiona um gestor de TI sobre algumas práticas que ele deveria estar fazendo, que seriam da responsabilidade dele, a tendência é que pode aparecer um viés de proteção, e eu diria que, em algumas vezes, até inconsciente. Não estou dizendo que o cara é antiético, é inconsciente mesmo. Então, isso também tem que ser observado aqui, e talvez tenha um pouco essa relação com (16:53) alguns números que nos pareceram altos pela nossa realidade e experiência. Bom, eles então fizeram entrevistas em pequenas, médias e grandes empresas e buscaram identificar aqui três grandes domínios. Nós temos 11 gráficos a apresentar, e esses 11 gráficos vão ficar divididos no primeiro domínio, que é a guarda de dados pessoais e finalidades de uso; depois, desenvolvimento de capacidades internas, que são os indicadores sobre as ações de sensibilização das equipes internas das empresas sobre o tema; e há um terceiro domínio, que é a (17:32) adequação propriamente dita, que são os indicadores sobre as ações de conformidade e adequação, bem como as atitudes e boas práticas no tratamento de dados pessoais. E aí, claro, começam a aparecer as surpresas. O primeiro gráfico, Vinícius, é também um gráfico um pouco difícil de trazer. Eu leio aqui para quem está nos ouvindo e não nos vendo: são as empresas por tipo de dados de pessoa física mantidos e o seu porte. Então, nós temos aqui, entre pequenas, médias e grandes empresas, um aumento ligeiro de 2021 para 2023, (18:09) perdão, dos dados tratados, tanto no domínio de clientes e usuários, quanto no de funcionários e terceirizados, onde houve um aumento um pouco maior. Funcionários e terceirizados passaram a ter seus dados tratados 4% a mais em comparação com 2021 pelas grandes empresas. E parceiros e fornecedores, nas grandes empresas, tivemos uma diminuição, acho que em todas, tanto pequenas, médias e grandes, tivemos uma diminuição do número de parceiros de fornecedores de 2021 para 2023, ou seja, uma diminuição (18:46) no número de dados ou na porcentagem de dados tratados.— Só que tem um detalhe: se você está nos ouvindo agora e tem um interesse maior sobre essas informações, é bom olhar os gráficos. Esse gráfico aqui que a gente está mostrando, para quem está no YouTube, dá para ver que a variação é muito pequena, tanto para baixo quanto para cima. A variação percentual aqui é realmente muito pequena, e isso me traz uma dúvida. Não sei qual é exatamente a margem de erro aqui, digamos assim, mas essa variação… De (19:27) fato, eu tendo a olhar para isso aqui e ver que as coisas estão paradas, do que efetivamente alguma mudança significativa, entende? De 2021 para 2023. Se você olhar o gráfico, está tudo muito perto, muito igual, com variações percentuais muito pequenas. Então, eu tendo a pensar que, com relação a 2021 para 2023, e essa é a minha conclusão olhando esse gráfico, a minha hipótese é que o tratamento de dados de clientes e usuários permanece igual. (20:09) Funcionários e terceirizados permanecem iguais, e parceiros e fornecedores permanecem iguais para todas as faixas de empresas: pequena, média e grande, em termos percentuais. Essa é a leitura que eu faço, porque de 2022 para 2023, se tivesse tido uma grande alteração, acho que nós teríamos um impacto maior nos gráficos, entende? Então, nós estamos falando de uma alteração no cenário, alguma coisa que fosse significativa mesmo. Acho que a gente veria uma variação maior aqui nesses valores. Então, olhando hoje, eu diria que a gente está com o (20:48) mesmo cenário de 21 para 23, o que aumenta um pouco a nossa preocupação. Não, na verdade, aqui nem tanto, porque é o tipo de dado; aqui não está classificando se está sendo cuidado ou não, a questão de LGPD e tal. Aqui é o tipo de dado que o pessoal tem tratado.— Mas vamos lá, deixa eu fazer um exercício aqui. A gente só tem mais 35 minutos, temos que ir com cuidado. Mas a gente percebe que as práticas de negócio estão cada vez mais consumindo dados pessoais. Então, um aumento, e (21:22) não uma diminuição como nós vimos em algumas áreas, seria o natural. Por exemplo, juntando os dados aqui do aumento de tratamento de dados de funcionários e terceirizados…— Cuidado, Guilherme, na verdade, cuidado com a frase. Não é a quantidade de dados tratados, é o percentual de empresas que tratam dados pessoais de clientes e usuários, desta categoria de pessoas físicas. Não quer dizer que…— Sim, mas aumentou o número de empresas que tratam dados de funcionários e terceirizados, de 60% para 64% nas grandes empresas. Tivemos aumentos de 4%. Por exemplo, a gente viu em outro gráfico, que veremos depois, que aumentou o número de dados pessoais sensíveis sendo tratados. Isso poderia ter uma relação, segundo a pesquisa, com a ampliação do número ou das situações de uso de dados (22:31) para controle de entrada e saída. Então, isso pode estar relacionado, mas realmente pode mostrar uma estagnação e pode mostrar, sim, uma subnotificação aqui, se é que dá para usar essa palavra. Uma diferença pequena. Vamos para o gráfico dois, Vinícius, que seria a percentagem total de empresas que mantêm dados pessoais de clientes e usuários por tipo de finalidade. Ou seja, a percentagem daquelas empresas que tratam esses dados de clientes e usuários, por tipo de finalidade. (23:07) Qual é a finalidade principal aqui? E, medida, isso também me chamou a atenção, porque está lá em primeiro lugar, com uma leve diminuição de 2021 para 2023, vamos colocar em 70%, “para entrar em contato diretamente com clientes”. Depois, seguido de “para checagem de crédito”, com 44-45%. “Para realizar estudos para desenvolvimento de novos produtos” teve um aumento de 24% para 28%. Ficou estagnado “para realizar análise de comportamento de clientes”, com 21% em 2021 e 2023, o que é um número ainda alto, mas é bom porque essa é uma atividade arriscada de se fazer. E um (23:49) aumento de 1% em campanhas de marketing, de 17% para 18%. O que me chamou a atenção, em primeiro lugar, é que os dados tratados na grande maioria das vezes por empresas, e aqui se falando de clientes e usuários, ou seja, estou imaginando que são, de fato, pessoas que utilizam serviços dessas empresas, a maior finalidade é prestar o serviço. Essa é a primeira finalidade, e não apareceu aqui. Então, talvez a gente esteja assumindo que essa seja 100% da finalidade, eu imagino.— Sim, e o que importa é o que vem depois. E aí, (24:25) depois, “entrar em contato”. Claro que “entrar em contato” aqui pode estar incluindo encaminhar mensagens. Por exemplo, eu tenho a minha empresa de gás que presta serviço aqui para o condomínio. Ela entra em contato comigo, digamos assim, para me encaminhar a conta do gás, que entra automático, mas eles encaminham. Então, acho que isso estaria dentro desse “entrar em contato diretamente”. Aqui não explicita essa questão. Mas é interessante notar, e o Vinícius destacou: tem 30% de empresas (24:58) que não entram em contato. Será que seria isso?— Acho que sim, cara. Que só tem os dados, mas não os usa para entrar em contato com os clientes. Não sei, eu achei um número relativamente baixo, 70% das empresas usam para entrar em contato. Beleza. E as outras 30%? Tem alguma coisa que eu não estou vendo aqui, que não estou enxergando.— Mas eu acho muito difícil que 30% das empresas não entrem em contato (25:31) direto com o cliente e usuário. É uma coisa bem… Eu te digo que eu achei alto o número de checagem de crédito, viu? A gente está em 44% aqui em 2023 de empresas que usam dados para checar crédito.— Eu, por exemplo, vou comprar lá na Amazon, não tenho meu crédito checado.— Mas aí tem aquilo que eu comentei contigo. Tem muita loja… Acho que a Amazon não é a que mais vende. Acho que tem muita, muita loja que faz justamente esse tipo de venda, a venda parcelada, (26:15) etc. Então, a gente tem muitas financeiras, um mercado de empréstimo bastante aquecido no Brasil, com muitas empresas fazendo isso e fornecendo serviços de crédito. Agora, que metade das empresas faça isso é bastante. Mas talvez dependa do setor envolvido aqui. Teria que ver, mas não é 45%… Eu estava procurando esse dado no Serasa, enfim, mas teria que ver com mais atenção. Mas não é 45% (27:00) dos clientes de empresas que têm crédito, que buscam ou consomem serviços por crédito. Esse é um primeiro ponto.— Claro, mas a gente está falando aqui das mais variadas atividades. Não estamos falando só de e-commerce, não é só digital. Aqui tem hotel, construção civil, tem tudo. E lá na metodologia foram pegas empresas por setor, uma amostra por setor. Então, todas as empresas estão representadas, todos os setores estão aqui representados. E o número de 21% (27:40) também é importante para a realização de análise de comportamento, como a criação de perfis. A gente sabe como é crítica a atividade de análise de comportamento: envolve seleção de hipóteses de tratamento adequadas, envolve investigações, eventualmente, no sentido de apurar o risco dessa atividade para o titular de dados. Então, parece que esses 20% aqui, um número que eu considero alto, imaginando que estamos falando de todo o mundo de negócios e não só do digital — no digital deve ser mais alto ainda —, (28:15) e a gente tem aí uma potencial situação de que isso está acontecendo em um número relativamente baixo de empresas, mas elas não estão cuidando adequadamente das atividades de adequação. Vamos para o gráfico três, Vinícius. Esse aqui, de fato, é bem mais complexo de se analisar. Nós temos as empresas por finalidade de uso de dados pessoais de funcionários e setor. Ou seja, a porcentagem de empresas que usam dados de funcionários e para qual (28:58) atividade. E eles dividiram aqui em seis atividades. Inclusive, fica uma crítica aqui ao pessoal do Cetic: as cores dos gráficos, pessoal, têm que dar um contraste um pouco maior, porque fica bem difícil de ler.— E tem uma coisa que, agora que você falou, eu me liguei. Lembrei de um relatório que a gente fez há muitos anos, e o gestor de TI para o qual a gente entregou o relatório era daltônico, e a gente não sabia. E aí ele sugeriu que a gente não só (29:31) usasse cores diferentes nos gráficos, mas que utilizasse padrões diferentes, texturas, para facilitar a interpretação por quem é daltônico. Ele mesmo era, então sabia do que estava falando. Talvez seja uma coisa interessante também. Mas vamos lá, toca ficha.— Eu não sou daltônico e, na primeira vez que olhei, não consegui identificar. É um gráfico difícil (30:07) de se ler. Eu ia dizer aqui quais são as atividades medidas: avaliação interna de desempenho, monitoramento automatizado das atividades desempenhadas ou geolocalização — esse é um número que se repete, basicamente 20%, daria para dizer. Oferta de produtos e serviços é um número mais baixo, fica entre 9% e 13%. Controle de entrada e saída é o maior número aqui, o que chama muito a atenção. Ou seja, em todas as áreas, a maior finalidade do uso de dados de funcionários é o (30:50) controle de entrada e saída. Criação e acompanhamento de planos de carreira e políticas de diversidade e inclusão… E essa seleção das finalidades me chamou um pouco a atenção. Por exemplo, agora me dei conta: não tem aqui toda a questão financeira do pagamento dos funcionários. Você tem um consumo de dados obrigatório dos funcionários para pagá-los, ou seja, aqueles dados normais. Isso não foi medido, e de propósito, porque em todos os casos esses dados vão ser tratados. Talvez seja óbvio, pode ser isso. Mas me chamou muito (31:23) a atenção o fato de a gente ter altos números para políticas de diversidade e inclusão em todas as áreas: transporte (35%), área de informática (37%), atividades profissionais (29%), indústria (33%). Um alto número de tratamento de dados para políticas de diversidade. E talvez isso se dê pela questão do compliance. As atividades de compliance hoje já se preocupam há bastante tempo com a questão da diversidade e inclusão. Mas isso também pode envolver (32:04) dados sensíveis, porque se você estiver falando de pessoas trans e todo o grupo LGBTQIA+, então você poderia ter… Eu não sei, não vejo isso muito na realidade, inclusive nos mais variados tamanhos de empresa, sabe? Não vejo isso acontecendo com esta frequência que vejo aqui. Mas veja, aqui é mais percepção mesmo.— É que tem uma coisa importante também, que não é da minha área, que eu percebo na própria faculdade. (32:40) Existe a necessidade da pessoa informar, quando está sendo contratada, essas informações, porque tem uma certa cota legal que a empresa tem que atender a partir de um certo número de funcionários. Senão, ela fica sujeita, provavelmente, a algum tipo de multa ou sanção. Então, talvez esse tratamento esteja aí refletido, entende? É uma coisa que a gente vê que todas as empresas, a partir de certo número de funcionários, têm que ter. (33:10) Então, talvez esse número não seja tão alto, desculpa, talvez ele seja até baixo, se isso estiver sendo considerado na resposta.— E tem essa dupla questão do monitoramento automatizado das atividades desempenhadas ou geolocalização, que foi de 11% a 23% aqui na informática, que é sempre um pouco maior nessas áreas. E isso pode estar apontando um problema, situações que podem ser um problema para a LGPD de (33:47) maneira geral. Ou seja, estou imaginando situações de trabalho remoto, que são cada vez mais frequentes e que talvez não estejam refletidas aqui. Ou seja, há situações de trabalho remoto, mas você não estar monitorando isso, como nós já vimos acontecer. É uma situação em que o ideal é que você trate dados, justamente por questões de segurança e para, inclusive, conseguir medir as atividades de tratamento que estão sendo realizadas pela via remota. E pode ter aqui uma tendência de que essas atividades (34:25) estejam acontecendo sem o devido acompanhamento. O próximo gráfico, Vinícius, gráfico 4, é sobre dados sensíveis, ou seja, empresas por tipo de dado sensível mantido, por porte e por setor. Então, eu tenho aqui pequenas, médias e grandes, de maneira geral, e o tratamento de dados sensíveis aumentou no total. Tivemos um aumento no tratamento de dados sensíveis em todos os cenários. O aumento total, que era de 24% em 2021, sobe para 30% em 2023. É um (35:09) número importante. Nas médias, sobe bastante, de 36% para 50%. E no mercado de atuação, temos aumentos em todas as áreas: indústria aumentou 5%, construção acho que foi o que mais aumentou, de 13% para 22%, 9%. Isso pode demonstrar também o fato de essas empresas estarem se adequando a uma velocidade um pouco maior, ou seja, por começarem a se dar conta dos dados, inclusive a ter essa consciência. Porque se você pega uma empresa em que as pessoas (35:48) não estão familiarizadas com os conceitos da lei, ao falar em “dados sensíveis”, o próprio problema da pessoa entender a pergunta pode, eventualmente, estar refletido aqui também. Transporte ficou estável, com aumento em áreas de informação e comunicação. Atividades profissionais também aumentaram bastante aqui, acho que mais do que construção. Mas esse aumento em todas essas áreas deveria também estar refletindo um aumento maior nas práticas de conformidade. A gente vai ver que até (36:19) teve, mas talvez não acompanhe, porque estamos falando de dados sensíveis, que demandam cuidados maiores do ponto de vista da lei.— Quer comentar algo aqui?— Não, está tranquilo, pode ir.— Vamos, então, para a próxima, que é “desenvolvimento de capacidades internas”. E ele começa a verificar, já no gráfico número cinco, as empresas por realização de reuniões internas para tratar do tema de proteção de dados pessoais, por porte. Eu acho até que a gente pode passar um pouco (36:58) mais rápido por essas aqui, Vinícius, para chegarmos aos números que mais nos importam.— Acho que a visão geral aqui é que o pessoal reduziu as reuniões, ou manteve mais ou menos a mesma coisa, ou reduziu. Não tem nenhum apontamento de aumento do número de reuniões.— Não, aumentou em atividades profissionais somente, e em serviços também. Mas o resto todo ou ficou igual ou diminuiu.— Ah, não, estou mentindo, calma aí. Alojamento e alimentação também aumentou.— Mas, no geral, empresas de pequeno porte se mantiveram iguais (32%). Médias empresas caiu de 59% para 55%, e grandes de 73% para 65%. Mas o que esse número pode querer dizer? “Ah, os caras fizeram um monte de reunião há um tempo, preocupados com a LGPD, depois passou a preocupação e reduziram as reuniões”. Pode ser.— Eu cheguei mais ou menos nessa conclusão também. Ou duas coisas: ou com o tempo passando e mais atividades de adequação sendo realizadas, se você for comparar com o número (38:15) de reuniões necessárias para o início do processo, as reuniões efetivamente vão diminuir, se eu imaginar que as empresas estão aprendendo a lidar e têm conscientização. Então, pode, sim, haver uma tendência de diminuição de reuniões. Mas não podemos nos esquecer que você vai ter novos projetos, problemas, incidentes. Então, é difícil imaginar. Na nossa experiência, as reuniões vêm se mantendo e aumentando, pelo menos a sua necessidade (38:49) aumenta. Ou, de fato, e esse número pode demonstrar aquela nossa preocupação, pode demonstrar uma diminuição na atenção para a proteção de dados. É difícil interpretar todos os dados ao mesmo tempo, às vezes eles se contradizem. Mas essa pode ser uma hipótese, sim: as empresas estão simplesmente diminuindo sua atenção, fazendo menos reuniões e pronto. O maior número (39:23) registrado aqui foi de 65% nas grandes empresas em 2023. Ou seja, somente 65% das empresas está fazendo reunião sobre esse tema. Gráfico seis: “Empresas por existência de uma área específica ou funcionários responsáveis pelo tema de proteção de dados, por porte e setor”. Ou seja, a presença de uma área específica. Vemos aqui um aumento em todas as áreas: pequenas empresas subiu de 20% para 22%, médias de 41% para 43%, e deu um salto nas grandes, de 47% para 56%. E isso mostra que são as grandes empresas que estão (40:12) liderando as atividades de adequação, de maneira geral. Claro, por múltiplas causas, a financeira é uma delas, sem dúvida, mas também de complexidade, de conhecimento. Mas isso demonstra um bom salto, de 47% para 56% nas grandes empresas, com saltos expressivos também nas áreas de informação e comunicação (de 35% para 51%) e atividades profissionais. E algumas diminuições na área de alojamento, alimentação e transportes; tivemos queda em áreas específicas. Opa, apagou (40:57) minha luz, Vinícius. Enfim, essa diminuição nessas áreas também pode ser preocupante, porque quando a gente fala em transportes, alimentação e alojamento, podemos até ter dados sensíveis tratados, dependendo das circunstâncias. Então, também pode demonstrar uma necessidade maior de atenção para essas áreas. Depois, o gráfico sete, Vinícius: “Empresas por área ou departamento a que pertencem os funcionários responsáveis pelo tema de proteção de dados”. Aqui, (41:42) me chamou a atenção que a pesquisa não verificou a existência de um setor de proteção de dados. Ou seja, um encarregado que pertence ao seu próprio setor, o setor do encarregado de dados. Isso não foi medido. Mas, enfim, o que mediram foi, entre 2021 e 2023, a quais áreas pertenciam. E esses números são interessantes. Temos um aumento de 1% do jurídico (de 32% para 33%), diminuição do compliance (me chamou a atenção, de 22% para 19%), uma pequena diminuição da TI (42:21) (69% para 68%), diminuição de 1% na diretoria (53% para 52%), financeiro diminuiu, administrativo ficou igual, e outras áreas também. O enunciado talvez não explique muito bem. Será que está falando só sobre o encarregado, sobre a equipe do encarregado, ou sobre o envolvimento de pessoas desses setores? É difícil interpretar, mas me chama muito a atenção, e o estudo aponta exatamente isso, uma certa convergência entre aspectos de segurança digital e proteção de dados pela presença da TI na (42:58) área.— Sim, eu acho que isso é justificável. E tu vais ver no gráfico que TI e administrativo estão disparados na frente dos outros setores. Eu até achei que ia ter mais TI, inclusive. Mas, para mim, está muito parecido, sabe? Achei que fosse ter uma diferença maior entre TI e administrativo.— Até porque você tem empresas que não têm TI, empresas que não têm compliance, então o administrativo…— Entraria no administrativo, que caiu de 42% para 34%. O que me preocupa aqui, e eu tenho uma certa reserva quanto a isso, é um tema ao qual as pessoas não dão muita importância aqui no Brasil, mas na Europa é um dos grandes temas: o conflito de interesses. Aqui no Brasil, na verdade, em todas as áreas, nós temos uma certa leniência com conflitos de interesses. Vemos isso, antropologicamente (44:17) explicado na história do Brasil. Enfim, você nota que aqui nós temos a TI, e quando ela está envolvida na proteção de dados, pode causar conflitos de interesses muito importantes. Na verdade, conflito de interesse pode ter em qualquer área, mas tradicionalmente, deixar na TI, pelo fato de a TI ser a área que vai tomar medidas de segurança, muitas vezes, quando não há uma área de segurança, ou quando vai ter suas práticas escrutinadas ou questionadas pelo encarregado… quando há (44:52) essa independência, eu me preocupo um pouco com esse número alto. A própria diretoria também. Se a pessoa que vai cuidar da proteção de dados, ou se os grupos envolvidos — não somente o encarregado, mas também o encarregado —, se ele é um diretor, por exemplo, é muito provável que ele também tome decisões acerca do tratamento de dados na instituição. Então, eu tenho um problema de conflito de interesse ali. E se eu tiver, vou (45:33) precisar de práticas para mitigar ou afastar esses conflitos em certas situações, o que deixa a questão muito mais complicada. Por isso que a gente sempre sugere a independência dos atores envolvidos aqui. Vinícius, o gráfico oito, se você quiser passar para nós: “Empresas por tipo de ações de treinamento ou capacitação”. Teve aqui, acho que dá para dizer, um aumento em todos, um aumento bastante importante de 2021 para 2023. Treinamento também é uma daquelas atividades fáceis (46:11) de você demonstrar. A gente sabe que o treinamento é importante, deve ser feito, mas a realização de um treinamento é uma medida demonstrável e que traz um certo impacto, sobretudo quando a gente recomenda que você comprove que o treinamento foi feito, com certificados, testes quando possível, e tudo mais. Aqui, a própria questão do phishing poderia entrar também, mas não é bem treinamento. Em geral, os treinamentos que a gente faz antecedem um phishing para demonstrar mais a (46:45) importância da segurança e da proteção de dados. Mas, assim, eu fiquei feliz. O número total sobe de 29% para 33%, com aumentos expressivos em algumas áreas. Mas é porque ele também mede por quem foi oferecido: se pelo governo, por outras empresas ou por instituições do terceiro setor. E tivemos, na verdade, uma diminuição de treinamentos oferecidos por outras empresas, pelo menos nas grandes empresas, ou seja, aquelas (47:24) situações em que você contrata outra empresa para fazer o treinamento. E também, no número total, subiu de 29% para 33%, mas ainda é pouco, 33% no geral é pouco. São aqueles dois terços que a gente comentou no início.— Sim. Os últimos… eu acho que esse, o gráfico nove, talvez seja o mais importante, Vinícius.— É o mais importante e o mais difícil de ver. Aqui na tela ficou pequeno. Fizeram o gráfico mais alto. São as “Empresas por tipo (48:00) de adequação à LGPD”. O que eles buscaram medir aqui? Quais são as medidas que estão sendo tomadas e a evolução de 2021 para 2023. Ele traz uma lista de medidas e simplesmente diz a porcentagem de empresas que fez aquela medida.— Aqui, Guilherme, temos cinco medidas que estão num grupo claramente adiante das demais: realização de alterações em contratos vigentes (as empresas adequaram os contratos); (48:37) elaboração de um plano de conformidade ou adequação à proteção de dados pessoais; desenvolvimento de uma política de privacidade que informa como os dados pessoais serão tratados pela empresa; e o outro item, que é a realização de testes de segurança contra incidentes, como vazamento de dados. Essas quatro primeiras estão mais ou menos, no geral, com 30%. Tem uma variaçãozinha na parte de contrato, que subiu de 28% para 35%, e de elaboração de plano de (49:07) conformidade, que subiu de 24% para 32% entre 2021 e 2023. Mas esse é o grupo de destaque. Me chamou a atenção a “realização de teste de segurança” estar nesse grupo. A parte de teste de segurança contra incidentes de segurança com vazamento de dados. Não imaginei que estivesse tão par a par com medidas como, por exemplo, ajuste contratual, embora tenha uma diferença de 5-6% em 2023. Já as outras atividades… (49:44) Tem umas que não foram medidas em 2021, que foram a elaboração de política de retenção e descarte de dados pessoais (essa foi medida só em 2023, com 25% do pessoal fazendo), e a outra, que em 2021 não havia sido medida, é a criação de um processo de avaliação de processos de tratamento de dados pessoais de empresas terceirizadas que sua empresa contrata, e elaboração de políticas de incidentes. Esses não haviam sido medidos. E nos demais, a (50:24) gente tem várias outras coisas. Oferta de canal de atendimento, que diminuiu de 24% para 20%. Isso é estranho, diminuir a oferta de canal. Você mexe nos contratos, mas não oferece canal de atendimento. Aumenta a adequação, as atividades e práticas de adequação, e diminui o canal de atendimento? Você aumenta o comprometimento com a adequação, que é o que você faz no contrato, e aí vai lá e diminui o canal de atendimento?— Mas esse número é importante, Vini. Essa avaliação que tu fazes, porque a gente estava conversando antes e meio que chega a uma conclusão, que é o seguinte: o contrato é uma medida importante, relevante, necessária. Obviamente, vai ter que mudar os contratos com operadores, controladores conjuntos, parceiros de negócios, toda aquela coisa. Mas, ao mesmo tempo, o contrato é uma medida demonstrável. “Bom, me adequei à LGPD”, algumas pessoas poderiam pensar, porque está longe de ser uma adequação somente mexer nos contratos. Isso não precisa nem destacar, (51:36) mas se você pensa que somente alterar os contratos não é nem 5% do que precisa ser feito… Mas é algo importante e demonstrável. Mas, Vinícius e pessoal, a adequação dos contratos não garante que aquelas práticas estão sendo realizadas, ou, ainda, sequer a gente sabe qual é a qualidade dessa adequação contratual. Nós já vimos contratos em que você simplesmente coloca uma cláusula “deve cumprir a LGPD” e deu. Uma cláusula no meu contrato, ou “todas (52:16) as leis que vierem”. Vejam, certamente esses contratos não foram lidos, não foram escrutinados. Então, me preocupa um pouco o contrato estar na frente, sabe? Porque é algo relativamente fácil, te dá segurança jurídica, evidentemente, no caso de incidentes, mas não é algo que garante que aquelas práticas vão estar sendo tomadas efetivamente. Você não consegue medir se o que está no contrato está sendo feito. Essa é uma preocupação, e na nossa experiência, já vimos diversos casos em que tem um (52:48) contrato bonitão lá, mas na realidade está tudo o contrário do que está sendo dito. A própria elaboração do plano de conformidade, com 32% agora, é alto também. Você falou dos testes de segurança, eu acho alto também. Política de uso para funcionários, 30%. Gira em torno disso. E me chamou a atenção o inventário. O inventário, via de regra, é o ponto de entrada, você começa com o inventário para tomar pé da coisa, saber o que está acontecendo. E o inventário está lá no (53:27) penúltimo lugar, Vinícius, 18% somente. Então, como é que você faz um plano de conformidade, como faz política, como altera contrato, como cria política para funcionários se você não tem o inventário? É algo que me chamou bastante a atenção. Temos o gráfico 10: “Empresas que alteraram contratos vigentes para adequação à LGPD”.— Sim, o número bate com aquele gráfico anterior.— Sim, mas aí ele pega a parte dos contratos, que foi o “ganhador” (54:04) lá, e explode por grupos. Então, em serviços teve um aumento importantíssimo por setor. Construção teve aumento, diminuição na indústria, mas aumento nos transportes, aumento na TI, que já era alto (de 57% foi para 66%). Mas os maiores aumentos foram em atividades profissionais, que aqui entraria uma série de outras atividades, como imobiliárias, científicas, técnicas, administrativas. Seria uma área um pouco mais ampla. Mas nos serviços, a gente viu um aumento (54:39) bastante grande. E por último, Vinícius, já indo para o encerramento, seria “Empresas por área de origem do encarregado de dados”. De qual setor o encarregado pertence. Aqui, mais uma vez, aquelas cores difíceis de interpretar, mas a grande maioria é da área de TI, depois financeiro. Aqui, definitivamente, as cores não ajudam, estou perdido. Mas é isso: TI, administrativo e financeiro sendo os setores dos quais saem os encarregados, com TI ganhando (55:29) com 30%. E aí, remeto-vos àqueles comentários que fiz sobre o problema da independência, aqui especificamente do encarregado. Lá era a equipe, poderíamos até imaginar que, sendo uma equipe numerosa, tudo bem. Mas aqui, a crítica se faz um pouco mais importante. Não deveria ser assim. Você deveria ter uma área específica, como diz o regulamento do encarregado e todas as normas do exterior que falam sobre isso. No fim das contas, Vinícius, eu posso dizer que, sim, houve um aumento, mas acredito que o aumento, pelos (56:08) números que vimos, foi tímido.— Concordo.— As alterações e o aumento em algumas práticas, principalmente no gráfico nove, parecem estar demonstrando algumas inconsistências, sobretudo quando a gente vê o contrato lá na frente e o inventário lá embaixo. Isso me acende uma luz de alerta de que, eventualmente, as coisas que estão sendo feitas talvez não estejam sendo bem feitas. E o risco que se coloca, tanto para nós, enquanto titulares, quanto para as empresas que estão (56:46) deixando isso para trás, eu diria que é uma bomba-relógio. Isso vai estourar em algum momento. Isso tem consequências até do ponto de vista internacional para empresas que vão fazer negócios no Brasil. Porque se nós estamos tendo essa conclusão aqui no nosso podcast, numa sexta-feira, outros grupos também terão conclusões semelhantes, vão ler isso, e isso impacta na confiança de negócios. Então, eu termino aqui, Vinícius, com uma preocupação. Eu gostaria que os números fossem muito melhores.— Eu (57:23) concordo contigo. E, pior, às vezes, a nossa percepção é que a coisa está pior ainda do que aparece aqui. Mas veja, é a percepção.— Sim, eu acho que é um quadro mais otimista do que a gente percebe. Mas, ao mesmo tempo, exatamente por isso, ainda considerando o cenário otimista, entre aspas, ainda assim é muito baixo. Mas vamos ver aquela questão: se a coisa começa a ter uma dinâmica maior no sentido de maior cobrança com relação ao respeito a essas regras de tratamento de dados, naturalmente essas curvas, esses gráficos, se alteram (58:09) de maneira significativa. Mas enquanto não houver essa percepção de necessidade de se atender plenamente a esses itens, a gente vai continuar patinando. Me parece que a gente patinou de 2021 para 2023. Ficamos meio que na mesma, com alguns decréscimos ali. Canais de atendimento, para mim, chamou a atenção, é preocupante. Exercício dos direitos do titular. Então, assim, parece mais uma coisa para “cumprir tabela”, sabe? (58:47) Essa adequação à LGPD que a gente tem visto parece mais uma coisa para cumprir tabela do que efetivamente para atender aos interesses do titular. Mas vamos ver, o tempo vai nos mostrar o que vai acontecer.— Café quente?— Não, não tem café quente hoje, não. Já queria dar café, e eu estou sem café aqui, só com água.— Eu tenho um café frio aqui do dia anterior, que ficou na minha mesa, então melhor não tocá-lo.— Não, (59:20) deixa ele quieto aí. Vinícius, agradecemos a todos aqueles e aquelas que nos acompanham. Vou dar a parcial da nossa pesquisa do Telegram.— Ah, é verdade.— E do Discord. A parcial não está muito boa para mim. Nós temos… Que bom que estou perguntando no grupo do Telegram, né? Isso está enviesado. O Hilton está reclamando que faltou um “tanto faz”. O pessoal está escolhendo entre um e outro. Nós estamos com sete votos até o momento: 86% prefere o grupo no Telegram (59:58) e 14% no servidor do Discord. Se eu perder… Hamilton, se eu perder, eu vou apagar essa pesquisa e fazer outra. Faço o ditador. Se eu perder, vou sumir com os boletins da urna aqui. Mas, ó, vai ficar aberto para vocês seguirem votando lá no grupo do Telegram. E quem não participa do nosso grupo também pode opinar, se me ajudar a vencer.— Aí, o cara está dando um golpe (1:00:36) aqui.— Não, mas são perfis, Vinícius. Eu li uma pesquisa sobre o Discord, e é um app de nicho ainda. Claro que a parte de vídeo e áudio é imbatível, é a melhor coisa que já foi inventada, que a gente já usou aqui, sem dúvida. Mas ele tem um pouco de nicho, sim. Mas nada impede que os dois coexistam para coisas específicas. Então, bem tranquilo, já estou me ajustando caso eu perca.— Boa, achando uma saída.— Sair D. Rosa. Bom, agora aguardamos, então. (1:01:19) Esperamos que tenham gostado e aguardamos todos e todas no próximo episódio do podcast Segurança Legal. Até a próxima!— Até a próxima!— Beleza. Eu estou aqui gravando ainda, só deixa eu fechar essas janelas de apresentação, que estou cheio de tralha aqui na minha tela. É um pouco denso aqui, né, Guilherme?— Sem dúvida, mas é necessário, viu? E eu espero ter atingido também as empresas, sobretudo aquelas que não se adequaram. Isso aqui não é brincadeira. Não é porque a gente atua nessa área, eu falo isso honestamente (1:01:58) mesmo. É um risco muito grande você não estar adequado e ocorrer um incidente. É muito grande, você pode ter muito a perder.— Mas o que eu percebo é que adequar, pelo menos adequar direito, é uma coisa que demanda um certo investimento de tempo e dinheiro, não é algo que se consegue fazer fácil. O esforço…— Claro, mas entra no tempo que tem que dedicar para fazer. E eu percebo, cara… bom, os nossos clientes não, porque eles entram em contato com a gente justamente preocupados (1:02:35) com esse tipo de coisa, não só com a proteção de dados, mas diretamente com a LGPD e também com a questão de proteção de sistemas, segurança. Então, acaba sendo um grupo com o qual a gente tem contato que já tem um certo viés na direção de fazer as coisas direito. Mas, em ambientes externos com os quais eu acabo tendo contato, eu percebo, de gestores e tal, uma preocupação muito secundária, muito (1:03:19) pequena, diminuída. Uma coisa que não chama muita atenção, tem outras coisas para fazer, outros problemas para resolver. É a impressão que eu tenho, sabe? E vai ficando, cara, esse negócio vai ficando. Então, eu acho que tem muito disso. A gente não chega a perceber tanto porque não ficamos fazendo pesquisa com um monte de empresas, inclusive empresas que não são nossas clientes. Então, acabamos vendo o universo dos nossos (1:03:49) clientes, que é um universo diferente, porque o simples fato de procurar esse tipo de serviço já demonstra uma preocupação. Mas é isso, cara, eu acho que a gente não está vendo o cenário todo.  

Neste episódio comentamos a decisão da ANPD que permite à Meta usar seus dados para treinar IA. Você irá descobrir os riscos, como se opor e os detalhes de uma nova vulnerabilidade em chaves de segurança YubiKey.​ Guilherme Goulart e Vinícius Serafim analisam a fundo a nova política da Meta para o treinamento de sua inteligência artificial com dados públicos do Facebook e Instagram. Discutimos o uso do legítimo interesse sob a LGPD, a decisão da ANPD e as implicações para a sua privacidade e proteção de dados. Abordamos também a segurança digital com uma nova vulnerabilidade em YubiKeys, um ataque side-channel que afeta a criptografia de chaves privadas, e comentamos sobre o bloqueio do X no Brasil. Para não perder nenhuma análise sobre cibersegurança e tecnologia, assine nosso podcast, siga-nos nas redes e avalie este episódio.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria ShowNotes ANPD suspende medida preventiva e Meta voltará a treinar sua IA com dados pessoais Starlink cede e diz que vai cumprir ordem de bloquear X Hackers atacam STF, PF e Anatel em meio a suspensão do X STF e Anatel montam força-tarefa contra hackers PF investiga ataque hacker contra a corporação; STF e Anatel também foram afetados Braço direito de chefe do X, responsável por negociar com governos deixa empresa Musk aceitou bloquear contas no X na Turquia e na Índia: por que no Brasil foi diferente? Supreme Court rejects Musk appeal over social media posts that must be approved by Tesla (april/24) Experimental evidence of massive-scale emotional contagion through social networks O problema com Yubikey Sutskever’s SSI Raises $1B Volkswagen Integrates ChatGPT Participação do Carlos Affonso Souza no Uol News – Starlink diz que vai bloquear acesso ao X; hackers atacam escritório de família de Moraes | UOL News Episódio #81 – Cherokee Remote Control 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, Episódio 374, gravado em 6 de setembro de 2024. Eu sou o Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês algumas das notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e àqueles que nos assistem depois no YouTube. Dessa vez não é ao vivo, já estava pensando no episódio que a gente fez ao vivo. Então, este é o nosso momento. Faremos outros. Diga. Faremos outros, sim. Aguardem.(00:41) Aguardem. Voltaremos. Este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção, tomando um café de verdade. Então pegue o seu café e vem conosco. Para entrar em contato com a gente, enviar suas críticas e sugestões é muito fácil. Basta enviar uma mensagem para [email protected], isso no e-mail, obviamente. No(01:14) Mastodon, @[email protected]. E estamos estreando, Vinícius, no Blu Sky, que é o segurancalegal.bsky.social, lembrando que em breve teremos lá o segurancalegal.com somente. E também, se você quiser me seguir por lá, é o @goulart.adv.br, não @goulart.adv.br não, é @goulart.tecnologia.com. E você? O meu, não sei, é Serafim.p.(01:48) br. Mas ele pega pelo domínio ou tem que pegar meu nome inteiro? Só o domínio? Só o domínio ele vai achar. Ah, então Serafim.p.br. Eu criei minha conta esses dias, eu não estava usando o X, o Twitter. Mas daí deu a confusão, eu instalei para ver o que estava acontecendo. Aí foi bloqueado. Bom, está todo mundo indo para o Blu Sky, vou dar uma olhada nisso. Eu acho que estou me atropelando um pouco no assunto, mas o Blu Sky eu estou gostando. O X eu não acessava mais, não tinha nem instalado mais no celular, mas o Blue Sky(02:20) está sendo bem… Sabe o que está sendo interessante? Ele está sendo útil. Está sendo útil para mim de um jeito que o X já não era há muito tempo, deixou de ser, e o Blu Sky está sendo extremamente útil. Mas, enfim, depois a gente comenta isso. É a influência do algoritmo, porque todas essas plataformas, de maneira geral, têm aquela prática nefasta de fazer você ficar sempre ali, aquela coisa do feed infinito. O Blu Sky, e eles nem têm essa intenção do feed infinito que te prende ali, então acabou. Acabou, não tem mais o que ver. Aí você até fica naquela coisa: “vou ficar ali(03:00) passando”. Não tem mais. Está bom, então agora você fecha o Blue Sky, vai fazer outra coisa, vai viver sua vida, vai ler um livro, vai para a academia. Depois, “Anéis do Poder” no Prime Video. Não estamos sendo patrocinados, mas eu gosto. Para quem é fã aí do Senhor dos Anéis e tal, tem que assistir. Tu já está fazendo as recomendações na abertura, mas a gente não tem feito recomendação. Então, deixa para o final. Fiquem conosco até o final, que o Vinícius vai fazer a nota aí, Vinícius, para falar um pouquinho(03:30) sobre a série “Anéis do Poder”. E também vou dar spoiler, vou dar spoiler da série, spoiler. E, então, se você quiser apoiar o projeto do Segurança Legal, que nós sugerimos que você faça, afinal de contas, é um projeto de produção de conteúdo independente, acesse o site apoia.(03:53) se/segurancalegal e escolha uma das modalidades de apoio. Entre os benefícios, você terá acesso ao nosso grupo exclusivo de apoiadores lá no Telegram. Inclusive, uma das notícias, quando chegar lá, eu vou dizer quem foi que trouxe, mas foi uma indicação do pessoal do grupo. Então veio aqui para o Segurança Legal. Tem o blog da Brown Pipe, então se você quiser ficar bem informado, você consegue. Algumas dessas notícias, inclusive, já estão lá no blog da Brown Pipe, que são as notícias que você vai ver, decisões internacionais, coisas importantes sobre proteção de dados e(04:24) segurança. Ali no blog você também consegue assinar o nosso mailing semanal para ficar bem informado, recebendo lá uma mensagenzinha toda sexta-feira na sua caixa de e-mail. Temos também o YouTube. Só um pouquinho, muito importante. Não é qualquer mensagem, é uma mensagem curada, elaborada por você. Exatamente. Então você vai ver lá uma curadoria de mensagens, que na verdade acaba concentrando também alguns dos temas nos quais nós nos preocupamos e também alguns dos temas que nós estudamos, né, Vinícius? Sim, e só(05:03) deixa eu fazer mais uma adenda. Não é pelo simples fato de ser o Guilherme que eu estou dizendo, gente, mas tu ter informações que foram revisadas e selecionadas, dentro de uma área, por uma pessoa que entende tecnicamente da área, isso é muito interessante. Porque tu sabe que o que está lendo ali é relevante, vale a pena parar e olhar. Então é como se alguém já tivesse garimpado para ti as informações e trazido: “ó, está aqui, é só ler”. Não precisa se preocupar muito, a coisa já foi revisada. Então isso é bastante(05:45) interessante. Não é caça-clique, não é sensacionalismo. Você vai encontrar ali realmente notícias importantes sobre segurança, proteção de dados e tecnologia em geral. Então é uma forma de você ficar bem informado sem perder muito tempo, com a garantia de que vai ter um conteúdo de qualidade. Claro, tudo isso não só por mim, mas por mim e pela Brown Pipe, que é quem mantém este podcast e também o blog. Então visite lá www.brp.com.(06:18) br. Vinicius, vamos começar então com a ANPD? Fazia tempo que a gente não começava com a ANPD. Vamos. Bom, a ANPD suspende medida preventiva e Meta voltará a treinar a sua inteligência artificial com dados pessoais. Veja: dados pessoais públicos dos usuários dessas redes. Se é que já não treinou. Vamos ter a boa-fé aqui de supor que não. Eu vi alguém comentando agora sobre isso, não lembro onde foi, Vinícius, mas justamente isso: “será que eles já não treinaram?”. É algo bem difícil de você saber, porque ao contrário de(06:58) outros usos de dados pessoais que poderiam ficar facilmente visíveis, que você usou o dado pessoal de alguém, uma foto de alguém para publicar aquela foto e você vê que aquela foto está em tal lugar, a inteligência artificial tem esse processo pretérito ali de treinamento dos modelos que, acho que na grande parte das vezes, deixa impossível você reverter e saber quais dados foram usados. É aquela… a gente no nosso bate-papo pré-gravação, eu fiz [uma analogia].(07:30) Talvez os vegetarianos, os veganos etc. não vão gostar muito dela, mas depois que a carne está moída, tu não sabe mais qual é o bicho. Então, depois que tu treinou o modelo de IA com as informações, vai ficar complicado. É difícil tu ver na saída, a não ser que seja uma coisa muito evidente, muito na cara. Gerou uma imagem, por exemplo, porque eles vão usar as tuas fotos também, publicações e tal, vão ser utilizadas também fotos de perfil, tudo isso entra, segundo a própria Meta. E a não ser que saia uma coisa de lá(08:09) muito na cara, as tuas informações podem estar sutilmente influenciando aquilo que está saindo ali e tu nunca vai saber que está lá dentro. Então, o Perplexity, olha que coisa interessante, o ChatGPT não está se incomodando tanto, a OpenAI com o modelo GPT, com a aplicação ChatGPT, não está se incomodando tanto quanto o Perplexity. Por quê? Porque o Perplexity, desde o nascimento, essa é a proposta dele: se colocar como concorrente de um Google da vida. Tu faz pesquisas ali e ele te traz a informação com os links de onde tirou as(08:56) informações. E aí o pessoal começou a perceber que, inclusive, coisas que estão atrás de paywall estão lá, estavam caindo ali. E coisas recentes, não é coisa que foi treinada no passado, é coisa recente. Então ele traz sumários etc. e tu não acessa o site original. Ficou muito fácil para o pessoal ir atrás do Perplexity. Então o Perplexity tem, inclusive, um processo lá, uma disputa com o New York Times. E eles entrevistaram o CEO do Perplexity no podcast Hard Fork do New York Times no meio desse processo todo. O ChatGPT tem as(09:40) disputas e tal, mas ele está mais… sabe o submarino quando ele está, não para fora d’água, mas ele está ali na superfície? Ele está no raso, está indo por ali e não está sendo tão incomodado quanto o Perplexity. O Perplexity, justamente por causa disso. O Perplexity dá as fontes, e o ChatGPT, inicialmente, não dava. O 4 agora começou a fazer pesquisa, que pode te fornecer as fontes, mas nem perto do Perplexity em termos de resultado. O ChatGPT pesquisa, na verdade, ele faz uma pesquisa, mas ele é mais…(10:14) É ruinzinho comparado com o que o pessoal fez no Perplexity. Embora o modelo embaixo possa ser o mesmo. Se tu pagar, tu pode usar o GPT-4o no Perplexity. O modelo é o mesmo, só que não é o modelo cru que vai lá e faz. Tu tem toda uma série de filtros e ajustes que tu faz para funcionar a tua aplicação de uma maneira melhor, e o Perplexity funciona melhor que o ChatGPT, muito bem. E toma processo melhor também. Eu me lembrei, enquanto você falava, a gente gosta de digressões, você falou da de fazer a linguiça.(10:48) Eu não falei de linguiça necessariamente, falei carne moída, para alguns guisado, para outros é boi moído, não sei como é que tem por aí. Mas, enfim, eu estava procurando um caso que ocorreu aqui em Porto Alegre entre 1863 e 1864, os crimes na Rua do Arvoredo. Três caras, era um casal e mais um cara, e eles assassinaram pessoas e produziram linguiças de carne humana para serem vendidas na cidade aqui de Porto Alegre. Pois é, e a galera не sabia que(11:24) era gente, até começar a desconfiar do pessoal, que andavam sumindo umas pessoas, um caixeiro viajante que sumiu. Eu lembro dessa história. Acho até que saiu um livro. Tem aqui um verbete na Wikipedia bem interessante, que foi o com mais informações que eu achei, mas parece que tem um livro, saiu um romance de literatura sobre o tema, bem interessante. Sala de gente, que horror. Mas, enfim, voltemos aqui. Então a gente fez, na verdade, uma digressão, mas não foi uma digressão tão distante, que envolve os eventuais problemas de você usar(12:01) dados pessoais para treinamento de modelos. Diante dos potenciais riscos, que de fato existem, a ANPD suspendeu no passado, e a gente trouxe aqui no Segurança Legal essa questão, suspendeu via medida preventiva esse uso da IA. E agora a notícia é que a ANPD suspendeu a medida preventiva, portanto, permitindo que a Meta volte a utilizar os dados para o treinamento, desde que cumpra algumas condições. A medida preventiva foi suspensa depois que a Meta apresentou um plano de conformidade. E que plano é esse? Contém uma série de compromissos de(12:45) adequação. Basicamente, esse plano envolve… Existem várias coisas ali. A gente vai deixar o link do documento, mas basicamente é encaminhar uma comunicação para os usuários para que possam fazer o opt-out, já que vai se utilizar o legítimo interesse da Meta para que ela possa usar esses dados sem a necessidade de pedir consentimento, e o aumento das medidas de transparência, que envolveram tanto alterações nas políticas, notificações específicas, alterações nos sites, inclusive com um banner específico para essa atividade. Então, uma das(13:28) preocupações que houve aqui da ANPD era se era possível utilizar o legítimo interesse para treinar a IA. Porque, via de regra, o legítimo interesse é aquela hipótese de tratamento, entre as 10 que a LGPD traz, que permite que você, controlador de dados, consiga tratar dados pessoais sem a necessidade de pedir o consentimento do titular. Isso coloca uma série de preocupações adicionais, porque veja, você está tratando sem que ele consinta. Então, diante da utilização do legítimo interesse, você(14:08) precisa de medidas adicionais de controle. Primeiro, você precisa fazer um balanceamento do legítimo interesse para ver se os interesses dos titulares не se sobrepõem aos interesses da empresa controladora, e также medidas e outras salvaguardas. Então, em geral, quando se utiliza o legítimo interesse, você tem que dar medidas de transparência, como foi o que aconteceu aqui. Mas acho que a grande discussão, que ainda não terminou, e isso fica claro no documento, ou seja, a ANPD não está dando um cheque em branco. Ela está dizendo que o tema ainda(14:44) deve ser visto com reservas. E, na verdade, sempre o uso do legítimo interesse traz uma tensão e uma complexidade adicional. Então as empresas que decidem por utilizá-lo… claro que você pode estar diante de situações mais simples, mas aqui o uso do legítimo interesse é bem delicado. Porque uma coisa é você usar o legítimo interesse para tratar dados de poucas pessoas em circunstâncias de menor risco e coisas já mais bem estabelecidas, sei lá, monitoramento de espaços fechados e tudo mais. Aqui não, aqui você está treinando uma IA com dados(15:20) potencialmente de milhões de pessoas, pelo menos aqui no Brasil, com riscos um tanto quanto imprevisíveis. Porque o uso da inteligência artificial e o que ela pode fazer com os dados pessoais que ela consome para o treinamento do modelo, ainda tem uma certa incerteza do que poderia acontecer e quais poderiam ser os riscos. Mas, ainda assim, houve essa permissão. Ou seja, a autoridade concordou com esse plano. Ela traz, inclusive, um documento da CNIL, que é a autoridade francesa, sobre a(15:55) possibilidade de uso do legítimo interesse nos contextos de treinamento de modelos de IA, mas que ainda há necessidade, segundo a ANPD, de se aprofundar esse tema, envolvendo o que eles dizem, abre aspas, “um padrão de aplicação dessa hipótese e a imposição de salvaguardas”. Então, a Meta, cumprindo essas imposições, ela traz o teste de balanceamento do legítimo interesse e também o relatório de impacto de proteção de dados pessoais para poder utilizar e para poder fazer esse tratamento. E eu destaco ainda aqui que a ANPD trouxe a frase,(16:34) a indicação de que a anuência irrestrita ao uso da referida hipótese legal para o tratamento em questão, ou para todo e qualquer tratamento de dados pessoais visando ao treinamento de sistemas de IA, ou seja, não deve ser interpretado como uma anuência irrestrita, a ANPD quis dizer. Então é meio que uma mensagem dizendo: “Olha, a gente concordou aqui, mas isso não significa que agora podemos usar legítimo interesse para treinar qualquer IA, не é bem assim”. E, claro, eu não vi se foi publicado,(17:08) acho que não, mas nós не tivemos acesso a esse teste de balanceamento e nem ao relatório de impacto à proteção de dados que a Meta teria feito. Então a gente não sabe exatamente o que tem nesses documentos. E outra questão também é a preocupação com o uso de dados de crianças e adolescentes. A Meta ressaltou no documento que continuaria a discutir com a ANPD, no âmbito do processo de fiscalização em andamento, a legitimidade do tratamento de dados pessoais dessa categoria de titulares, ou(17:45) seja, crianças e adolescentes, até uma decisão posterior da ANPD. Porém, o tratamento de dados pessoais nessas hipóteses continuaria suspenso. Então, essa questão não está encerrada e pode ser que, eventualmente, dados de crianças e adolescentes presentes ali… veja, são dados públicos, mas mesmo que esses dados sejam públicos, a LGPD se aplica. Enfim, e a ANPD vai ficar acompanhando ainda o cumprimento dessas medidas e, caso haja descumprimento, aí poderia se iniciar a instauração de um processo. O Idec se posicionou contra. A(18:25) gente sabe que o Idec, aqui junto com o MPF, tem aquela ação civil pública. Enfim, então o Idec se posicionou contrário a essa permissão aqui, foi mais ou menos na mesma linha daquela ação. Então a gente deixa registrado aqui essa posição do Idec. E nós já recebemos o e-mail. Você aí que tem conta no Facebook, no Instagram, provavelmente também já deve ter recebido o e-mail. Mas, a gente estava lendo o e-mail, Vinícius até levantou algumas questões ali. Não sei se você(18:56) quer falar rapidinho sobre elas. Sim, eu trouxe… eu esqueci de ajustar aqui para poder compartilhar, até tentei fazer o lance aqui, deu uma congelada na imagem rapidinho enquanto eu fazia o clipping do e-mail, mas vou ler o e-mail. Eu fiquei insatisfeito com o e-mail. Porque se fosse um consentimento, então, por default, em tese, a coisa estaria negada, eu teria que ir lá e concordar, dizer, deixar explícito: “eu concordo com o uso dos meus dados”. O que aconteceu com a questão do legítimo interesse foi que isso virou um opt-out. Então, assim, olha,(19:33) o default aqui vai ser: os teus dados serão processados, serão utilizados para treinar a IA, a não ser que tu diga que não. Então, se não fizer nada, teus dados vão ser utilizados. Sim, mas por quê? Porque se aplicou o legítimo interesse da empresa, entendendo que ela poderia usar sem o consentimento. Exato. E aí o e-mail que eu recebi, o título dele veio do Instagram para mim, não é do Facebook, é do Instagram. Ele veio aqui identificado com o Meta direitinho e diz assim: “Entenda(20:03) como usamos suas informações à medida que expandimos a IA na Meta”. Para mim, o título já deveria ser: “Importante: Ação requerida para processamento dos seus dados”, alguma coisa assim, não uma coisa que parece uma notícia, parece um release daqueles que tu olha e pensa “Ah, não vou ler isso aqui” e apaga. Mas tu entra e lê. Aí diz lá: “Entenda como usamos suas informações à medida que expandimos a IA na Meta”, repete o título, e diz assim: “Olá”, aí aparece o teu handle lá, no meu(20:35) caso é o @serafim.otg. Você está fazendo propaganda para que te sigam lá no Instagram. Isso, me sigam! Tem um monte de publicação lá, vamos lá ver a quantidade de publicação que eu tenho. “Estamos nos preparando para expandir nossas experiências da IA na Meta. A IA na Meta é nossa coleção de recursos e experiências de IA generativa, como a Meta AI e as ferramentas de criação com IA, juntamente com os modelos que as possibilitam”. Ok, beleza, primeiro parágrafo não diz nada de uso dos dados. “O que isso significa para você?”, tem um título em negrito. Vamos ser justos,(21:12) está escrito em negrito. Aí tem assim: “Para ajudar a trazer essas experiências até você”, então “para ajudar a trazer essas experiências até você” já dá meio… Vamos lá. “Queremos que você saiba que usaremos suas informações públicas no Facebook e no Instagram com base no legítimo interesse”. Então está dizendo: “nós vamos usar isso aqui com base no legítimo interesse”. Sendo legítimo interesse, independente de certo ou errado, vamos supor que está certo, é legítimo interesse mesmo, realmente não precisa de consentimento, eles só informam o que vão usar. “Nós faremos isso para desenvolver e(21:51) melhorar modelos de IA generativa para os recursos e as experiências da IA na Meta. Você tem o direito de se opor ao uso de suas informações para essas finalidades”. Que bom, eu tenho o direito de me opor. Eu estou pulando um detalhe aqui, já vou dar para vocês. Eu tenho o direito de me opor. Não quer publicar na tela aí? Não, eu não consigo aqui agora no meu e-mail. “Você tem o direito de se opor ao uso de suas informações para essas finalidades. Se sua oposição for atendida, a partir de então…”. Isso aqui é uma coisa que me chamou a atenção. “Se sua oposição(22:27) for atendida”, quer dizer que se eu me opor, minha oposição ainda pode não ser atendida? Então, “se sua oposição for atendida, a partir de então…”. Oi, fala. Deixa eu te interromper. Pelo que eu entendi, esse texto foi combinado junto com a ANPD. Está beleza. “Se a sua oposição for atendida…”. Então, se a tua oposição for atendida, que pode não ser, porque tem um “se” ali na frente, “a partir de então, nós не usaremos suas informações públicas do Facebook e do Instagram para desenvolver e melhorar modelos de IA generativa para os recursos(23:00) e experiências de IA na Meta”. De novo, um monte de texto inútil. “Se já se opôs, você não precisa enviar outro pedido. Estamos atualizando nossa Política de Privacidade para refletir essas mudanças. As atualizações entraram em vigor em 9 de outubro de 2024”. Qual o meu problema com esse e-mail aqui, além do “se” e além desse monte de blá-blá-blá que o usuário… o cara vai bater o olho nisso aqui, vai ler esse monte de coisa e sair fora. Sabe onde está o negócio para tu se opor? Ele não está num texto dizendo assim: “Se você quer se opor, clique(23:35) aqui”, ou coisa parecida. Não. Sabe aquela frase que eu li, “Você tem o direito de se opor ao uso de suas informações para essas finalidades”? As palavras “direito de se opor” estão em azul. Elas не estão nem sublinhadas, estão em um azul, parece que é um destaque no texto, mas é o link para tu clicar e se opor. Não tem “clique aqui”, não tem indicação clara de que aquilo ali é um link. Para mim, tinha que ter uma frase embaixo disso tudo, ou no início: “Você pode se opor clicando neste link”. E aí o link bem claro, uma(24:18) frase destacada. “Você pode…”. Aí tu clica no link e diz “sim, me oponho” e acabou o assunto. Ou tu pode dizer “não me oponho”. Na verdade, a pergunta seria melhor se fosse feita assim: “Você quer que os seus dados sejam utilizados pela Meta? Sim ou não?”. É mais claro do que perguntar… Mas aí é consentimento, não é legítimo interesse. Beleza, mas então inverte a coisa. Deixa invertido mesmo. Aí tu diz “não, não me oponho”. Aí tem que vir(24:56) mais: “Então nós vamos usar essas informações aqui, pá pá pá, tu quer continuar?”. Aí tu diz “sim”. Aí tu vai dizer “é consentimento”. Então está beleza. Isso aqui para mim não é claro o suficiente para os usuários. Eu não consigo ver meus pais, que têm Facebook, eu не consigo ver vários familiares meus que têm Facebook lendo isso aqui e entendendo o que fazer. É, talvez a melhor forma, mas é lógico que a empresa não iria querer fazer isso, seria você abrir um pop-upzinho lá na primeira vez. “Vamos aplicar isso(25:34) aqui para todo mundo”. Você abre lá, pela primeira vez depois do prazo, o teu Instagram abre um pop-up: “Vamos usar seus dados para Inteligência Artificial. Clique aqui para mais…”. É um e-mail. Pede autorização quando a pessoa entrar. Mas aí você está insistindo, não é pedir autorização. Então não manda nada, só diz “nós vamos usar” e pronto. Ok, não, mas aí diz que vai usar por um banner na primeira vez que entrar. “Vamos usar seus dados para Inteligência Artificial. Clique aqui para saber mais”. E aí o cara clica ali e aí tem toda(26:14) essa questão do e-mail. É que, no final das contas, eles estão informando que vão usar e acabou. Não tem consentimento, é legítimo interesse. Exatamente. Talvez esteja errado aí. Não, mas aí é que está o ponto. Quando eu entrei no Facebook, embora o contrato diga lá que pode fazer o que quiser com as informações, ninguém falava na possibilidade de treinar IA com os dados que a gente colocava lá. É, mas(26:46) justamente um dos usos do legítimo interesse é você reutilizar certos dados em outras atividades ou para outras finalidades, desde que haja uma compatibilidade entre aqueles dados e a nova finalidade, e que haja um legítimo interesse da empresa. Legítimo interesse esse que seja superior aos interesses de bilhões de titulares. E aí tu pega uma coisa muito interessante, tu vai usar legítimo interesse justo com uma tecnologia que, alguns eu acho que exageram um pouco, mas que pode acabar com a humanidade. Tem essa discussão toda em cima da…(27:24) Exagero, com certeza. Já acabou, не é que pode acabar, acabou. Foram as redes sociais, mas não vai ser a IA que vai acabar. Mas entende, é uma tecnologia crítica. Eu estava ouvindo um podcast, acho que é “The Interview” do New York Times, se não estou enganado. Estou citando para caramba o New York Times porque tem o “The Interview”, que é muito bom, tem o “Hard Fork”, que é muito bom… O “Hard Fork” eu tenho ele aqui. É muito bom. E tem o “The Daily”. É só… deixa eu ver se é esse aqui mesmo. Mas(28:01) tem, acho que é o “The Interview”, que eles estão falando, por exemplo, dos chips para Inteligência Artificial da Nvidia. O governo Biden estava tentando proibir que esses chips fossem vendidos na China. Para quê? Para que os Estados Unidos mantenham uma certa hegemonia com relação à tecnologia para treinar modelos de Inteligência Artificial. E aí vai uma repórter do New York Times até Shenzhen, na China, e ela vai… lá tem quase meio quilômetro de lojas, um negócio que junta tecnologia, e ela vai até conseguir encontrar um chip lá para comprar, um da Nvidia, desses(28:46) chips para treinar IA. Em tese, não deveria estar lá. Mas os chips são produzidos em Taiwan e acaba parando lá. Então, esses caras têm uma preocupação muito grande, porque eles estão enxergando isso como uma vantagem competitiva não só econômica, mas também bélica, muito grande. Então не é uma tecnologia qualquer. Não é “nós vamos utilizar os dados de vocês para fornecer avatares mais legais” ou qualquer outro tipo de serviço. Tu está usando para treinar um modelo de IA, e esse modelo vai ser utilizado aonde? Não sei. E aí,(29:32) Vinícius, talvez se conecte com todas as preocupações do X que a gente vai falar no fim deste episódio. Então, se você chegou até aqui, aguarde. Desligue e aguarde até o fim, que nós vamos falar um pouquinho mais sobre o X. Mas uma das preocupações é justamente essa: você vê a eventual possibility de modelos, e aí no AI Act isso fica bem claro, de você potencialmente poder utilizar isso para fazer formas mais eficientes daquelas que já existem(30:09) para manipular pessoas. E quando eu falo manipular pessoas, estou falando de vários domínios diferentes. Porque hoje nós, há muito tempo, eu já falei isso aqui várias vezes, nós já somos manipulados para a questão das compras, comercial. E, por exemplo, o próprio AliExpress, funciona super bem lá o sistema de recomendação deles. Ah, às vezes é umas porcarias lá, que eu já recebi coisas totalmente aleatórias. É, tem umas coisas meio estranhas que aparecem lá de vez em quando. Mas agora ele só fica me mostrando um certo tipo de produto que(30:46) eu quero comprar, ele sabe que eu quero e ele vai insistir até eu comprar aquele produto. Então, potenciais usos manipulativos é uma preocupação que eu tenho. E para aquela coisa do que a gente já mostrou mais de uma vez, e vou mostrar de novo aqui, só para a gente ver com o que estamos lidando. Isso aqui… Ah, sim, o famoso experimento. Isso aqui está publicado num jornal de ciências psicológicas e cognitivas, e é um artigo de pesquisa feito pelo pessoal do(31:29) Facebook. Qual o título para quem não está vendo, para quem está nos ouvindo? “Evidência experimental de contágio emocional em escala massiva através das redes sociais”. É um estudo que gerou uma discussão muito grande, porque isso foi feito sem que as pessoas soubessem. Eles envolveram 689.003 indivíduos. Qual foi o ano disso, Vinícius? Isso aqui foi… está falando de 10 anos. 10 anos atrás. Meu Deus do céu, 10 anos, quando foi publicado.(32:11) Quando foi publicado. Mas o que esse estudo demonstrou? O que eles conseguiram fazer com as pessoas? O que eles fizeram aqui, ó, eu vou ler o significado: “Nós mostramos que, via um experimento massivo no Facebook” – eles envolveram 689.003 indivíduos – “eles demonstraram que os estados emocionais podem ser transferidos para outros via contágio emocional, levando as pessoas a experienciarem as mesmas emoções sem estarem conscientes disso”. Para quem está vendo na imagem, está aqui:(32:52) “leading people to experience the same emotions without their awareness”, sem as pessoas se darem conta de que estão sofrendo esse contágio. “Nós fornecemos evidência experimental que o contágio emocional ocorre sem interação direta entre as pessoas”. Eles dão um exemplo aqui: “exposição a um amigo expressando uma emoção é suficiente, e na completa ausência de pistas ou dicas не verbais”. Então, eles fizeram esse estudo, não informaram as pessoas que esse estudo estava sendo feito, e isso aqui(33:35) gerou uma discussão muito grande de ética na pesquisa. A universidade envolvida… deixa eu só ver se eu acho o nome dela aqui, que eu não lembro, mas ela se pronunciou dizendo que não tinha nada a ver com isso. Eles tiraram o deles da reta. Deixa eu ver onde está. Não sei se vai ter o nome… Talvez aqui embaixo. Ah, eu não vou achar aqui. Mas o que eles fizeram foi: pegaram esses indivíduos, manipularam a timeline de um grupo, de um subgrupo ali, para mostrar coisas mais(34:12) tristes ou com emoções mais negativas, e outras mais positivas, e o tal do grupo de controle, que é importante, óbvio, uma pesquisa bem feita ter o grupo de controle. E eles demonstraram que sim, é possível, esse contágio em massa acontece. Aí tem o artigo, não é longo. Eu vou botar, não ia ficar nos shownotes, mas eu vou colocar aqui, Guilherme, para a gente acrescentar depois, para não esquecer. A gente coloca lá o artigo de novo, já está em alguns outros episódios. Então,(34:48) eles dão todos os dados deles bonitinho aqui. Isso aqui foi feito pelo pessoal do Facebook, não é alguém testando o Facebook de fora. As pessoas que fizeram esse estudo estavam… Princeton, aqui, ó, está na cara. Ah, não, isso aqui foi editado para… não, não é a Universidade de Princeton. Agora pensa no seguinte: bom, hoje é indiscutível o papel, e essa é a grande diferença das redes sociais antigas para o que elas são agora, dessa manutenção e desse(35:32) controle via controle algorítmico do que tu vê. Então, aquilo de você ver só… Essa é uma diferença inclusive do Blue Sky. O Blue Sky vai te mostrar os posts de quem tu segue por padrão. Até pode mudar ali, mas por padrão tu vai ver o que tu segue. Tem o “Discover”, onde aparece tudo que é porcaria. Mas o Discover não é uma curadoria baseada no teu comportamento. Você tem aquela ideia. O X, ultimamente, o padrão era o que ele queria que tu visse,(36:03) sempre com o conteúdo de criadores que acabavam ganhando por isso. Então, notem o papel e a possível importância… sem contar o lixo que virou depois que o Musk entrou, o lixo que virou a timeline, pelo amor de Deus. Quanta coisa inútil. Comecei a receber coisa inútil de coisas não relacionadas, e você acaba perdendo o rumo e a mão. Então, esse tipo de estudo aqui mostra como os algoritmos são construídos, porque a ideia, a gente sempre diz isso, é que você fique o maior tempo possível lá, em geral, para que as redes sociais ganhassem dinheiro. Só que a grande novidade é(36:41) que agora a gente está começando a ver que outros interesses também podem, desde o caso Cambridge Analytica, mas mais agora com o caso X, você consegue ver que outros interesses também estão albergados nesse possível controle que o algoritmo pode promover. E a gente disse tudo isso para dizer que, eu acho, Vinícius, vamos para as tuas notícias agora, mas acho que é para dizer que o uso da Inteligência Artificial nesse contexto, com dados treinados com dados pessoais dos utilizadores, poderia promover formas de controle e de manipulação mais intensas e eficientes ainda. Eu acho que(37:17) essa é a conclusão. Cara, é. E eu volto à minha famigerada e chula comparação com o moedor de carne. Uma vez que moeu, não sabe mais que bicho que foi. Então, eu acho bem delicado esse negócio com legítimo interesse, considerando que é IA. Se fosse qualquer outro uso, mas especificamente falando de IA, eu acho muito delicado. A CNIL diz que pode, ok. Mas, considerando a quantidade de exposição que as pessoas têm ali dentro… porque eu já tinha preocupação com foto de crianças e tal. Inclusive, eu fui o pai chato na escola que не queria que tivesse(38:05) foto dos filhos na internet. Então eles não tiravam fotos com meus filhos juntos. Eles têm uma fotinho tua lá que eles ficam jogando dardos nela. Não, mas eu dou várias outras razões para jogarem dardos nas minhas fotos. Mas a minha preocupação era as pessoas usando, vendo essas fotos. Não me passava pela cabeça na época um algoritmo sendo treinado com as fotos, entende? Por exemplo. E agora, tem os perfis de criança. Claro, de criança(38:42) em tese não tem ninguém menor de 13 anos, lembrando disso, não tem ninguém menor de 13 anos no Facebook. É mais ou menos, porque tem as fotos que as outras pessoas tiram. Isso que eu ia dizer. Eles podem até pular esses perfis, só que tem um monte de perfil de adulto cheio de fotos dos filhos. Então, vai ter gente que vai dizer aquela velha história: “Ah, eu não estou nem aí, podem usar, não tenho nada a esconder”. Não é só não ter nada a esconder. O problema é que a gente não sabe as consequências(39:14) disso. A gente não sabe onde esse modelo vai ser usado, daqui a quanto tempo. Essas informações, uma vez que elas entrarem nessa massa do modelo, elas um dia vão sair de lá? Ou daqui a 20 anos vai ter um supermodelo e essas informações vão continuar lá dentro, vão fazer parte desse supermodelo? Ninguém mais vai saber o que entrou lá dentro, com legítimo interesse, sem legítimo interesse, com consentimento, sem consentimento. Ninguém vai saber. Já не se sabe o que tem no GPT-4. Então, assim, é muito delicado. É(39:47) uma tecnologia que eu curto, eu já falei mais de uma vez aqui, eu gosto de usar essas ferramentas de IA. Tem várias diferentes que eu tenho explorado e testado. Umas são ruins, outras são boas para uma coisa, ruins para outras. Mas, ao mesmo tempo, tem que ter muito cuidado. E a gente… esse controle que a gente já não tem. A sensação que eu tenho é que isso aqui é quase pró-forma, no sentido de que já foi. Não, não acho que não. Eu não sei, Guilherme. Os nossos dados já(40:26) são tão utilizados para a questão de venda, de montar perfil, etc. Quem garante que essas ferramentas que montam os perfis já não estão usando IA há quanto tempo? É que tu tem várias IAs. Tem IA sendo usada em muitos lugares, e aqui eles estão falando especificamente de IA generativa. Entendi, mas tu entende, e a IA generativa vai ser utilizada onde? Eu volto a insistir nisso. A minha preocupação é a gente não saber. Vai ser usada para IA. IA não é um fim, é uma ferramenta. Mas eles entregaram(40:59) o relatório de impacto à proteção de dados e o balanceamento, que, em tese, explicam todos esses usos. Eu estou dizendo “em tese” porque eu não li o documento, mas esses documentos se propõem a fazer isso. Então vamos ler. Não, mas não foi publicado. Ah, não foi publicado. Ótimo, que bom. Aí os meus dados vão ser utilizados e eu não sei… Tu tem o papel da autoridade que estaria buscando o cumprimento dessa… Enfim, eu acho bem delicado isso aqui, ainda mais para uma tecnologia como IA. Mas vamos adiante. Essa era para ser a notícia mais curta do episódio e a gente está com(41:38) 42 minutos. Então, Vinícius, fala agora sobre as duas que você iria trazer. E aí depois a gente termina com alguns detalhes adicionais do X. Pode ser. Eu, inclusive, gravei nos vídeos que eu estou fazendo na terça-feira. Já estou duas terças-feiras sem gravar, sem transmitir, mas vou fazer terça-feira que vem lá no nosso canal no YouTube do Segurança Legal. Eu comentei da última vez sobre a questão de senhas, guardar senhas, e eu citei lá porque eu uso, inclusive tu usa também, a YubiKey.(42:15) Acontece que, mas isso não afeta a parte da YubiKey que a gente usa, felizmente, apareceu mais um ataque desses de side channel, eu já explico a brincadeira, em que torna possível extrair de uma YubiKey… Para quem não sabe o que é YubiKey… deixa eu explicar o que é. É um animal, é uma bebida? É um animal que o pessoal mói e faz Yubico.(42:50) Tem essa empresa aqui chamada Yubico. Deixa eu só abrir aqui os produtos. Está aqui, deixa eu pegar os produtos, YubiKey Series. Está aqui as fotinhas deles, deixa eu compartilhar com vocês. Tem uma empresa chamada Yubico e essa empresa fabrica esses equipamentos aqui, que são esses chaveirinhos, digamos assim. Se tu olhar, parece um drive USB, um pen drive. Ele не tem… tem até uma versão com leitor digital, mas essas aqui que eu estou mostrando na tela, nenhuma delas tem. E já são caros o suficiente, custam uns R$300 mais ou menos(43:26) cada uma. E esses caras tu pode utilizar para se autenticar em praticamente tudo que é serviço na internet. O Google aceita, Microsoft aceita, Steam, Discord, Amazon. A Amazon aceita. O GitHub tu consegue usar também. Então, é muito interessante porque tu adiciona uma camada a mais de segurança nas tuas contas, que é uma coisa física que tu tens que ter. Então tu tem que saber uma senha, e em alguns sites tu pode substituir essa senha que tu tem que ficar lembrando pelo uso de uma dessas chaves.(43:58) Literalmente seria uma chave para você abrir… Isso aí, tu espeta no USB e tem que tocar. Para quem está vendo aí, tem um botãozinho aqui no meio, um sensorzinho de toque nele. Não é leitor digital, isso aqui é para você deixar claro ou provar que você está próximo dele fisicamente. Então, quando você vai usar, ele começa a piscar o “Y” aqui no meio, e até você tocar, a autenticação não acontece. Acontece que esse cara aqui… e aí quando você compra, vem com esse chaveirinho para você carregar ele junto. O teu… o meu não veio. O meu não veio. Ah, é? Eu tenho o meu num… deixa eu mostrar para o pessoal. Esse aqui é para… eu perco chave direto, então para não perder a chave, essa aqui é a dica que eu deixo: usa um chaveiro grande assim.(44:36) Está aqui o meu pendurado, está ali, ó, a YubiKey ali pendurada. Isso aqui eu nunca mais perdi. Grande, bem aqui: “Remove before flight”. Eu roubei de um… eu estava… fui voar uma vez e consegui tirar de um avião. Não, mentira, mentira, mentira. A ANAC vai me mandar prender.(45:13) Mas, então, o que acontece? Essas chavezinhas aqui, elas servem como um elemento adicional de autenticação, o que é bem interessante. É muito útil, recomendado. Eu recomendo, recomendei no vídeo e recomendo aqui de novo. Se você tiver a possibilidade de comprar uma dessas chaves, repito, está em torno de R$250, R$300, mais ou menos, depende do modelo. Essas nossas têm NFC. Não, mas mesmo as outras estão na faixa de R$250, Guilherme. Deu uma aumentada no preço. Essas estão uns R$500, né? Essas nossas aqui. Ah, não sei,(45:50) a gente pagou na época uns R$300. Mas, enfim, eu continuo recomendando. Acontece que tem a Secure Key, que tem só o esquema de autenticação de challenge-response. É só isso que ele tem, mas funciona com tudo. É só isso que você precisa para Google, Microsoft, GitHub, etc. É só essa que você precisa. E tem essa versão que nós temos, Guilherme, que além disso, tu pode guardar o teu gerador de OTP nele mesmo. Então tu consegue guardar até 32 contas com geração daquele código(46:26) que fica mudando a cada minuto. Em vez de ter isso num software, no Google Authenticator, tu tem isso nele. Aí tu usa no celular ou no computador uma aplicação que vai lá… “ah, eu quero ver o código aqui desse site”. Tu clica lá duas vezes e toca, ele te mostra o código e tu usa o código para se logar onde for necessário. E tem uma outra funcionalidade de smart card, que era para tu armazenar chaves assimétricas lá dentro. E tem um… não, chaves assimétricas.(47:01) Delas é um par de chaves assimétricas. Então tu vai armazenar a chave privada e a chave pública dentro dele, junto com um certificado digital. O que acontece? Um desses algoritmos, talvez o mais utilizado ou ainda bastante utilizado, é o RSA. E tem um outro algoritmo, ele não é exatamente novo, mas a utilização dele é mais recente que o RSA, que é o algoritmo de chaves de curvas elípticas. É um outro algoritmo para geração de chaves assimétricas que faz a mesma coisa que o RSA, mas o(47:39) processo de cálculo dessas chaves é diferente. Moral da história: o que aconteceu? Esses caras aqui do Ninja Lab… vocês têm um relatório de 88 páginas. Para quem gosta de escovação de bit, isso aqui é um achado, um prato cheio. É impressionante, o negócio é super detalhado. Então tem um monte aqui, ó: introdução, FIDO hardware tokens, que é justamente o que você tem ali na YubiKey. Aí tem o algoritmo de assinatura digital com curvas elípticas.(48:20) E usaram LaTeX para fazer isso aí. É, pelo visto sim, bem cara de LaTeX. Então aqui você tem toda a explicação, contextualização, a questão da engenharia reversa que eles fizeram e tal. Mas eu não vou, obviamente, trazer isso aqui, daria um episódio inteiro se a gente quisesse carunchar isso aqui, mas no final é uma questão muito mais técnica. É, mas o que eu quero trazer daqui é a forma como o que eles conseguiram fazer e como eles fizeram. Eles(48:53) conseguiram fazer uma coisa que, num smart card que guarda uma chave privada dentro, junto com outras chaves, a premissa fundamental, essencial, é que a chave privada jamais pode ser tirada de dentro do chaveiro, de dentro do smart card que seja. Então, uma vez que essa chave foi gerada lá dentro ou foi inserida lá dentro, ela não pode ser lida. Qualquer tipo de assinatura ou coisa parecida tem que ser feito dentro do próprio cartão. Ok, então essa é a ideia. Acontece que esses(49:32) caras aqui, eles descobriram um jeito de, usando um side channel, um canal lateral, um canal alternativo — já explico para vocês o que é isso — eles conseguiram extrair ou deduzir, seria o mais correto, a chave privada quando gerada com o algoritmo de assinatura digital com curvas elípticas, especificamente. E, de novo, isso é uma coisa que se repete. Guilherme, deve fazer uns 10 anos, talvez mais, um ataque semelhante em smart cards. O que eles fizeram(50:13) nesse cara aqui, e de forma semelhante aconteceu há 10 anos, eles conseguiram perceber certas diferenças, neste caso aqui, diferenças de tempo; no caso de 10 anos atrás, diferenças de consumo de energia. E essas diferenças de consumo de energia, de tempo, deram uma indicação das informações que estavam sendo tratadas dentro do cartão, sem eles enxergarem diretamente essas informações. Então, de uma maneira… isso é o side channel. De uma maneira mais simples seria o seguinte: eu não vi o Guilherme entrar, eu не consigo(50:49) ver o Guilherme entrando no apartamento dele, certo? Vamos supor, eu não consigo ver, mas eu consigo ver quando a luz do corredor acende e consigo ver na sequência quando uma luz no teu apartamento acende. Por mais que eu não te veja lá, eu posso deduzir com uma certa segurança de que tu chegou no apartamento. Eu não te vejo, mas eu vejo sinais, indicações de que isso está acontecendo. E de forma semelhante fizeram aqui com a YubiKey, e не só com a YubiKey, mas com outros dispositivos que são afetados, que usam um componente comum de um determinado fabricante. Então isso atinge(51:30) não só a YubiKey, mas atinge outros elementos, mas a YubiKey talvez seja o mais famoso desses que foram atingidos. E esse side channel, justamente pela diferença de tempo que eles conseguiram medir… mas é uma trabalheira desgraçada. Você tem que ver aqui, é muito interessante. O cara tem que tirar… nossa, tem que abrir, tem que expor o chip. É delicado, o cara tem que meter medição de emissão eletromagnética, tem que ligar um osciloscópio lá dentro. Não é algo trivial. Mas o fato foi que eles(52:02) conseguiram achar uma maneira de, usando um canal lateral, ou seja, sem acesso direto à informação, eles conseguiram deduzir a informação. E essa informação que eles conseguiram deduzir é a chave privada de um algoritmo de curvas elípticas. Então isso é grave, isso é muito grave, porque arrebenta com a ideia fundamental do smart card para guardar uma chave privada para te fazer assinatura digital. É isso. Então deixa eu te perguntar. Tenho aqui essa YubiKey. Na verdade é a capinha(52:38) dela, está aqui dentro. Eu só uso ela, não guardo nenhuma chave privada aqui dentro, nem chave pública. Eu sei que ela tem várias funções, mas a função que eu uso é para me autenticar em sites importantes, ou seja, para evitar que eu seja hackeado caso descubram minha senha, minha senha vaze ou alguma coisa. Não vão conseguir acessar porque vai pedir, está configurado para pedir a YubiKey. Inclusive se eu perder, eu tenho outra na realidade, mas se eu perder eu posso ter problemas. Eu sou afetado(53:10) por isso, Vinícius? Eu preciso me preocupar? “O que fazer para evitar golpes online?”, aquelas perguntas que fazem… Cara, eu passei por essa mais de uma vez quando eu morava em Porto Alegre, para a Zero Hora e tudo mais, o pessoal vinha com essas perguntas. “Como evitar golpes online?”. Esses dias me perguntaram, um grande veículo de mídia me mandou algumas… nem acho que usaram a informação que eu mandei, eu nem vi em lugar nenhum. Mas me pediram justamente isso. Aí tu fica: “Meu Deus do céu, vou explicar direito ou vou explicar rápido?”. É uma das(53:49) perguntas. E o que vão fazer com a minha explicação, que o pessoal ainda edita? Na verdade, existe um problema. Porque o que acontece? Quando tu usa… deixa eu até mostrar para vocês onde está isso, onde se vincula essa questão. Então, sim e não, tu deve se preocupar e não deve se preocupar. Deixa eu compartilhar a tela com vocês aqui. Até porque um atacante que vai conseguir explorar isso vai ser um atacante muito motivado. É. Está aqui, ó: quando você está registrando um novo(54:31) token FIDO numa conta de um usuário, um par ECDSA — que é justamente o algoritmo de curvas elípticas para assinatura digital — é gerado um par de chaves ECDSA dentro do dispositivo. O dispositivo envia ao servidor remoto, no caso o Google, por exemplo, a chave pública e armazena a chave privada. Sim, é assim inclusive que funciona a parada. Então, o que acontece? Sim, alguém poderia roubar uma chave assim, por vez, uma chave de um serviço teu por vez. O cara tem… então se tu(55:25) usou no Google, se usou na Microsoft, se usou no GitHub, cada uma dessas chaves vai ter que sofrer um ataque para ser explorada, para o cara conseguir a chave privada. Claro que ele precisaria daí da minha senha, e do acesso físico a ele. Só que ele vai precisar do acesso… depende do serviço, tem serviço que só a chave é suficiente para se logar. No caso do Google, por exemplo, só a chave é suficiente, tu não precisa da senha. Então o cara teria que roubar.(56:04) Esse cara tem que roubar a minha chave. E a ideia de tu ter um negócio físico desses é que, se alguém te roubar isso aqui ou tu perder, tu se dá conta de que perdeu. Notem, gente, essa ideia é de um fator de autenticação que é “uma coisa que você tem”. Porque a senha é “uma coisa que você sabe”, e uma outra pessoa que souber a sua senha porque viu você digitando, porque de alguma maneira tu anotou no papel e a pessoa viu, tu não percebe que a pessoa está com a tua senha. Entende? Tu não percebe que a(56:40) pessoa pegou a tua senha. Não é uma coisa que… “ah, pegou, meu Deus, não tenho mais”. Alguém tirou da minha memória a minha senha. Não, não tem isso. Agora, uma coisa que eu tenho, e notem, isso aqui está junto com chaves e coisas que eu uso o tempo todo. Se eu perder isso aqui, eu vou notar falta no primeiro momento, porque eu preciso disso para entrar na minha máquina, eu preciso disso para fazer tudo. Então, se eu perder isso aqui, não precisa nem alguém pegar, se eu perder, eu vou me dar conta(57:13) rapidamente que eu estou sem, porque vão inclusive outras coisas junto. E é algo que… aí tem que ter um backup. Ó, este aqui, por exemplo, é o número dois. Eu não sei se aparece direito para vocês aí, mas este aqui é o número dois. Por que o número два? Porque eu tenho o número um. Caso eu perca este aqui, ainda tenho o outro. Então, se eu perder um deles, eu tenho que ir em todas as contas que têm isso aqui cadastrado e descadastrar esse cara que eu perdi. Para alguém fazer esse ataque aqui, vai(57:42) ter que, além de roubar isso aqui, vai ter que fazer… vai ter que desencapar ele, o que não é muy difícil, vai ter que abrir ele aqui sem danificar o chip, é claro, e aí começar a fazer todo o processo de medição e de hacking da brincadeira para descobrir chave por chave, uma vez para cada chave de cada serviço que eu tenho aqui, em tempo de eu não ter bloqueado antes. Então, quem é que vai se interessar em fazer isso com a minha YubiKey? Entende? Com a YubiKey do Vinícius. Talvez valha a pena se o(58:23) Biden, que é presidente dos Estados Unidos, tiver uma YubiKey dessa, e alguém consiga… a gente perde. Uma coisa mais de espionagem. Isso aí pode ser que valha a pena o investimento de tentar quebrar isso aqui super rápido. Mas você… o pessoal не sabe, Vinícius, mas a Brown Pipe tem expertise também em microeletrônica e tal. Você, com teus equipamentos, conseguiria fazer isso? Eu não, não, eu não me meto a fazer esse tipo de coisa. Mas eu tenho aqui do lado… eu vou organizar, que cada vez que eu uso isso aqui eu bagunço esse negócio todo, mas eu vou(58:56) organizar para mostrar uma hora para vocês. Eu tenho uma bancada de eletrônica aqui do meu lado, com osciloscópio, com o que vocês imaginarem de tralha aqui eu tenho. E é bem interessante, eu gosto de brincar com isso, é um hobby que eu tenho, que eu acho bem legal. E não, eu não tenho nada com precisão suficiente para conseguir abrir um negócio desses e fazer o tapping direto nos terminaizinhos lá que eu precisaria. É uma coisa muito delicada fazer isso aqui. Eu, certamente, ao tentar tirar a capa, eu já ia arrebentar. Eu não tenho essa habilidade para tudo isso. Mas é algo delicado. Talvez com o tempo, como a gente sempre fala, é um ataque difícil de fazer. Você teria que ter um laboratório bem preparado, alguns técnicos e equipamentos. Mas aquela velha história: aparece uma nova técnica de ataque, ela é difícil de se(1:00:01) fazer, até que alguém, de alguma forma, automatize, crie equipamento, automatize via software, automatize via equipamento o ataque, de tal maneira que tu não precisa ser o Jô, não precisa ter a habilidade. Você quer abrir uma fechadura, tem gente que abre com clips. Tem gente que não sabe abrir com clips e aí compra um kit de gazuas. É o nome certo para chave micha. Um kit de gazuas. Mesmo assim, tem que ter alguma habilidade. Mas tu não quer ter habilidade, tu tens equipamentos que fazem a abertura automática.(1:00:35) Ou seja, automatizou o processo a tal ponto que o atacante não precisa mais ter aquela expertise toda, ou aquela habilidade toda. Não sei se vai acontecer com isso, mas na história das vulnerabilidades, aquilo que vale a pena ser automatizado… hoje sai um negócio que ninguém sabe fazer, em dois toques tem uma ferramenta que o cara clica e faz. Então, automatiza o processo. Pode acontecer com isso aqui. Agora, é uma vulnerabilidade, é algo sério.(1:01:10) Mas quem já tem… isso aqui atinge todos os que têm firmware abaixo do 5.7. Então tem um firmwarezinho vinculado a essas YubiKeys. Quem tem 5.6 para baixo está na brincadeira. Mas eu, assim, não sendo o presidente dos Estados Unidos, alguma figura que seja alvo de um outro estado que tem poder para fazer esse tipo de ataque, que tem que ir rápido e que teria condições, eu не me preocuparia ainda. Porque realmente é bem restrito. Então tem que roubar a chave, tem que…(1:01:51) precisa de tempo, de recurso, que não é qualquer adversário que tem. Então, provavelmente, estaria ainda mais protegido com ele do que com um simples usuário e senha. Sim. Mas com um gerador de códigos. Porque essa é uma coisa que a gente não se dá conta. Eu já vi muitas pessoas… a gente sabe. Eu, quando pego um celular ou compro um celular, a primeira coisa que eu faço é bloquear todas aquelas notificações que ficam aparecendo quando o telefone está bloqueado. Sim. Porque, virtualmente, se você quer invadir a conta(1:02:27) do cara, você está na mesma mesa que ele, com o telefone, computador, tenta recuperar a senha, vai o código por SMS, aparece na tela com o telefone bloqueado. Sim. Compreende? Sim. E levando em consideração todas as técnicas, a bandidagem está muito sofisticada hoje, porque eles conseguem fazer várias coisas com os telefones celulares. Então tem várias técnicas que eles conseguem fazer mesmo com os telefones bloqueados, ou às vezes te roubam, furtam um telefone e pedem para desbloqueá-lo. Então você, ainda assim, com este equipamento, você estaria mais protegido(1:03:04) do que um simples gerador de OTPs no celular. Perfeito. Vamos para a próxima. Você quer falar sobre a Volkswagen? Você tinha a Volkswagen ainda, eu preparando ali. Fala rapidinho. Eu vou juntar essas duas. É, eu vou juntar essas duas aqui, que as duas são de IA. Pode ser. A mais simples, e as duas são simples. É mais notícias rápidas aqui. Uma é do EV Report. Deixa eu mostrar aqui para vocês. A Volkswagen… seria Electric Vehicle, talvez. Volkswagen introduces ChatGPT to vehicles. Sim, claro, era o(1:03:50) que faltava. Faltava isso, ChatGPT nos carros. Sim. A Volkswagen… primeiro, para quê? Qual é o objetivo aqui? Qual é o objetivo, Guilherme, adivinha, qual é o objetivo de botar o ChatGPT no carro? É tu poder dirigir tendo uma experiência mais natural, mais conversacional com seu carro, para saber sobre pontos de interesse, sabe, lugares para ir, lugar para comer, posto de combustível, roteiro para não sei quê, rotas. Então tu pode: “Eu quero um restaurante de comida japonesa mais próximo da minha localização”. A gente faz isso o tempo inteiro. Claro. É que tu não tem… eu nunca fiz isso.(1:04:34) Já pensou tu entrar no carro junto com outras pessoas, não precisar conversar com as outras pessoas e poder conversar com o ChatGPT? Muito mais agradável. Mas aí eles fizeram isso, eles falaram que os dados das tuas conversações não são armazenados. Eles são apagados tão logo acontece o processamento. E o ChatGPT não tem ninguna interação com sistemas do carro, nem para a coleta de informação sobre o carro, nem para nenhum tipo de atuação. Bom, menos mal. Menos mal. Vai que alguém no carro diga “Pare agora!”, sei lá, numa situação meio(1:05:22) complicada. Então, isso não estaria acontecendo. A Volkswagen diz que os dados são armazenados pelo estrito tempo necessário para fazer o processamento e te dar uma resposta, depois são imediatamente apagados. E, ao mesmo tempo, o ChatGPT não tem nenhum tipo de interação com o carro. Mas, entretanto, contudo, eu lembro a vocês do hack da Cherokee de anos atrás. Temos um episódio… tu consegue catar o episódio? Eu vou procurar aqui. Espera aí. Um carro foi, uma Cherokee, um Jeep Cherokee foi invadido remotamente pelo sistema de telefonia celular. E o atacante, ou(1:06:07) seja, o cara que demonstrou o ataque, ele teve acesso a todos os sistemas do carro. Episódio… ah, me dá o link aí, Guilherme. O link, tu me mandou o nome. Episódio 81. É aqui, ó, “Cherokee Remote Control”. Aqui a gente já estava… os primeiros episódios não tinham capa, e depois a gente entrou numa pilha de colocar umas capas antigas. É verdade, a gente tem várias fases dessas capas aqui. Tem, tem várias fases aqui. Mas eu gosto dessa fase antiga. É um Ford que está ali, mas é uma Cherokee.(1:06:42) Então, é muito interessante. Episódio 81, gravado em 2015, quase 10 anos atrás. E nesse episódio, a gente justamente fala… foi o repórter da Wired. Ele, inclusive, entrou num carro, entrou num Jeep Cherokee que foi desligado remotamente numa highway americana. Então é muito interessante a matéria. A gente tem ali… eu não sei se vai dar tempo, vou ser honesto, a gente estava fazendo 10 anos de Segurança Legal, mas está ficando cada vez mais complexa a nossa produção, tem o vídeo agora e tal. Sim. Mas(1:07:20) até o vídeo não sou eu que faço. Mas, ainda assim, tem ficado mais complexo. Mas só as notícias, o resumo de notícias aqui, na época com a Soline. Ah, é verdade, as notícias. O vazamento de dados do caso do Ashley Madison, lembra? Lembro, um site de encontros. Lembrando que tinha os e-mails .gov, .com.(1:07:54) br que vazaram, que estavam lá nesse vazamento, pessoal usando e-mail funcional. Então, o site “Tudo Sobre Todos” que ficou no ar um tempo, lançamento do Windows 10, olha aí. Remoção e bloqueio do site “Tudo Sobre Todos” criados no exterior. Remoção e bloqueio. Me parece que pelo link ali teria sido feito um bloqueio também judicial. Tu tem outra, Vinícius? Outra notícia? Sim, sim. Só deixa eu mostrar, só me chamou a atenção. Legal isso aqui. É só no passado. Está aqui, ó. Aqui está a matéria da Wired, o link está funcionando ainda, que às vezes as coisas mais antigas acabam sumindo. Legal. O cara derrubou o(1:08:34) carro. É, o cara desligou o freio. É muito legal esse vídeo. Tira esse negócio da frente ali. Eu tiro, mas daí eu não consigo mostrar para vocês. Deixa eu desativar o JavaScript aqui, vamos ver se eu carrego de novo. Aí não vai carregar o vídeo. Mas, você acesse lá e procure o vídeo no YouTube, dá para ver o vídeo no YouTube. É só procurar no YouTube, você vai encontrar. Então, esse lance de “fiquem tranquilos, não se comunica com o sistema do carro”… Lembra do avião da Boeing, que o cara conseguiu, via o(1:09:09) sistema de entretenimento… o cara foi preso, inclusive. O cara, com telefone, via o sistema de entretenimento do avião, conseguiu assumir o controle do thrust das turbinas, da potência das turbinas. E ele mexeu nisso, e o cara foi preso. Mas o avião não caiu, não aconteceu nada. Não, não caiu, mas o cara foi preso por ter feito isso. Mas entende, “o sistema não se comunica”, “a rede de entretenimento não se comunica com os controles do avião”.(1slice: 9:42) Os carros são cada vez mais complexos e tem que tomar muito cuidado com isso aqui. Mas essa é a notícia da Volkswagen, quem quiser ver mais detalhes depois, está lá. E minha outra notícia, Guilherme, é: você lembra do Ilya Sutskever? Não, não lembro desse nome. Deveria me lembrar? Deveria. Porque o Ilya foi um dos caras que saltou fora da OpenAI, foi um dos caras que ajudou a fundar a OpenAI. E ele fazia parte do time de Superalignment da OpenAI. Lembrando que Superalignment é aquele lance de(1:10:17) garantir que a IA sendo desenvolvida não cause nenhum tipo de mal aos seres humanos, inclusive nos exterminar. E aí deu aquela confusão toda lá e ele caiu fora da OpenAI e fundou a Safe Superintelligence. A SSI, três meses atrás. Não gostei do nome, mas tudo bem. Mas beleza. Eles не têm nenhum produto ainda. Eu não vou mostrar a notícia ainda, só para te fazer pensar. Tu sabe quanto vale, quanto eles conseguiram levantar de investimento? Ah, 2 bilhões. Quase! Tu quase… não, tu dobrou. Pô, eu detesto quando alguém faz isso, quando “não, tu consegue adivinhar?” e o cara chutou um valor lá em cima. 1 bilhão. É porque, em geral, sabe? É tipo: “quantos anos tu acha que eu tenho?”. É sempre um negócio que vai… “ah, eu prefiro não dizer”. Desculpa. 1 bilhão de dólares os caras levantaram. A Microsoft meteu 12 ou 13 no início, se não estou enganado, foi 13 na OpenAI. Nem é tanto. Tem a outra lá na França que conseguiu 7 bi, uma coisa assim. Mas eles estão com 1 bilhão, e o valor de mercado deles, da empresa, é de 5(1:11:42) bilhões já. Mas foi recém-lançada. E a empresa tem 3 meses. Então o pessoal fala, a gente já ouviu falar mais de uma vez, da questão da bolha da Inteligência Artificial. A Nvidia andou perdendo um poco de valor, mas não por causa de bolha, foi justamente porque os Estados Unidos… A Nvidia é uma empresa americana e ela fabrica os chips, como quase tudo que é chip, lá em Taiwan. E o mercado chinês é um mercado bem grande para ela, e o governo americano cortou o mercado(1:12:28) chinês da Nvidia, em tese. Em tese. E isso derrubou um pouco, não muito, mas um pouco o valor de mercado da Nvidia. Então, ali está a brincadeira entre esses dois. Mas por que eu comentei mesmo isso da Nvidia agora? Eu mudei de… Porque eles são muito jovens, levantaram 1 bilhão. E a questão da bolha… não sei porque tu trouxe. Eu falei da questão da bolha por causa da tal da bolha da IA. Então, só para dizer que sim, reduziu um pouco o valor de mercado da Nvidia, que estourou e virou a empresa que superou a Microsoft, virou a empresa com capital(1semitone:13:09) aberto mais valiosa do mundo. E aí deu uma reduzida e o pessoal: “Ah, é a bolha, é a bolha”. Na verdade, foi o governo americano que meio que tirou o mercado chinês do alcance da Nvidia. E esses caras aqui são mais um exemplo: 3 meses de empresa, 1 bilhão de capital que eles conseguiram com investidores e 5 bilhões de valor estimado no mercado. E eles não têm nenhum produto ainda. Eles não têm nenhum produto ainda. Eles têm… o foco deles, aqui tem uma foto dele, o Ilya junto com o Sam Altman,(1:13:53) que é o cara que continua lá na… continua sendo o CEO da OpenAI. O Sam Altman está meio nem aí para essa questão de segurança. Ele quer acelerar, quer tocar ficha no desenvolvimento. Claro. E o Ilya… Chega um momento de dinheiro que o cara começa a abandonar as corrupções morais. É o Google com “Don’t be evil”, que tinha lá nos termos de uso. Depois eles tiraram. E aí está lá o Sam Altman, que continua sendo(1:14:25) o CEO da OpenAI e que, ao contrário do Ilya, em tese, ele quer acelerar o desenvolvimento para chegar logo numa… na AGI, que é a Artificial General Intelligence. Não, не vem com isso aí. É porque vai vir, e a gente vai ver. É pouco tempo, segundo as previsões. Nós estamos falando de 2029, 2030. Eu não acredito. Podem me cobrar aqui. Eu acredito. E o Ilya, ele vai numa outra vibe, que é o seguinte: segurança primeiro, o Safety First. Não, e o que eu ia dizer: ele, sim, talvez tenha um nicho aí, e cada vez vai ser mais importante. Então,(1:15:12) desenvolvedores vão, eventualmente, poder usar o que quer que ele venha a criar para trazer algum tipo de… sei lá, se audita o modelo, se tu usa alguma API, alguma coisa ou algum software para tu treinar de forma segura, outros controles. E acho que a gente já pode ir entrando no X, bem rapidinho. Deixou todo mundo aguardando aqui. Mas só te dizer, isso aqui é algo que eu не domino, não é um assunto que eu domino. E essa questão de segurança de modelos… seria muito legal a gente(1semitone:15:49) conseguir, até se alguém tiver uma boa indicação para nós, seria muito legal pegar alguém que realmente entenda desse funcionamento da segurança desses modelos. Porque a gente tem essa experiência de uso e alguma noção de como funciona. Eu tive lá no meu mestrado, mas redes neurais… não sei o que é. Redes neurais… não, mas não é assim. O processo é bem delicado. É o fundamento, mas o processo é bem delicado de garantir a segurança. Então, talvez seja uma hora interessante a gente se focar, fazer um episódio só sobre segurança dentro da IA. Mas(1:16:26) enfim. Qual é a tua, Guilherme? Não, agora é o X. Acho que… você que ficou conosco até aquí, esse assunto está ainda bombando. Hoje aqui no Brasil, claro, a gente está em período de eleição, e aí os jornais, enfim, a chapa esquenta. E estão com um foco muito forte na eleição de São Paulo pela atipicidade das questões que têm acontecido lá. Sim. Mas o tema do Elon Musk ainda permanece. Então, teve toda… a gente gravou… estava gravando na semana passada, e aí a gente terminou de gravar, teve uma alteração, veio a ordem, a gente falou(1:17:12) sobre a ordem, criticou a questão da VPN. Sim, porque ele bloqueia a VPN. E depois daquela, não só o bloqueio, a remoção dos aplicativos de VPN das lojas, dos aplicativos, enfim. E aí, algumas coisas aconteceram… Deixa eu contar uma coisa dos bastidores. Conte. A gente terminou de gravar, a gente estava conversando, tu já se organizando aí para editar o episódio, publicar. Aí tu: “cara, acabou de sair a decisão do… a petição aquí do bloqueio”. A gente pegou, abriu, leu e: “vamos ter que voltar, porque vamos ter que gravar(1semitone:17:53) mais um pedaço aqui”. Aí a gente botou tudo de volta e gravamos mais um pedaço, fizemos os comentários que a gente fez, analisamos ali o desbloqueio, discordamos de algumas coisas e tal. Aí terminamos de gravar, tu se ajeitou lá para fazer tuas coisas e acho que tu foi jantar, uma coisa assim. Acho que eu estava cozinhando, abri um vinho. É, o Guilherme já estava se preparando para terminar a semana. Eu não vou dizer o palavrão que tu usou, mas o Guilherme falou assim:(1:18:28) “ele suspendeu a suspensão”. E a gente já tinha gravado, já tinha feito um extra. Aí ele suspendeu a suspensão. “Ah, não quero nem saber, eu vou… já estou jantando aqui, não vou mais… não vou ficar indo e voltando com esse negócio. O Brasil é muito difícil, é muito difícil escrever o Brasil”. Mas segue aí. Aí ficou assim: “bom, a gente se explica no próximo episódio”. E era isso. Vai lá, toca ficha agora. Bom, então a Starlink… foram contra a Starlink. O Supremo vai contra a Starlink com bloqueio de valores, alegando a questão do grupo econômico de fato, grupo econômico e desconsideração da(1:19:11) personalidade jurídica. Eu comentei aqui no episódio que o conceito de grupo econômico de fato не é algo estranho para o direito. Na Lei das S.A.s tem, enfim, tem alguns. Eu fiz uma pesquisinha rápida lá, encontrei. Então, não é também minha área essa área do direito. Mas, enfim, tem. E aí, a… aí isso que é novo. A Starlink disse que não ia cumprir a ordem. “Ah, eles não são do mesmo grupo econômico, Guilherme?”. Pois é. E aí veio… mas eles entraram… a própria imprensa se deu conta disso. “Não, mas peraí. Se eles não são do grupo econômico, por que que eles deixariam de cumprir?”. São um provedor, têm(1semitone:19:50) nada a ver. Geralmente os provedores não se opõem. E essa é uma coisa, gente: ordens judiciais para bloqueio de conteúdos, não, mas de sites, de serviços, melhor dizendo, acho que seria o termo correto na internet, é diário. Diário. Isso acontece o tempo todo. Claro, com as mais variadas… com os mais variados fundamentos. E, depois a Starlink, depois disso tudo, provavelmente teve alguna negociação ali, a Starlink cedeu e disse que vai cumprir a ordem. Depois disso,(1:20:29) hackers, crackers na verdade, a gente já perdeu essa batalha, não adianta nem falar, é hacker. Então, criminosos digitais, melhor, atacaram via DDoS os sites, e acho que alguns serviços também pelo que vi, do STF, da Polícia Federal e da Anatel, em meio à suspensão. Numa clara demonstração de ciberativismo. É comum. É bem comum, já vimos isso acontecer em vários outros casos. Mas que poderia reforçar certas movimentações, certas indicações de que você teria grupos(1:21:13) organizados por trás de ataques. E aí, logo depois, o STF e a Anatel montaram forças-tarefas para lidar com isso. Veja, foram ataques de DDoS. Basicamente é você, com uma multiplicidade de acessos ao mesmo tempo, impedir que o site consiga responder. Mas isso não envolve vazamentos, não envolve acesso a dados, pelo menos. Só tira do ar. Tira do ar, é o famoso “tira do ar”. E aí a PF, a Polícia Federal, passa a investigar esses ataques por possibilidade de até haver crimes nesse sentido.(1:22:02) E a última notícia aqui, essa, Vinícius, é de agora, vai o link aí agorinha. Não, ela не é de agora, acho que de hoje de manhã, ontem de noite. Teve um cara super importante, o nome dele é engraçado, é Nick Pickles. O chefe de assuntos globais da rede social… Está fazendo bullying com o cara. Nick Pickles, que estaria relacionado com a parte mais de lobby lá do X, anunciou na quinta-feira sua saída da empresa. O executivo era o porta-voz da companhia em disputas com autoridades ao redor do mundo, incluindo o Brasil.(1:22:47) E aí ele, aqui nomeado para o cargo, atuava como braço direito da presidente executiva Linda Yaccarino em temas ligados a governos. Ele disse que está em busca de novos desafios e tudo mais. Inclusive disse aqui que tomou a decisão de sair da companhia alguns meses atrás, ou seja, nada tem a ver com o que está acontecendo. Aquele famoso “não tem nada a ver com o que está acontecendo”. Então, aconteceu isso. Eu estaba lendo hoje aqui, até dei uma olhadinha, eu quero(1:23:24) ver agora, depois que eu terminar aqui, eu vou ler com mais… Está fora de foco, Guilherme. Põe no lado do teu rosto o livro, aí, que não está forte o foco. Tira o foco… tu está com desfocado. Nossa inteligência artificial às vezes… ali, ó. Isso aí, agora sim, agora dá para ver. É do Gilberto Haddad Jabur, “Liberdade de Pensamento e Direito à Vida Privada”. Esse cara que é fera. Fala mais devagar para quem está ouvindo, repete o nome do livro devagar para quem está ouvindo e não está vendo. “Liberdade de Pensamento e Direito à Vida(1:23:54) Privada: Conflitos entre Direitos da Personalidade”, de Gilberto Haddad Jabur. É um cara super bom nessa área de direitos da personalidade, um professor. E tem uma parte ali, porque a gente tem falado muito de censura, como se atos judiciais pudessem ser assim classificados. Claro, ninguém discute que você pode discutir o acerto da decisão judicial em bloquear ou não o conteúdo, isso não está fora de debate. Agora, o que me parece é que a gente chama de censura coisas que não são censura.(1:24:35) Aqui, ó: “Não se trata de censura, quanto menos de fiscalização”. “Não é censura porque não há intervenção de um poder designado pelo Executivo para depurar ou filtrar o que, ao seu exclusivo talante, se revela inapto à publicação, diversamente da sujeição do conteúdo a um julgador”. Então ele coloca aqui o papel do Poder Judiciário nesse controle de conteúdo de maneira geral. Ainda coloca: “O termo censura, no sentido político que seu emprego assume, é o processo de submissão prévia e obrigatória da palavra, do gesto, sinais(1semitone:25:11) e símbolos a um ente, órgão ou censor que, de conformidade com critérios morais e políticos, procederá a um exame crítico”. Então, a censura é quando você precisa, antecipadamente, num regime, submeter as coisas para que assim fossem aprovadas ou não, como acontecia durante o regime militar, onde você tinha censores nas redações dos jornais, que ficavam lá “isso aqui vai, isso aqui não vai”. Com música também. Apenas para fechar aquí, me parece que nesse âmbito do estudo do que é censura mesmo, ela(1:25:43) se dá quando o Poder Executivo assim a realiza, e não quando ela se dá por meio de decisões judiciais. Repito, o que não significa que decisões judiciais não possam estar erradas. E essa é a grande discussão jurídica que nós temos hoje. E eu digo isso também porque a gente viu, tem notícias aí, que o Musk aceitou bloquear contas do X na Turquia e na Índia a pedido do Poder Executivo. E aí é uma diferença muito interessante, no sentido de, ou uma constatação interessante de que talvez o discurso de prócer da liberdade da expressão que ele traz não esteja(1:26:22) alinhado com as práticas dele em outros países. Eu acho que você tem acompanhado mais o cenário internacional, também tem algo a nos dizer nesse sentido. Cara, é, eu tenho visto, inclusive matérias que eu citei no episódio passado, e eu tenho acompanhado o que tem saído no The Washington Post, The Guardian, New York Times… qual foram os… não vou lembrar de todos eles aqui, mas mais uns dois ou três, mais uns três veículos de mídia, além de podcast. Acabou(1semitone:26:59) de sair, eu vi hoje, saiu hoje, e eu ouvi antes da gente gravar. Hoje de manhã eu ouvi, saiu o “The Hard Fork”, que é um podcast, assim, quem curte tecnologia é muito interessante. Claro, é um podcast em inglês, mas é muy bom. Não é melhor do que o Segurança Legal. O Segurança Legal é melhor. Claro, claro. Mas é um bom podcast. E eles gravaram justamente sobre o bloqueio do X também. Então, tem vários lugares assim que eu estou vendo matéria sobre esse(1:27:31) bloqueio no Brasil. E, cara, todos eles, assim, ó, ninguém compra a conversa. Ninguém. Não adianta, “ah, de esquerda, de direita…”. Ninguém compra o papo de liberdade de expressão dele. E todo mundo fala dos casos que ele tirou gente que estava falando… tem um áudio dele, tem um vídeo dele falando que liberdade de expressão é tu tolerar alguém falar alguma coisa que tu не gosta ou não concorda. Assim que ele pegou o X, ele botou para fora do X gente falando mal dele. Ele não aguentou uma entrevista com o cara que ele mesmo contratou. Eu comentei(1semitone:28:07) isso no episódio passado. Que ele mesmo contratou, não aguentou o cara falando coisas que ele não gostava na cara dele. Então, assim, ó, ninguém compra esse papinho de que esse cara está tentando defender a liberdade de expressão. E ele dá prova disso, não precisa acreditar em mim nem no Guilherme, é só catar o que ele anda fazendo por aí em outros países, como o Guilherme citou. Tem um monte de informação sobre isso. Então, nenhum desses meios que eu falei para vocês que eu li, nenhum compra essa brincadeira. Inclusive, o pessoal cita(1:28:37) que existe uma tensão entre governos e redes sociais mundo afora. Nos Estados Unidos, nem tanto. Eles colocam isso… TikTok, né? Mas claro que o TikTok é estrangeiro, é chinês. O TikTok pode sair do ar nos Estados Unidos se não for vendido por uma empresa americana em alguns meses. Não lembro qual é o mês que fecha o prazo, mas não falta muito. E isso não ficou definido por uma ordem judicial, isso é o Poder Executivo. Ah, eu não lembro quem… acho que sim, foi o Biden, foi a administração Biden que(1semitone:29:09) definiu isso aí. Então, assim, ou vende para uma empresa americana ou não vai ter TikTok nos Estados Unidos. E falta alguns meses para esse negócio se concretizar. Mas eles não estão muito preocupados com os outros. Mas todo mundo comenta que, na Europa, a coisa está esquentando com relação às redes sociais e vai acabar havendo bloqueio se houver descumprimento, eventualmente. O Brasil é a primeira democracia a bloquear uma rede social. O pessoal comenta, fala sobre isso. E, ao mesmo tempo, trazem…(1:29:41) eles não chegam a dizer abertamente que está errado a questão de se Alexandre de Moraes… aquela história toda que a gente vê na discussão política aqui. A gente está concentrado nele. Eu mesmo disse na sexta-feira, no episódio passado, eu disse que isso pode não estar errado, pode não ser ilegal, mas está chato. Mas, enfim. Eu estava catando, inclusive, eu não sei se tens o vídeo à mão daquele cara falando que tu me passou, Guilherme. Como é que é? O amigo do Doneda lá, que ele explica muito bem. Tu(1semitone:30:17) consegue achar o vídeo aí para a gente compartilhar com o pessoal? Que ele explica muy bem esse processo todo e por que é legal e está tudo certo. Entende? Mas o que eu vejo é o pessoal levantar essa questão de que existe, eles reportam que existe uma discussão sobre uma concentração de poder na mão de um ministro do STF. Aí, a gente… eu discordo da… acho que a questão do grupo econômico do SpaceX… acho que a SpaceX deu prova de que é o mesmo grupo quando disse que не ia bloquear o X, e acho que se deram conta disso e correram atrás: “não, nós vamos bloquear o X”. Tipo,(1:30:56) não tem nada a ver com eles. Mas a coisa é bem simples. O Elon Musk é dono do Twitter. O Twitter é o brinquedo dele. A SpaceX… não, a Starlink, ele tem, acho que, 40% da Starlink. Então ele tem outros acionistas. Então não é bem assim, sacanear ele, esculhambar com a Starlink e os outros acionistas ficarem quietos. O Twitter, que ele destrua. Mas a Starlink não é bem assim. Então, talvez por isso também a empresa tenha voltado atrás. E a segunda coisa, então, tem esse lance. O grupo econômico, acho que sim, eles deram prova disso. Mas eu(1:31:38) discordei daquela questão da VPN. Acho que isso, até agora, está muito mal explicado. Entende? A gente vê o pessoal passando meio que por cima disso como se não fosse nada e me incomodou. Eu comentei contigo antes, Guilherme. Eu vejo vários canais de notícias no YouTube, canais que eu gosto, e coisas que eu ouço, podcasts que eu escuto, e o pessoal passa por cima da VPN e diz uma porcaria qualquer e segue adiante a vida, sabe? Não explica exatamente o que é. Eu não sei se é o caso de explicar aqui, Guilherme, rapidamente. Rapidinho, porque já estamos com 1h32. Talvez os(1:32:15) nossos ouvintes que são da área de TI, ou que têm alguma proximidade com a área, vão dizer: “ah, isso eu já sei”. Não, beleza, tranquilo. Mas você, que é nosso ouvinte e que não fica vendo esse monte de coisa por aí, a essência é a seguinte: todo software que tem no teu celular ou no teu computador que vai buscar alguma coisa na rede, ele vai estabelecer uma conexão com o servidor de onde estão as informações que ele tem que buscar. E essa conexão é, na verdade, um monte de pacotes de informação, literalmente pacotinhos de informação que vão ser levados(1:32:52) pelo teu link de dados, teu Wi-Fi, vai ali para a tua fibra do teu provedor, ou se tiver Starlink, vai pelo satélite. Mas esses pacotinhos vão ser transmitidos pela rede, passando por infraestrutura do teu próprio provedor, passando por um monte de infraestrutura de terceiros que o teu provedor contrata e que têm outros que fazem infraestrutura de internet. Como se fossem as estradas. Imagina que você tem um monte de concessionária pelo caminho para te chegar até onde(1:33:20) tu quer chegar. Essa é a rota, é o caminho que faz. Literalmente, você pensar numa viagem que você vai fazer de carro, é a mesma coisa. E as estradas têm concessão, têm empresas de estados diferentes que são responsáveis por manter essas estradas funcionando, que são esses links no meio do caminho. VPN é um recurso que você usa para cifrar o teu tráfego. Ou seja, tu encripta o teu tráfego de tal maneira que, entre o teu telefone ou o teu computador, que é onde inicia a VPN, e o lugar até onde você fechou essa conexão de VPN, essa(1:34:01) comunicação entre esses dois pontos, ela fica completamente cifrada. Ninguém no meio do caminho consegue ver o que tu está fazendo. Então, se tu usar uma VPN conectada num servidor, por exemplo, na Suíça, teu dado vai passar cifrado por toda essa infraestrutura aqui do Brasil, vai chegar lá na Suíça, num servidor de VPN onde tu conectou, ele vai descifrar os teus pacotinhos, vai jogar na internet de novo os teus pacotinhos sem estarem cifrados, e aí os teus pacotinhos vão fazer o caminho até o servidor de destino. Certo? Então,(1:34:37) essencialmente, ele vai esconder a tua passagem por alguns trechos da estrada na internet. E é por isso que isso fura… Eu lembro que eu comentei na sexta-feira, duas formas essenciais, tinha uma terceira que eu coloquei que é tirar o aplicativo da loja, e foi isso mesmo que fizeram. Mas duas essenciais, que é esculhambar a resolução de nome. Então, quando você coloca x.(1:35:01) com, isso tem que virar um endereço IP para poder fazer o acesso. Então, uma dessas formas de bloquear é tirar essa resolução de endereço. Só que você pode usar outro DNS qualquer fora do Brasil e aí continua funcionando essa resolução. E a outra maneira é esculhambar a rota, ou seja, fechar a estrada. Só que, se fechar a estrada, é seletivo: fecha a estrada se você estiver indo para o X, para os servidores do X. Quando você usa VPN, não tem como no meio do caminho alguém identificar que você está indo para o x.com. Essa informação está cifrada. Então,(1semitone:35:35) você passa, не tem como ninguém filtrar isso. E aí você consegue fazer o acesso. Por que a gente foi contra o bloqueio? Tem uma outra coisa, você usa VPNs para as mais variadas… Isso, mas o que você falou… Exato. Assim, por que a gente se posicionou dizendo: “Olha, isso aqui é um exagero, tirar aplicativo de VPN da internet, das lojas”? Por que é um exagero? Duas coisas: tu tira da loja, mas tu não tira do computador. Sim. Então vai ter que bloquear o acesso aos sites de aplicativos de VPN lá. Como é(1semitone:36:12) que? Não. Tu tem suítes de segurança como a Kaspersky que tem uma VPN embutida. Aí tu vai tirar a Kaspersky do ar também? Sim, tira o antivírus do ar. Qualquer coisa que tem VPN tu vai tirar. Os americanos quiseram, os americanos tiraram a Kaspersky. Tiraram. Mas tem várias outras aplicações de VPN. Então isso não é viável. E o segundo é o seguinte: tu não usa VPN só para acessar o X. Eu não tinha nenhum aplicativo instalado no celular, para a gente ter uma ideia, quando foi bloqueado. Eu instalei ele para começar a acompanhar, ver quando é que iam bloquear.(1semitone:36:44) “Ah, bloquearam, não bloquearam”. Queria ver se o bloqueio ia sair mesmo. E chegou meia-noite e foi bloqueado. Mas VPN, gente, a gente usa, como eu coloquei na feira, para você poder acessar… claro, para trabalhar. Ou seja, eu preciso acessar a infraestrutura de um cliente meu, da tua empresa. Ou eu trabalho na minha empresa e preciso acessar… Bom, nós mesmos da Brown Pipe, a gente usa VPN para tudo. Eu não quero trafegar uma informação sensível. Tem coisas importantes ali e eu não quero trafegar(1semitone:37:18) com essa informação sem proteção nenhuma na internet. Então o que eu faço? Eu estabeleço uma VPN, esse canal cifrado entre dois pontos que eu controlo, e a minha informação passa cifrada ali. Se eu tirar o aplicativo da loja, eu vou perder a funcionalidade de VPN no meu celular. Então, assim, não é equivalente. Claro que o impacto не é tão grande, óbvio. Mas tu tirar aplicativo de VPN da loja é como tu dizer assim: “Olha, para não acessarem o X, eu vou bloquear a internet”, que seria uma coisa(1semitone:37:51) muito pior, obviamente. E assim, ia causar um caos. Tem até um filme, tu me passou um tempo atrás, um filme sobre isso, que a pessoa fica sem internet e começam a se matar. Eu не duvido que isso acontecesse. É aquele da Netflix. O avião cai, os barcos encalham, aquela palhaçada toda. Então, eu esqueci o nome do filme. Mas aí, acho que teve o exagero ali. E o pessoal disse que foi suspenso esse negócio da VPN, e не foi. Teve aquela suspensão, aquela condicional lá que teve(1:38:28) depois, que foi o que saiu depois. Não sei se quer falar… É o item dois inteiro. Para dar um tempo para o X lá atender as demandas da petição. Você sabe que nesse meio tempo ali, segunda ou terça-feira, os bloqueios ainda estavam acontecendo ou não? Ia e voltava. E aí eu abri o X, até sem querer, sabe aquela coisa? Ele fica ali nos aplicativos que você já abriu no Android. A partir do momento que clicou, ele carregou. E a primeira coisa que ele trouxe era um texto tipo oficial do X, assim, criticando… seria uma conta que o X teria(1:39:10) aberto lá para criticar as decisões do Supremo, enfim. E, claro, está dentro da liberdade de expressão criticar e tal. Mas ele criticava as ordens secretas. “Tiraram tais e tais contas, então seriam ilegítimas”. Mas como é que o cara sabe se é ilegítima se a ordem, o que fundamentou a decisão, é secreto? Ele tem o pedido, o ofício para bloquear, mas ele não sabe a motivação. Ou, pelo menos, acho que не se sabe, porque é secreto. Então teria uma certa contradição ali. Mas a gente consegue ver que eles ainda estão promovendo. E esse é o ponto. Eu não acredito… foi um pouco o que(1:39:50) aconteceu com o debate lá daquele PL, acho que foi o 2630, que o Google colocou na capa do Google lá uma mensagem dizendo que “este PL vai prejudicar você, vai retirar seus direitos” e tal. Ou seja, o buscador atuando como um produtor de conteúdo também. É a rede social que не somente organiza o conteúdo produzido por outros, ela começa a produzir conteúdo editorial colocado ali. E aí eu voltei, depois tentei abrir de novo, ainda estava funcionando. Demorou aqui para bloquear e ele voltou. Ou seja, toda vez(1:40:32) que eu abri o Twitter nesse meio tempo, ele voltava sempre naquele post, entre aspas, oficial ali do X, naquele mesmo sentido. Então, as coisas ainda estão acontecendo. O mundo inteiro está de olho no Brasil. E nós vamos fechar, segunda-feira foi quando os bloqueios começaram, uma semana do bloqueio. Houve o crescimento assim, exponencial, de pessoas entrando no Blue Sky. Já falamos aqui, nossos usuários, nos sigam lá no Blue Sky. E o Jornal Nacional causou bastante furor ali, o fato do Jornal(1:41:14) Nacional ter colocado o usuário deles lá também na abertura do jornal. Então as coisas estão acontecendo. E, claro, foi feita uma pesquisa essa semana também, meio que mostrou meio a meio. Metade dos brasileiros concorda, outra metade não concorda. Claro, isso tecnicamente não quer dizer muita coisa, porque é um tema… eu acho que um dos temas mais complexos. Não se trata de votação. Claro, direito não é votação. Exatamente, direito é uma coisa mais técnica. É, mas só para compartilhar aqui o que eu falei, ó, está(1semitone:41:50) aqui o vídeo, é do UOL. A gente vai pôr o link lá nos notes. Em que o Carlos Affonso Souza comenta. É muito, muito interessante. Eu acho que tu já tinha… tu me passou esse vídeo. Eu estava ao vivo quando isso estava acontecendo, tu disse: “Vinícius, assiste isso aqui, volta lá no começo”. Aí eu fui assistir e, realmente, ele foi muy feliz na maneira de explicar, nas colocações dele. Ficou muito claro. Então, recomendo, nós recomendamos, o Guilherme recomendou e nós recomendamos que vocês assistam a essa(1:42:24) participação do Carlos Affonso Souza no UOL News. Isso aqui foi transmitido ao vivo dia 13 de setembro. Não, não foi ontem, foi três dias atrás. O Carlos Affonso Souza, conhecido, os mais íntimos, apenas por CAF, Souza, era um cara muito… ele e o Danilo eram muito amigos. Um grande professor da FGV, pesquisador, uma referência na proteção de dados no Brasil também. É um dos juristas nessa área do digital, se é que essa área existe, como é que é… gabaritado.(1:43:06) Gabaritado, como se diz. Um dos juristas mais importantes do país. Então quem conhece sabe que é um cara… e ele faz… eu até mandei uma mensagem lá no Blue Sky, ele está no Blue Sky também, elogiando. É uma análise serena, entendeu? Sim, você colocou os domínios. Tem vários domínios esse problema. Tem isso, aquilo. “Eu acho que isso é assim, não assado” e tal. Colocou, criticou quando teve que criticar. Mas é que a polarização é tão grande que você não consegue criticar, por exemplo, as ações do Elon Musk, que estão sendo criticadas no mundo inteiro, sem necessariamente…(1semitone:43:44) ou seja, as pessoas acabam achando que quando você faz isso, você está endossando tudo que o STF faz e que seria absolutamente indiscutível. Não, não é o caso. Mas é inegável, como você falou, inclusive no âmbito internacional, que os países estão começando a ficar muy preocupados com o poder de influência, com o poder das redes sociais, que têm mais usuários do que a população… tem mais usuários que a população da Índia. A Índia tem 1.4 bilhão, e os caras têm mais usuários. E como os estados…(1:44:20) hoje é o Brasil, amanhã pode ser o quê? É verdade. Vamos lá. Acho que deu. Café frio. Eu já estou quase sem voz aquí, Vinícius. Acho que foi nosso episódio mais longo dos últimos tempos. Não sei se é o mais longo, mas estamos quase em duas horas. Quase duas horas. Está acabando o espaço aqui no meu disco. Espaço em disco insuficiente. Ih, cara. Não, mentira, tem um disquinho novo aí. Café Expresso, Vinícius. O Café Expresso… eu estou meio sem… o Café Expresso vai para o Blue Sky, que eu estou gostando. Eu também. Eu estou gostando. Está sendo útil, está sendo uma rede social útil. Pelo menos,(1semitone:45:06) por enquanto, não tão tóxica quanto… mas quando eu digo útil, estou querendo dizer não tóxica. Pelo menos não no que chega até mim. E o que chega para mim é útil. Vale a pena olhar. Para mim, especificamente, está valendo a pena ir dar uma olhada lá para ver o que tem de notícias, coisas mais recentes e tal. Então, eu estou curtindo bastante. Para mim, meu Café Expresso vai para o Blue Sky. Eu vou contigo, sigo o relator. Café Frio vai para o Musk de novo. Café Frio para o Musk. Vai para o Musk(1:45:44) de novo. Vai ficar inventando história aí, deixa de incomodar. Quer lutar, quer realmente lutar por liberdade de expressão? Então faça isso pelos meios de adulto. Não faz por coisas infantis e vulgares, como chamou, acho que foi o New York Times. O poder… se ele quisesse resolver essa questão, viesse ao Brasil, conversasse com as autoridades, se reunisse com o ministro, pusesse uma banca de advogados top, uns cinco, seis(1:46:21) caras melhores. É aquela questão: o X tem perdido um valor importantíssimo de mercado nos últimos tempos, не só por conta do Brasil, mas por conta de todas as suas… Tem perdido valor de mercado por causa das cacas que o Musk tem feito. Ele mandou os anunciantes se… aquilo. Ele mandou. Depois pediu desculpa. Sim, claro que é o Twitter, é o X. Agora vai mandar os teus clientes, que te dão grana, fazerem… cara, vai. É que isso é um… o(1:47:03) Twitter é o brinquedo particular dele. A Tesla, ele tem outros sócios, então tem que vender carro na China mesmo, não pode atrapalhar os negócios na China. A SpaceX tem outros sócios. Tem um negócio sério para caramba ali. Os caras estão liderando essa coisa de mandar carga para o espaço. A Boeing vai trazer os caras um ano depois do que deveria trazer. Ficaram presos. É. Mas, enfim. E a SpaceX tem outros sócios. Ela tem no Brasil um mercado muy interessante, porque a gente tem áreas remotas que não são atendidas, não são cobertas(1semitone:47:46) pelas empresas de telecomunicações que nós temos hoje. Então, a brincadeira é assim: ele tem um certo poder até o ponto em que ele começa a incomodar outros. E dizem que… eu estava lendo uma matéria do… deixa eu só ver aqui… ah, uma daquelas que tu levantou, Guilherme. Perdi o link aqui. Mas que o Musk, acho que é da Wired, acho que ele estaria inclusive meio que caindo na real. Que ele está se vendo numa(1:48:26) sinuca de bico, se colocou num canto. E a gente até não falou sobre essa notícia aqui, Vinícius, mas é que ele começou a tweetar dias desses aí, o pessoal da Tesla começou a ter problemas com as coisas que ele andou dizendo. Exato. Claro. E aí a Suprema Corte americana rejeitou um recurso dele lá em relação ao regulador, os security regulators lá, que requereu que ele, quando fosse postar sobre a Tesla, deveria contar com uma moderação. Porque tem interesses de outros ali, não é(1semitone:49:10) sozinho. Aí você tem eventuais manipulações do mercado. Security regulator seria manipulações do mercado, seja para ganhar mais dinheiro. Então, veja, isso está acontecendo nos Estados Unidos. Foi em abril, isso aqui é mais antigo. Mas, enfim, vamos lá. O café frio, então, eu dei para o Musk. Não sei se tu quer dar o café frio para ele também. Eu não queria dar para o Musk. Eu estou meio cansado dessa história. A gente não dá café para criança.(1semitone:49:51) Não, não dá café para criança. Eu vou dar um café frio para… vou dar um café frio para a Volkswagen, que colocou o ChatGPT no… Está bom. Beleza, então. Não sei, porque eles не têm um bom histórico aí de lidar com essas questões mais digitais, com tecnologia. Os caras andaram fraudando teste de emissão de poluentes. É um negócio sério. Está beleza, então vamos lá. Agradecemos a todos aqueles e aquelas que nos acompanharam até aqui. Pode tirar(1semitone:50:30) ali para terminar não com a imagem do Musk. Ah, é, desculpa, esqueci de novo. Então, agradecemos a todos aqueles e aquelas que nos acompanharam até aqui e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.

Neste episódio falamos sobre o conflito entre Elon Musk e a justiça brasileira. Você irá descobrir as nuances do caso X (Twitter) vs. STF, a liberdade de expressão e o bloqueio de redes sociais no país.​ Guilherme Goulart e Vinícius Serafim analisam a fundo a polêmica envolvendo Elon Musk e o STF, debatendo os limites da liberdade de expressão e a regulação de redes sociais. A discussão aborda o poder das Big Techs, o papel do X (Twitter) como esfera pública, e as controversas decisões judiciais, como o bloqueio de VPNs e a multa por uso de subterfúgios. O episódio explora as implicações para a soberania digital do Brasil, o combate à desinformação e os desafios do Direito da Tecnologia diante de plataformas globais, mencionando o Marco Civil da Internet e o inquérito das milícias digitais. Não perca esta análise crítica sobre tecnologia e sociedade. Siga, avalie e compartilhe para apoiar o Segurança Legal!.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria ShowNotes Mapeamento de Cozinhas Solidárias    📝 Transcrição do Episódio 00:07) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. De volta, Vinícius! Como está? De volta, Guilherme, de volta. Estava com uma baita dor de cabeça na última sexta-feira, uma enxaqueca violenta daquela que não deixava pensar. A gente conversou e eu disse: “Cara, não vou conseguir dizer nada que preste”. Do jeito que eu estava, não ia dar nada. (00:38) E o Guilherme fez um solo. O Dimas, nosso amigo e ouvinte de longa data, encontrou a minha esposa no banco e perguntou: “Escuta, o que tem o Vinícius? Por que ele não estava no último episódio?”. Mas foi uma dor de cabeça violenta que me pegou de tarde e me tirou do sério. Não teve paracetamol que desse jeito. Hoje, estou aqui, descabelado, mas estou de volta. Olá aos nossos ouvintes, que eu não disse. (01:17) O pessoal lá do grupo também perguntou como estava o Vinícius. Eu comentei com o Hamilton também e disse que foi só uma coisa passageira, uma indisposição. E acontece, às vezes. Agora liguei minha luz para ficar um pouco melhor. Ainda bem, tinha esquecido a luz. Sempre lembrando que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Para isso, estamos à disposição dos ouvintes pelo e-mail [email protected], no YouTube em youtube.com/segurancalegal, (01:48) onde você pode ver este vídeo, se já não estiver vendo. Mas se quiser ver nossos rostinhos bonitos, também estamos lá no Mastodon, no @[email protected]. E aí que vem a questão, Vinícius: no Twitter ou X, no @segurancalegal, ainda no ar, não sabemos por quanto tempo. Você já ouviu, não tem como fazer mistério, que o assunto de hoje vai ser a questão do Twitter/X, Musk e a justiça brasileira. Fomos atraídos para esse furacão. Depois falamos sobre isso. (02:31) Mas preciso dizer que temos a nossa campanha de financiamento coletivo no Apoia.se: apoia.se/segurancalegal. Nós conclamamos que vocês contribuam para este projeto independente de produção de conteúdo. Permita, com seu apoio, que o podcast Segurança Legal continue existindo. Perfeito, Guilherme. Antes de a gente seguir, eu gostaria de trazer um link do nosso amigo Lucas Lago, que esteve em outro podcast famoso por aí, não tão famoso quanto o nosso, mas famoso, o “Medo e Delírio em Brasília”. Ele esteve lá. (03:11) Mas por que a gente vem agora aqui trazer o link? Ele falou do projeto Cozinhas Solidárias aqui do Rio Grande do Sul, o mapeamento de cozinhas solidárias. E, finalmente, como ele diz, “finalmente saiu”, e aqui está o site. O link é mapacozinhas-rs.org.br. (03:36) O link, obviamente, vai estar no show notes. Então, está aqui o site sobre o projeto, uma iniciativa do CONSEA-RS com apoio do Instituto Aaron Swartz para fornecer informações de qualidade para a população. O site é desenvolvido com solidariedade e software livre, a partir de um fork de um projeto da Silo Arte e Latitude Rural. Dá para cadastrar cozinhas. O Conselho de Segurança Alimentar e Nutricional Sustentável do Rio Grande do Sul está apoiando esta ideia. (04:14) Tem lá o botãozinho, para quem está olhando no YouTube, para cadastrar a cozinha. Então, quem sabe de cozinhas solidárias ou tem uma, está aí o site do mapeamento de cozinhas solidárias do Aaron Swartz e do CONSEA-RS. Bom, perfeito. Um abraço, Lucas, valeu! Firmando aquela ideia de como as pessoas podem ajudar de formas muito diferentes, contribuir de formas muito diferentes. Essa é uma delas, com conhecimento também. (04:52) Perfeito. Vinícius, a gente tem que falar que nós tivemos uma longa discussão antes para saber se íamos falar sobre o caso Musk, o caso Twitter ou X. Se já não tem bastante conteúdo sobre esse tema. A gente tinha programado outra pauta. Eu não sei se falamos ou deixamos em suspenso. Só digo que tem a ver com educação. Então, para quem gosta de educação e tecnologia de maneira geral, a pauta estava pronta. A gente chega agora, sexta, dia 30 de agosto, e o assunto Musk domina os noticiários. (05:31) Tudo que você abre na internet, só se fala nisso, os grupos de WhatsApp e tal. E nós fomos atraídos para o centro do furacão. A gente pensou se falávamos ou não, como eu dizia antes, mas o Vinícius, eu acho, sintetizou bem a coisa, e talvez esse seja um pouco o objetivo do Elon Musk: fica impossível não falar, fica impossível ignorar esse assunto. (06:13) Até porque, como eu também comentei no nosso último episódio, no episódio solo, a gente tem essa questão das novas formas de buscar atenção, da nova dinâmica das redes sociais e sobre como certos comportamentos geram mais engajamento. E o Elon Musk, nessa história toda, personifica muito bem o Twitter. Ele é um bom representante do Twitter, porque ele age fora da plataforma, nas suas relações e na forma de resolver problemas, com aquela forma que o Twitter funciona. Então, você tem agressividade, memes, quase como um comportamento de um troll. (06:55) Deboche, debochando. Sim. E isso nos coloca com certa perplexidade, porque este podcast também se propõe a falar sobre temas de tecnologia e sociedade. E quando a gente olha para uma rede social, uma empresa desse tamanho, e um problema dessa complexidade, dessas nuances e dessa profundidade, fica difícil não falar sobre isso também aqui, mesmo que seja um tema um tanto quanto lateral para nós. (07:30) Sim, a gente comentou várias vezes sobre a questão das redes sociais, e essa é mais uma. E inúmeras vezes sempre em um tom crítico, Guilherme, no sentido de que você não pode confiar nesses lugares como sendo, de fato, um espaço público, que muitas vezes o pessoal acha que é. Cara, se fosse espaço público, tinha que ser do governo, tinha que ser uma coisa pública. Não é um espaço público, é um espaço privado aberto ao público, o que é muito diferente. Tem uma cidade aqui perto de Três de Maio, perto de Boa Vista do Buricá. (08:10) Uma cidadezinha que eu esqueci o nome, que tem o festival do porco e tal. No meio da cidade, tem uma praça muito legal. E essa praça é um espaço privado, ela pertence a uma pessoa. Inclusive, tem a plaquinha dizendo a quem pertence. Mas é uma praça que te dá (08:43) acesso público. Então, você pode ir lá, sentar, ver os peixinhos. É um lugar agradável, porém um espaço privado. Obviamente, quem é dono daquele espaço põe as regras. E esses espaços que a gente tem, Twitter, Facebook, Instagram, Threads… (09:14) eles nunca foram espaços públicos, nunca foram espaços livres. Sempre tiveram algoritmos para, de alguma maneira, te prender ali dentro. E para te prender, eles têm que criar certas bolhas informacionais e (09:58) te segurar dentro dessas bolhas o maior tempo possível. O Facebook tem um estudo publicado sobre contágio emocional em massa. A gente falou milhares de vezes desse estudo aqui. O próprio pessoal do Facebook fez o estudo, publicou em revista científica renomada e os resultados mostram que há, sim, contágio emocional em massa, há essa possibilidade nas redes sociais. Mas o que a gente está vendo com o Twitter é uma coisa (10:34) que está exacerbando. E, gente, não achem que é só Alexandre de Moraes, que é o Brasil. Galera, é só procurar as notícias, eu vou largar depois no show notes para vocês. Tem Reuters, CNN Internacional, The Guardian… tem o que vocês quiserem do pessoal chamando a atenção lá fora, nem citando o Brasil. Os caras estão dizendo que o Musk tem um comportamento autoritário dentro do Twitter e que ele tenta influenciar políticas públicas e legislações (11:11) de uma maneira absurda, que nunca se viu. Ou seja, a ponto de algumas matérias, uma do The Guardian, acho que o título é mais ou menos “botar rédeas no Musk”. Então, há essa clara percepção de que ele cruzou a linha no sentido de fazer o que quer com o seu produto, que influencia tanta gente. De novo, gente, Facebook não é santo, com Instagram e tudo mais. (11:52) Mas o Musk foi a um nível blaster. Parece que ele quebrou uma certa linha em que essas empresas, claramente com seus interesses e seus lobbies em grande parte dos Estados, tinham esses interesses, mas isso ficava um pouco escondido, atrás de um certo véu, talvez um verniz civilizatório. E ele parece que rompe essa barreira, inaugurando uma forma muito diferente de lidar com problemas sérios, não acha? (12:40) Sim. E, para quem já não está informado sobre isso, o Musk tem um lance pessoal envolvido na brincadeira toda, não só aqui no Brasil, mas de maneira geral, principalmente lá nos Estados Unidos: o fato de o filho dele ter feito uma transição de gênero. Então, hoje seria a filha, que ele não reconhece, e diz que o filho dele morreu e ponto final. Cada um… eu acho absurdo isso, mas enfim. É absurdo o comportamento dele com relação à filha dele. (13:18) Mas ele dá como morto o filho dele. E esse cara entrou numa pira de: “Cara, vou combater o movimento que fez com que meu filho se transformasse, ou morresse”, segundo as palavras dele. Então, quando ele compra o Twitter, ele não está comprando só para um investimento, ele está comprando com um plano ideológico. Exato. Ele não está simplesmente comprando uma empresa, ele está comprando com um fim ideológico. E aí, ele abraçou uma série de teorias e umas bobagens que a gente ouve sendo ditas por aí. (14:05) E ele demonstra que é um baita de um hipócrita, porque ele defende a liberdade de expressão, mas não a suporta. Esse é o primeiro ponto. Tem matéria da Reuters mostrando que ele estava atacando e cerceando diretamente os tweets e as contas de pessoas que eram críticas a ele. Então, “ah, liberdade de expressão, a gente pode falar o que quiser”. Sim, mas não pode falar nada contra mim. (14:39) É um baita hipócrita nesse sentido. Ele defende a liberdade de expressão, mas tem a fábrica dele, a Tesla, na China. Ele tem acordos com a China, feliz da vida, principalmente porque a Hertz, nos Estados Unidos, começou a vender (15:06) 30.000 Teslas que tinha comprado, porque não estava valendo a pena para alugar. E ele está feliz da vida que a China considerou, há pouco tempo, que, como a Tesla fabrica lá, o veículo é nacional e pode ser vendido dentro do país. Elon Musk ficou feliz da vida. E não está nem aí para o governo chinês. (15:42) Na Turquia, ele detona as contas daqueles que são contra o Erdogan. Sem problema nenhum. Fez acordo com o governo indiano também para suprimir as contas de algumas pessoas de interesse do governo. E estava ouvindo no podcast do New York Times, o Hard Fork, que o governo da Arábia Saudita tem um pedacinho do Twitter, ainda é sócio. Então, no momento em que ele tem essa postura… e eu não estou discutindo se há ou não exagero do STF, (16:33) isso é outro baile. Mas se ele lida tão bem com esses outros lugares, com governos que ele diz serem autoritários, e esses de fato são… como que ele quer bancar o defensor da liberdade de expressão aqui no Brasil, sendo que ele faz o que faz? Isso não se sustenta. E você tem ele com esse poder econômico todo, fazendo propaganda para o Trump. Tentou fazer uma entrevista com o Trump no (17:16) Twitter, o negócio caiu no meio do caminho, e ele disse que foi atacado. Mas isso não se sustenta. Não vi ninguém da imprensa norte-americana dizendo que sim, foi atacado. Todo mundo diz: “ele diz que foi atacado, mas parece que teve uma falha deles, não foi um ataque”. Isso está chamando a atenção, o fato de ele estar usando seu poder econômico para interferir na campanha. (17:49) E esse movimento que ele faz, da maneira que está fazendo, respondendo com memes e tudo mais, sendo que esse cara tem grana para contratar os melhores advogados e juristas, não só do Brasil, mas do mundo, para marcar a posição dele. Então, poxa, quer discutir, quer brigar? Então, vem e discute. E talvez seja bom. Mas não, ele prefere bancar o pombo no tabuleiro de xadrez. (18:24) Em vez de jogar o jogo, de confrontar, o cara simplesmente faz o que o pombo faz: caga no tabuleiro, derruba tudo, sai voando e diz que ganhou. (18:24) Eu acho que tem várias coisas aí. Primeiro, a questão dessa esfera pública. Não sou o estudioso dessa dinâmica, mas é um conceito de um sociólogo e filósofo do direito, Jürgen Habermas, que cria essa ideia de esfera pública pré-internet, mas ligada também à mídia. (19:00) E ele compreende a dinâmica do que viria a ser a esfera pública. Mas esse espaço, tradicionalmente, é um espaço de debate, de conversa, de consenso, porque é isso que você espera numa esfera pública de um estado democrático, de racionalidade, sobretudo. Eu acho que a grande mudança que a gente vê nesses casos talvez seja que novas empresas acabam mediando a esfera pública de uma nova forma. (19:46) Isso já acontecia com os meios de comunicação tradicionais: rádio, TV e tudo mais. Você sempre teve meios de comunicação com interesses. Desde o nascimento dos jornais, você começa a ler a história do Brasil e vê: “esse aqui era Republicano, aquele era Monarquista”. Então, você sempre teve isso, com certos graus de interferência no que seria o resultado dessa esfera, que seriam os consensos. (20:23) O que muda, tanto de maneira quantitativa quanto qualitativa, é a forma como as redes atuam. E isso se notou muito quando ele comprou a rede: certos direcionamentos, favorecimentos, impulsionamentos. O fato de ele impulsionar a própria conta dele com discursos ideológicos. Naquela reportagem que você me mandou hoje de manhã, do The Guardian, fala que o Center for Countering Digital Hate apontou que ele mesmo postou 50 mensagens falsas sobre as eleições neste ano, o que implicou um total de 1.2 bilhão de visualizações. (21:13) Acho que o primeiro ponto é essa questão da própria esfera pública, que está completamente zoada. E você ainda tem como saída essa nova dinâmica, que não é nem um debate, mas uma dinâmica troll. Porque, vamos imaginar que a gente tenha problemas institucionais. Vamos usar uma palavra em português: deboche. Debochar, incomodar, espinhar, fazer bullying. Por quê? Porque isso gera um engajamento tão grande, e é tão forte, que nós estamos aqui falando sobre isso. Eu nem sei se queria (21:53) estar falando sobre isso. Nós fomos puxados. É um negócio que te puxa para isso. E aí todo mundo fica falando sobre isso. Eu acho que temos que olhar para essa nova dinâmica e notar que os Estados, de maneira geral, não estão conseguindo lidar com isso. Essa é a primeira constatação. E o Estado, por meio do próprio Judiciário, não consegue lidar com isso, sobretudo diante de companhias globais. (22:25) A discussão da própria saída, que eu fiz no último episódio, eu disse que uma das possíveis motivações me parece ser fugir do controle judicial e de possíveis ordens. Mas tem outro interesse que me parece muito claro: um movimento mundial pela não regulação de espaços de redes sociais. E isso fica muito claro com o X/Twitter. Não vejo isso acontecendo com tanta intensidade com outras Big Techs, mas, claro, elas agem pela via do lobby, (23:05) elas têm poder econômico para isso. A gente pode criticar, mas ainda está dentro de um quadro em que o lobby não é proibido. Que seja transparente e tudo mais. Então, você cria com essa carta da liberdade de expressão, que é algo importante, quase um estado de coisas mundial, muito forte aqui no Brasil, de que você não poderia discutir controle de conteúdo, sobretudo conteúdo ilícito. (23:50) E o fato da empresa X se posicionar de uma forma que nega o cumprimento de ordens judiciais é um problema muito grave aqui. Sobretudo quando isso acontece no movimento de saída do Brasil com a intenção, aparentemente, de descumprimento da ordem. Porque se você é uma empresa que vende bens físicos, materiais, você sai do país e sua operação fica complicada. (24:35) Com a internet e com empresas desse porte, de fato, o serviço consegue continuar sendo prestado sem a presença de responsáveis e da própria empresa no país. E aí chegamos numa encruzilhada, de você ter ordens judiciais deliberadamente sendo descumpridas. E a saída do país nesse contexto, e esse interesse de desregulação… A briga de Musk na União Europeia se dá também pelas novas regulações, o Digital Services Act. O mesmo acontecendo, como comentei, na Austrália, (25:22) dele se insurgir contra o cumprimento dessas normas. Porque, veja, imaginando que essas normas sejam problemáticas, não me parece que seja o caso, você tem instrumentos para lidar com isso. E com o poder que ele tem, ele teria instrumentos mais legítimos. A questão é usar esse novo meio de discussão, do troll, do engajamento e da descredibilização das instituições mundiais. Se a gente fosse admitir isso, quem tomaria essas decisões? Seria ele? Ou vamos transformar as redes sociais (26:07) num tipo de negócio à prova de regulações? Será que isso seria bom? É uma reflexão que podemos fazer. Não acredito que seja. Mas nota que estamos entrando num tipo de discussão sobre a própria legitimidade e o poder, não falo só do Brasil, falo de todos os Estados. Todos os Estados deveriam estar preocupados com o que acontece. “Ah, mas o STF está exagerando”. Pode ser que sim. Tem algumas coisas muito discutíveis nesse último aspecto jurídico. (26:46) E uma delas, pode me interrompendo, Vinícius, foi a própria questão da Starlink. O X sai do Brasil, ficam multas sem pagamento, se notifica um dos representantes para ele dizer se ainda era, e eles não respondem. E vem toda aquela questão da citação pelo próprio Twitter, que é uma questão super discutível dentro do direito. Mas vem um bloqueio de valores da Starlink, (27:32) que pertenceria ao mesmo grupo. Você teria essa movimentação do Supremo, que é super delicada. Primeiro, essa questão do grupo econômico de fato. Eu estava dando uma pesquisada, não é bem minha área, mas não é algo estranho para o direito brasileiro. Existe a figura do grupo econômico de fato, que não é formalmente definido, mas poderia ser considerado. Isso está presente tanto na Lei das S.A. (28:10), no artigo 243, quanto na lei que estrutura a defesa da concorrência no Brasil, que estabeleceria a responsabilidade solidária para empresas dentro do mesmo grupo. Mas estamos falando de infrações da ordem econômica, o que não me parece ser o caso. E também na Lei Anticorrupção, que prevê a necessidade de que grupos econômicos de fato respeitem acordos de leniência, o que também não é o caso aqui. E o próprio Marco Civil exigindo o respeito às (28:50) normas brasileiras para companhias estrangeiras. Então, o STF traz essa figura do grupo econômico de fato para tentar atingir o X pela via da Starlink. Mas sabe o que a Starlink fez? Eu vi agora há pouco, Vinícius. Vou te dar em primeira mão. A Starlink fez o que qualquer empresa e qualquer pessoa deveria fazer: ela recorre ao STF contra a decisão de Moraes e pede o desbloqueio de contas da empresa. Perfeito, isso é o certo. (29:29) “Ah, mas o STF está passando da conta”. Veja, eu acho que nós também temos um outro problema de soberania aqui, porque esse é um problema nosso, dos brasileiros. Não sei se é do Elon Musk ou de uma rede social. Porque aí a gente começa a ver qual a função dessas empresas. Ou qual a função que a gente quer para elas. Será que queremos essas empresas interferindo em política doméstica? Será que essa vai ser a nova forma dos Estados pós-internet? (30:07) Nós vamos virar corporações? E eu repito: isso não desqualifica a discussão de como o STF está agindo, de forma nenhuma. Mas não acho que seja ele, o Musk, a fazer isso, e tampouco da forma como está fazendo. Poderia ser ele a desafiar o STF, mas tem a forma correta de desafiar. (30:52) E mais eficiente, diga-se de passagem. Desse jeito, você só cria confusão. Olha o que a Apple fez há muitos anos, a gente chegou a comentar aqui. Quando a NSA, FBI, etc., vieram com o papo de botar um backdoor nos iOS, eles confrontaram, entraram na justiça contra. E tiveram várias gag orders, aquelas ordens sigilosas que você não pode publicar. E várias dessas gag orders foram desafiadas, inclusive publicadas por essas empresas. Lembrando que é isso que o Musk diz que está (31:44) acontecendo aqui, que ele está recebendo ordens judiciais sigilosas sobre as quais não pode falar. Então, se ele acha que está errado, que isso prejudica o bem público, assume o risco, faz uma desobediência civil e publica a ordem. Ele fez isso? Não, ele não fez com tudo. Ele fez com aqueles Twitter Files, algumas delas, mas não foi tudo. (32:23) E, claro, ele está desobedecendo uma ordem judicial ainda assim, mas não está publicando meme na internet. Isso é coisa de moleque. Ao mesmo tempo, a gente vê que isso movimenta um certo público, tanto aqui como nos Estados Unidos. O objetivo dele, no final das contas, não é realmente desafiar o STF. Ele quer (33:03) causar. Senão, ele estaria fazendo isso mundo afora. Ele faz onde pode, de alguma maneira, se beneficiar. Ele não é o líder mundial da liberdade de expressão. Até porque esse é um elemento importante: as redes sociais, de maneira geral, quando permitem que seus próprios algoritmos organizem e priorizem conteúdos, isso também é um problema de liberdade de expressão, se a gente quiser. As redes se tornaram intermediadoras (33:46) dessa esfera pública. O problema é que talvez esta nova forma de resolver problemas, pelo meio do engajamento, não seja a melhor para a sociedade. Acaba virando também um problema político, que é a própria morte da política, enquanto meio de consenso buscado através do acordo, em que as partes deliberam e se escutam. (34:25) Se isso acabar, nós vamos ter um problema de ordem mundial. Agora, claro, se quiser falar sobre aspectos jurídicos, tem a própria questão da citação feita pelo Twitter. Até onde vi, é a primeira vez que isso acontece. E você tem uma necessidade de rigidez muito grande na questão das citações e intimações por outros meios que não os estabelecidos em lei, porque você tem que ter certeza que a pessoa foi adequadamente cientificada daquilo. (35:03) Nós temos decisões do STJ nos dois sentidos: uma permitindo a citação por WhatsApp e outra proibindo via redes sociais, justamente pela dificuldade de saber se a pessoa realmente foi cientificada. E esse pode ter sido o erro do Musk, porque ele respondeu aquilo. Mas nota, a gente não pode violar a lei para lidar com outras questões de violação. É um princípio democrático respeitar a lei dentro do processo. (35:50) Mas é inegável que a jogada dele foi cavar essa falta. Mas veja, como o Estado lida com uma situação em que o sujeito sai do país para evitar ordens judiciais, mas o alcance da sua atividade continua atingindo o país, a despeito das fronteiras? (36:33) Como você lida com isso? Tradicionalmente, você precisaria de cartas rogatórias, mas pode demorar semanas. Você precisaria atualizar a legislação. E, de fato, nós tínhamos o PL 2630, que foi engavetado. Ou seja, se bloqueou um debate sobre controles de redes sociais e agora nós estamos nessa encruzilhada. Não sei se é bem uma encruzilhada, porque o Estado está se mostrando também ineficiente para lidar com isso. E não é só o caso do Musk; você tem outros casos mais comuns (37:21) de conteúdos flagrantemente criminosos que não são retirados do ar. Claro, é bom para qualquer empresa que não tem uma boa orientação ética atuar num ambiente em que pode fazer o que bem entender e não precisa respeitar as leis locais. É mais fácil. Mas, enfim, o direito é essa forma, cheia de problemas, que (37:52) a gente encontrou para resolver as nossas questões importantes. Se acaba com o direito, você vai resolver os problemas com quê? Com aposta? Vai voltar a fazer duelos? Quem grita mais ganha? Quem vai ter mais likes? Como vai ser? (38:31) Eu gosto muito da analogia do xadrez. Quando você joga, você desafia o oponente dentro de certas regras. E no xadrez, você pode até desistir. Mas é uma ofensa se a pessoa sai derrubando tudo ou fica brava porque perdeu. Você nunca mais joga. Dar um soco no tabuleiro, jogar as peças no chão… isso não é uma coisa que o xadrez admite. Mas esse é o jogo que as pessoas não têm paciência de jogar. (39:17) Acho que, no final das contas, elas querem uma mudança muito imediata e acabam confundindo as coisas. Tudo que é complexo exige tempo para ser analisado, modificado, ajustado. O próprio processo judicial, ter esse meio para discutirmos as coisas, é uma evolução de milhares de anos. (40:03) Você começa a entender que não pode simplesmente matar seu vizinho porque ele pegou uma parte do seu terreno. Mesmo que você tenha razão na disputa, o ato que você cometeu é um crime, você vai ser preso e acabou. Eu vou mais além. Se o sujeito invade um terreno seu, você não presenciou, e a posse dele se consolida, você não pode retirar a posse dele manualmente, violentamente. (40:40) Você vai precisar de uma ação de reintegração de posse, mesmo que todo mundo tenha visto o sujeito invadindo. Porque a posse terá sua proteção. Você não pode simplesmente entrar lá com uma arma. O Estado é que tem esse monopólio da violência. (41:22) Uma coisa legal que recomendo a leitura é “O Leviatã”, de Thomas Hobbes. Ele trata justamente dessa discussão de a gente criar esse “super-humano”, que é o Estado, e dar a ele “superpoderes” para resolver nossos conflitos. Só que isso é complexo, é difícil. Quem já teve algum processo judicial sabe que nem sempre a coisa é justa do jeito que a gente acha. (41:59) E há certas decisões que são tomadas, que são perfeitamente legais, e que a gente ainda assim não aceita, não se conforma. Mas tem espaço para discutir, tem formas. E temos outros problemas, claro, que não afetariam o Musk, como a morosidade no sistema judicial. (42:36) É por isso que não entendo por que ele faz as coisas desse jeito, age como um pombo. É engajamento, cara. A gente está aqui falando dele. Exato. Mas estou tentando atribuir a ele uma coisa que, pelo próprio comportamento, ele está deixando claro que não é o que quer. Ele não é um cara burro. Mas a forma como ele está fazendo demonstra uma coisa meio infantil, meio maluca. Porque o cara que tem os recursos que ele tem… (43:22) ele tem acesso VIP ao STF com quem ele puder contratar. Ele tem como trazer à tona discussões muito relevantes, inclusive aqui no Brasil, se quisesse. Mas o que ele quer é bagunçar, zoar. (44:01) Eu separei algumas headlines. Tenho aqui do The Nation, por exemplo: “Elon Musk é uma ameaça para a democracia”. Você tem o foreignpolicy.com: “O Twitter de Elon Musk está se tornando um esgoto de desinformação”. Isso é bem objetivo. Ele publica voluntariamente desinformação, que é outro problema. (44:50) Ele publicou esses dias uma imagem de Inteligência Artificial para induzir as pessoas, relacionada à Kamala Harris. Veja, não há discussão quanto a isso: ele é um propagador de desinformação, ele, pessoa física. E ele não lida bem com a liberdade de expressão. Ele zera todo mundo que o critica e que seja relevante. Nós acho que não vamos ser zerados, mas ele bloqueia, cerceia. Ele teve uma entrevista com um cara que ele tinha recém-contratado, que tirou da CNN. (45:34) O cara disse: “Beleza, quero que a primeira entrevista seja contigo”. Ele topou. “Não tem nada que eu não possa perguntar?”. “Ok”. É o Don Lemon, que fez a entrevista. Elon Musk sabe como ele trabalha. (46:15) Ele o contratou para ter um programa no Twitter. Ele entrevista o Musk e confronta as ideias malucas que o Musk tem disseminado, pessoalmente e no Twitter. (47:02) Resultado: o Elon Musk ficou vermelho, ficou roxo, começou a ficar bravo e disse: “Aproveita bem teu tempo, que tu tens mais uns minutos só para terminar essa entrevista”. Obviamente, o cara foi dispensado posteriormente. Ele saiu de lá e recebeu a mensagem do Elon Musk dispensando-o. Então, esse cara não lida bem com liberdade de expressão. Ponto. (47:42) Eu preciso dizer, acerca das críticas: eu tenho sim minhas preocupações quanto, por exemplo, a todo esse inquérito que tramita no STF das milícias digitais. O negócio está lá há muito tempo. Você tem ordens sigilosas. Qual o problema da ordem sigilosa? Ela tem que ser a exceção, porque você não consegue submeter ao escrutínio público. Claro, o direito eventualmente a investigações, a polícia não precisa divulgar que vai fazer uma busca e apreensão. (48:28) Você tem expedientes que precisam ser, de fato, sigilosos. O problema não é o sigilo em si, o problema é que estes sigilos, durante tanto tempo, começam a causar uma certa dúvida legítima na sociedade, que quer saber: “Mas que perfis são esses? Contra quem são essas ordens?”. Você não consegue fazer esse escrutínio público. Mas veja, não é algo que não possa ser feito ou que seja proibido. (49:08) Esse é o vídeo da entrevista para o Don Lemon. É o primeiro e último vídeo que ia sair no Twitter. A gente vai tomar um strike aqui no nosso canal. Mas olha a face dele no final do vídeo. Ele está ficando vermelho, já está bravo. Foi uma entrevista bem interessante para se ver. (49:40) O link eu vou deixar no show notes, porque ali você vê o quanto ele resiste à liberdade de expressão, o quanto ele está aberto a discutir um determinado tema de forma tranquila. (50:21) Tem o caso Pavel Durov, do Telegram. A gente não tinha preparado nada sobre isso. Em novembro de 2021, o Tribunal de Propriedade Intelectual de Lisboa instou Durov, detido essa semana, enquanto gestor do Telegram, a bloquear o acesso a 17 grupos que partilhavam filmes, séries e jornais gratuitamente, em violação aos direitos de autor. A justiça nunca conseguiu notificar os Durov. (50:58) A sede do Telegram está registrada em Dubai, mas a Embaixada dos Emirados Árabes informou que não foi possível localizar seus proprietários. Em 2022, na sequência de outro pedido, foram encerrados 11 canais. Uma investigação inédita da Polícia Judiciária chegou aos alegados autores de um desses grupos, e o Telegram conseguiu pela primeira vez identificar e constituir dois arguidos. Mas o caminho é sempre muito lento. (51:31) E a justiça continua a perder terreno numa área em que o direito não consegue ou não consegue adequadamente atuar. Os tempos são diferentes. E se o sujeito tem poder suficiente, ele consegue escapar do direito. Isso está acontecendo também com o Durov. Essa reportagem do Diário de Notícias traz um pouquinho das dificuldades que os Estados estão tendo no mundo inteiro, e a partir daí, as tentativas de regulação. (52:16) Não é violar a liberdade de expressão quando a gente olha para o Digital Services Act. O objetivo não é esse. E por isso que seria útil conhecer todo esse inquérito, para que a sociedade tenha o direito de afastar, eventualmente, a ilicitude, ou conseguir escrutinar o que está acontecendo. Me parece que a justiça também erra ao seguir dessa maneira, mas reconheço a possibilidade de que inquéritos sejam conduzidos de (53:02) maneira sigilosa. Perfeito, Guilherme. Eu queria chamar a atenção para uma coisa que a gente não entrou: teve ameaça de bloqueio. Em tese, estaria para acontecer. Eu ouvi o jornalista Pedro Doria dizendo que essa demora pode ser indicativo de que está havendo alguma negociação nos bastidores, justamente pelo STF entender que não é uma medida muito popular tirar uma rede (53:48) social do ar, e também não é muito eficaz. Mas há uma questão técnica que podemos comentar sobre tirar sites do ar. Tem, na real, três maneiras. Uma é mexer no DNS, o serviço que resolve nomes. Quando você digita x.com, (54:30) ele te devolve o endereço IP para onde sua máquina se conecta. Você pode impedir que seja feita essa busca. Você tenta resolver x.com e não recebe resposta nenhuma. (54:57) Essa é uma maneira. Só que aí o que você faz? Você aponta para DNSs estrangeiros. Por exemplo, se a Vivo, a Oi, a Claro forem intimadas a fazer o bloqueio, o cara vai lá, muda o DNS dele para 1.1.1.1 (55:30) e vai continuar acessando o X sem VPN, sem nada. A outra forma seria sair bloqueando o endereço IP, as rotas para chegar até os servidores do X. Só que não temos um Great Firewall como na China, que faz a filtragem de todo o nosso tráfego. (56:15) Existem várias saídas. Você teria que mexer no roteamento da internet brasileira, que não é uma empresa, são várias interagindo. E a VPN fura esse bloqueio. No ano passado, as pessoas já fizeram isso e, o pior, (56:57) acabam usando VPNs de origem duvidosa e ficando em risco. Se você não sabe como usar uma VPN, é melhor ficar sem o X. (57:43) Existem VPNs confiáveis como Surfshark, Kaspersky, Cloudflare, ProtonVPN e a NordVPN. Mas o risco ao fazer uma modificação dessa… eu aposto que o CGI.br não deve gostar nem um pouco dessas ideias de sair mexendo em roteamento. (58:24) Isso também pode ser ineficiente, porque você vai ter que começar a catar todos os IPs que os servidores do X estão utilizando. E eles poderiam, de sacanagem, ficar mudando de IP. Uma terceira possibilidade é a remoção do aplicativo das lojas brasileiras, das App Stores. (59:02) Isso eu não ouvi falar nesse momento, mas é uma medida que já foi aventada no passado. É bastante invasiva, e para a maior parte dos usuários, bastante eficiente. Porém, quem está no iOS teria maiores problemas. Em Android, teríamos outra ação arriscada: (59:46) os usuários poderiam ser levados a ativar a instalação de aplicativos de fontes desconhecidas e acessar algum outro site para instalar o aplicativo do X. O pessoal vai começar a mandar o APK pelo WhatsApp. Vai ser golpe que não termina mais. (1:00:21) O bloqueio é sempre a pior medida, porque não funciona direito, é complexo, caro, burocrático, tem riscos de comprometer outros serviços. Não deveria haver bloqueio. É a demonstração máxima de: “não tenho o que fazer, então vou bloquear, mesmo que não vá funcionar direito”. (1:01:01) A gente já viu situações em que se bloqueia o aplicativo e a ordem estipula multa para quem acessar por VPN. Lembro que teve isso. Até onde sei, essas multas não foram aplicadas. E se caso venha isso, estamos entrando numa medida bastante complicada. Não vejo como lícita, me parece uma medida bastante condenável. E você teria que discutir isso judicialmente. Mas, bloqueou, bloqueou. (1:01:46) Como controlar o que o sujeito acessa se ele usar VPN para outras coisas, como nós usamos? É uma medida bem complicada e discutível estabelecer multa para quem usar VPN para acessar o X. (1:02:29) Mas nota que a coisa já saiu dos trilhos, não está legal em ambos os lados. E, no final das contas, a solução… como é o jeito certo de fazer a coisa errada? Não tem. Esses bloqueios não são legais, não devem acontecer. Mas, ao mesmo tempo, o que a justiça poderia fazer? Nada? (1:03:07) É muito delicado. O jogo está sendo jogado errado. Esse é o maior problema. Você pega, hoje saiu a suspensão do treinamento da IA pela ANPD da Meta. E hoje voltou. Vi uma notícia dizendo que a ANPD acata a proposta da Meta e libera o uso de dados de brasileiros para treinar IA. (1:03:53) Não sei quais foram as medidas, mas dá para ver a decisão no site da ANPD. É assim que você resolve um problema. Você colaborou com a autoridade, resolveu potencialmente o problema. E você tem outras redes colaborando, (1:04:37) sobretudo em um momento eleitoral. O sistema eleitoral brasileiro tem problemas a serem melhorados, ninguém discute. Mas vamos começar a descumprir ordem judicial sem a utilização do recurso adequado, como a Starlink acabou de fazer? Porque também é um tipo de pressão para o próprio judiciário. (1:05:20) É delicado também para o Judiciário saber que o sujeito sequer vai recorrer. Diz ele que tentou e não foi ouvido. Mas quando você abandona o processo, é ruim. Porque, ora, se é tão ilegal e injusta, recorra e demonstre isso. (1:06:09) Ao não fazer, fica só uma questão de “eu não concordo com a ordem, mas não vou recorrer”. Eu não consigo demonstrar juridicamente por que eu estaria certo. Cara, acho que não tenho mais nada a dizer sobre esse assunto por enquanto. Vamos ver o que vai acontecer. Mas estamos numa situação, num jogo meio lamentável. Estou com vergonha alheia. (1:06:50) É como aquela expressão em inglês, um catch-22, uma situação em que qualquer saída é ruim. E eu digo mais uma vez: não me isento de criticar a posição do Musk, mas você tem sim questões muito discutíveis, jurídicas, (1:07:29) do lado do STF. E esse debate precisa ser feito. A gente precisa aprovar uma legislação para que os juízes saibam o que pode ser feito. Mas o próprio comportamento do Musk meio que interdita certos debates. (1:08:04) Essa dinâmica faz com que certos debates fiquem muito difíceis de serem feitos. Eu termino com uma sensação bem ruim de ter conversado sobre isso. (1:08:50) Sim. Mas nosso próximo assunto é mais legal, para cima. Deixa eu terminar aqui, Vinícius. Acabei de receber no WhatsApp. É o José Simão. Ele disse: “Do X: brasileiros querem que Moraes acabe com os grupos de família no WhatsApp”. Ah, eu gosto dos meus grupos de família, são bons. (1:09:58) Eu não tenho. Quer dizer, tenho uns ali, mas não uso WhatsApp. Pergunta para quem tenta falar comigo via WhatsApp. Eu sei, às vezes te mando uns WhatsApps e você não responde. (1:09:58) Vamos terminar com uma mensagem boa, Vinícius. Traz uma mensagem positiva. De improviso… eu gosto muito do “Coach do Fracasso” no Instagram. Tem uma sabedoria ali. (1:10:35) Vou deixar minha mensagem, que é do “Coach do Fracasso”. Vou até mudar o tom: “A vida é feita de obstáculos e você vai tropeçar em cada um deles”. Essa é a minha mensagem. (1:10:35) Eu peguei uma aleatória aqui do Fernando Pessoa. Ah, pronto, lá vem. Eu venho com o “Coach do Fracasso”, ele vem com Pessoa. “Ouçam, às vezes, passar o vento; e só de ouvir o vento passar, já vale a pena ter nascido”. (11:11:6) Ah, e tem o nosso passarinho também. “Eles passarão, eu passarinho”. É do Mário Quintana. “Todos esses que aí estão, atravancando meu caminho, eles passarão… eu passarinho”. (1:11:58) E era isso. Até a próxima. Tudo bom. Então, aguardamos todos no próximo episódio, mais light, do podcast Segurança Legal. Até a próxima! Plantão, Guilherme, plantão! Terminamos de gravar e vem a bomba. Saiu a decisão ordenando o bloqueio. (1:12:45) É uma decisão de 51 páginas. Obviamente não deu tempo de ler com atenção, mas o que importa são as últimas páginas. Vou passar a ler a determinação. (1:13:20) “Determino a suspensão imediata e integral do funcionamento do X Brasil na internet em território nacional, até que todas as ordens judiciais sejam cumpridas, as multas devidamente pagas e seja indicado em juízo o representante em território nacional. […] O presidente da Anatel deve ser intimado para que adote imediatamente todas as providências, (1:13:58) comunicando esta corte em no máximo 24 horas. […] A intimação para cumprimento no prazo de 5 dias das empresas Apple e Google no Brasil para que insiram obstáculos tecnológicos capazes de inviabilizar a utilização do aplicativo X […] e removam o aplicativo das lojas App Store e Google Play Store.” (1:14:33) E aqui vem a parte mais problemática. O que vem agora eu não lembro de ter visto. Isso aqui é punk, amigo. É pavoroso. É a retirada das lojas das VPNs, de aplicativos que possibilitem o uso de VPN. E tem, exemplificativamente, ExpressVPN, NordVPN, Surfshark… Cara, eu pago o Surfshark. Como ele vai tirar do ar um (1:15:08) serviço que eu estou pagando? E toda a questão da proteção da privacidade e segurança de pessoas que vão usar VPN para outras coisas. Cara, isso aqui não tem cabimento. Com toda a vênia, não tem sentido isso aqui. Vai acontecer justamente a porcaria que eu disse: (1:15:48) “Cuidado, se cair o serviço, não pegue qualquer VPN por aí”. Bloqueia essas, e vai ter outras, justamente as porcarias que vão ficar. E vão empurrar a galera ainda mais para o negócio errado. Lamento, mas essa parte está errada. (1:16:27) Ele foi por todas as frentes possíveis: roteamento, DNS, provedores. Mas tem uma outra coisa: ele não impediu que você use VPN no computador. Deve ter um assessor lá que pensou: “só se usa VPN no celular e a única utilidade é furar controles que o STF quer”. (1:17:04) Perfeito. Ninguém usa VPN para trabalhar. Exatamente. Nós usamos todo dia VPN para trabalhar. (1:18:16) E agora vem a aplicação de multa diária de R$50.000,00 às pessoas naturais e jurídicas que incorrerem em condutas no sentido de utilização de subterfúgios tecnológicos para a continuidade das comunicações ocorridas pelo X, tal como o uso de VPN. Fica aquela dúvida: se usar VPN já é crime, ou se é usar VPN para acessar o X. E outra, se você usa uma VPN, as pessoas do mundo externo não conseguem saber o que você está acessando. (1:19:41) Imagino que ele tenha escrito isso para caso as pessoas que ele está mirando contornem as ordens. Mas do jeito que está aqui, é para todo e qualquer cidadão. Se você subir uma VPN para trabalhar, no nosso caso, e acessar um site que tenha algum social plugin do X, você automaticamente se comunica com o X. (1:20:18) O problema é não compreender para que serve uma VPN. E o pior: não vai funcionar. Eu saio de casa, estou com VPN ativa. É como aquelas tentativas de bloquear criptografia. (1:22:24) A multa se aplica para qualquer subterfúgio tecnológico para acessar o X, não apenas VPN. Por exemplo, se eu acesso uma máquina virtual na Amazon e de lá acesso o X. Veja, não estou usando VPN. Isso também estaria coberto pela multa. E não é uma situação em que as pessoas envolvidas no inquérito poderiam usar esses subterfúgios. (1:23:08) Aqui é qualquer pessoa que não tem nada a ver com a história. Bom, vamos dormir com um barulho desses. Até a próxima.  

Neste episódio, Guilherme Goulart comenta os 6 anos da LGPD, o que mudou e o que ainda precisa melhorar. Você irá descobrir os desafios da lei, um caso europeu sobre acesso a logs e a polêmica saída do X do Brasil.​ Guilherme Goulart aprofunda a discussão sobre o aniversário da LGPD, um marco na proteção de dados no Brasil. Ele analisa a evolução da conscientização e a atuação da ANPD, destacando a importância da segurança da informação e da gestão de incidentes de segurança. O episódio explora o papel da governança de dados e da conformidade para as empresas, ressaltando a privacidade como um direito fundamental dos titulares de dados. Abordando desde a necessidade de mais transparência até o risco de sanções, Goulart debate os desafios do direito digital frente às Big Techs, citando o Marco Civil da Internet. Assine nosso podcast, siga-nos nas redes e deixe sua avaliação para apoiar o Segurança Legal​.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria ShowNotes Seis anos da LGPD Artigo – Responsabilidade civil por vazamento de dados pessoais:análise da decisão proferida no AREsp n. 2.130.619/SP por Lucia Maria Teixeira Ferreira e Matheus Garcia Órgão público dinamarquês deve fornecer logs de segurança de sistema A saída do Twitter do Brasil Twitter sai do Brasil e o Grok explica a razão X hit with nine data protection complaints after announcing it will partially suspend data processing for AI training Sandro Gozi: “Se Musk non si adegua alle nostre leggi, l’Unione chiuderà X in Europa”. Ecco la posta in gioco nello scontro tra il magnate del tech e Bruxelles Responsável pelo X no Brasil deixa o cargo em meio a embate entre Musk e Moraes Ataque contra Moraes por bloqueios no X partiu de comunidade com alta proporção de contas falsas, aponta relatório Australian prime minister labels Elon Musk ‘an arrogant billionaire who thinks he is above the law’ Europa já abriu inquérito e chamou X de maior disseminador de desinformação Foto do episódio   📝 Transcrição do Episódio (00:00) Bem-vindos e bem-vindas ao Café Segurança Legal, Episódio 372, gravado em 23 de agosto de 2024. Eu sou o Guilherme Goulart e vou trazer para vocês algumas das notícias das últimas semanas, dessa vez sozinho, num café solo ou num mini café, já que o Vinícius teve uma pequena indisposição de saúde. Ele está bem, mas não estava pronto para fazer a gravação de hoje. Na semana passada, infelizmente, eu tive uma questão familiar que também me impediu de participar. Então, para não deixarmos duas semanas sem (00:39) episódios, farei aqui um mini café com as minhas três notícias que eu já iria trazer, infelizmente sem a participação do Vinícius e, principalmente, sem a discussão, porque um dos temas que vou trazer era um tema sobre o qual provavelmente ficaríamos debatendo por bastante tempo, usando um tempo maior para discutir um pouco mais. Mas vamos assim mesmo, vamos seguir a rotina do podcast. Sempre lembrando que para nós este é um momento importante para você entrar (01:13) em contato conosco e enviar críticas e sugestões. Para isso, é muito fácil: basta enviar uma mensagem para [email protected] ou, se preferir, também pelo @segurancalegal no Twitter (ou X) e no Mastodon, no @[email protected]. Já pensou em apoiar o projeto Segurança Legal? Você pode fazer isso pelo site no apoia. (01:38) se/segurancalegal, escolhendo uma das modalidades de apoio. Como recompensa, você terá o direito de participar do nosso grupo exclusivo de apoiadores no Telegram. Nós sempre comentamos que tivemos, recentemente, um problema com o PicPay, que deixou de nos prestar o serviço de apoio para projetos. Então, se você assinava pelo PicPay, pedimos que considere voltar, assinando pelo Apoia.se. Se você não apoia, embora haja muitas razões para isso, também exortamos que você considere colaborar (02:11) com um projeto independente de produção de conteúdo que é o Segurança Legal. São 12 anos no ar, hoje fechando 372 episódios. Então, tem conteúdo para caramba para você escutar, se informar, estudar e ficar informado, no caso do Café, com as notícias. Vamos lá. Lembrando também que algumas das notícias que traremos aqui, sobretudo a primeira, que já antecipo que envolve a ANPD, está lá no blog da BrownPipe, que você consegue (02:47) ver. Esse blog é atualizado semanalmente, então você vai ter ali as últimas notícias e as questões mais importantes. Algumas dessas notícias também vão para o nosso mailing da BrownPipe, então você pode também, aqui pelo blog, fazer a assinatura do mailing para receber no seu e-mail algumas dessas notícias mais importantes. Bom, então vamos à primeira notícia. Vocês já conseguiram ver aqui: a ANPD celebra os 6 anos da LGPD. Enfim, essa notícia é baseada em algumas questões publicadas pela ANPD, mas também acho que (03:26) todos nós, enquanto sociedade, celebramos os seis anos dessa lei tão importante, essa lei que está no nosso dia a dia. A própria BrownPipe tem no seu DNA a proteção de dados e a segurança da informação, mas também a proteção de dados. Então, além de representar um dos temas, uma das áreas que nós trabalhamos na consultoria, nós, enquanto cidadãos aqui no Segurança Legal e enquanto titulares de dados pessoais, também nos sentimos felizes, enquanto pessoas físicas, de ter uma lei que nos protege. (04:04) E também enquanto empresa e cidadãos, porque entendemos que houve uma evolução bastante grande com a aprovação da LGPD aqui no Brasil, por várias razões. Se formos pensar, o fato de não termos até então uma cultura de proteção de dados e até mesmo uma cultura mais forte de segurança da informação, a LGPD vem para trazer essa mudança de cultura. Esse é um dos elementos. Eu acho que já conseguimos ver, já conseguimos apontar nesses seis anos, que é um tempo considerável, algumas coisas que melhoraram e também (04:46) trazer algumas indicações do que ainda precisa mudar. Acho que o primeiro ponto que mudou, que conseguimos verificar e perceber, é que sim, há uma consciência. Houve uma conscientização das empresas, embora ainda haja muitas que não se adequaram. Algumas começaram a adequação e estão em processo, outras sequer se deram o trabalho de iniciar esse projeto. Então, conseguimos identificar que o mercado reconhece, grandes players do mercado já reconhecem e atuam (05:25) respeitando a lei, mas ainda notamos, sim, um desconhecimento. Quando eventualmente nós conversamos com técnicos da área, tanto de TI quanto de segurança da informação, ou quando conversamos sobre projetos e coisas do gênero, notamos um certo desconhecimento. Embora seja notável que houve uma evolução, obviamente, com uma lei publicada, ao mesmo tempo ainda há um desconhecimento relevante de muitas questões de proteção de dados em relação às pessoas mais técnicas. (06:04) Uma outra questão que vale a pena mencionar é a atuação da própria ANPD. Logo depois da sanção da lei, tivemos a criação da ANPD. Hoje, a autoridade está estabelecida, é conhecida, recebe comunicações de incidentes, realiza procedimentos, criou e já publicou diversos documentos, seja os guias orientativos, suas resoluções, os estudos. Dá para destacar aqui o estudo do sandbox regulatório, o estudo sobre IA e sobre biometria. Mas também notamos, e essa é uma fala do próprio diretor-presidente recentemente, (06:49) que a autoridade precisa de mais recursos. Essa é uma questão governamental, que envolve o papel do governo em promover um estado de coisas mais propício para que a ANPD, a nossa autoridade, consiga funcionar. Ele comentou, e eu trago aqui parte da sua fala: “Na área de fiscalização, a ANPD se destacou pela análise de mais de 500 incidentes de segurança, 3. (07:25) 000 requerimentos de titulares de dados e a condução de oito processos sancionadores, resultando em 18 sanções, incluindo duas multas. A autarquia também analisou casos de grande relevância, como os microdados do Enem, do Censo Escolar, a alteração da política de privacidade do WhatsApp e o projeto Estádio Seguro, emitindo notas técnicas sobre esses temas”. Mais recentemente, noticiamos aqui no Segurança Legal, tivemos uma ampliação da transparência da ANPD. Hoje é possível fazer consultas públicas lá no SEI, que é o sistema eletrônico de informações da própria ANPD. (08:01) Então, você consegue ter acesso. E numa resposta da ANPD diante das últimas relações que teve com o Ministério Público, no sentido de que precisava de mais transparência, a autoridade, enquanto ente, está respondendo positivamente. Mas destacando, na palavra da própria presidência, que há necessidade de se investir mais na autoridade, não somente recursos financeiros, mas também recursos humanos. É necessário aumentar o número de pessoas atuando lá, sobretudo se comparado com (08:38) outros países, onde você tem muito mais pessoas, e também se for comparar com outras autoridades e instituições públicas aqui no Brasil, veremos que a ANPD tem, sim, espaço para crescer. Bom, nessa comemoração de 6 anos, eu busquei também trazer algumas propostas do que precisa mudar na minha opinião. O que ainda é necessário mudar? Acho que o primeiro ponto diz respeito ao reconhecimento de que a proteção de (09:16) dados é considerada um valor importante na sociedade. A proteção de dados é um valor importante tanto para as pessoas quanto para as organizações e empresas. E não é à toa que ela foi considerada na nossa Constituição como um direito fundamental. Isso não é pouco. Considerá-la como direito fundamental é o reconhecimento, pela via do direito, da importância da proteção de dados para a construção, inclusive, de uma sociedade justa. Se notarmos, cada vez mais nós temos (09:51) as pessoas com seus dados sendo tratados nas mais variadas atividades. Seja por meio de novas tecnologias, por meio das tecnologias da informação, e as nossas relações sociais, das mais variadas possíveis, passam a ser intermediadas por essas tecnologias com o tratamento de dados pessoais. E se formos considerar também o poder dessas grandes empresas, das big techs, é algo absolutamente necessário. Eu acho que o reconhecimento da proteção de dados enquanto valor ético, um valor que deve (10:30) ser caro para a sociedade, deve inspirar as empresas. Acho que esse é o primeiro ponto. É como pensar em regras sanitárias. Hoje, ninguém discute a necessidade de regras sanitárias para instituições que vendem alimentos, por exemplo. Me parece que ainda há a necessidade de se aumentar essa conscientização do valor e da importância da proteção de dados enquanto pressuposto ético para o mundo dos negócios. Acho que essa é uma mudança bem importante, porque notamos empresas que deliberadamente decidem deixar para lá ou ainda pagar (11:09) para ver, ou esperar o momento de fazer a adequação. O momento já passou, a lei está fazendo seis anos, mas o momento é agora. É melhor que você faça o processo de adequação enquanto as coisas estão tranquilas do que pensar em fazer esse processo depois que houve um incidente, depois que o negócio foi comprometido ou até mesmo depois que se demonstre. Os incidentes têm essa capacidade também de demonstrar situações de desconformidade, seja de segurança da informação, mas também de proteção de dados. Falando em segurança, outra questão é justamente esta: a (11:48) LGPD trouxe para o Brasil uma consolidação da segurança da informação enquanto dever de proteção, que já era reconhecido. Nós já poderíamos retirar esse dever de segurança da informação lá do princípio da boa-fé objetiva, pela via do Código de Defesa do Consumidor, mas também pelo grande princípio da boa-fé objetiva. O que a ANPD e a LGPD fizeram foi realmente instrumentalizar esse novo dever de segurança da informação. Ou seja, o dever de segurança da informação hoje é muito mais delimitado e esclarecido para que as empresas (12:31) possam cumprir. Há regras já muito bem estabelecidas e definidas pela própria ANPD. Um dos guias, que é o guia para agentes de pequeno porte, tem lá questões relacionadas à segurança da informação. Nesse sentido, por incrível que pareça, ainda precisa mudar. A área de segurança da informação precisa levar a gestão de incidentes a sério. Ela já deveria fazer isso mesmo sem a LGPD. Mesmo empresas que não tratam dados pessoais devem levar a gestão de incidentes a (13:05) sério. O que eu quero dizer é que, a partir de agora ou a partir da LGPD, nós temos essa necessidade de que segurança da informação e proteção de dados andem juntos. E uma dessas subáreas dentro da segurança da informação, sem dúvidas, é a gestão de incidentes. Isso faz também, que é um outro elemento de mudança e melhora que acredito que deva ocorrer, notar que estamos vivendo um novo cenário para a área de compliance. Ou seja, nós precisamos (13:43) não somente aplicar normas — esse é um tema de conformidade de maneira geral —, mas também revisar as situações de aplicação. Por isso, o processo de implementação e de cumprimento da LGPD é um processo complexo e delicado. Não é algo que se termina, ou seja: “faço a adequação e nunca mais preciso fazer nada”. Não, é um processo contínuo, assim como o processo de segurança e o processo de qualidade. Não basta cumprir a lei, não basta aplicar (14:20) a lei no caso concreto, mas ainda precisamos revisar a aplicação o tempo todo. Ou seja, eu preciso aplicar e ainda revisar se ela está sendo bem aplicada. E isso passa, em ambientes mais complexos — claro, na verdade existem muitas “LGPDs”. O que eu quero dizer é que, dependendo da área de negócio, e não somente de negócio, mas da área de atuação, eu posso estar falando tanto de uma grande big tech como, ao mesmo tempo, de um hospital, de um órgão público, do metrô. Ou seja, há muitas especificidades e (14:55) peculiaridades do tratamento de dados pessoais a depender do contexto e da área de negócios. Mas, quando falamos em negócios mais complexos, submetidos a múltiplas regulações, como o setor bancário, por exemplo, o papel das auditorias internas e até mesmo externas se faz também necessário. Ou seja, se você acha que basta um processo inicial e que depois nunca mais vai fazer nada, não é assim. Há a necessidade de revisar, ou seja, de fazer um compliance no sentido de sempre verificar o cumprimento (15:37) do que já foi feito. Se já temos a cultura em muitas empresas dessa revisão, dessa avaliação de auditorias, pentests e tudo mais na área de segurança da informação, ou seja, buscar avaliações externas, como as normas algumas vezes indicam, isso também deve começar a ser pensado para a área de proteção de dados pessoais. Um outro elemento que acredito que deva passar por uma melhoria, por incrível que pareça, é a própria (16:18) especialização na compreensão da LGPD nos tribunais. É uma lei complexa, precisamos reconhecer. Estamos falando de regulações muito específicas, então é natural que o judiciário tenha uma certa dificuldade, às vezes, de lidar com essas questões. Acho que isso ocorre um pouco com a LGPD. O exemplo que se pode dar aqui é que muitas decisões — e fazemos um acompanhamento aqui também (16:55) das decisões que envolvem segurança da informação e LGPD, questões envolvendo incidentes de dados pessoais — consideram que não há dano com o vazamento de somente dados pessoais, ou seja, de dados não sensíveis, pelo fato de os dados não serem sensíveis. É claro que há uma discussão. Uma das grandes discussões da LGPD é como verificar a ocorrência de dano pelo mau tratamento de dados pessoais ou por incidentes. Mas o que a LGPD não faz é dizer que só (17:34) haverá dano quando os dados forem sensíveis. Não, eu posso também ter danos quando os dados forem somente pessoais. Me parece que temos visto uma certa incorreção na fundamentação. Alguns tribunais estão lidando com o tema dos danos no vazamento ou em caso de incidentes, quando esses dados são somente pessoais e não sensíveis, usando como fundamento o fato de os dados não serem sensíveis, e a lei não prevê essa diferenciação. Inclusive, até li (18:13) um artigo ontem sobre isso, que depois colocarei no show notes, que falava justamente sobre essa falha na compreensão da lei. Então, acho que há uma necessidade de haver essa modificação, essa melhor interpretação e compreensão. Outra questão é a conscientização pública na proteção de dados enquanto direito. É necessário sensibilizar as pessoas sobre essa realidade. Há muitas pessoas ainda que não entendem ou não enxergam, até porque não foram adequadamente informadas sobre os seus direitos enquanto titulares. (18:52) As pessoas devem se enxergar enquanto titulares de dados pessoais e enquanto titulares de direitos subjetivos, do ponto de vista que elas podem exigir das empresas, ou de quem trata os seus dados, todos os direitos que a lei entrega. E isso envolve, pessoal, até uma questão de educação. Nós sempre citamos o caso da cartilha feita pela Mauricio de Sousa Produções sobre proteção de dados, que é um material direcionado para crianças e pré-adolescentes. (19:29) Isso está aí. Formar cidadãos envolve também conscientizá-los e informá-los acerca dos seus direitos básicos, dos seus direitos fundamentais. Acabei de dizer antes sobre a proteção de dados enquanto direito fundamental. Como ela é um valor caro para a sociedade, as pessoas devem ser ensinadas e conscientizadas acerca dos seus direitos. Acho que isso deve mudar. Uma das coisas que precisa mudar também é a compreensão das empresas. (20:03) Comentei antes, mas acho que ainda precisa melhorar no seguinte sentido, e vou ser bem franco quanto a isso: as empresas precisam se adequar. Eu sei que é uma obviedade, a lei já tem seis anos, mas tem gente que está esperando demais. Isso pode ser muito prejudicial. Em que sentido? Dependendo do contexto em que você tomar essa decisão, pode ser tarde demais. A proteção de dados já é um requisito regulatório. As empresas, e muitas delas, estão subestimando essas adequações. E aí o (20:39) problema é que isso, e sendo franco também — claro, você deve estar pensando: “ah, mas ele presta consultoria nessa área” —, mas eu vou dar apenas um argumento que desmonta um eventual viés aqui. É o seguinte: é mais caro fazer isso depois do incidente. Quanto mais tempo passar, mais caro pode ficar para você. Porque, a partir do momento em que você precisa fazer tudo premido por um incidente ou por um processo, pode ser mais caro, pode ser mais difícil, você pode perder mais. Então, eu uso apenas o elemento econômico para convencer (21:17) as empresas disso. Não me parece que seja seguro apostar nessa circunstância de não realizar a adequação, até porque as empresas que não se adequarem não ficam somente à mercê de procedimentos realizados pela ANPD. Elas vão ficar à mercê de procedimentos realizados tanto pelo Ministério Público e pelos Procons, mas também pelos próprios clientes, pela via judicial. É frequente empresas conversarem conosco e dizerem que começou aquela pressão (22:00) regulatória dos seus parceiros de negócio também. De repente, um belo dia, o seu parceiro de negócio te surpreende — o que não deveria ser uma surpresa — com a solicitação de demonstrações ou de evidências do cumprimento, e você não consegue fazer isso. Então, a depender do contexto, você pode perder muito mais se não se adequar ou se apostar em “pagar para ver”. Não é recomendado. O reforço da autoridade, a gente já comentou, é uma necessidade. E aí é uma questão (22:31) governamental, uma situação institucional. O governo, ou os governos, devem se movimentar nesse sentido. Até porque, no fim das contas, um país com uma autoridade de proteção de dados forte é um país mais seguro para a realização de negócios. É um país que tem a sua credibilidade acerca dos negócios realizados aqui elevada. Ganha credibilidade. Então, é bastante importante também para a imagem do país, mas também para que se construa um cenário de realização de negócios de maneira mais segura. Ou seja, (23:12) não somente pelas necessidades impostas por outras legislações de proteção de dados, como o GDPR, mas também no sentido de ser atrativo. Ter uma autoridade forte implica dizer que o ambiente de negócios brasileiro é um ambiente atrativo também nesse aspecto da proteção de dados. Tem uma questão também que ela é um pouco mais lateral, talvez, mas eu acho que a gente precisa também, e aí é uma questão governamental, que é o apoio para pequenas e médias empresas. E eu me refiro especificamente à questão da facilitação do pagamento. Seja (23:54) pela via de créditos tributários, programas de financiamento de bancos públicos, mas o crédito tributário pode ser algo interessante. Ou seja, você abater dos seus impostos os gastos com a adequação à LGPD. Claro, tem as suas dificuldades para fazer isso, o governo vai ter que abrir mão de receitas e tudo mais. Mas talvez programas de financiamento possam ser necessários, porque isso é um custo. E, algumas vezes, a empresa deixa de se adequar por uma questão de custos também. Então, me parece importante seguir (24:31) nesse sentido. A gente precisa ainda ampliar esse enforcement, que é a aplicação da lei por meio do Estado. Então, acho que todo o Estado — Judiciário, Procons, a ANPD, o próprio Ministério Público — deve ampliar esse enforcement da lei, porque atrasos ou inércias de todas as autoridades públicas presentes dentro do sistema de proteção de dados podem ter efeitos nefastos, muito ruins para o ambiente como um todo. Me parece que esse é um aspecto que nós temos que mudar ainda. Embora nós tenhamos movimentações de (25:15) todos os órgãos envolvidos, acho que ainda há espaço para avançar nesse sentido. E, por fim — claro, dá para falar sobre várias coisas aqui que podem melhorar no ambiente de proteção de dados, já estou falando há 25 minutos —, mas como último elemento, eu diria que é o papel da proteção setorial. Eu comentei antes, “existem muitas LGPDs”. O que quero dizer é que nós temos peculiaridades específicas para cada (25:54) área de negócio, para cada área de atuação. Como disse antes, posso estar falando de uma big tech, mas também de dentistas, médicos, advogados, profissionais liberais. Nesse sentido, acho que está faltando um pouco que as entidades de classe, as associações, os grupos de empresários comecem a se mexer também. É preciso que esses órgãos esclareçam a aplicação nos setores em que estão envolvidos, por meio de guias orientativos também. Claro que a ANPD tem essa atribuição, mas quando a gente (26:31) pega, por exemplo, a CNT, é um exemplo muito relevante. Fizeram um guia, inclusive com a participação do nosso querido e saudoso amigo Danilo Doneda, sobre a aplicação da LGPD para o setor de transportes. Então, há essa necessidade de que as entidades que congregam grupos de profissionais também possam esclarecer aos profissionais. Seria muito legal se o Conselho de Medicina, Conselho de Odontologia, de Psicologia, de Arquitetura, e por aí vai, (27:07) também apoiassem o cumprimento, esclarecendo melhor a aplicação da LGPD. Bom, a segunda notícia, essa foi longa. A terceira acho que vai ser também. Essa aqui vai ser um pouco mais rapidinha. A gente sempre traz aqui no blog da BrownPipe notícias da aplicação envolvendo proteção de dados fora do Brasil, sobretudo na Europa, que é um modelo que se assemelha ao nosso. E essa aqui foi muito interessante. O título é: “Órgão público dinamarquês deve fornecer logs de segurança de sistema”. (27:46) Vou ler um pedacinho aqui: a autoridade de proteção de dados dinamarquesa recebeu uma reclamação de um titular de dados indicando que o Ministério do Interior e Saúde havia se recusado a dar-lhe acesso ao log de segurança do sistema de Registro Civil. O log continha informações sobre a data e hora das consultas, bem como o ID associado à pessoa natural que realizou a busca. O ministério envolvido alegou que essas informações estariam relacionadas à proteção da segurança nacional e investigação de infrações penais, e negou o acesso a esses dados ao titular. (28:24) A DPA, ou autoridade de proteção dinamarquesa, lembrou que há alguns casos que já trataram sobre essas questões, mas basicamente a decisão foi no sentido de que as informações relativas às operações de consulta realizadas sobre os dados pessoais de um titular, e relativas às datas e finalidades dessas operações, constituem informações que essa pessoa tem o direito de obter nos termos do artigo 15 do GDPR. Pois bem, o que isso implica? Bom, isso aqui está relacionado ao próprio direito que a pessoa, o titular, tem de (29:00) ter acesso aos seus dados pessoais. E essa é uma questão que pode, sim, envolver nuances. Você pode ter limites. A empresa pode ter certas circunstâncias em que determinadas informações não podem ser fornecidas, sobretudo por questões relacionadas a segredos industriais e comerciais. Mas é inegável que há esse direito, aquela ideia do princípio da transparência, e também o direito de acesso que a pessoa tem de ter acesso aos próprios dados. Claro que aqui (29:34) foi uma questão um pouco mais complexa: o acesso a logs de consultas realizadas aos seus dados pessoais. E veja que ela pode ter esse interesse também para verificar se não estão havendo situações de violação dos seus dados ou até de consultas imotivadas. Essa poderia ser, inclusive, uma justificativa, embora ela não precise dar uma, para esse acesso. Mas uma coisa que eu noto, e temos notado aqui no Brasil — dia desses até tratamos uma questão dessa aqui que ocorreu com um (30:11) cliente —, são essas situações em que, quando você pede para algumas empresas aqui no Brasil informações acerca dos logs de suas próprias operações, ou seja, das operações do titular, há uma tendência muito grande, eu diria uma resistência generalizada das empresas em fornecer essas informações. Elas se negam a fornecer os logs das próprias operações do titular. E isso pode ser importante, sobretudo em situações em que o titular tem uma suspeita ou sofreu (30:48) alguma invasão. No caso que eu comentava, uma pessoa teve um sistema que ela utilizava invadido, e foram feitas operações naquele sistema que causavam alguns reflexos jurídicos importantes para ela. Ela queria obter mais informações sobre quem realizou aquele acesso. Veja, na sua conta. Ou seja, invadiram a conta e ele está buscando logs e registros de operações realizadas na sua própria conta. E o que aconteceu nesse caso, e acontece em outros também, é essa resistência em fornecer essas informações, a dificuldade (31:24) das empresas em verem que as informações dos logs são dados pessoais. E aí o titular tem todos os direitos relacionados aos seus dados pessoais. O que acaba acontecendo, nesse caso que aconteceu, é que a empresa diz: “Olha, não vou dar. Você precisa de uma ação judicial para obter os próprios dados”. O que seria o direito de acesso aos logs das suas próprias operações ou das operações realizadas nas suas contas. O caminho ideal é que as empresas disponibilizem meios automatizados para que a (31:56) própria pessoa tenha acesso a esses dados. Para dar um exemplo muito simples e comum, você consegue ver lá no Gmail as sessões que estão conectadas na sua conta, inclusive com os endereços IPs. E era isso que esse titular queria. Ele queria saber como a autenticação havia sido feita, porque era um sistema que permitia diversas autenticações diferentes, e isso também passava pela investigação que ele estava fazendo no incidente. Mas você conseguia ver o IP. “Ah, mas o criminoso pode usar uma VPN”. De fato, o (32:25) criminoso pode usar uma VPN, mas também pode não ter usado. Enfim, esse é um problema para a investigação. Então, me parece que não faz muito sentido, como demonstrou a autoridade dinamarquesa — e é um caso que se aplicaria muito bem ao Brasil também —, bloquear esses acessos. Fica aqui, mais uma vez, a dica desse tipo de notícia que vocês vão encontrar lá no blog da BrownPipe, porque o que acaba acontecendo é que muitas dessas decisões europeias, por (32:58) haver essa paridade ou semelhança das legislações (LGPD com GDPR), são aplicáveis. Elas podem servir como inspiração também para outras interpretações que nós fazemos da LGPD aqui no Brasil. Bom, o terceiro и último tema de hoje. E aí eu tô rindo porque ele é um tema mais delicado, que toca em questões políticas muito delicadas aqui no Brasil. Mas nós decidimos trazer esse tema aqui também porque é uma questão que eventualmente nós falamos. Quem nos escuta aqui sabe que, além da segurança da informação (33:43) e da proteção de dados, nós gostamos de falar também sobre esses aspectos daquilo que se costuma chamar de “tecnologia e sociedade”, dos impactos da tecnologia nas relações sociais. Embora não sejamos sociólogos, nós gostamos de tratar sobre isso e achamos que são temas importantes, sobretudo quando envolvem grandes players, as grandes big techs. E quando essas plataformas passam a influenciar de maneira negativa, e parece que este (34:21) é o caso, em assuntos internos e na própria organização social de um Estado. Então, a notícia é que o X, antigo Twitter, decide sair do Brasil. Esses movimentos vêm logo depois de conflitos entre o X e troca de acusações, ou melhor, acusações do próprio Musk contra o STF, numa linha de que haveria violações ao princípio da liberdade de expressão. E isso tem sido debatido por muitas pessoas, porque o Elon Musk tem uma (35:04) visão muito mais americana, e mesmo dentro da visão americana, uma visão muito típica acerca do que é liberdade de expressão. Porque, pelo menos na visão europeia, na visão brasileira e na visão de grande parte dos países da América Latina, tem-se o entendimento de que a liberdade de expressão não é um direito de exercício absoluto. É um direito que, evidentemente, vai passar por limitações, sobretudo quando se trata da produção de discursos que ofendem outros direitos ou que implicam no cometimento (35:48) de crimes. Então, diante desse embate de Musk com o STF, nós vemos o anúncio, num sábado, dia 17 de agosto, do encerramento das operações. A imprensa traz a informação de que a empresa X estaria ignorando ordens judiciais e fugindo de intimações, segundo a informação dada por João Brant, que é Secretário Nacional de Políticas Digitais da Secretaria de Comunicação Social da Presidência da República. Essa notícia, que veio da CNN, traz uma questão que é uma preocupação legítima, me parece: até que ponto a saída do X não dificultaria o (36:34) cumprimento de decisões? Imaginando que, ao que tudo indica, é verdade que a empresa estaria voluntariamente se negando a cumprir ordens judiciais brasileiras, a saída do país poderia ter como motivação justamente deixar de cumprir certas ordens, porque nós vimos, e o próprio Musk comentou diversas vezes, que ele se opunha aos pedidos de controle de discursos dentro de sua rede social. Alguns poderiam dizer: “Ah, mas isso é uma violação à liberdade de expressão, é censura”. Mas, na verdade, nós temos isso proveniente de decisões (37:15) judiciais. Ou seja, são questões tomadas em âmbito judicial. Claro, outras pessoas poderiam colocar em discussão o próprio sistema judicial brasileiro ou como os inquéritos do STF estão sendo conduzidos, se não estão demorando demais. Todas essas discussões são evidentemente possíveis и devem ser feitas. Agora, não parece que o caminho seja o descumprimento deliberado de ordens judiciais, se formos admitir um fluxo normal de (37:53) resolução de problemas. Então, houve e há essa preocupação, uma tentativa de se blindar de ordens judiciais brasileiras. Só que temos que lembrar do nosso bom Marco Civil da Internet, lá no seu artigo 11, que obriga as empresas que prestam serviços aqui a cumprirem a lei brasileira. Então, pode dificultar o cumprimento das decisões, mas, ainda assim, isso pode ser quase como “cavar uma falta”, que Musk estaria tentando fazer, no sentido de, ao deixar de cumprir ordens, (38:31) provocar aquelas tentativas que o nosso Judiciário já fez outras vezes de bloquear o acesso a sites via backbones ou via DNS. E a gente sabe como isso quebra um pouco aquela ideia da internet, ou seja, das possibilidades presentes na internet. Nem sempre esses bloqueios funcionam. Algumas pessoas conseguem acessar, outras vezes outros serviços são afetados. Então, isso pode causar outros problemas caso, de fato, o X passe a se negar a cumprir ordens judiciais, e (39:13) a sua ausência no país motive juízes, não somente do STF, mas juízes do Brasil inteiro, a solicitar o bloqueio, como já aconteceu outras vezes com o WhatsApp e tudo mais. Eu acho que a discussão que se coloca aqui é: veja como as coisas são delicadas. Porque não me parece que esse seja um debate que não possa ser feito, qual seja: as redes sociais compõem um tipo de atividade que deve ser imune a eventuais controles judiciais do que acontece lá dentro? Na minha opinião, (39:53) creio que é totalmente legítimo que discursos ilegais, discursos criminosos, possam ser controlados pelo Poder Judiciário. Para mim, isso é algo bastante óbvio, tanto que a Europa vai na mesma linha, assim como grande parte dos países do mundo. Então, essa compreensão da liberdade de expressão enquanto direito de exercício irrestrito não encontra eco no direito. E nós começamos a ver que essas coisas foram acontecendo não somente aqui no Brasil, mas em outros países do mundo. O comissário europeu para assuntos (40:34) internos, por exemplo, trouxe a notícia, e eu estou com ela aqui, de que eles já haviam avisado o X para que cumpra as novas regras de moderação de conteúdo presentes na União Europeia, que envolvem o controle e a moderação de conteúdos ilegais e também a moderação de desinformação. Isso aqui é uma notícia da Euronews. Houve uma discussão porque esse comissário europeu faz esse alerta, ele conclama que haja o (41:27) cumprimento da lei na Europa. Inclusive, no final de 2023, já havia sido iniciada uma investigação contra o X, basicamente pela grande taxa de postagens de desinformação que se notava na plataforma. Mas vejam que essas obrigações não são tiradas de uma cartola. Elas são obrigações tiradas da legislação, que é o DSA, o Digital Services Act, que basicamente impõe a obrigação de moderação de conteúdos ilegais, ou de informações ou discursos que sejam (42:12) incompatíveis com os termos e condições das próprias redes sociais. E essas regras, prevê o DSA, que é uma legislação bastante avançada, devem ainda ser ampliadas em situações muito específicas ou de grande risco para a sociedade, como eventos políticos ou questões sociais importantes, como as próprias eleições. Mas o que chama a atenção nisso tudo é a forma como o X, mas principalmente Musk, responde a esses pedidos — vejam, pedidos baseados na lei. Nesse caso aqui, ele responde ao (42:54) Breton, Thierry Breton, ele é francês. Ele responde com um meme que basicamente está aqui na tela. Não vou ler em português, mas diz: “Take a big step back and literally fuck your own face”. Essa foi a resposta dele a uma carta publicada aqui, que vocês estão vendo, pelo Thierry Breton. Então, para mim, é bastante atípica essa forma de resolver esse tipo de problema e de se dirigir a uma autoridade dessa forma. Veja que aqui a gente já saiu do Brasil, estamos falando do (43:35) cumprimento de regras de uma legislação avançada europeia, que visa justamente regular a problemática atual envolvendo desinformação e o papel das redes sociais no mundo atual, suas possibilidades e como elas influenciam o mundo inteiro. Aumentando esse coro, também tivemos este eurodeputado, o Sandro Gozi, me parece que também é francês, que teceu críticas ao Musk, dizendo que se o X não se adequar, (44:22) ele pode ser fechado na Europa. Notem, aqui estamos falando de um eurodeputado, sim, mas ainda assim é um deputado, e sabemos que deputados têm suas visões específicas. Mas não podemos acusar esse eurodeputado de uma questão… e é um eurodeputado que é do mesmo partido do Macron. Então, não é exatamente uma pessoa que eventualmente não se alinharia com certas aspirações políticas do Elon Musk. E ainda em abril, o (44:57) primeiro-ministro australiano também já tinha se manifestado no sentido de que ele seria um “milionário que acha que está acima da lei”. E isso eu acho que é esta notícia aqui. O primeiro-ministro australiano disse isso. Peço perdão, eu me equivoquei nas minhas notas, não foi o italiano, foi o australiano que fez essa observação. Mas foi no sentido de realizar o controle de um vídeo que na época ficou bastante conhecido, de um bispo sendo esfaqueado. (45:49) Buscava-se o controle de um tipo de conteúdo que violaria as próprias políticas do X. Então, acho que dá para tentar fazer aqui uma última avaliação: vemos que Elon Musk atua com explícita motivação política. Ele tem os seus interesses políticos, que ficaram e estão bem claros. (46:34) Nesse sentido, não podemos condená-lo. Ele é bem claro, é uma pessoa honesta nesse sentido. Ele é claro no que defende, ou são claros os seus posicionamentos políticos. Então, acho que devemos entender Elon Musk como uma pessoa que, de fato, tem seus interesses, e é importante que saibamos quais são eles. A questão é que as grandes plataformas têm os seus (47:10) interesses também. E o problema é o alcance que essas redes têm, o poder que elas têm. Um poder que vem… porque as redes sociais mudaram muito. Quando a gente pensa no Orkut, uma rede social muito utilizada aqui no Brasil que os mais antigos vão lembrar, era muito diferente. Não se compara com as redes sociais de hoje. E talvez a grande diferença seja o feed, o feed infinito. É uma questão também que envolve os comportamentos de (47:47) vício, mas também o controle do feed. Acho que esse é o grande elemento. A partir do momento em que as redes sociais passaram a moderar — e elas já moderam —, se fôssemos falar em liberdade de expressão, poderíamos até criticar as atividades de moderação e de seleção de conteúdos do feed que as redes sociais fazem por algoritmos. Poderíamos criticar pelo fato de não sabermos exatamente quais são os critérios utilizados dentro desses (48:20) algoritmos e que, sim, eventualmente é possível até notar que os interesses dos mantenedores e das próprias empresas podem estar sendo favorecidos pela via das manipulações do próprio algoritmo. E isso seria, em última análise, também um problema para a liberdade de expressão. Esse é o ponto que acho que podemos trazer. Nós temos que reconhecer que os mantenedores, as grandes plataformas, têm os seus interesses. Lobbies têm sido feitos ao longo do tempo para defender (48:53) esses interesses, e coisas muito ruins foram feitas deliberadamente. Depois se descobriu, o próprio caso Cambridge Analytica foi uma das situações terríveis, uma manipulação de pessoas. Então, a gente sabe do potencial das redes sociais de interferirem em situações domésticas, em eleições. O próprio Elon Musk fez movimentos também nesse sentido, até fez uma entrevista dias desses com o candidato americano Donald Trump. (49:34) A gente sabe que esses interesses de interferir existem. Devemos perceber ou, pelo menos, olhar com essa noção. Você pode discordar de mim, isso é totalmente legítimo, mas acho que temos que ter a noção de que há interesses por trás dessas movimentações. E me preocupa o que parecem ser tentativas deliberadas, não somente no Brasil, mas de realizar a desestabilização de instituições, porque isso acaba envolvendo até uma questão de soberania dos países. Nós, enquanto (50:15) pessoas comuns, evidentemente temos todo o direito de criticar este ou aquele país por esta ou aquela prática. O perigoso, me parece, é quando uma pessoa que é dona de uma rede social passa a utilizar aquela rede para influenciar com seus próprios interesses, inclusive geopolíticos, em assuntos domésticos com o poder que se tem. E esse é o ponto: o poder da plataforma é muito grande. Não é à toa que ele compra a plataforma. Então, eu (50:59) acho que essa questão da organização e dos algoritmos é um problema que o mundo inteiro precisa resolver. Ou seja, os próprios impactos políticos, sociais, comportamentais e até psicológicos que as redes sociais, os algoritmos e os interesses dos donos dos algoritmos podem influenciar. Repito: por que, no final das contas, esse assunto está no Segurança Legal? Mesmo que seja um assunto (51:41) carregado de aspectos políticos, nos quais não tendemos a entrar, acho que a questão aqui são esses elementos dos próprios algoritmos. E podemos falar isso de qualquer rede social e de qualquer grande plataforma. Ou seja, qual a extensão ou a liberdade que essas empresas têm de fazerem o que bem entenderem com seus algoritmos? Se é que devem ter essa liberdade — eu acredito que não. E também como essa saída poderia implicar na dificuldade de cumprimento de ordens judiciais, e como isso poderia, (52:19) ao fim e ao cabo, piorar a qualidade da rede, deixar a rede mais insegura de maneira geral. Não somente trazendo potenciais danos para o Estado como um todo, mas também para pessoas específicas. Me parece que a sociedade perde nesse caso, perdem eventuais pessoas que podem sofrer ou ter conteúdos criminosos sendo publicados ali, que prejudicam a sua vida. E, eventualmente, pode ser que o Judiciário — e nem me refiro ao STF aqui, posso estar me referindo a uma questão muito mais cotidiana de uma (52:56) pessoa que teve fotos íntimas vazadas, coisas desse gênero — poderia encontrar uma certa dificuldade de realizar controles nesse sentido com a saída do X do Brasil. Enfim, eu não consigo imaginar, por maiores que sejam as críticas que se possam fazer ao sistema judiciário brasileiro — e essas críticas são gigantescas, são muitas —, não consigo acreditar que podemos discutir isso, embora não seja bem um tema aqui do Segurança Legal, mas o que me parece é que não consigo imaginar (53:35) que um empreendimento como uma rede social possa ser imune às leis de um país. Ou seja, buscar deliberadamente tomar medidas para descumprir leis de um país. Seriam essas as questões que eu gostaria de tratar acerca do caso Musk e da saída do X aqui do Brasil. Bom, estamos chegando aqui aos 55 minutos. Nós temos aquela tradicional… estou até me sentindo meio estranho sem o Vinícius aqui, que é o nosso Café Expresso e o nosso Café Frio. (54:18) Fazer sozinho fica um pouco sem graça, porque em geral a graça é a gente não combinar e, na hora, meio que discutir qual o Café Expresso e o Café Frio de cada um. Mas como só tivemos três notícias, acho que fica fácil. O meu Café Expresso vai para a LGPD. Não é bem uma pessoa, mas para as circunstâncias, para o aniversário da LGPD e para todas as pessoas envolvidas, seja encarregados, pessoas que trabalham na área, que atuam nesse meio. Então, acho que tem muito a melhorar ainda, mas acho (54:56) que temos o que comemorar também. E o Café Frio, sem dúvida, vai para o X, ou talvez para o Elon Musk, me parece. Porque eu conheço pessoas maravilhosas que trabalham no X, pessoas de altíssimo gabarito, de altíssima seriedade, ética e tudo mais. Então, acho importante dizer isso também. O X, ou o Twitter, é muito mais do que Elon Musk. Você tem milhares de pessoas trabalhando, com seus interesses, suas vidas, suas famílias, que eventualmente não estão muito conectadas com essas (55:29) questões mais difíceis de lidar. Mas enfim, fica o Café Frio então para o Musk. E é isso, pessoal. Vou deixar um abraço para todos vocês, mas também para o Vinícius, desejando a pronta recuperação dele. Na próxima semana ele já deve estar conosco. Desejo também que vocês tenham gostado deste episódio e nos encontraremos no próximo episódio do Segurança Legal. Até a próxima.  

Neste episódio comentamos as novidades do Encontro ANPD de Encarregados, no qual você irá descobrir as novas diretrizes da autoridade, o papel estratégico do DPO e como funciona a gestão de incidentes de segurança com dados pessoais.​ Guilherme Goulart traz uma análise aprofundada do primeiro Encontro de Encarregados promovido pela ANPD, um marco para a proteção de dados no Brasil. A discussão explora a importância da autonomia do encarregado e os desafios para evitar o conflito de interesses, conforme o novo regulamento do encarregado. Abordamos a gestão de incidentes e a segurança da informação, indo além do vazamento de dados para incluir integridade e disponibilidade. O debate cobre a conformidade com a LGPD, o papel preventivo do DPO em cibersegurança, sua atuação em violação de dados e a necessidade de garantir a privacidade desde a concepção. Assine nosso podcast, siga-nos e avalie este episódio para apoiar nosso trabalho.​  Ajude as vítimas de enchentes no RS (Sugestões de doações via PIX, Sugestões de outras instituições recebendo donativos)  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria ShowNotes Vídeo do evento  Vídeo da gravação deste episódio Imagem do Episódio – Bell Vilanova 📝 Transcrição do Episódio (05:17) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Olá, Guilherme. Olá aos nossos ouvintes. Tudo bem. Hoje estamos ao vivo. Sim, claro que você que nos ouve pode nos ouvir daqui a 100 anos, mas estamos fazendo aqui uma experiência, dá para se dizer, de transmitir a nossa gravação enquanto ela é feita.(05:57) Então, eventualmente, você pode também estar nos assistindo ao vivo, mas é sempre bom lembrar que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Para isso, estamos à disposição dos ouvintes pelo Twitter (ou X) @segurancalegal, pelo e-mail [email protected], YouTube.com/segurancalegal(06:24) e o Mastodon no @[email protected]. Também temos a nossa campanha de financiamento coletivo no Apoia.se: apoia.se/segurancalegal. A gente sempre conclama os ouvintes e as ouvintes que considerem apoiar. Isso é bem importante para a gente, apoiar esse projeto de produção de conhecimento independente que trata sobre esses temas tão queridos pela comunidade que nos acompanha. Certo, Vinícius? E lembrando que você nos apoia também divulgando o nosso trabalho. Então, se puder compartilhar, no caso aqui do YouTube, dar like, ativar o sininho,(07:03) se inscrever, aquela coisa toda, para nós é muito bom. Inclusive, Guilherme, aproveitando a oportunidade, a gente está fazendo uma série de vídeos que chamei de “Conversa sobre Segurança”, por enquanto, que eu tenho feito ao vivo. Tem sido todas as terças-feiras, às 8 da noite, aqui no canal do Segurança Legal, falando sobre segurança da informação, fundamentos de segurança e alguns outros assuntos que estou preparando para as futuras. A gente não divulgou ainda a da próxima semana,(07:35) provavelmente a gente vai fazer na segunda-feira, mas estamos produzindo mais conteúdo no YouTube para a gente movimentar um pouco mais o nosso público no Segurança Legal.(07:49) Ótimo, ótimo. Vamos falar sobre o encarregado de proteção de dados, Vinícius? Na verdade, eu vou falar agora inicialmente, porque senão o Guilherme vai segurar muita coisa. O Guilherme, para o pessoal que nos acompanha, aqueles que já nos acompanham há alguns anos no Segurança(08:07) Legal sabem disso, e aqueles que de repente estão chegando agora não sabem, mas o Guilherme está envolvido nesse cenário de proteção de dados pessoais há muito tempo. Há quantos anos, mais ou menos, Guilherme, desde que começou a estudar esse tema? Mais de 10 anos mesmo. Quando era ainda um anteprojeto, a gente já estava dialogando. Mas a minha própria dissertação de mestrado envolveu segurança da informação e um pouco de proteção de dados também.(08:41) E depois o doutorado seguiu. Pelo menos desde 2009, mas antes, inclusive, eu estou estudando proteção de dados. Guilherme, está com um pouquinho de estática teu microfone. Eu vou fazer o seguinte: vou passar para a cena em que estou só eu, que o teu áudio fica fora, e aí tu dá uma mexidinha no microfone. Eu vou falar um pouquinho e vou voltar, tu não tem muito tempo. Tá bom, vai lá. Beleza. Então, como ele me disse, está desde o mestrado dele estudando isso, fez o doutorado dele,(09:11) foi nessa direção. O Guilherme participou de algumas reuniões lá em Brasília na época em que era o anteprojeto de lei, justamente para discutir o que viria a ser depois o projeto e depois a LGPD, a Lei Geral de Proteção de Dados Pessoais. Então, o Guilherme circulou bastante e circula bastante nesse cenário há algum tempo. Ele não começou a atuar, digamos assim, quando a LGPD entrou em vigor. Já faz algum tempo. Foi muito interessante. Ele já vinha mantendo contato com o pessoal da ANPD, tem algumas pessoas que a gente conhece lá, algumas(09:48) pessoas de outras instituições que a gente já tinha contato antes. Um contato muito forte que o Guilherme tinha era com o Danilo Doneda, nosso amigo Danilo Doneda, que infelizmente já não está mais conosco. Inclusive, tem um episódio não numerado lá na lista de episódios do podcast dedicado ao Danilo. E o Guilherme, agora, justamente por esse envolvimento dele… Inclusive, uma pessoa, eu fiquei até com um pouquinho de inveja, Guilherme, um pouquinho de ciúme.(10:23) Eu esqueci o nome dele que estava conduzindo a mesa de vocês. Ele chamou vocês de “celebridades da proteção de dados no Brasil”. Embora eu tenha a tua assinatura no contrato social da empresa, eu gostaria de um autógrafo teu em algum outro momento, se possível. Acho que tu assinou também, claro, como padrinho, a certidão de casamento no cartório. Mas eu gostaria de um autógrafo teu, agora que o senhor é uma celebridade em proteção de dados pessoais.(11:03) O Guilherme foi convidado, então, há algum tempo. A gente não pôde divulgar antes porque tínhamos que aguardar a ANPD organizar as coisas, o próprio evento, para a gente não se antecipar à própria organização do evento, por óbvio. O Guilherme já foi convidado há algum tempo a falar nesse evento que aconteceu no dia primeiro de agosto. Então, foi na semana passada. Parece que faz mais tempo. E para falar sobre a(11:31) questão de proteção de dados pessoais no que diz respeito à incidência e segurança. Acabou que foram várias mesas, foram quatro mesas, né, Guilherme? Duas de manhã e duas à tarde. Foi bem interessante. Eu não fui. Eu ia, mas a logística ficou meio zoada. O Guilherme já teve que fazer uma volta para ir de Porto Alegre para Passo Fundo, pegar avião em Passo Fundo, descer em Brasília, voltar de Brasília, aí pelo menos para Canoas, deu para descer mais pertinho. E acabou que o evento foi muito interessante. O Guilherme vai(12:07) trazer as impressões dele, a gente vai comentar um pouquinho sobre o que ele viu lá. Eu assisti ao evento no YouTube. Quem quiser assistir, vai estar no link aqui da descrição do vídeo e lá no episódio também do Segurança Legal, no nosso feed. Está lá o evento na íntegra, então você pode assistir tudo, inclusive os intervalos para o almoço e para o cafezinho. Eu assisti tudo para acompanhar. E aí, Guilherme, nós gostaríamos, não sei se em primeira mão, de um relato do que tu viu no evento, o que(12:41) tu achou, como é que foi a importância. Agora a gente vai entrando no assunto. Vamos embora. Eu queria também, em primeiro lugar, agradecer ao pessoal da ANPD, sobretudo na pessoa do David Teófilo, que é um amigo nosso que trabalha lá e que fez essa intermediação para a minha presença, mas também a diretora Miriam Wimmer, com quem conversamos um pouco, falamos sobre inteligência artificial. Ela foi uma(13:16) moderadora, inclusive, da mesa de Inteligência Artificial. Esse evento ocorreu de fato no dia primeiro, foi o primeiro encontro dos encarregados. E eu pude notar algumas coisas, posso contar esses aspectos de quem estava próximo. O próprio pessoal da ANPD destacou que foi uma audiência muito grande. As vagas presenciais se esgotaram em pouquíssimo tempo. Então, eles utilizaram um belo auditório, que é o auditório da ENAP em Brasília, a Escola Nacional(13:55) de Administração Pública, se não me engano a sigla. E a gente conseguiu ver a presença de muitos encarregados, muitas pessoas de outros lugares do país, o pessoal com as suas malinhas. O evento lotou. Não tinha mais espaço, então eles colocaram um telão em outro local para as pessoas que estavam lá e não conseguiam ficar no espaço, porque foi muita gente. Então, você conseguia assistir lá por um telão também. E acho que foi um(14:30) primeiro evento de monta trazido pela ANPD, que permitiu que nós, os encarregados principalmente, tivéssemos um contato mais direto com a autoridade. A gente sabe que a ANPD vem desempenhando suas atividades, principalmente nessa atividade mais reguladora, criando uma série de normas. Na semana anterior ao evento, foi lançado o regulamento do encarregado. Inclusive, uma das mesas(15:06) falou sobre isso, que foi a mesa um, o lançamento do regulamento dos encarregados. Muito interessante, foi uma mesa exclusivamente com os servidores da ANPD. Então é interessante para a gente ver quem são as pessoas por trás da ANPD, como elas pensam. Nesse aspecto, foi bastante interessante. E foi também uma forma, me parece, Vinícius, de o pessoal da ANPD dar um certo “abraço” nos encarregados, porque os encarregados desempenham essa função(15:44) que é a ponta de todo o sistema de proteção de dados. Acho que muitas empresas, muitos agentes de tratamento, não se deram conta disso ainda: que o encarregado é um cargo previsto por lei, ou seja, não é mais uma opção. Claro, você tem os agentes de pequeno porte que podem não indicar o encarregado, mas ainda assim a indicação é uma boa prática. Mas para aqueles que têm a obrigação de fazer essa contratação, nós temos a presença do encarregado como uma determinação(16:27) legal, e isso não é pouca coisa na nossa ordem. Nós não temos isso na segurança da informação, por exemplo, né, Vinícius? Poderíamos ter leis internas de segurança da informação que poderiam estabelecer um determinado cargo, um “delegado” dentro da instituição para cuidar da parte de segurança. Com a proteção de dados, nós temos isso. Então, me parece que foi um passo muito importante, porque a ANPD precisa do encarregado. O encarregado, se a gente(16:58) for comparar com a questão dos certificados, é quem entra em contato diretamente ou quem vai ser contatado diretamente, seja pelo titular dos dados pessoais, e que também vai ser o elo entre o agente de tratamento e a própria ANPD. Então, ver a ANPD falando sobre os encarregados, descrevendo algumas de suas tarefas, respondendo perguntas, divulgando esse regulamento do encarregado, foi uma experiência bastante interessante.(17:31) E dedicando esse primeiro evento, o primeiro evento desse nível, desse porte, justamente à figura do encarregado. Não foi sobre aspectos gerais, foi especificamente sobre o encarregado.(17:47) É verdade, é verdade. E acho que valorizou e valoriza, porque a gente sabe que no Brasil ainda há uma certa, por incrível que pareça, resistência em relação à LGPD por parte de uma série de empresas. A minha presença lá na mesa sobre incidentes de segurança com dados pessoais, que foi a mesa da tarde… Eu até vou ler(18:17) rapidinho, Vinícius, as mesas, o nome das mesas. Tivemos, depois do café, uma mesa de abertura com uma representante da ENAP e o presidente, diretor-presidente Waldemar Gonçalves, e a Lilian Cintra, do Ministério da Justiça. Depois, uma mesa com o lançamento do regulamento do encarregado, só com o pessoal da ANPD. Depois, uma mesa sobre o papel e responsabilidades do encarregado, e aí tinha a ANPD, Sebrae, Ministério da Fazenda e uma representante do Nubank. As duas empresas que acabaram(18:53) representando o setor privado no evento foram o Nubank e a BrownPipe. Eu fui representando tanto a BrownPipe quanto o Segurança Legal, o podcast que vocês estão ouvindo agora. A mesa 3, então, foi a com incidentes de segurança, moderada pelo Fabrício Lopes da ANPD, com a Cristine Hoepers do CERT.br/NIC.br, que eu conhecia de nome, mas não conhecia pessoalmente, então foi bastante legal conversar com ela. É uma gênia da segurança da informação. Inclusive, ela foi colocada no Hall da Fama da(19:30) resposta a incidentes do mundo, ela realmente é uma pessoa muito qualificada. Eu, o Leonardo Ferreira, do Ministério e da Secretaria de Governo Digital, e a Maria Lúcia Valadares, da Anatel. Muito interessante a fala da Maria, claro, de todos eles, mas a Maria colocou uma coisa: ela já está há bastante tempo, muitos anos, trabalhando com segurança e com proteção de dados, e ela conversava comigo também sobre o papel da Anatel acerca da proteção de dados, que é muito grande. A Anatel,(20:08) por exemplo, foi uma precursora na própria questão da portabilidade. Hoje, a gente tem na LGPD o direito à portabilidade, e a Anatel foi precursora nesse sentido, por permitir no Brasil essa questão da portabilidade numérica. E aí, eu participei, claro, dessa mesa 3 dos incidentes também. E depois, à tarde, depois do café, tivemos uma mesa falando sobre inteligência artificial e proteção de dados pessoais. Essa mesa foi moderada(20:43) pela Miriam Wimmer, e foi uma coisa muito interessante e legal, porque foi uma mesa composta só por mulheres. Tinha a Ana Paula Bialer da Brasscom, a Fernanda Rodrigues do nosso querido Iris, a Laura Schertel do IDP e da UnB, a Samara Castro da Secom e a Tainá Junquilho, também do IDP. Inclusive a Laura Schertel Mendes, que é, sem dúvida, ela e o Danilo eram os “pais” da proteção de dados no Brasil. Ela é, sem dúvida, uma das pessoas, junto com o Zanata, com o Bruno Bioni,(21:24) mais relevantes na produção científica no Brasil de proteção de dados pessoais. E foi muito legal, se destacou muito isso, a presença das mulheres no evento. A ANPD foi muito feliz em promover essa questão da paridade, sabe? Aquela questão de você ter o cuidado de sim, trazer mulheres, e sim, fazer uma mesa só de mulheres. Isso me chamou atenção de uma forma muito positiva. Inclusive, na mesa de encerramento, o diretor-presidente Waldemar comentou que a ANPD hoje tem(21:57) mais servidoras do que servidores, e isso é bastante relevante, bastante interessante. Então, foi um evento também, nesse aspecto, bastante diverso. Basicamente, foi um pouco do que aconteceu. Não sei se tem mais alguma dúvida, algum outro aspecto mais específico que tu queiras perguntar, senão a gente pode falar já sobre o tema da gestão de incidentes.(22:21) Me chamou a atenção, como eu assisti tudo com calma, voltando em alguns aspectos, eu destaquei umas coisas que me chamaram a atenção, da mesa 1 principalmente, que foi a mesa(22:38) composta só pela equipe da ANPD. A mesa que abriu os trabalhos, a do regulamento. E eles chamaram a atenção, o próprio presidente da ANPD chamou a atenção para o seguinte: não há uma certificação para o encarregado. A gente comentou isso várias vezes, por diversas situações que parecia que estava se criando no mercado uma necessidade de certificação, uma coisa que não existe. A própria ANPD colocou que não existe, a gente já sabia(23:14) disso, a gente já falou sobre isso, já comentou no podcast mais de uma vez. E ele chamou a atenção para a importância de se estudar o tema. Então, muitas vezes a gente acha que um selo dado por alguém diz: “não, esse cara tem competência nesse assunto”. Mas, na verdade, estudar um assunto, ter domínio sobre uma determinada área, exige anos de estudo. Não é um curso que vai te dar alguns tópicos, depois te dar uma prova e tu vai fazer a prova e dizer “passou, tem um selinho”. Esse é um ponto que(23:54) me chamou atenção, o próprio presidente da ANPD colocando isso. Outra coisa, Guilherme, que talvez tu queiras falar, mas com cuidado para não tomar muito tempo, é a questão de conflito de interesses. Eles chamaram a atenção para isso. E a questão de independência, a questão de autonomia do encarregado(24:25) para exercer sua função. Me chamou a atenção que isso também foi frisado nessa primeira mesa. A necessidade do encarregado ser, obviamente, formalmente indicado e, além disso, ele estar livre de conflitos de interesse. Inclusive, foi feita uma pergunta para a mesa se o fato de o encarregado ser também o responsável pelo RH seria um conflito de interesses. E a resposta do representante da ANPD lá foi: “na verdade, vai depender, a gente vai ter que analisar o caso concreto”.(25:03) Vai ter que analisar o caso concreto, mas que sim, pode gerar um conflito de interesses, à medida que, de repente, o RH pode decidir fazer um determinado tratamento que não deveria ser feito, mas porque o RH acha que deve. E como é a mesma pessoa… Perfeito. Então, isso me chamou a atenção. Dando um intervalinho aqui, dando boa tarde para o Rubens Padovesi. Lembra desse nome? Claro, sempre ativo no nosso grupo. O Rubens Padovesi está nos acompanhando. Grande abraço, seja bem-vindo, Rubens. Isso me chamou a atenção. Outra coisa que eles frisaram,(25:45) que eles chamaram a atenção, foi para o sistema de petições para titulares de dados lá no site da ANPD. É um sistema que eles implementaram para que os titulares possam fazer demandas a encarregados de qualquer empresa, se você tiver tentado a demanda anteriormente e não tiver conseguido êxito, resposta. Então, você pode entrar lá na ANPD e fazer um peticionamento contra uma determinada empresa,(26:25) solicitando o atendimento aos seus direitos como titular. Porém, você tem que informar, no momento em que você vai fazer a petição, você tem que demonstrar que você já tentou entrar em contato com a empresa e a empresa não respondeu via encarregado. O que é bem interessante, porque de repente, se você não tem um encarregado ou não tem uma forma que esteja funcionando para receber essas demandas dos titulares na sua empresa, alguém que tente uma vez já pode abrir uma petição na ANPD. E aí, quem vai pedir vai ser a ANPD. Quem pede aí é a ANPD.(27:08) É bem interessante. Eles comentaram com relação a esse sistema que eles colocaram lá. Isso foi da primeira mesa, não vou citar mesa por mesa aqui. Mas, na mesa em que estava o pessoal da Anatel e do Nubank, o que comentaram? Teste de phishing, ou seja, treinar os funcionários das empresas para que eles não caiam em phishing e aí se tornem vetores(27:51) para a geração de incidentes. Uma vez que cai em um phishing, um atacante pode fazer várias coisas dentro da rede da empresa ou nos sistemas acessados pela empresa. Foi comentado isso nessa mesa. E teve também um comentário, nessa mesa também, de não focar tanto em ferramenta. Foi a DPO da Anatel que falou. Ela vê o pessoal focando em ferramenta, fazendo, inclusive, licitações para(28:35) ferramentas caríssimas e não fazem o básico, o fundamental, que é ter uma boa política, ter o encarregado, ter trabalho de conscientização dos funcionários e várias outras coisas que são, talvez, muito mais baratas do que algumas ferramentas que têm no mercado por aí. Então, ela chamou a atenção para isso. E, na visão dela, ela também deu um toque no sentido de que ela vê que falta ainda no mercado, embora tenha várias pessoas que tu mesmo conheces, Guilherme, que têm essa característica, falta gente do Direito que entenda(29:15) de TI. E há, obviamente, um gap no sentido contrário também. O pessoal de TI, desenvolvimento de software, etc., que considere ou que tenha um entendimento mínimo da LGPD para já integrar isso nos requisitos dos seus softwares, além das questões de segurança propriamente ditas, que são mais amplas. Lembrando o que tu mesmo falou, eu vi isso na tua fala e pensei: “esse é o Guilherme, esse é o meu colega”. Quando falou: “olha, pessoal, todo mundo falando em vazamento de(29:51) dados, vazamento de dados, vazamento de dados, mas a LGPD não demanda apenas a confidencialidade dos dados”. Então, não é só vazamento de dados que é incidente de segurança. Tem toda a questão da disponibilidade, da integridade desses dados. São todos os atributos de segurança que são necessariamente envolvidos ali. Nós temos um vídeo aqui no canal sobre os atributos de segurança da informação. Depois, pode só catar lá na abinha “Ao vivo” que você vai encontrar. E podcast também, temos um episódio gravado, devia ter sido(30:24) gravado há uns 10 anos. Eu vou procurar agora, enquanto tu falas, que eu vou passar para você falar sobre os incidentes de segurança.(30:33) Não, eu queria também dar uma comentada nesses aspectos que você colocou. Embora a nossa mesa fosse para falar sobre a questão da segurança e o papel do encarregado, não tem como deixar de falar sobre o papel geral do encarregado e sobre como esse cargo se coloca na nossa ordem brasileira. É muito importante destacar que, quando a gente compara com o modelo europeu, pelo GDPR, o(31:02) encarregado sequer pode ser despedido pela realização de suas atividades. Ou seja, o encarregado, pela legislação europeia, seria quase como um “cipeiro” aqui no Brasil, o cara da CIPA. Aqui nós não fomos tão longe, mas estabelecemos alguns critérios e requisitos. Essa questão da certificação precisa ser dita, que foi colocada no próprio regulamento. Se a gente for lá no Artigo 14: “O exercício da atividade do encarregado não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou(31:46) formação profissional específica”. Ou seja, a autoridade deu uma certa abertura e autonomia para os agentes de tratamento escolherem e selecionarem seus encarregados. E essa questão do estudo que você destacou, Vinícius, é muito verdadeira, e também foi destacado lá que exige um estudo contínuo. Nós mesmos, eu que estudo esse tema já há bastante tempo, toda vez que sai uma norma nova, você precisa aprender e estudar aquela norma nova. Então, até as pessoas que estão estudando há bastante(32:20) tempo o tema não podem parar. É um tema em franca ebulição, assim como ocorre em mercados regulados, sei lá, Banco Central é a mesma coisa. Você precisa manter uma atenção para essas novidades regulatórias que vão acontecendo. Tem esse aspecto que foi na lei e a própria questão da certificação, que a gente viu pessoas no mercado colocando falsas necessidades ou certas certificações que eram, maliciosamente às vezes, colocadas para se demonstrar como uma certificação obrigatória. Então, é uma resposta a isso, claro, quem está dizendo sou eu, não a autoridade, mas ao(33:03) ler a norma e conhecer o contexto passado, você vê que é uma resposta àquilo. E a própria questão da formação profissional, porque são muitos os contextos e muitas as situações de empresas que vão ter o encarregado. Você pode ter desde uma empresa muito pequena, não que seja uma de pequeno porte, mas um agente de tratamento de pequeno porte, mas uma empresa que precise ter o encarregado porque realiza uma atividade, sei lá, com crianças, mas ainda assim é uma(33:36) pequena empresa e precisa ter esse encarregado que vai realizar uma série de tarefas ou que tem uma atividade, sem dúvida nenhuma, interdisciplinar. E o que é essa interdisciplinaridade? Bom, ele vai precisar conhecer a LGPD, os regulamentos existentes colocados pela própria ANPD, ele vai precisar conhecer um pouco de tecnologia da informação. “Ah, mas Guilherme, tratamento de dados pessoais não é só com TI, eu tenho tratamento de dados pessoais em papel”.(34:17) Sim, é verdade. Mas, ao mesmo tempo, é verdade que a grande maioria das atividades envolvendo dados acaba sendo digital. E o papel vai indo para o “beleléu” aos poucos. As próprias instituições de ensino, por exemplo, o MEC já exige que tudo seja nato digital. Já está valendo. Não pode mais ficar emitindo documento acadêmico em papel para o ensino superior. Então, já tem um movimento que vem de vários anos de cada vez mais ir para o eletrônico. O próprio governo, o pessoal do(34:54) gov.br estava lá. Eles estão falando que têm mais de 4.000 serviços hoje vinculados. A coisa é cada vez mais digital. O documento do carro tu não recebes mais em papel, tu recebes eletrônico. Então, a gente está indo cada vez mais para o eletrônico. Para destacar que não é uma condição necessária o tratamento de dados em relação à TI, só para deixar isso marcado. E ainda, esse encarregado vai precisar conhecer também um pouco de segurança da informação nesse contexto, ou de cibersegurança.(35:33) E aí, claro, você vê que, e isso é uma coisa muitas vezes deixada de lado, o encarregado não somente pode, como deve, e na maior parte dos contextos isso funciona, o encarregado pode precisar de uma equipe. Se ele não tiver todas essas competências, precisará de uma equipe que atuará junto com ele. Não me parece… Eu até conversava com alguns encarregados e pessoas da mesa, algumas pessoas falando: “Ah, porque criamos o e-mail do encarregado(36:09) em algum órgão público qualquer. E aí, todo dia de manhã, minha primeira atividade de trabalho é ler, sei lá, 200 e-mails que me chegam para o e-mail do encarregado, sendo que, sei lá, 10% são coisas diretamente relacionadas com o papel do encarregado, todo o restante não tem nada a ver”. Veja, o encarregado não precisa fazer esse tipo de tarefa. Ele pode muito bem delegar essas tarefas e utilizar seu tempo para aquilo que é realmente relevante, ou ainda se consultar. Essa é outra coisa importante. E isso está no próprio(36:46) regulamento do encarregado, lá no Artigo 10: “O agente de tratamento deverá prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos”. E essa foi uma coisa que eu bati bastante, eu quis deixar isso muito claro: os agentes de tratamento precisam dar condições para o encarregado trabalhar. E essa não é só uma necessidade evidente, qualquer cargo na empresa precisa ter condições para a pessoa trabalhar, mas isso é uma(37:24) imposição regulamentar. A Autoridade Nacional de Proteção de Dados estabeleceu requisitos para o cargo. Ou seja, o agente de tratamento, ao contratar o encarregado, deve, por exemplo, permitir que ele tenha tempo para realizar suas atividades. E isso talvez seja um dos maiores desafios para os encarregados diante das próprias empresas, que muitas vezes não dão tempo para o encarregado trabalhar. Elas deixam o encarregado mergulhado em uma série de atividades, às vezes compartilhando o cargo com outras funções dentro da empresa,(38:09) e até mesmo criando potenciais conflitos de interesse, e o sujeito não consegue trabalhar. Veja que isso já é uma situação de violação do sistema geral de proteção de dados no Brasil. Na Europa, isso é muito forte, muito marcado. Eu falei sobre um caso de Luxemburgo em que a autoridade lá verificou que a empresa não dava condições para o encarregado trabalhar. Olha que interessante. Porque não é o encarregado que vai responder nessas situações, quem vai responder é o(38:46) agente de tratamento. Então, quando o agente de tratamento não dá condições para o encarregado trabalhar, ele, na verdade, está dando um tiro no próprio pé, porque no final das contas, o fato do encarregado não conseguir realizar sua atividade com o tempo e com os recursos que ele necessitaria pode culminar em uma sanção que, no final das contas, vai atingir o agente de tratamento. E aí sim, os próprios sócios desse agente de tratamento, diretores, sócios-administradores que eventualmente poderiam até ser responsabilizados(39:23) diante de situações em que, propositalmente, o sujeito não deixa o encarregado trabalhar. E veja, só tem que ter um cuidado. “Maliciosamente” eu acho que é melhor colocar “propositalmente”, porque maliciosamente seria uma coisa assim: “ah, vou fazer isso para dar porcaria mesmo”. Mas não é. Às vezes, tu colocas outras questões do negócio como prioridade e quer assumir o risco. E o encarregado, e até por isso que ele é meio “CIPA”, ele(40:00) não pode ser desligado, tem que gozar de uma certa proteção, porque esse cara é obrigado a chegar para o board da empresa e dizer: “Olha, essa operação aqui, esse tratamento que a gente está fazendo, está em desconformidade com a LGPD”. Ele tem que registrar isso, é da atividade dele. E aí, pode ser que não dê em nada. Ele avisou, o pessoal resolveu seguir com aquele tratamento, as coisas seguiram, a vida passou e(40:32) não deu em nada. Pode ser. Pode ser que o fato de tu andares sem cinto de segurança não dê em nada por um tempo. Pode ser que o fato de tu não fazeres revisão no teu carro por muitos anos não dê em nada. Mas, no dia que der, tu vais ter que demonstrar que estavas tomando os cuidados mínimos necessários para que não desse razão ou oportunidade para que um incidente acontecesse. E a ANPD, eu vi em várias falas do pessoal da própria ANPD, está muito clara: não é que tu vás ficar toda hora(41:11) dizendo as coisas para a ANPD, mas quando acontecer, nós vamos perguntar. Quando for necessário, nós vamos pedir. E aí você tem que ter. É interessante isso, porque é, de novo, a questão da prevenção e depois da remediação. Segurança da informação é a mesma coisa. A gente coloca: tu fazes pen test, modelagem de ameaças… Eu estava falando disso no último vídeo de terça-feira. É um investimento que tu estás fazendo ali, que talvez não vá ter um efeito na “carinha” do software,(41:56) nas suas funcionalidades, mas vai impedir que aconteça algum problema. Depois que acontece, não adianta sair correndo e querer implementar as coisas. Vais implementar para evitar problemas futuros, aquele que aconteceu já era. E na LGPD, a coisa é muito semelhante. No que diz respeito às normativas, a essa questão da independência e do tempo do encarregado, isso tem que ser feito antes de acontecer um incidente. Não adianta, quando acontecer um acidente, dizer: “Pronto, agora tu te dedicas full-time para(42:31) resolver isso”. Se a ANPD entrar na história, ela vai começar a fazer perguntas. E aí, quando começar a fazer perguntas, quais serão as respostas e as evidências? Não adianta só responder, tem que demonstrar com evidências que está tudo OK, tudo tranquilo.(42:51) E quando a gente começa a ler também… Eu até comentei lá no evento de um documento do Article 29 Working Party, que depois virou o European Data Protection Board, que tem um documento sobre o papel do encarregado que destaca(43:01) muito bem essas questões. Você precisa dar condições para ele trabalhar. Você precisa ter mapeado, inclusive, a quantidade de tempo que ele vai dedicar para essas atividades quando você tem, por exemplo, o encarregado desempenhando outras funções dentro da instituição. Por isso que é importante você buscar dar essa independência. E essa independência, inclusive, o próprio Artigo 10 que eu comentei antes, no inciso C, estipula: garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização. Isso que você falou,(43:38) ele deve ter acesso à diretoria, à presidência da empresa. O encarregado, esta pessoa, quero dizer, de forma a realizar as comunicações devidas. E claro, muitas vezes, e é bastante comum por diversas razões, o agente de tratamento pode não concordar com o encarregado. Nesse caso, é bastante importante, e na União Europeia se recomenda isso, que o agente de tratamento registre as razões do não atendimento da recomendação do encarregado. Porque, se a gente for pegar os princípios de responsabilidade e de prestação de contas(44:18) da própria LGPD, é aquela história: não basta você cumprir a LGPD, você tem que demonstrar o tempo inteiro como você está cumprindo.(44:28) O episódio que a gente gravou sobre os objetivos da segurança, o que a gente chamou de atributos de segurança da informação, foi o Episódio 54, gravado em 18 de julho de 2014, quase exatos 10 anos. 10 anos e alguns dias. Faz 10 anos que nós gravamos este episódio.(44:58) E eu repito para vocês, tem o vídeo aqui no nosso canal que eu gravei há umas duas semanas, sobre os atributos da segurança, mas o episódio continua perfeitamente válido. Quando as coisas são conceituais, a parte mais teórica, ela dura, permanece no tempo. É bom lembrar que esses atributos todos são demandados pela LGPD. Não é só questão de evitar vazamento.(45:29) Lembrando que a ANPD gosta que o pessoal chame de(45:34) encarregado, não de DPO. Mas não adianta, vai ser DPO… E Guilherme, a gente prometeu, inclusive na chamada e eu prometi na minha live de terça, que tu farias uma expansão do tema que tu levaste para o evento, que no final das contas o tempo acabou ficando bastante exíguo, tinha várias pessoas para falar e a coisa ficou bem apertada. Então, eu gostaria que tu trouxesses o tema que tu falou lá e desse uma expandida para o nosso ouvinte do(46:14) Segurança Legal. Acho que a primeira coisa é colocar essa nova realidade, muito presente, que é o papel do encarregado dentro das situações de incidentes de segurança. O Vinícius já comentou antes que a gente precisa, antes de qualquer coisa, conhecer os atributos de segurança, e esses atributos ou propriedades da informação também devem ser levados em consideração para muito além da ideia de confidencialidade. Ou seja, incidente de(46:51) segurança para a LGPD não é somente o vazamento de dados ou o acesso não autorizado, porque eu posso ter acessos não autorizados sem necessariamente consistir em um grande vazamento. Preciso observar e também serão considerados como incidentes de segurança as violações aos dados pessoais que afetem os atributos da integridade e da disponibilidade. E, mais especificamente, quando a gente fala em disponibilidade, a gente também tem que começar a falar sobre a resiliência, que não deixa de ser um desdobramento da disponibilidade, que é justamente essa capacidade dos sistemas de resistirem a(47:31) situações de ataques, por exemplo. Lembrando, e é claro que a gente tem esse… Eu já comentei várias vezes: fala-se em incidente, fala-se em vazamento; fala-se em violação de dados, fala-se em vazamento. Mas não podemos esquecer, por exemplo, da disponibilidade. O exemplo do hospital: o sujeito que vai realizar alguma atividade, uma operação, e no momento em que ele precisa dos dados de saúde do paciente, ele não consegue ter acesso àqueles dados, e o sujeito poderia ter danos físicos.(48:00) E até para citar uma coisa que(48:03) aconteceu há pouco, o caso CrowdStrike. Aquilo ali é um incidente de… Só para lembrar, o CrowdStrike foi aquela situação em que uma empresa chamada CrowdStrike, que é a maior prestadora de serviço na área de segurança do mundo, tinha seus softwares instalados em vários servidores de várias empresas diferentes. As que mais chamaram a atenção foram as companhias aéreas, mas tem várias outras: hospitais, empresas governamentais, um monte de gente tinha essa coisa instalada. E eles, por um(48:40) erro… Acho que foi no último Café que a gente comentou esse episódio. No final das contas, o que aconteceu foi que nós tivemos a indisponibilidade de diversos sistemas pelo mundo, voos sendo cancelados e tudo mais. Naquelas situações em que essa indisponibilidade afetou titulares de dados pessoais, nós temos, eventualmente, se houve um prejuízo(49:16) concreto e tudo mais, uma violação da LGPD. Teve um incidente, foi um incidente de segurança. Primeiro que a própria CrowdStrike disse que não foi um incidente de segurança. Claro que foi. Foi sim, e eu explico bem claramente nos vídeos aqui do canal por que foi. A questão é: onde teve envolvimento de dado pessoal, nós tivemos um incidente de dados pessoais atingindo a disponibilidade desses dados. Não vazou nada, mas ficou indisponível.(49:54) A gente até não sabe se não vazou por conta da indisponibilidade de um sistema. Até poderia ter vazado, mas sim, a disponibilidade foi o atributo mais evidente. E aí o encarregado, e esse é o ponto, a gente também tem esse cacoete de achar que os incidentes de segurança são somente incidentes que envolvem a intenção de agentes, que eu sempre terei criminosos atuando contra os sistemas. Sim, o papel dos criminosos é muito importante, muito prevalente, muito percebido. E aí você tem uma série de técnicas para cuidar disso. Mas você também tem(50:31) incidentes causados por erros humanos, você também tem incidentes causados por situações muito banais de empresas assoberbadas que não conseguem sequer ter tempo ou a limpeza mental de tomar certos cuidados. O sujeito entra no automático. Deixar as pessoas com muito trabalho também é uma vulnerabilidade que pode ser explorada em algumas situações, ou que naturalmente pode culminar em um incidente de segurança. São muitas as(51:11) fontes, são muitas as ameaças, mas não se dá somente em situações maliciosas. Eu tenho situações também acidentais de incidentes, e isso também é considerado incidente. E, claro, o ambiente vai ficando cada vez mais complexo: o uso de nuvem, os ataques aumentando, a migração do crime físico para o digital, você tem agentes internos também que eventualmente podem querer se vingar, podem cometer equívocos, podem descumprir regras de segurança, e isso também pode culminar em incidentes. É claro que a gente fala sobre dados pessoais.(51:47) É aí que entra o papel do encarregado, e essa é a força que a LGPD traz para a segurança da informação. Porque o encarregado, em primeiro lugar, é um ente legalmente definido para realizar esta atividade. Então, legalmente, o encarregado de proteção de dados precisará estar envolvido em incidentes de dados pessoais. Esse é o primeiro ponto. Ele vai atuar de mãos dadas com a área de segurança da informação, quando houver. E aqui eu estou tentando abordar o tema numa perspectiva de uma empresa um pouco(52:31) mais organizada, que possua um setor de TI, um setor ou cargos de segurança da informação, um encarregado, e que essas atividades sejam realizadas por pessoas distintas, justamente para evitar o conflito de interesses e também para dar uma autonomia maior para o encarregado. Porque quando o encarregado é o próprio gestor de segurança, por exemplo, nós temos um flagrante conflito de interesses. Porque um dos papéis… aí eu acho que sim, é incompatível, me parece incompatível, de forma que o encarregado,(53:13) ele terá também essa atividade de compliance em proteção de dados. Porque aí sim, e essa é uma coisa importante, não são todas as empresas que possuem um Compliance Officer, uma pessoa, um cargo responsável pela conformidade geral da instituição. Então, quando você tem, bom, essa pessoa vai agregar todos esses cargos e vai verificar, por exemplo, se o gestor de TI, o encarregado, o gestor de segurança e outros cargos relacionados estão realizando suas atividades respectivas. E aqui, claro, numa(53:52) perspectiva mais preventiva, porque quando eu falo em gestão de incidentes, eu também tenho um aspecto preventivo. Eu preciso ter situações, por exemplo, de análise de riscos, de modelagem de ameaças, Vinícius, para saber exatamente a que eu estou exposto. Então, quando eu sei a que estou exposto, consigo me preparar melhor no caso de ocorrências de incidentes e também consigo me preparar melhor para situações de planejamento de continuidade. Por que continuidade é importante? Porque eu tenho aqui, eventualmente, a possibilidade de ter a minha(54:34) disponibilidade afetada. Então, continuidade de negócios também entra nessas responsabilidades. Eu dizia, eles andam de mãos dadas, são quase como irmãos, o encarregado и o gestor de segurança. E assim como irmãos, os irmãos brigam. E, além de brigar entre si, são odiados. Todo mundo odeia. Em vez de “Todo Mundo Odeia o Chris”, a série aquela, é “Todo mundo odeia o encarregado e todo mundo odeia o gestor de segurança”.(55:12) Posso fazer uma parte? Na verdade, vocês que odeiam os encarregados e o pessoal da segurança deveriam direcionar o seu ódio àqueles que provocam a necessidade da existência de um encarregado e da segurança: a galera que fica aplicando golpe por aí, invadindo sistema, etc. É a esses que você tem que direcionar o ódio, e não a quem tenta evitar que alguma coisa aconteça.(55:55) É aquela história. Você tem outras áreas, sei lá, na indústria de alimentos, você vai ter pessoas responsáveis por cuidar da qualidade dos alimentos. Talvez nem todo mundo goste dessas pessoas. Eu gosto deles, é um cargo importante. As próprias pessoas… um dos aspectos da questão do encarregado e da própria segurança é que os gestores das empresas também são titulares de dados, e eles não percebem. E é(56:33) bastante comum que os dados deles estejam nos próprios serviços mantidos pela instituição em que ele trabalha. Logo, quando ele negligencia a proteção de dados, ele também se expõe no final das contas. Então, acho que um dos papéis importantes que o encarregado vai ter, e se falou muito em conscientização, é conscientizar tanto os gestores, o board, quanto os próprios empregados de que eles são titulares de dados pessoais e que há o interesse da proteção dos dados dessas pessoas também. A mesma questão com a segurança.(57:04) Isso é sempre o Vinícius que fala: o funcionário, quando é bem treinado com técnicas de segurança fora da empresa, vai trazer essas boas práticas para dentro da empresa.(57:22) Quando tu convences, quando demonstras para ele como ele faz para se proteger, ele, pessoa física, não se proteger como colaborador da empresa. Ele tomar cuidados com ele. No momento em que ele entende isso, ele naturalmente começa a trazer isso para a empresa. Sem contar que interessa muito à empresa que o seu(57:48) colaborador cuide muito bem das suas coisas pessoais também, porque senão podem virar vetores. Com o home office ou com o BYOD, o cara usa o mesmo dispositivo pessoal dele na empresa para comunicação, para trocar alguma informação, para acessar algum sistema, gerar algum token. Daqui a pouco ele está fazendo isso com o telefone dele. E se ele não tem o mínimo de cuidado, se ele não tem o mínimo de cultura de cuidado com seus próprios dispositivos, o que já pode afetar diretamente a empresa, que(58:26) tipo de cuidado ele vai ter com as situações dentro da própria empresa? Facilita bastante trabalhar a conscientização dos colaboradores, principalmente para as coisas deles, e isso naturalmente vai fazer parte da cultura que ele vai trazer para a empresa. Não é alguma coisa externa ao dia a dia dele, que ele não percebe a importância e que é mais uma burocracia para ele cumprir no meio do trabalho.(58:55) Perfeito, é isso. Esse aspecto une as duas atividades, de segurança e do encarregado. E no final das contas, o último ponto de união entre esses dois cargos é que eles precisam atuar, muitas vezes, contra os interesses de outros cargos, contra interesses de muitas pessoas dentro da empresa, e às vezes contra os próprios interesses econômicos. Atuar em mercados regulados certamente faz com que você, enquanto gestor de segurança ou encarregado, precise dizer aos gestores que eventuais projetos e tentativas de monetização,(59:39) ou atividades quaisquer que envolvam dados pessoais ou que envolvam dados, podem esbarrar, sim, em limites regulatórios. Então, sim, você vai ter um embate, uma tensão entre a atividade de segurança e a atividade do encarregado contra outros atores internos. E aí é a questão da autonomia do encarregado que emerge, tanto na Europa quanto no nosso regulamento do encarregado. Mas não é só conflito de interesses, não é só dar para ele os recursos necessários lá do(1:00:15) Artigo 10. É garantir, no inciso III, a autonomia. E o que é autonomia? A empresa precisa ouvir. Os europeus dizem que a empresa não deve dizer para o encarregado como ou o que ele deve fazer, ou as coisas a que ele deve prestar atenção. Por exemplo: “ah, esse projeto aqui, não vamos te envolver” ou “deixa para depois”, ou “presta mais atenção naquilo”. Quando houver esse problema aqui, você… Não. Ele tem a autonomia técnica, ou seja, ele cumpre a lei. Por isso que o papel do encarregado é tão(1:00:53) importante. Não é só uma questão de proteger os dados dos titulares, é uma situação de conformidade. Ele diz para a empresa, e afinal de contas, ele é o especialista. Então, ele dirá para a empresa, ele tem que ter autonomia para fazer tudo isso. De uma forma um pouco mais prática, como ele se envolve no papel de gestão de incidentes? Primeiro, ele vai ajudar na preparação. A partir de agora, fica muito claro que todas as políticas que envolvem tanto(1:01:32) as políticas de segurança quanto as que envolvem a gestão de incidentes devem passar por uma avaliação e contribuição do encarregado. E uma das coisas que a gente vê muito frequentemente, quem é da área de segurança já viu, são aquelas empresas que ou não possuem um canal adequado para recepção de alertas de segurança ou de vulnerabilidades, como é bastante comum. A gente já gravou sobre isso, comunicação de vulnerabilidade.(1:02:04) Vou pegar o episódio aqui. O que acontece? Um dos pontos cruciais em uma gestão de incidentes é que, claro, você vai, preferencialmente, ter mecanismos tecnológicos que ativamente vão detectar, por exemplo, vulnerabilidades antes de elas serem exploradas, ou até mesmo detectar tentativas de incidentes. Você vai ter IDS, logs, IPS, DLP, uma série de mecanismos de segurança funcionando justamente para tentar prever(1:02:46) situações de incidentes. Mas você vai ter situações em que os incidentes serão comunicados, tanto por titulares de dados quanto pela comunidade geral, as pessoas que eventualmente vão te avisar: “Olha, aquele teu sistema lá tem um problema assim, assim, assado”. E é muito comum que as empresas не levem a sério esses alertas.(1:03:10) Citando aqui, o Episódio 50 do Segurança Legal, “Reagindo a Comunicações de Vulnerabilidade”, gravado em 9 de maio de 2014.(1:03:20) Perfeito. Então, você vai ter essa contribuição do encarregado na montagem desse ponto de contato, quem serão os pontos focais, os alertas que devem ser observados. Porque quem tem o conhecimento da criticidade… e esse é um ponto interessante: via de regra, a TI e a segurança da informação não têm o mesmo conhecimento da seriedade ou da sensibilidade, não(1:04:02) de dados sensíveis ou não, mas da própria sensibilidade geral da atividade de tratamento de dados. É muito comum as equipes de tecnologia quererem fazer coisas que, quando o encarregado fica sabendo, ele fica louco. “Não, mas isso é óbvio, é evidente que não pode ser feito, ou que está errado, ou que esse tipo de tratamento aqui pode culminar num incidente”, que eventualmente as outras equipes não veem. É por isso que a atividade de preparação é útil para envolver esse encarregado. E aí ele(1:04:33) vai trabalhar, além dessa atividade de políticas e organização, o próprio treinamento. Existe treinamento para gestão de incidentes, você monta uma equipe, um time de resposta a incidentes, e o planejamento de como esse time vai agir vai envolver, em algum momento, também o encarregado, atuando aí na próxima fase, não mais na preparação, mas nas fases de detecção, classificação e registro. Por quê? Porque uma vez que incidentes sejam detectados, seja de forma automática ou comunicados por partes externas, ou ainda notados pelos próprios funcionários — essa é uma coisa muito comum também de acontecer,(1:05:18) né, Vinícius? Os funcionários, às vezes, estão lá nas suas atividades e diariamente se deparando com incidentes de tratamento de dados e não reconhecem, não foram treinados para reconhecer. Exato. E se eles comunicassem o encarregado disso, aí nós teríamos uma atuação antecipada, ou até mesmo antes, situações às vezes até suspeitas. Então, esse treinamento de detecção, de classificação… agora, claro, o ideal é que as empresas não sejam surpreendidas. O encarregado, então, vai se avaliar(1:05:59) nessas etapas. Primeiro, ele precisa registrar os incidentes. Tem um dever de registro de incidentes de segurança da informação, incidentes que envolveram dados pessoais. Esses registros devem ser mantidos por, no mínimo, 5 anos pelo encarregado. E vejam, inclusive daqueles incidentes que não foram comunicados para a ANPD. Ele não precisa registrar somente aquilo que comunicou para a ANPD. Ele precisa deixar registrado aquilo que comunicou e aquilo que não comunicou. E eu vou mais além: eles precisam deixar(1:06:37) registrado o porquê de não terem comunicado para a ANPD aquele incidente. Essa vai ser uma atividade também do encarregado, no final das contas.(1:06:51) Tu vês que tens que documentar muito bem as suas decisões. A decisão de não seguir uma recomendação do encarregado, a decisão de não comunicar um incidente, as decisões de tratamento de dados que foram tomadas. Tudo isso tem que ser muito bem documentado. Depois, quando dá uma “caca”, quando dá um incidente, e tu fores demandado, tens formas de responder, de mostrar o cuidado que tiveste previamente.(1:07:23) Claro, e veja, idealmente as equipes de segurança já deveriam fazer isso. Você precisaria ter os times registrando os incidentes. A gente já falou sobre isso aqui várias vezes. Você sempre traz o exemplo do CENIPA, da forma independente de investigação de incidentes aéreos. A gente tem normas, por exemplo, a norma ISO 27035,(1:07:45) que fala sobre a próxima etapa, que é avaliação e decisão. Pois bem, identificou-se o incidente, classificou-se o incidente, iniciou-se o registro. Notem que em todas essas etapas está lá o encarregado atuando. Como a gente tem prazos exíguos para notificação compulsória de incidentes de dados pessoais, o encarregado deve ser envolvido, deve estar treinado e deve ter participado de treinamentos de outras equipes para, imediatamente(1:08:28) nessas identificações, já começar a planejar e tomar decisões. Porque primeiro ele precisa saber qual foi o problema, depois precisa saber quem foi afetado. Isso é muito importante, quantas pessoas foram afetadas e qual a extensão do incidente, o que foi feito tanto para evitar, e também o que foi feito depois que se descobriu o incidente. Isso é prática geral para a gestão de incidentes, mas agora, com os novos regulamentos tanto de comunicação de incidentes quanto do encarregado, isso tudo precisa ser registrado. O que a(1:09:05) empresa fez depois que descobriu o incidente? Por que ela demorou tanto tempo para comunicar o incidente? Essas coisas todas precisam ser registradas e mantidas pelo próprio encarregado também. Lembrando que não há a hipótese de você não envolver o encarregado nesses incidentes. Inclusive, você pode ter que envolver o encarregado, nem que seja para ele dizer que não precisava ser envolvido. Tudo bem, a equipe de segurança envolveu o encarregado, ele viu: “não, isso aqui não é dado pessoal, foi uma falha no sensor de um trator”.(1:09:40) Então, não é dado pessoal, me retiro. Mas o que não pode é não envolver o encarregado quando se deveria. Então, pecar pelo excesso não deve ser uma preocupação. Até porque, quem vai decidir se esse incidente de segurança pode acarretar risco ou dano relevante para o titular, e que, portanto, deveria levar à comunicação tanto à ANPD quanto aos titulares, é o próprio encarregado. Note que aqui, decisões estão sendo tomadas, categorizações estão sendo tomadas, priorizações podem ser feitas.(1:10:20) Vamos imaginar uma empresa… Pega um gov.br, quantos incidentes esses caras devem lidar por dia? Ou outros sistemas governamentais, ou bancos. Os caras lidam com incidentes diariamente. Eu tenho que ter critérios para fazer triagem. A ISO 27035 fala em triagem, igual àquela que você faz no hospital. Você vai tratar o incidente mais grave, aquele cara que está tendo um ataque cardíaco. Nesse sentido, incidentes com dados pessoais são o referente ao ataque cardíaco, você vai ter que dar uma prioridade muito grande. E notem,(1:11:00) eu repito, percebem como você tem uma atividade interdisciplinar aqui do encarregado e a necessidade de se afastar conflitos de interesse? Porque ele vai cobrar. Ele vai chegar em algum momento, sobretudo depois, nas lições aprendidas. Bom, está chegando ao fim, se descobriu tudo, está tudo registradinho. Pois bem, agora vamos sentar e vamos ver. E o encarregado terá, me parece, o recomendado seria que ele consiga mover a instituição para um patamar em que aquilo não mais se repita. Claro, tem coisas que são(1:11:44) inevitáveis, sei lá, enchente. De certa forma, para o encarregado e para a equipe, você consegue tomar medidas de continuidade para diminuir tempos de indisponibilidade. Mas o encarregado irá cobrar a instituição. O encarregado poderá, inclusive, solicitar informações mais técnicas, relatórios mais técnicos do porquê, tecnicamente, aquele incidente se deu. Se eu tenho o gestor de segurança ou o gestor de TI dividindo funções com o encarregado, como é que ele vai se cobrar a si mesmo acerca daquelas(1:12:24) responsabilidades? Notem que o encarregado está atuando em todos os momentos. E vou mais além, isso acho que é bem importante: uma das atribuições do encarregado é manter os inventários e os registros de todas as atividades de tratamento. Que é toda aquela coisa do dia a dia: sai um novo processo de negócio, você registra aquilo, diz quais os dados que foram tratados, os titulares envolvidos, os sistemas que armazenam aqueles dados, eventuais tempos de armazenamento, de indisponibilidade possível. Ou seja, tem(1:13:04) uma série de requisitos, e a própria ANPD já deu os exemplos de inventários, e cada empresa acaba adaptando às suas necessidades. Veja, o encarregado tem algo que, muitas vezes, as equipes de TI não conseguem ter por uma questão prática de falta de tempo. O encarregado consegue, com base nessa documentação obrigatória, ter uma visão dos processos de negócio e uma visão técnica muito horizontalizada. Ele consegue ir desde titulares envolvidos até tempo de armazenamento, até sistemas que armazenam,(1:13:36) até terceiros que têm acesso. Nesse sentido, esse conhecimento dos inventários e dos registros das atividades de tratamento podem e devem ser usados pelo encarregado, e o encarregado deve ser chamado para trazer esse conhecimento também para a área de gestão de incidentes, que certamente é um conhecimento que, às vezes, as outras equipes não têm. Deveriam ter, mas não têm. Então, o encarregado consegue, com essa visão mais horizontal que ele tem das atividades de tratamento de dados, realizar categorizações e apoiar em respostas de(1:14:17) uma forma muito mais efetiva, porque ele não deve atuar só comunicando. O que a empresa quer, na verdade, não é que o encarregado só fique comunicando incidentes para a ANPD. Ela quer que ele evite. Claro. O encarregado, e aí essa é a coisa, a gente já trabalhou muito com auditorias. Eu falo para uma encarregada cliente nossa: a gente tem que ter um pouco esse viés. O encarregado tem que ser um pouco auditor, ele tem que ser o “perguntador”, ele tem que questionar. Ele vai ter que perguntar: “mas por que isso aqui aconteceu?”, ou “quem é o responsável(1:14:53) por isso?”. Ou seja, ele vai realizar, quando não houver o Compliance Officer, essa atividade de verificação interna da conformidade. Por isso que a autonomia é tão importante, por isso que o conflito de interesses não deve existir, e por isso que ele tem que ter essa questão técnica de não ser refém. Ele tem uma autonomia. E, claro, eu preciso reconhecer, talvez a grande maioria das empresas ainda não está pronta para reconhecer essa autonomia, e esse talvez seja o próximo salto que a gente precisa dar. Me parece que a ANPD(1:15:27) foi nessa linha de reconhecer a importância desse cargo para o sistema geral de proteção de dados no Brasil, de conseguir suportar essa autonomia. Não só a decisão de querer, mas de conseguir suportar essa autonomia. Porque não tem jeito, é um requisito a mais que tu tens que considerar, que nem segurança da informação, que acaba gerando, não vou dizer um desconforto, mas um trabalho adicional. Eu brincava no último(1:16:03) vídeo que gravei, na última live de terça-feira, que é um pouco o trabalho de ser meio “Poxa, pensar tudo que pode dar errado”. Na modelagem de ameaças, em segurança. E na proteção de dados, não é só sobre tudo que pode dar errado, mas também “que usos eu posso fazer da informação?”. Analisar o uso. Num cenário em que a gente simplesmente usava a informação e pronto, de repente tu precisas começar(1:16:36) a documentar e pensar sobre que informações tu estás coletando, para quê, como tu justificas essa coleta, esse tratamento. Todas essas perguntas que a LGPD nos força não é só uma questão de pensar o que pode dar errado, mas de cumprir um requisito legal que a gente não tinha. E isso tudo gera uma carga extra de trabalho. Lembra daquele auditor da Caixa Econômica que foi no evento? O pessoal estava comentando lá.(1:17:12) Tem vários aspectos para pegar da fala dele, mas o aspecto que nós resolvemos pegar para comentar no nosso Café, e eu trago aqui de novo, é que ele teve um dado momento que falou assim: “ah, compliance… que o pessoal tem que ficar preocupado com compliance”. É justamente esse pensamento de “dane-se o compliance, vou fazer a coisa de qualquer jeito” que muitas vezes está na raiz do problema ainda. “Azar, como é que é? Eu sou obrigado a usar cinto?(1:17:44) Eu não posso beber minha cerveja quando estiver dirigindo meu carro? Azar, eu quero dirigir meu carro sem cinto e tomar cerveja”. Nas cidades do interior, aqui, a gente vê com uma certa frequência isso, às vezes até na frente da polícia. É bem delicado. A gente tem que entender. E a coisa é meio maquiavélica no seguinte sentido: até começar a se perceber claramente o prejuízo que tu podes ter em não seguir a LGPD, em não respeitar(1:18:25) legalmente a LGPD, até não se perceber a necessidade, o quanto isso pode “botar o rei em perigo”, como Maquiavel ali, dando sugestões para o rei conseguir manter o seu reinado. Até se perceber isso, tiver essa noção de impacto financeiro advindo da concretização de uma ameaça relacionada à quebra de segurança de dados pessoais, enquanto essa barra for baixa, vai se perceber que o investimento que eu tenho que fazer ainda é muito alto.(1:19:09) Entende? O investimento que vou ter que fazer para tornar meu sistema, meu negócio, não só o sistema, mas meu processo de negócio, minha atuação, meu tratamento de dados pessoais, adequado à LGPD, talvez eu vou olhar e dizer: “cara, é muito caro fazer isso aqui. E eu não estou vendo… é muito caro, porque se der algum problema, talvez nem aconteça nada. É muito dinheiro para botar, não vou colocar esse dinheiro aqui agora”.(1:19:37) A partir do momento em que há uma percepção de que “opa, pode ser muito caro eu não tomar ação nenhuma ou fazer isso aqui errado, não tratar adequadamente, não documentar, não conseguir mostrar que eu estava adequado antes de um incidente”, se começar a ver essa preocupação, bom, aí tu vais colocar na balança: “eu posso perder 1 milhão ou posso investir X, que é muito menos do que 1 milhão”.(1:19:59) É o mercado. Tem vários elementos aí, acho que a gente já pode ir se encaminhando, Vinícius, já deu 1 hora e 15.(1:20:17) É um pouco aquela questão da cultura. A gente se inspira no modelo europeu. Eu uso o exemplo, eventualmente em aula: visitei uma igreja uma vez na Itália, e quando você ia fazer seus pedidos para pessoas doentes, tinha lá o formuláriozinho de pedidos e tinha um disclaimer da LGPD numa igreja. Entendeu? Eu nunca vi nada parecido. Dado pessoal sensível. “Fulano de tal está com a doença tal”, “Gostaria que meu tio, fulano de tal, que está com a doença tal…”.(1:20:53) Esse é um exemplo bem extremo. Na Europa também você tem coisas muito erradas acontecendo, empresas que ainda não se adequaram, tem tudo isso. Não é também uma coisa perfeita. Mas a gente tem sim esse problema da falta de maturidade empresarial. Esse é o ponto. Você tem todas as questões relacionadas ao próprio capitalismo, que é isso que você colocou, ou seja, certas decisões de custo-benefício muito imorais, que eu acho que está na razão de tudo.(1:21:26) Tu investes em segurança quando podes perder dinheiro, tu vais investir em adequação à LGPD quando puderes perder dinheiro. Pois é, mas aí é que está. Para além dessa análise de custo-benefício e de eventuais decisões imorais ou antiéticas, você tem, a partir de agora, uma questão que vai envolver um dever regulatório. Ou seja, você tem o dever de cumprir aquela regulação. Nesse sentido, não sei se é possível calcular o custo de descumprir leis. Você tem uma certa pretensão de achar que aquilo será barato, porque você(1:22:07) tem, e eu comentei isso logo no início da minha fala, o imponderável da insegurança. O que é o imponderável da segurança? É aquilo que está fora do nosso controle. A vida é muito complexa, você tem muitas coisas fora do controle das pessoas. Você ainda tem esse imponderável. E, a depender do imponderável, a falta da tomada de boas práticas de segurança e de proteção de dados pode trazer consequências imprevisíveis. E é essa pretensão que muitos gestores(1:22:41) têm de dizer: “não, eu vou economizar aqui, vou fazer aquela minha analisezinha de custo-benefício”. Cuidado, porque isso pode ser realmente muito perigoso. E você tem um elemento de demonstração dessa ideia do cara que é negligente. Não há mais espaço para negligência, para imprudência na área de segurança da informação, por tudo que a gente falou. E aí entra nesse “baile” que a gente já está dançando essa música também há bastante tempo, mas agora o encarregado entra nesse(1:23:16) baile da segurança. O encarregado também vai dançar nesse baile. Até uma das brincadeiras que se fez lá no evento era o pessoal chamando o encarregado de “sobrecarregado”. O encarregado é sempre sobrecarregado. Por uma imposição legal, esse cara, o encarregado e as encarregadas — em grande número lá também, Vinícius, não é só encarregado, são encarregadas — eles também vão entrar nesse baile e também vão ter que se envolver em toda essa prática da segurança. A parte da gestão de incidentes é somente uma.(1:23:50) E no final das contas, o encarregado tem o poder de ser um vetor de mudança também para a segurança. A própria área de segurança, se for inteligente, pode se beneficiar da participação do encarregado, porque ela pode conseguir promover ações que antes não conseguia, e que agora, pela via legal, porque a lei manda, ela pode se utilizar também do apoio do encarregado. São algumas interações que podem nascer dessa… A gente já viu, nesses anos todos, são 20 anos atuando nessa área,(1:24:24) a gente já viu muito conflito de interesse na área de segurança da informação, e envolvendo o encarregado, mais ainda. Quando a gente fala não só do dinheiro no final, que eu acho que no fundo é o que faz a música tocar, mas também tem o esquema da pressa, dos cronogramas, do “time to market” de um determinado produto, e essas coisas — segurança, LGPD — normalmente vão ficando pelo caminho. Então, se você que nos ouve se identifica com(1:24:59) essa situação, não se sinta tão mal. Sinta-se mal para resolver, mas não se sinta tão mal, porque é meio que o comum que a gente encontra. Fora grandes empresas que têm uma preocupação com compliance e tudo mais, tem muita gente que nem encarregado tem ainda, né, Guilherme? Ou tem encarregado, mas não de fato. Ou tem de fato, mas não tem tempo para atuar, ou não tem espaço para atuar. É realmente bem delicado.(1:25:33) Para encerrar agora, de verdade, é um pouco aquilo… até te mandei o link, Vinícius, é um artigo do Ross Anderson, infelizmente falecido recentemente. Ele tem um artigo que é “Why Information Security is Hard: An Economic Perspective”, e ele vai um pouco nessa tua linha, numa perspectiva de economia, a questão dos incentivos, dificuldade de distinguir o bom do mal e questões psicológicas,(1:26:10) essa capacidade que tu achas que tens de prever as coisas ou de achar que as coisas não vão acontecer contigo, que é típico do negligente na área de segurança. Fica essa recomendação, a gente não tinha trazido nenhuma recomendação. Fica o artigo do Ross Anderson. Eu coloquei no chat, depois isso vai parar na descrição, inclusive lá no nosso feed. É isso, Guilherme?(1:26:40) Teve um pouco mais de tempo do que lá no evento para poder destrinchar esse assunto, e ainda assim, eu acho que ficou muita coisa. É um assunto bastante complexo, não se resolve em uma hora de conversa.(1:26:55) Encerramento, então. Esperamos que todos tenham gostado do nosso episódio e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima!(1:27:06) Até a próxima!(1:27:15) Se eu chegar perto do microfone, faço a mesma coisa também. Dá uma mexida nos meters ali. Mas é isso aí, cara, deu certo aqui. Estamos ao vivo ainda, cuidado, não desliguei aqui, calma. O Juarez aqui nos mandou um “grato pelo excelente conteúdo”. Um abraço, Juarez. Um abraço novamente pro Padovesi, que nos acompanha já há bastante tempo. E ajudem a gente a distribuir esse conteúdo. A gente fica bastante feliz de contribuir para a educação na área de segurança e proteção de dados, que é o grande objetivo do Segurança Legal, além, é claro, embora a(1:27:55) gente faça pouco isso, para o desespero da Camila, que é a nossa comercial na BrownPipe, de divulgar o nosso trabalho na BrownPipe. É isso aí, Guilherme.(1:28:06) Certo. Então, até a próxima, pessoal.(1:28:09) Tu já disseste “até a próxima”. Digo de novo agora. Até a próxima, então, pessoal. Falou, valeu, abraço! [Música]

 Ajude as vítimas de enchentes no RS (Sugestões de doações via PIX, Sugestões de outras instituições recebendo donativos)  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria Neste episódio, comentamos o recente apagão mundial de TI e a ação bilionária contra a Meta. Você irá descobrir os detalhes da falha que paralisou sistemas globais e as acusações de violação de dados.​ Analisamos a fundo o “apagão mundial de TI”, desencadeado por uma atualização defeituosa da CrowdStrike, que comprometeu a disponibilidade de serviços essenciais como hospitais e aeroportos, configurando um massivo incidente de segurança. Debatemos também a complexa ação civil pública movida pelo MPF e Idec contra a Meta, que envolve uma indenização bilionária por supostas falhas na proteção de dados e no compartilhamento de informações do WhatsApp, questionando a atuação da ANPD. Além disso, Guilherme Goulart e Vinícius Serafim discutem o novo regulamento do encarregado de dados e um estudo da OCDE sobre a dificuldade em identificar fake news, onde o Brasil ficou em último lugar. Para se manter atualizado sobre segurança da informação e compliance com a LGPD, assine o podcast, siga o perfil Segurança Legal e avalie nosso conteúdo em sua plataforma de áudio preferida. ShowNotes: Ação bilionária do MPF e IDEC contra a Meta Apagão Mundial de TI (via BBC, TheHackerNews, Krebs On Security, Convergência Digital, Resposta da CrowdStrike) Regulamento sobre a atuação do encarregado Como os países identificam a desinformação have i been pwned? Não precisamos mais da TI | FEBRABAN TECH 2024 Imagem do episódio 📝 Transcrição do Episódio (00:01) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 370, gravado em 19 de julho de 2024. Eu sou o Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês algumas notícias da última quinzena. Não é mais quinzena ou semanas, mas agora fechou a última quinzena, Vinícius. Tudo bem? E, Guilherme, tudo bem? Olá aos nossos ouvintes. O nosso café é livre, trazemos notícias da última semana, última quinzena, e também de mais tempo, se for o caso e for relevante. Este é o momento do (00:36) café, de se divertir um pouco. Esse é o nosso momento. Pegue o seu café, a sua água, seu chimarrão, sua bebida preferida e venha conosco. Para entrar em contato conosco e enviar suas críticas, é muito fácil: basta enviar uma mensagem para [email protected] ou, se preferir, também pelo @segurancalegal no Twitter/X e no Mastodon, no @[email protected]. Já pensou em apoiar o projeto Segurança Legal? Acesse o site apoia. (01:03) se/segurancalegal e escolha uma das modalidades de apoio. Entre os benefícios, você receberá o acesso ao nosso grupo exclusivo de apoiadores no Telegram. Vinícius, eu gostaria de destacar para os ouvintes que o apoio para nós é muito importante, pois ajuda a manter todo o custo do podcast, de material, e tudo mais, além de parte do nosso tempo. É importante dizer que tivemos uma mudança, porque recebíamos apoio pelo PicPay e pelo Apoia.se. Muita gente migrou para o PicPay, só que (01:39) o PicPay decidiu nos deixar na mão, assim como muitos outros criadores de conteúdo. O PicPay parou de receber apoios por lá e, basicamente, a grande maioria do pessoal que foi para o PicPay não voltou para o Apoia.se. Então, pedimos: se você ainda não apoia, considere apoiar um projeto independente de produção de conteúdo. Isso é importante. E também, se você apoiava, foi para o PicPay e não voltou para o Apoia.se, considere voltar a apoiar por lá. Seu apoio é muito bem-vindo e necessário para que continuemos mantendo este projeto. Fica também a indicação do blog da Brown Pipe. Então, se (02:18) você quiser se manter sempre atualizado sobre algumas dessas notícias, consegue fazer o acompanhamento delas pelo blog da Brown Pipe. Você também pode se inscrever no mailing semanal para receber as principais notícias toda semana na sua caixa de e-mails. É tão antigo isso, né, Vinícius? Mas, enfim, na sua inbox. A gente deixa também a indicação da série de vídeos que começou com uma série de criptografia do Vinícius lá no YouTube, mas ele também já ampliou para outros temas. (02:56) O que foi, Vinícius? A ideia é trazer conteúdo sobre segurança da informação. A gente está com a ideia de se aproximar mais dos nossos ouvintes do Segurança Legal e da comunidade de pessoas que estudam segurança da informação. Como temos essa veia de professor, está no nosso sangue, né, Guilherme? (03:27) E juntando a questão de nos comunicarmos, aproveitando o canal do Segurança Legal que já existe há alguns anos como podcast e também no YouTube, já estávamos pensando em fazer isso há algum tempo: compartilhar informações sobre segurança da informação de maneira mais didática e bastante franca, de forma que a gente aprofunde a compreensão dessa área. A pegada lá é ser uma coisa mais leve, para eu conseguir ficar um pouco mais natural, digamos assim. Ela tem um roteiro, mas (04:13) não é um roteiro muito fechado. Eu posso até mudar um pouco o caminho conforme o pessoal se comunica comigo, vai pedindo outras coisas, vai tirando ou colocando dúvidas. Então, interage ao vivo ali comigo. A gente já falou sobre criptografia, fizemos três lives sobre o tema. Eu fiz uma agora, nesta terça-feira, sobre os objetivos da segurança da informação, que, aliás, vamos usar hoje aqui para ver o que é um incidente de segurança ou o que não é. Eu comentei sobre isso lá. E estou (04:44) organizando outra agora sobre ataques, ameaças, impacto, controle e vulnerabilidades, que vai ser não na próxima terça-feira, que eu não vou estar aí, mas na outra. E aí, sim, vamos avançando com os diversos assuntos e temas que temos planejado e que o pessoal pode, eventualmente, nos solicitar por meio do contato com o Segurança Legal. Fica o convite, então, para você que nos ouve. Se você já está nos vendo ou nos ouvindo no YouTube, é só ir ali no canal, na aba “Ao vivo”, (05:21) que você consegue ver os vídeos gravados pelo Vinícius. Bom, Vinícius, vamos começar então. Em geral, a gente começa falando sobre proteção de dados, tradicionalmente acabou se firmando essa tendência aqui. Não vou quebrar isso logo no próximo episódio, não tem problema, aqui é livre. Mas o que acontece é que tivemos duas coisas importantes, na verdade três, mas vamos dividir aqui. O primeiro é que se firmou no Brasil, em (05:57) 17 de julho, o Dia Nacional da Proteção de Dados. Tem até um projeto de lei que, salvo engano, ainda está na Câmara, mas foi aprovado no Senado, que fixava o dia 17 de julho como Dia Nacional de Proteção de Dados, que é justamente o dia do aniversário do Danilo Doneda, nosso amigo, que completaria 54 anos em 2024. Então, fica como efeméride aqui. Como o pessoal do Xadrez Verbal coloca, hoje é dia 19, não dia 17. (06:32) Ele completaria 54 anos no dia 17. Hoje é dia 19, mas é apenas para ficar marcada essa data, que é bastante importante para nós, brasileiros, sobre o Dia Nacional da Proteção de Dados. Bom, o outro tema é um pouco mais complexo. Tivemos, nesta semana, o anúncio de uma ação bilionária do MPF e do Idec contra a Meta. Ambas as instituições ajuizaram esta ação civil pública contra a Meta, buscando uma indenização de (07:17) R$1,73 bilhão por danos morais coletivos. Eles publicaram, inclusive, a petição inicial da ação civil pública, uma petição de 239 páginas. Os fundamentos principais, e já vou colocar também, é que o ponto dessa ação uniu, na mesma peça, argumentos contra a Meta e argumentos contra a própria ANPD. O Ministério Público entendeu, junto com o Idec, que eles deveriam também mover uma ação contra a ANPD na mesma ação, o que me parece que acaba sendo um problema processual, mas, enfim, depois eu comento sobre isso. Quais foram, (08:03) e quero destacar aqui, os fundamentos principais da ação ou dos pedidos contra a Meta e contra a ANPD? O ponto principal é que teria havido uma falha de informação nas alterações realizadas lá em 2021, no compartilhamento de dados do WhatsApp com outras empresas do grupo Meta. Isso ocorreu em 2021. Então, os fundamentos são que essa falha de informação teria envolvido o fato de eles não terem informado adequadamente aos usuários quais dados seriam compartilhados e quais as finalidades de compartilhamento (08:48) desses dados entre as empresas do grupo, além de problemas em relação às bases legais. Eles notaram que houve uma diferença na qualidade das informações da versão em português da política em comparação com a versão em inglês, ou seja, a versão em inglês seria mais completa. Por conta disso, houve uma falha de informação, violando o princípio da transparência da LGPD. E, por conta disso, somente este problema de falha da informação já seria suficiente para, segundo eles, fulminar todos os tratamentos por eles promovidos. (09:30) Depois, eles consideraram também que houve um compartilhamento de dados excessivo e desproporcional, violando o princípio da necessidade. Isso também está relacionado ao fato de a política não esclarecer adequadamente, então essas duas coisas estão juntas. Também envolveu a escolha de uma hipótese inadequada para o tratamento: a Meta escolheu o legítimo interesse, mas, segundo o Ministério Público, não se poderia ter utilizado essa hipótese de tratamento, que é, na verdade, um grande problema da escolha do legítimo interesse, porque você precisa passar por (10:07) um teste para demonstrar que o interesse sustentado ali pelo agente de tratamento pode ser colocado sobre o interesse do próprio titular. Além dessa questão da hipótese inadequada, houve uma violação dos próprios direitos fundamentais dos usuários, isso na alegação do MPF, e também a violação dos direitos dos usuários enquanto consumidores, porque a mesma relação pode demandar tanto a proteção pela LGPD quanto a proteção pelo Código de Defesa do Consumidor, e daí a união do (10:50) Ministério Público e do próprio Idec contra a Meta nesse sentido. Qual era o objetivo, na verdade, e os riscos que o Ministério Público e o Idec colocaram? Que esse compartilhamento de dados irrestrito entre as empresas do grupo Meta permitiria avançar sobre as possibilidades de perfilização dos usuários, de forma que você poderia conseguir pegar dados mais ampliados de localização, contatos frequentes, horários de uso, com quem você se comunica. Mesmo que não envolva a mensagem, saber com quem você se comunica é um negócio que pode trazer uma série de inferências (11:29) adicionais sobre o comportamento das pessoas, e isso aumentaria a capacidade ou possibilidade da Meta, por exemplo, de vender mais publicidade. Esse é o ponto relacionado do Ministério Público contra a Meta. Só que o Ministério Público decidiu ir também contra a ANPD, diante do que eles chamaram de problemas institucionais e do fato de que eles, o Ministério Público, apontaram que haveria violações da própria ANPD nesse caso. A questão é curiosa, porque, quando se iniciou lá em 2021 essa questão contra a Meta, era um grupo, um quarteto de instituições, eles chamam (12:17) inclusive de “quarteto de instituições”, que era o Ministério Público Federal, CADE, Senacon e a ANPD. Eles estavam atuando em conjunto, e essa é uma peculiaridade do nosso sistema brasileiro de proteção de dados, que permite que, além da ANPD, outros órgãos atuem também. A lei abre essa possibilidade, é uma peculiaridade nossa, talvez difira um pouco de outros países, mas, enfim, é uma nossa peculiaridade. Tanto que, na época, eles promoveram uma recomendação conjunta para a Meta. Só que, a partir de (12:50) 2022, começaram a haver discordâncias entre esses grupos, e a ANPD, lá em 2022, emite uma nota técnica bem fundamentada – é necessário dizer – em que eles se posicionavam de forma contrária ao que o MPF estava sustentando. A ANPD sustentou nessa nota técnica que as práticas que o WhatsApp tomou em resposta às recomendações deles seriam suficientes e, portanto, as atividades estariam adequadas. Porque foram dadas diversas recomendações, e a ANPD olha para essas recomendações e diz: “Está bem, eles cumpriram as recomendações que (13:32) foram feitas”. Só que o MPF, ao que tudo indica pela leitura dessa petição inicial, começou a discordar disso. Teve outras questões também, segundo o MPF, como a ANPD passar a negar o acesso ao conteúdo do processo administrativo que vigia lá, justificando com sigilo comercial e industrial. O MPF discordou disso e traz uma argumentação em relação ao princípio da publicidade administrativa, mas, por outro lado, a própria LGPD traz essa possibilidade de proteger o sigilo comercial das partes. O MPF disse: “Não, mas (14:11) poderia ter divulgado só uma parte”. O MPF ainda apontou que houve uma imobilidade da ANPD com postergação de análises e que eles teriam deixado de investigar a fundo. E veja, tudo isso estou dizendo nas palavras do Ministério Público. Então, quanto aos pedidos em relação à ANPD, eles, entre outras coisas, solicitaram submeter a atuação da ANPD ao judiciário e recomendaram que se crie uma regra sobre sigilo nos processos administrativos para permitir o acesso (14:56) mais aberto a esses processos. Basicamente, sei que estou falando bastante, mas é para contextualizar, porque a petição inicial é muito grande, e o link vai ficar lá para você ler depois, se quiser. O que eu gostaria de terminar falando é o seguinte: primeiro, não vamos fazer nenhum juízo de valor aqui sobre o caso, a questão é muito complexa. Então, não vamos nos posicionar nesse sentido, falta informação para a gente, estamos vendo de fora a (15:32) coisa. Exato. Falta um pouco de informação. O que dá para ver claramente, e eu li a matéria quando você me mandou, acho que faz uma semana, foi semana passada, é que existe um conflito aí, uma discussão, principalmente entre os órgãos, me parece que entre o MPF e a ANPD. O Idec está ali junto, mas acho que é mais o MPF. E no final da notícia que você passou, fica uma coisa estranha, eles citaram um trecho do (16:11) documento em que o MPF diz que, se a ANPD quiser, uma coisa que me soou muito estranha, para ser bem franco, “se a ANPD quiser, ainda pode fazer parte do polo ativo”, ou seja, meio que deixar de ser ré para se juntar a nós contra o WhatsApp. É um pouco estranho. Eu não sou dessa área, você conhece muito mais do que eu, obviamente, pela formação e tudo, mas não é uma coisa (16:50) muito comum de se ver escrita daquela forma. Eu achei estranho. Eu também achei estranho. Acho que, na verdade, deveriam ter duas ações aqui: uma ação, se o MPF quisesse se opor às ações da ANPD, deveria fazer isso mediante uma ação própria, e não colocar isso junto com a ação contra a Meta, porque me parecem pedidos diferentes. Acho que tem uma questão de organização processual aí, que (17:23) é um outro tema. A gente sabe que a própria ANPD se coloca como um órgão que ainda está, por incrível que pareça, com falta de recursos, em formação. Eles estão sempre apontando isso: “Precisamos de mais recursos”. Então, tem esse aspecto. A própria ANPD também tem se posicionado no sentido de que quer ser, pelo menos no início, um órgão mais orientador, com uma atuação mais informativa. Você tem uma série de documentos que estão sendo criados pela ANPD, inclusive o regulamento do (17:58) encarregado. Mas isso também reflete e demonstra um pouco sobre como é o nosso sistema de proteção de dados brasileiro, onde você tem diversos entes podendo atuar em conjunto com posições divergentes. E, diante dessas posições, o MPF avoca para si uma das competências que tem, que é de ser um dos órgãos de controle externo da administração pública. Ele também pode realizar esse controle. Não sei se a melhor forma seria concomitantemente, junto com a ação contra a Meta, porque me (18:40) parece que coloca algumas fricções ali que podem prejudicar o andamento dessa ação. Mas, enfim, fica aqui a informação sobre essa ação. Acho que o mais importante aqui acaba sendo o valor, R$1,7 bilhão, mas vamos aguardar para ver como essa questão vai se desenvolver ao longo do tempo. E isso demonstra, talvez, um pouco da complexidade e das características do nosso sistema de proteção de dados brasileiro. Eu quero ver se, mantido esse valor, ele vai ser pago. (19:23) Mas isso é outra coisa, é outro problema. Guilherme, é um milagre que a gente esteja gravando hoje. Acho que nem o Discord, nem o Craig que usamos para gravar, nem nenhuma outra coisa que estamos usando aqui está dependendo de algum servidor Windows rodando o CrowdStrike. Senão, a gente ia tomar um “strike” também. Eu não sei se todos os nossos ouvintes acompanharam, mas essa notícia é de hoje, a coisa começou hoje de manhã. (20:06) Um apagão mundo afora com relação a alguns serviços que simplesmente saíram do ar. O que chamou mais atenção, obviamente, são os serviços que ficam visualmente expostos ou que atingem diretamente os usuários finais. Então, o que chamou mais atenção foram as fotos de painéis de aeroportos, aqueles que informam voos de chegada e saída, com uma tela azul, em várias partes do mundo. Não é em um país específico. Companhias aéreas no mundo inteiro cancelando voos. Só nos Estados Unidos, a Delta, por exemplo, que é uma das mais conhecidas, e outras duas ou três estavam… (20:52) O que estava no ar, estava no ar. Os voos que não tinham saído não iam sair e não tinha previsão de retorno. Nós tivemos hospitais fora do ar, plantões de hospitais também parados, cirurgias canceladas, gente com problema de acesso a banco, todo tipo de serviço. E o que aconteceu para isso acontecer? É alguma coisa da guerra da Ucrânia? É algum ataque de algum hacker chinês ou coisa parecida? Não, gente. O que aconteceu foi o seguinte: vários sistemas rodando especificamente em Windows, (21:37) mas o problema não é do Windows, não é da Microsoft. Vários sistemas têm um software de uma empresa chamada CrowdStrike, que, segundo tudo que levantei, é a líder mundial em soluções de segurança para servidores Windows e outras coisas mais. Então, imaginem que eles atendem diversas empresas, e empresas grandes, que rodam, entre outros sistemas operacionais, alguns servidores Windows. E esses servidores estavam com esse software de segurança deles. (22:21) Eles enviaram para todos os clientes uma atualização de segurança. E essa atualização, ao que tudo indica, pois novas informações podem surgir depois da nossa gravação, foi um driver que eles subiram, e o driver não estava íntegro. E esse driver, ao ser instalado nas máquinas, fazia com que (23:02) o Windows reiniciasse com a instalação do driver e não subia mais. Aparecia uma tela azul, a “Blue Screen of Death”, a tela azul da morte. Ela mudou ao longo do tempo, mas continua azul. Isso deve ter alguma relação com o Grêmio ou coisa parecida, no ponto de vista negativo, ou não? Eu acho que não. E aí o sistema simplesmente sai do ar e a máquina não inicializa mais. Então, imaginem aí, talvez milhares, não se sabe ainda o tamanho, o alcance da coisa, a gente sabe dos efeitos, mas (23:38) não quantos servidores foram atingidos. Mas esses servidores Windows simplesmente não inicializam mais. Inicializa e entra na tela azul. O que aconteceu, então? Ficou um monte de gente fora. Imagina, hospital, banco, aeroporto, companhia aérea sem check-in, um monte de coisa fora. Como se resolve isso? Bom, já se sabe o que causou o problema, já se sabe qual foi o driver. O que deve ser feito agora é uma ação manual para remover o driver. (24:12) Máquina por máquina atingida por esse negócio vai ter que ter uma ação manual para remover o arquivo que está causando o problema, e a máquina tem que ser reiniciada. Em alguns casos, são necessários até 15 reboots para a máquina voltar ao normal. Estou te falando, está nas nossas notícias, não estou inventando. Em alguns casos, é necessário até 15 reboots para a coisa voltar à situação normal. Dá para imaginar o tamanho da confusão que foi gerada. Está se falando em um maior incidente. Agora vamos entrar… (24:55) eu vou chamar de incidente de segurança. O maior incidente de segurança que tivemos em 2024 e, dependendo, talvez da história, em termos de escala. Mas várias coisas chamam a atenção. Uma delas é que a própria empresa está dizendo que não se trata de um ciberataque e não se trata de um incidente de segurança. Primeiro, concordo que não se trata de um ciberataque, claro, desde que o que eles falaram seja verdade, ou seja, eles cometeram um erro e subiram um driver problemático para o Windows. (25:36) Houve um erro. Até tem uma trend no Twitter que virou hoje, do pessoal fingindo: “Primeiro dia de trabalho na CrowdStrike, estou subindo meu primeiro código, vai ser muito legal”. Então, concordo que não seja um ataque cibernético, porque não é alguém fazendo isso com a intenção de causar uma negação de serviço, que foi, efetivamente, o que estamos vendo, ou seja, um monte de sistema saindo do ar gera negação de serviço, afeta a disponibilidade desses (26:16) sistemas. Aí, justamente, voltando à questão dos atributos de segurança, que você pode procurar aqui no canal, depois de assistir a este nosso episódio. Na aba “Ao vivo”, gravei a live de terça-feira sobre atributos da segurança, objetivos da segurança. Um dos fundamentais, junto com confidencialidade e integridade, é a disponibilidade. E acho que não há dúvida de que a disponibilidade foi comprometida neste incidente. E, repito, agora estou chamando de um incidente de segurança. Eles dizem que nem sequer um incidente (26:53) de segurança foi. Mas, se considerarmos, definitivamente eles estão errados. É um incidente de segurança, causado por uma ação não maliciosa, provavelmente humana, mas é um incidente de segurança. A disponibilidade foi afetada. Dentro do que foi colocado, a confidencialidade não, ou seja, simplesmente a máquina não inicializa, então as informações ficaram até mais seguras, ficaram inacessíveis, com menos chance de vazamento. Mas a integridade, (27:30) em tese, os dados estão todos lá, só o Windows não inicializa, não deve ter corrompido nada, em tese. Mas a disponibilidade, com certeza, foi para o beleléu. Então, sim, caros da CrowdStrike, podem dizer 3.000 vezes que isso não é um incidente de segurança, mas é. Pode não ser um ataque cibernético, concordo, mas é um incidente de segurança. Posso fazer uma observação, Vinícius? Pode, vai lá. Eu acho que isso é um pouco um vício que, na área de proteção de dados, se tem. Para lidar com (28:12) proteção de dados, é preciso conhecer bem os atributos de segurança, que se transformam, quando os migramos para o direito, em quase como se fossem bens que também são protegidos ou facetas da informação que também são protegidas pelo direito. O pessoal da proteção de dados acaba se fixando muito mais no atributo da confidencialidade para relacionar com incidentes. Esse cacoete seria: “Eu só percebo um incidente quando a confidencialidade é (28:55) violada, portanto, quando há um vazamento”. Só que, no âmbito do tratamento de dados pessoais de forma ilícita, e também para a consideração de um incidente, qualquer incidente que afete qualquer um dos atributos de dados pessoais será considerado um incidente também para fins da LGPD. Em qual sentido? No sentido de que, se os dados forem perdidos, vamos imaginar uma hipótese em que esse incidente cause a perda de dados, além de uma indisponibilidade temporária, a perda (29:33) definitiva de dados. Se o titular dos dados não consegue ter acesso aos seus dados pessoais, isso também é um incidente de segurança. Em geral, claro, como falei antes, quando tenho uma situação em que também tenho um serviço prestado e o titular de dados pessoais também é um consumidor, tenho duas afetações. Posso ter a afetação ao serviço em si, e aí dificilmente, e é o que provavelmente vai acontecer, as empresas não vão poder alegar um caso fortuito, porque esse é o que a (30:08) gente chama de “fortuito interno”. São as escolhas dela, enquanto empresa, de utilizar ferramentas de segurança, por exemplo, que podem, sim, falhar, mas ela não pode dizer que isso foi um caso fortuito comparável, por exemplo, à enchente aqui do Rio Grande do Sul. Então, ela sim será responsabilizada, todas essas empresas que causaram dano. Sei lá, o sujeito perdeu o voo, ele vai buscar uma responsabilização e, muito provavelmente, vai conseguir, porque as empresas não vão poder utilizar o caso fortuito nessa circunstância. E, ainda, se ela (30:40) perde dados, mesmo que não tenha sido afetada a confidencialidade dos dados pessoais, incidentes que afetem outros atributos também vão ser assim considerados para a LGPD e vão ter os possíveis efeitos para essas violações. Curiosamente, eu já vou seguir na minha linha, mas, curiosamente, as notícias dão conta de que a CrowdStrike admitiu o problema – óbvio, todo mundo sabe –, mas não se (31:17) desculpou, em tese para evitar uma eventual responsabilização, achando que vai evitar uma responsabilização com relação aos prejuízos causados, porque a gente sentiu bastante as coisas nos bancos. Tem, inclusive, uma notícia do Convergência Digital, que também está nos nossos links, em que você vai encontrar. Bancos tradicionais, que não são os bancos por aplicativo, e os bancos por aplicativo sofreram pane no seu sistema, (31:56) ou seja, quem tinha infraestrutura rodando Windows com os softwares da CrowdStrike instalados teve problemas. Não que 100% dos clientes tiveram, mas foram atingidos por isso. Como eu disse, há vários pontos que chamam a atenção nesse incidente de segurança. Um deles é o pessoal não querer chamar de incidente de segurança, quando na verdade é, inclusive para a LGPD, como você bem falou, porque atinge a disponibilidade dos dados. Um outro aspecto que chama a atenção (32:34) é quando a gente pensa em ambiente redundante. Por exemplo, quem tinha máquinas Windows no GCP, na Azure ou na AWS, ou até on-premises, para ter redundância, e tinha o mesmo software instalado em todos esses pontos, com as mesmas políticas de atualização automatizadas, perdeu ao mesmo tempo todos os ambientes, se eles foram atualizados. É interessante que, quando a gente fala de criar um ambiente redundante, não é só redundância de (33:15) equipamento físico, de VMs ou de recursos redundantes, e até mesmo em nuvens diferentes. Temos que pensar também em credenciais de acesso diferentes, porque se eu perco um ambiente porque alguém comprometeu credenciais administrativas, eu perco um ambiente. Se o outro ambiente está acessível e tem as mesmas credenciais, o que vai acontecer? A questão de atualizações: ponha um delay de atualização entre um ambiente e outro, pelo menos para que, se de repente o teu ambiente de produção (33:56) parar, você tenha o teu segundo ambiente ainda no estado anterior. Mas, para isso, você não pode deixar uma mesma aplicação, um mesmo fornecedor como a CrowdStrike, com o poder de atualizar tudo ao mesmo tempo. Se der um erro desses, como aconteceu agora, destrói a tua contingência. Quando se pensa em contingência, pensamos normalmente em duplicar recursos ou mesmo em backup, que faz parte da brincadeira, mas temos que pensar também no sentido (34:34) temporal de aplicação de atualizações nesses sistemas, porque se der errado uma atualização como deu agora, e estou usando a mesma solução de segurança em todas as minhas máquinas, vou perder tudo ao mesmo tempo. E aí, como eu disse, vai ter que ser feito manualmente. Cada máquina vai ter que ir lá, remover o arquivo que eles recomendam e reiniciar a máquina. Em alguns casos, estamos falando de 15 reboots. É um caso que chama atenção por esses vários pontos, desde o pessoal querer admitir ou não a questão do incidente de segurança, a gente (35:13) entender essa questão de cadeia de suprimentos, quando interligamos vários ambientes a uma mesma solução que mexe nesses vários ambientes ao mesmo tempo, e a questão da segregação de ambientes. E outra, não sei se isso é evidente para todos, mas os softwares não são perfeitos. E, no final das contas, também é evidente que você teve esse incidente que foi mais visualizado, mas, claro, o uso de ferramentas de segurança evitou muitos outros incidentes motivados, quase sempre, por atores mal- (35:53) intencionados. Então, tem esse aspecto também. Não é para demonizar as ferramentas. Softwares têm erros, são feitos por humanos e, eventualmente, por mais cuidados que se tenha, vão falhar. Sim, a ironia é uma solução de segurança ter causado isso. O impacto, o tamanho do impacto, se dá justamente por causa do tamanho da empresa. A CrowdStrike é uma das maiores do mundo, senão a maior, nessa área. Então, ela tem centenas de milhares de clientes, e (36:38) esse erro que eles cometeram sozinhos derrubou coisas no mundo inteiro e causou esse apagão. Quando eu vi a notícia, achei: “Pronto, alguém ferrou com a internet”, mas não foi isso. Meu segundo pensamento foi: “A internet ou, provavelmente, uma das nuvens caiu e levou meio mundo junto”. Eu também pensei na nuvem, mas não. Foi especificamente em servidores rodando Windows com o software da CrowdStrike instalado. A Microsoft não é a responsável dessa vez. A Microsoft estava com problemas algumas (37:17) semanas atrás com relação ao 365, mas isso não tem nada a ver com o problema de hoje. O Nubank teve problema ontem ou anteontem, estava sumindo o investimento de todo mundo. Estava conversando com a Dani, da nossa equipe aqui da Brown Pipe, e ela: “Gente, sumiu as coisas de vocês também no Nubank?”. E eu: “Como assim? Para mim, não”. O investimento que eu tinha sumido. Fui olhar, para mim estava normal. Puxei (37:52) para baixo para atualizar e metade do valor tinha ido para o beleléu, sumido. Aí o Mateus catou na internet e estava todo mundo reclamando no Twitter. Mas nada a ver com o que aconteceu hoje, é outra questão. Mas estamos cada vez mais dependentes desses sistemas e softwares, como o da CrowdStrike, que atende uma quantidade muito grande de empresas e, consequentemente, está presente (38:25) numa quantidade muito grande de servidores, nesse caso Windows, dos mais variados ramos possíveis. Um erro desses causa um impacto muito grande. Hospitais pararam de funcionar, pessoas foram mandadas de um hospital para outro porque não tinham condições de atender. Fichas de pacientes ficaram indisponíveis. Imagina você desligar aleatoriamente computadores ao redor do mundo, em todas as áreas possíveis. Esse é o ponto. E aquela coisa da nuvem que parece (39:02) abstrata, “está na nuvem”. Pois é, deu pau na nuvem, foi mais ou menos isso. Dá um problema em um servidor, sabe-se lá onde, e quando você vê, é afetado na ponta e nem imagina. Mas é isso que acontece, é normal, é do jogo. Agora, claro que temos que pensar melhor em permitir que um único software desses saia fazendo atualização massificada. Se tivesse sido feito, pelo amor de Deus, eles podiam ter um ambiente de homologação melhor. Faz um ambiente de homologação e, se der pau, para ali mesmo, não faz o deploy para (39:40) o resto do mundo. Podia ter parado por aí. Enfim, talvez seja o maior desses incidentes que estamos vendo. Espero que a gente não veja um maior que esse tão cedo, pelo menos. Eventualmente, ao longo dos próximos dias e semanas, vamos descobrir um pouco mais sobre as causas, porque eles vão ter que dar explicações. Afinal de contas, uma empresa com capital aberto vai ter que se posicionar perante seus acionistas. As ações dela caíram, (40:09) mas ela é grande o suficiente para aguentar esse baque. E aí, Guilherme? A próxima. Ainda no âmbito de proteção de dados, nesta semana tivemos o lançamento do regulamento sobre a atuação do encarregado de proteção de dados pessoais, essa figura que a ANPD indica que as empresas tenham, claro, com algumas exceções para agentes de tratamento de pequeno porte. Mas, à exceção desses, (40:45) é obrigatório o apontamento desse encarregado ou encarregada. O teor desse documento não é novo, porque já estava em consulta pública, então já tínhamos algumas pistas do que viria. Essa consulta pública foi analisada pela ANPD, que consolidou os dados. Temos aqui um documento de 21 páginas e, basicamente, o que ele faz logo no início é mostrar… e se você quiser mostrar, esse link eu não (41:25) tinha te mandado, Vinícius, mas temos aqui o link do próprio Diário Oficial com o documento. Como esse documento é organizado? Primeiro, temos ali, do artigo primeiro e segundo, as disposições preliminares, que são basicamente um glossário. Depois, temos algumas recomendações aos agentes de tratamento, a partir do artigo terceiro, ou seja, a forma como você deve indicar o encarregado, perdão, dos artigos terceiro (42:00) a sétimo, que vai cobrir tanto a documentação, como você precisa indicar, cobrindo tanto o setor privado quanto o setor público. Depois, temos os deveres do agente de tratamento. Isso aqui é bem interessante. Antes, temos ainda o artigo oitavo e nono, sobre a identidade e as informações de contato do encarregado. Mas é interessante ver que, além de lidar com as atribuições do encarregado, esta regra também traz atribuições para os agentes de tratamento que contratam o encarregado. (42:41) O encarregado está sempre vinculado a um agente de tratamento, e esse agente precisa cumprir alguns deveres para, entre outras coisas, permitir o trabalho do encarregado. Essa é uma questão muito interessante, Vinícius. Sobretudo lá fora, na União Europeia, temos uma série de decisões, inclusive no blog da Brown Pipe tem algumas decisões no sentido de o agente de tratamento ter sido responsabilizado por não fornecer os meios necessários para que o encarregado trabalhe. E o artigo 10 (43:20) desse regulamento faz justamente isso: ele diz que o agente de tratamento precisa prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos. Lá fora, já vimos empresas sendo condenadas por isso. O que a ANPD quer aqui é, evidentemente, que a indicação do encarregado não seja somente um ato pro forma, só para mostrar que tem. Não basta mostrar que tem, tem que permitir que ele trabalhe, tem que dar as condições para (43:57) que ele consiga realizar suas atividades. Depois, temos, a partir do artigo 12, as características do encarregado; a partir do artigo 15, suas atividades e atribuições, repetindo até algumas coisas da própria LGPD. Traz ali suas atribuições, os deveres do encarregado. E, o que chama a atenção também, a partir do artigo 18, é sobre o conflito de interesses. O scroll do meu mouse parou de funcionar, por isso estou fazendo manualmente. (44:40) Se você consegue acompanhar a tela que estou te mandando. É um outro ponto também muito tratado nos documentos europeus, no antigo Artigo 29, no EDPB (European Data Protection Board), nas decisões. Ou seja, preciso, além de permitir e trazer os meios para que o encarregado trabalhe – não é só pro forma, não basta nomeá-lo e não dar os meios –, preciso afastar os conflitos de interesse. (45:20) A norma traz ali o que me parece que não é um rol fechado, é um rol aberto, ou seja, exemplifica o que é conflito de interesses, não diz que somente o que está no artigo 19 são os conflitos de interesse. Basicamente, preciso dar autonomia e independência para que o encarregado possa trabalhar. E esse é, na minha opinião, um dos maiores problemas da atuação do encarregado, porque ele, muitas vezes, vai incomodar a instituição. Acho que quase sempre, que nem o pessoal da segurança. (45:58) Mais ou menos. Quem é mais chato: o DPO ou o CISO? Podíamos fazer uma votação. Por que isso é assim? Porque sempre terei atribuições que são contrapostas. Terei tanto o CISO quanto o DPO como cargos que vão olhar para o negócio das instituições e apontar, muitas vezes, discrepâncias nessas intenções. “Olha, você até pode querer (46:37) fazer isso, mas, se quiser, estará violando tais e tais princípios ou regras aqui da ANPD.” Assim como o pessoal da segurança da informação, de maneira geral: “Você quer colocar esse sistema no ar em 15 dias…”. Aquela notícia, não sei se você vai trazer, mas saiu esses dias numa palestra de um gestor de TI. Eu queria ter comentado, esqueci. Calma que eu puxo (47:10) aquilo e trago para nós. Aquilo até tomou ares quase de piada. O sujeito diz: “Não preciso falar com a TI, agora simplesmente coloco…”. Deixa que eu vou trazer aqui. Eu acho que um dos pontos mais importantes aqui – tudo é importante –, a questão dos deveres dos agentes, de promover os meios, mas também de evitar conflitos de interesse. Esses conflitos, sobretudo, vão se dar quando eu tenho conflito entre as (47:42) atribuições. Por exemplo, o CISO e o DPO sendo a mesma pessoa, o gestor de TI sendo o encarregado, ou seja, eu teria conflitos de interesse aí. O parágrafo único do artigo 21 diz como devo afastar, mas o fato é que eu devo afastar. Há muitas outras áreas, o setor bancário por exemplo, que têm regras do Banco Central para lidar com conflitos de interesse, não somente nos aspectos de segurança e proteção de dados, mas também nos aspectos gerais da atividade bancária e financeira. Eu posso ter muitas situações de conflitos de interesse. (48:23) Quando expando isso para a conformidade bancária, terei questões como insider trading, o sujeito se utilizando de informações para ter ganhos pessoais. Acho que se coloca e se complementa agora, com essa norma, a atividade desse cargo tão importante, que é o de encarregado de proteção de dados pessoais. As empresas precisam ficar muito atentas a essas novas regras, justamente para, repito, além de afastar o conflito de interesses, não basta definir um encarregado, você precisa (49:00) permitir que ele trabalhe. E é muito comum vermos empresas que não permitem que o encarregado trabalhe. Fica aí a notícia, alguns dos itens dessa resolução e o convite para aqueles que nos escutam de dar uma olhada no documento e, de uma forma bem crítica, observar if a sua empresa está tratando e lidando adequadamente com essa questão do encarregado. Perfeito, Guilherme. Vou comentar rapidamente a questão da RockYou e trazer o vídeo. (49:32) No final do último vídeo que gravei sobre atributos de cibersegurança, a última live, que está aqui no canal do Segurança Legal no YouTube, na aba “Ao vivo”, no episódio “Atributos de Segurança”, mais para o final, o último assunto que trato ali é justamente dessa lista de 9,9 ou 10 bilhões de senhas vazadas. Lá eu explico (50:05) direitinho quais são as preocupações, mas aqui vou dar só um resumo para você ir para lá. São 9,9 bilhões de senhas, sim, mas não é conta e senha, ou seja, não são contas de usuários com as senhas que o pessoal pode pegar e sair acessando por aí. São 9,9 bilhões de senhas que vazaram em diversos vazamentos diferentes. A nova lista teria 1, (50:30) 5 bilhões de senhas novas. E por que estou falando “teria” ou “seriam”? Porque eu baixei essa lista, fui olhar o que tinha lá dentro. Eu já conhecia versões anteriores dela e tem muita coisa lá que não serve para nada, tem muito lixo, muito hash que nem sequer foi quebrado, misturado no meio. Claro que não é mais da metade da lista, eu fiz uma limpa para tirar essas coisas. E essas senhas que estão lá são de diversos vazamentos. Então, não se preocupe no sentido de: “Ah, não, vou ter que sair (51:08) trocando as senhas de todos os meus serviços, porque minha senha pode estar nessa lista e vão entrar na minha conta”. Dificilmente isso vai acontecer. Há vazamentos por aí que, sim, têm o nome da conta e a senha, e aí você tem que tomar cuidado. Existe um site chamado “Have I Been Pwned?”. Eu vou colocar o site aqui para vocês verem, mas vou colocar também no show notes. Nesse site, você coloca o seu (51:40) endereço de e-mail e ele lista para você quais foram os vazamentos nos quais o seu e-mail aparece. É interessante, se apareceu, aí sim é bom que você troque a senha, principalmente se estiver usando a mesma senha em vários lugares. Essa lista que vazou, a “RockYou”, foi compilada de vazamentos. Ela é bastante útil para um atacante fazer quebra de senhas de novos vazamentos. Então, vazou o banco de dados de um sistema, um site ou coisa parecida, o atacante vai pegar essa lista “RockYou 2024” e vai (52:18) usar essa lista para tentar descobrir as senhas que estão ali naquele vazamento. Essa é a resposta rápida. Quem tem que se preocupar com isso é quem desenvolve o sistema e tem algum tipo de vazamento, e a maneira como protege as senhas. E isso tudo eu explico no finalzinho do episódio “Atributos da Cibersegurança”, que está no nosso canal no YouTube. OK. Posso só fazer outra observação, Vinícius? Eu abri meu Twitter aqui e logo veio… na verdade, estava numa aba, não fui ver o Twitter enquanto você falava, eu estava trocando de aba. (52:54) Eu faço a mesma coisa. E tinha uma conta, Felipe Rêgo, que foi respondida pelo Diego Aranha, por isso que apareceu, que fala que teve um apagão tecnológico porque a Microsoft lançou um update. Acho que talvez ele esteja desatualizado aqui, ou me parece que já está definido que não foi a Microsoft. E ele diz: “Mais de 90% da infraestrutura de sistemas de tecnologia está em Linux. O que estamos vendo é, no máximo, um tropeço tecnológico.” (53:25) “Se um dia o Kernel do Linux fizer um update…”, aí ele usa um palavrão, “aí sim teremos que nos preocupar”. Aí o Diego Aranha diz: “A diferença fundamental hoje em dia é que o Linux está no backend. Depois de consertar, os serviços voltam rápido, veja os apagões da Amazon. Apagão generalizado no Windows, nas pontas, força o conserto de cada máquina individualmente”. Foi um pouco do que você falou antes. “Dito isso, penso que a arquitetura de sistemas Unix impede essa lambança de software proprietário de segurança rodando em espaço de kernel, (53:57) tanto porque precisa menos, quanto pela separação mais rigorosa entre kernel e userland. O systemd está, vagarosamente, degradando essa vantagem”, diz o Diego Aranha. É, claro. Respeitosamente, um abraço ao Diego Aranha, se nos estiver ouvindo. Mas vou discordar um pouco, porque é o seguinte: esse software, o CrowdStrike, quando instalado, precisa de acesso de baixo nível no kernel. (54:37) É bem tranquilo dar esse tipo de acesso para um software no Linux. Então, de repente, aconteceria a mesma coisa, vamos supor, que a CrowdStrike oferecesse um módulo para Linux, um módulo vinculado ao kernel, carregado junto com o kernel. Claro que o kernel tem uma série de separações, de mecanismos de segurança, mas, se o usuário quiser dar acesso, ele vai dar. E amanhã ou depois, dá um pau qualquer e o sujeito mexe no kernel, mexe no módulo, e a máquina deixa de inicializar. Quantas vezes, Guilherme, (55:14) nós, usuários de Linux há muito tempo, quantas vezes já aconteceu de um software mexer em um módulo do kernel e ferrar com o boot? Para mim, nunca. Nenhuma vez? Não, nem vem. De esculhambar com a imagem de boot do kernel e, de repente, não inicializar mais? É raro, mas para mim aconteceu algumas vezes. As vezes que aconteceu, exigiu uma ação manual para voltar. Então, tem a possibilidade, desde que se instale um único sistema que tenha acesso às funcionalidades mais (56:00) fundamentais do sistema operacional e possa modificar essas coisas de alguma maneira, temos risco, sim, de um problema massivo envolvendo diversos servidores. Ele não diz que não há risco, ele diz que impede essa lambança. Se colocar um software que gerencia um monte de máquinas Linux, proprietário ou não, que tenha a possibilidade de mexer como (56:37) root lá nas máquinas, ele tem, sim, o potencial de causar um problema idêntico. Talvez estejamos falando de coisas diferentes, mas ele tem um potencial. É só instalar o software em tudo que é máquina Linux que você tem, e esse software gerencia pacotes. Pronto. É só essa funcionalidade. Aí você erra na hora de instalar um pacote de kernel, uma atualização de kernel, e a máquina não inicializa mais. Estou me lembrando aqui que os problemas que eu tive foi que a minha partição de boot era muito pequena, e aí quando enchia, ele não (57:16) inicializava mais, lembra disso? Sim, mas isso não é por um processo de gerenciamento. Nota que isso é um problema da atualização do kernel que o Ubuntu faz. Não verifiquei se outros fazem, mas ele vai mantendo versões do kernel que não estão sendo utilizadas, e isso acaba entupindo a partição /boot, e depois o negócio não inicializa, dá um pau na atualização. E aí exige uma ação manual. Então, se tiver um gerenciamento centralizado com acesso a todas as máquinas, com a capacidade de (57:53) modificar o sistema operacional de alguma maneira – algum parâmetro, pacote, configuração de rede ou qualquer coisa – e o negócio der errado, os caras mandarem um pacote, um script com erro, por exemplo, ele vai tirar tudo do ar, massivamente também. E, como o próprio Diego falou, vai ser pior ainda, porque vai ter muito mais máquina atingida, pensando em infraestrutura Linux. É concentrar em um único fornecedor que consegue, por sua conta própria, disparar uma atualização massiva nos (58:30) servidores dos seus clientes, que foi o que a CrowdStrike fez. Mas, enfim. Fala. Eu vou trazer, então, a pedido. Eu tinha esquecido disso, Guilherme, ainda bem que você lembrou. Deixa eu baixar um pouquinho a tela. Eu vou ligar o áudio, espero que… ah, não vou conseguir botar o áudio. Eu vou ter que compartilhar o link. Só diz o (59:14) que foi. Foi um evento de TI, o Febraban Tech 2024. Um consultor da Caixa Econômica Federal, que presta consultoria para a Caixa, foi falar sobre inteligência artificial e acho que ele meteu os pés pelas mãos, falou muita bobagem. Teve gente que se estressou, gente achando que era piada. O sindicato dos trabalhadores de TI de São Paulo, (59:57) o Sindpd, mandou um comunicado para a Caixa, e a Caixa se manifestou dizendo que não concorda com aquilo. Teve gente que criticou o sindicato, outros não, foi uma zona. Mas o que interessa é o seguinte: o que me chamou muita atenção foi o consultor colocar que, com a IA, ele tirou – são palavras minhas, resumindo o que ele falou – (1:00:30) a TI do loop. Ele conseguia resolver as coisas diretamente, sem se preocupar com compliance e proteção dos dados. Em vez de ter que pedir uma coisa para a TI e levar 15 dias para ver se a segurança permite, se a proteção de dados deixa, se vai ter o compliance, ele estava furando isso usando IA e dando os dados (1:01:05) direto para a IA, sem ter que se preocupar com a TI. Isso gerou uma reação. Um aspecto é que o pessoal ficou bravo porque os profissionais de TI estavam sendo desrespeitados, e concordo. Mas o que mais me chamou a atenção foi um cara que dá consultoria para um banco falando que ele está mandando o compliance às favas. Mais ou menos isso. Ele diz isso. Esse negócio de compliance de uso de dados, a gente pega e faz, depois a gente vê. (1:01:45) Esse negócio de segurança, a gente põe para funcionar e depois vê o que vai fazer. Eu dizia isso como piada nas minhas aulas de segurança da informação, e esse cara é a personificação real dessa piada, que é esse lance de dizer que compliance não importa, segurança não importa, a gente põe para rodar e depois vai ajeitando. Palmas para o profissional. Eu acho que isso, falando sério, porque é engraçado pelo (1:02:29) absurdo, mas acho que sim. Esse senhor, acho que ele sabe que as coisas não são assim, num primeiro momento, mas, ainda assim, ele verbalizou algo. E aí, eu acho que esse é o ponto: é como as pessoas, às vezes, se traem, a depender do ambiente em que estão. É o ato falho, entendeu? Sabe quando você sabe que não pode dizer aquilo, mas acredita no contrário e diz? Por que eu acho que isso é sério? Porque está errado o que ele falou. (1:03:05) Vai descumprir… Veja, ele não está falando em um mercado não regulado, ele está falando em um evento que lida com um mercado ultrarregulado, inclusive em segurança da informação. Altamente, não, totalmente regulado. Então, se ele está dizendo isso, ele está colocando as instituições ali envolvidas em um problema regulatório, de descumprir regras do agente regulador, que é o Banco Central. Tem esse problema. Agora, acho que o problema maior é que ele, eventualmente, está representando o que muita gente pensa, mas (1:03:39) sabe que está errado e sabe que não pode fazer. Quer ver como é bem fácil perceber que está errado? Pode fazer um exercício, pode ficar só no exercício. Se quiser fazer na prática, faça, depois chame a Brown Pipe para ajudar. Não siga o exemplo, siga literalmente o que ele está dizendo para fazer: ponha o sistema no ar sem testar. Desenvolva assim: tente atropelar os processos da TI. Tente fazer o pessoal que diz “para desenvolver isso, preciso de 30 dias, 60 dias” desenvolver em uma semana, em 15 dias. (1:04:18) Mande o compliance às favas, não se preocupe com segurança e vamos ver o que vai dar. A gente vê esses vazamentos de informações, a galera se virando com ransomware, como aconteceu esses dias. A gente vê o pessoal mexendo em conta bancária. É só pensar, fazer um exercício. E antes de entrar na discussão se os processos deveriam ser mais rápidos ou ágeis, o que se pode discutir, não vejo problema nenhum. Se é um exagero ou (1:05:04) não, tem que fazer esse equilíbrio. É aquela velha questão entre segurança e comodidade, segurança e usabilidade. A gente sabe que, quanto mais segurança, a usabilidade tende a ser prejudicada. Tem que usar biometria, tem que confirmar não sei o quê, faço uma compra no site, tenho que confirmar no celular… tudo isso é mecanismo de segurança que, de alguma forma, me atrapalha na hora de fazer uma compra. Que bom seria se eu dissesse “o número do meu cartão é 1234” e pronto, (1:05:34) compra feita. Só que, se for só assim, vai aumentar a fraude com cartão. Pode-se discutir isso. Agora, achar, quando o sujeito coloca uma ideia dessas de “vamos fazer tudo de qualquer jeito e depois a gente vê para consertar”, é só parar e pensar um pouco. Se eu fizer isso, vou destruir o negócio. Talvez alguém mais inconsequente pense: “Se der problema, não é meu problema”. Aí, talvez o outro pense: “Se isso estourar, vai ser no meu colo, (1:06:16) eu não vou querer fazer isso”. É só raciocinar um pouco, porque não faz sentido o que esse cara está falando. Ele está falando de expor as empresas a um risco de segurança e regulatório absurdo, incompatível… é idiota, uma ideia idiota. Mas é como eu disse, do ponto de vista jurídico, é um absurdo, porque você tem regras obrigatórias para serem cumpridas. E a empresa vai decidir descumprir regras obrigatórias? Claro que nenhuma (1:06:54) empresa, sobretudo regulada, vai dizer que quer descumprir voluntariamente. Mas, talvez, e espero que ele seja o único, mas acho que não, ele, simbolicamente, traz à tona, e por isso que é mais sério, o que muita gente pensa. Dá voz a uma forma de pensar. Exato. Porque, no dia a dia, faz isso sabendo que está errado, mas depois chega e diz: “Não, a gente tem que ver o compliance, olhar para a LGPD”. É um pouco uma relação com a questão do encarregado, ou seja, não basta ter o encarregado, eu tenho que dar insumos para ele trabalhar, (1:07:33) tenho que dar meios para ele cumprir sua atividade. Esse é o ponto. Guilherme, olha só: vamos subir no avião a uns 2.000, 3.000 metros de altitude, você pula e depois eu vejo o paraquedas para você. Vai firme, pula. É descumprir demandas regulatórias, não se preocupar com a segurança. Depois que você pulou, que a coisa está rodando, aí você se dá conta que está sem o paraquedas que precisa. E aí bate o desespero: como é que eu vou botar esse paraquedas no meio do caminho? Porque, no momento que dá um incidente, (1:08:12) qualquer confusão relacionada a um sistema que tem algum tipo de vulnerabilidade que não foi tratada, ou alguma falha no cumprimento de alguma demanda regulatória, quando você está respondendo, começa a pensar: “Por que eu não fiz isso?”. É como quando você se pergunta: “Por que eu não fiz o backup?”, depois que perdeu seu HD inteiro em casa. Podia ter feito um backup, mas agora não adianta mais nada. Agora você vai ter que se virar, ver o que consegue recuperar. (1:08:42) Cinto de segurança você põe antes de um acidente, não depois. E um paraquedas você põe antes de pular, não depois. Tem gente que faz depois. Eu nunca saltaria de paraquedas. Nem antes. Então você nunca vai… não sou o cara de esportes radicais. Quando vou fazer o seguro de viagem e perguntam “vai fazer esportes radicais?”, eu marco não e não vou fazer mesmo. Bungee jump, essas coisas… radical para mim é andar de elevador. (1:09:20) Minha última aqui, Vinícius, seria sobre como os países identificam a fake news. Foi um relatório, um estudo feito pela OCDE, que investigou a questão da desinformação de maneira geral. Com base nesse estudo, feito em 21 países, que analisou o comportamento de 2. (1:09:57) 000 pessoas… claro, é um tipo de estudo muito difícil de fazer, porque identificar ou não fake news depende de uma série de variáveis diferentes. É algo difícil de se medir, mas acho que eles foram bem. O primeiro problema aqui não é só a questão de uma atuação maliciosa dos emitentes, envolve também as condições nas quais a desinformação vigora, e isso envolve até mesmo a própria formação das pessoas. Te mandei um link aí para mostrar, bem no fim, Vinícius, porque eu caí nessa hoje, fiquei apavorado quando vi. (1:10:35) O que eles acharam ali nesse estudo? Algumas coisas. Primeiro, a capacidade de perceber ou identificar conteúdo falso ou enganoso não está correlacionada à capacidade que você acha que tem. Esse é um primeiro ponto. Às vezes, as pessoas acham que são muito boas em fazer isso, mas essa autopercepção não (1:11:13) afeta a realidade do conteúdo. Talvez seja um pouco de Dunning-Kruger, quando você acha que é bom naquilo, mas nem sempre é. No final das contas, a regra acaba sendo que as pessoas acham que são melhores em identificar fake news do que sua capacidade real. Esse é o primeiro ponto medido. Não está me assustando, mas continue. É, porque eu, por exemplo, me acho uma pessoa boa em identificar isso, apesar de ter caído nessa que te mandei. Depois, as pessoas identificam (1:11:51) melhor situações de sátira do que de desinformação contextual, aquela coisa de pegar uma informação verdadeira, dobrá-la ou omitir um pedaço para dizer uma coisa contrária. O tema do conteúdo não afeta a capacidade de identificar sua veracidade. Isso eu achei muito interessante, porque às vezes a gente é alertado pelo tipo de tema. “É questão política, tenho que tomar mais cuidado.” Mas nem sempre isso é verdade, segundo ele colocou aqui. (1:12:29) Tem uma série de dados. Claro, ainda tem as questões metodológicas a se avaliar. Eles mesmos colocam que a interface do estudo simulava postagens de mídia social, o que poderia afetar a forma como os participantes avaliavam o conteúdo. E eles chegam à conclusão de que compreender a fonte das notícias é importante para estabelecer as estratégias. No final das contas, como os grupos da OCDE vão lidar com isso? E aqui eu vou ler um pedacinho que eu (1:13:08) separei, que achei interessante: “Países com as maiores porcentagens de entrevistados que obtêm suas notícias das redes sociais têm pontuações gerais mais baixas no ‘TruthQuest'” – é o nome da medida que eles fizeram. “Inversamente, países com as maiores pontuações no ‘TruthQuest’ também têm as menores percentagens de pessoas que obtêm suas notícias pelas redes sociais. Esta é uma descoberta contraintuitiva, dado que a interface do ‘TruthQuest’ imita uma postagem de redes sociais. A priori, esperava-se que as (1:13:43) pessoas que veem notícias com mais frequência nas redes sociais fossem mais habilidosas em detectar conteúdo falso e enganoso nesse mesmo ambiente”, e isso não aconteceu. E, por fim, quero falar sobre a posição do Brasil nesse estudo, Vinícius, porque o Brasil ficou em último lugar nos países medidos por esse estudo da OCDE. Tem um gráfico aqui. A diferença entre o último e o primeiro (1:14:19) não é tão grande assim, Vinícius. Não é um negócio de 90% e 10% do outro lado, como a gente poderia imaginar, porque vemos tantas pessoas no Brasil caindo e acreditando em coisas absurdas. Você poderia pensar que o Brasil está em último lugar e, portanto… não é isso, porque a diferença entre o mais bem colocado, que foi a Finlândia, que conseguiu identificar 66% das vezes o que é fake, e o Brasil, (1:14:58) que conseguiu identificar 54% das vezes, é de 12%. 66 menos 54 é 12. Eu estava acessando o Twitter enquanto você falava. Então, não é uma distância absurda, mas é importante. E também essa questão do destaque: quanto mais as pessoas obtêm suas notícias pelas redes sociais, isso influencia, e é a nossa realidade. E a nossa realidade, por diversas questões… acho que tivemos um pouco essa contribuição, isso quem fala sou eu, não lembro de ter visto no estudo, que é (1:15:45) aquela questão do “zero rating”, que no Brasil funcionou muito bem. Agora já estão querendo rediscutir a questão, mas o sujeito não sai do WhatsApp e do Facebook, ele fica no que recebe ali. Potencialmente, isso pode ter interferido também. Claro, aqui eles medem de maneira geral todos os países que se informam via redes sociais, mas essa constatação de que se informar por redes sociais te torna menos apto a enxergar a desinformação e as fake news é algo (1:16:17) muito importante para políticas públicas e sobre como os países devem se posicionar e lidar com a questão da desinformação. Mas esta informação de que o Brasil ficou em último lugar, infelizmente, eu não gostaria que fosse assim. Quer que eu mostre agora? Mostra. Deixa eu fazer a pergunta: Guilherme, já entendeu? Fake ou verdadeiro? O Globo, lá em Las Vegas, atingido pelo “strike”. É que a gente tem aquela Las Vegas Sphere, aquela (1:17:02) mistura de cinema 360 e casa de show. É muito bonito. É uma casa de show que também é um cinema 360, teve um show do U2 lá. Você consegue ver de fora o que está sendo projetado no The Globe. E aí postaram uma imagem nas redes sociais da tela azul do Windows. E quem está falando que é o CrowdStrike sou eu, não é o que está escrito. Verdadeiro ou falso? Pois é, teve essa do verdadeiro ou falso, e na verdade eu caí nela. Esse pessoal do Snopes (1:17:40) fez um fact-check e verificou que, na verdade, era fake. Mas é um bom fake, eu gostei. Bem feitinho. Não é uma coisa assim… os caras submeteram a imagem a um Photo forensics para verificar, ou seja, ninguém vai pegar uma imagem desse negócio e fazer uma análise forense para saber que é fake. Porque, veja, é factível, poderia ter acontecido, seria possível. Não sei como funciona o sistema lá, mas, aparentemente… mas é aquele cuidado. Eventualmente, nós vamos cair, esse é o (1:18:15) ponto. Porque, na média, o brasileiro só conseguiu identificar em 54%, um pouquinho mais da metade, enquanto a Finlândia, o melhor, 66%. Mas, de fato, cara, olhando o gráfico, a diferença é mínima. É 12%, mas me assustaria se o pessoal estivesse identificando 70-80% lá na Finlândia e no Brasil 15-20%. Mas não foi o que ocorreu. A situação não é tão ruim assim. Não, eu acho que está todo mundo ruim. Porque (1:18:56) mais da metade das vezes foi possível identificar, mas ainda está sobrando ali quase metade das notícias falsas não identificadas. E a gente sabe muito bem que o fake corre muito mais rápido do que a verdade, do que o fato. Aquela velha questão: o fake se alastra que nem pólvora, e depois que vem o fato desmentindo, ninguém dá bola para o fato mais. São tempos em que não importa mais isso, seja porque você, ao publicar o fake, quer (1:19:35) popularizá-lo, quer que ele atinja mais pessoas. Mas, ao mesmo tempo, a gente sabe que o meio importa. E o efeito que a pessoa que faz um fake quer, ela obtém. Ela faz e, até vir o fato desmentir, ela já teve o efeito que queria. Isso quando é malicioso, quando o sujeito faz de propósito. Porque (1:20:12) eu poderia ter divulgado isso aqui para você achando “Bah, olha o que aconteceu”, e você iria acreditar porque confia em mim. Mas não foi maliciosamente. Acho que eles não mediram esse aspecto malicioso. Enfim, é preocupante. Ainda que sobre ali 20%, 10% que sobrasse de fake news não identificada, eu ainda acho que é um número alto, justamente por causa desse efeito que a fake news normalmente tem. Porque quando a (1:20:43) gente vai fazer uma chamada em um vídeo, nós aqui do Segurança Legal, a gente se preocupa em fazer uma coisa que seja real, que não seja enganosa. Mas quem está fazendo fake pega isso aqui e diz: “O brasileiro é o mais fácil de ser enganado no mundo por fake news”. Isso não está exatamente mentindo, é verdade, mas está forçando a barra. (1:21:18) Está forçando a barra, mas não chega a ser mentira, concordo. Mas você entende o que quero dizer? Você faz a coisa de um jeito para chamar a atenção. E o sujeito que quer mentir mesmo, vai exagerar isso aqui, de um jeito que nem eu consigo imaginar. Mas, vamos supor, “o brasileiro, para variar, está muito abaixo da média mundial de quem consegue identificar uma verdade na internet”, o que não é verdade, aí estaria mentindo, já que a gente viu pela (1:21:57) média ali que estamos bem perto da média. Mas é o problema do fake, da fake news e dos fatos. É complicado, eu diria. Mesmo para a gente, tem situações que não conseguimos mais discutir. Tudo bem. Café expresso e café frio. Eu não sei, Vinícius. Eu sei, meu café frio vai para a CrowdStrike, que fez um strike na crowd. A minha também, claro, óbvio. Fez um strike. Lembrando que temos que aguardar para ver o que aconteceu, os efeitos disso. Até o momento, é uma atualização (1:22:44) de um driver que foi enviado pela CrowdStrike para os sistemas que estavam rodando o software, e que, por causa desse problema, a máquina não inicializava mais e dava tela azul. Tanto que a solução é apagar um dos arquivos e reiniciar, em algumas situações até 15 vezes. Café frio vai para eles, mas não temos mais informações, não sabemos as circunstâncias. Vai que descobrem que não foi um erro da CrowdStrike, foi alguma outra coisa fora do controle deles. (1:23:26) Vamos ver, talvez surjam coisas novas. Se surgir, a gente traz para cá. Mas meu café frio vai para eles, porque olha a zona que deu no mundo afora. E o expresso, Guilherme? Eu sei para quem vou dar. Vou dar um café expresso para todos os encarregados de proteção de dados no país, que agora têm uma regra. Eles vão precisar de muito café expresso. Preparem o café expresso, galera, e escutem o Segurança Legal. Ajuda também. (1:24:02) Meu café expresso vai para a pesquisa que foi feita aqui sobre a… mandando o café expresso para a OCDE. Para eles, porque esse tipo de estudo é muito interessante, temos que refletir sobre isso. Quando surgem essas discussões de “vamos proibir fake news”, como se fosse uma coisa fácil, não é bem proibir, é regular, combater, regular as redes. Eu acho que a gente resolve (1:24:41) mais fácil essas coisas quanto mais informação tivermos sobre elas. E fazer esse tipo de levantamento aqui, acho que é algo bem importante que a OCDE se propôs a fazer. Gostei. Café expresso para eles. Eu vou ler o relatório. Boa sorte. 47 páginas, não é um livro gigante, mas se não estiver com muita paciência… Agradecemos àqueles e àquelas que nos (1:25:14) acompanharam até aqui. Nos encontraremos no próximo episódio do Segurança Legal. Até a próxima! Até a próxima! A gente continua gravando aqui mais uns minutinhos, enquanto estamos encerrando algumas coisas. Eu acho que estou sofrendo… não falei na gravação, mas meu vídeo está bom para você? Perfeito. O teu retorno aqui está totalmente zoado. Às vezes é o servidor do Discord, não dá para trocar no meio do caminho. (1:25:53) Mas está tudo certo. Eu tinha deixado de fora, tinha bastante coisa hoje. Tinham duas notícias aqui, ainda três sobre Deepfake porn e como isso está sendo um problema cada vez maior, sobretudo para mulheres e meninas. E aí um pouco essa questão que eu ia falar sobre o risco e sobre como nossa sociedade permite que se criem coisas que possam colocar muita gente em situações de vulnerabilidade. “Ah, mas a IA é neutra…” Até aí. Mas, ao mesmo tempo, essa (1:26:33) incapacidade de evitar ou controlar certos desenvolvimentos, essa dificuldade que a nossa sociedade atual tem, em prol desse pretenso benefício que ainda não está sendo muito bem medido, benefícios e malefícios. O fato é que Deepfake porn passou a ser um problema agora. E também um pouco essa questão dos ganhos substanciais. Teve um economista francês, o Antonin Bergeaud… essa pronúncia aí ficou… Você está fazendo mocking do meu… (1:27:19) Acabou, estou livre para fazer o que eu quiser. Ele basicamente está dizendo que tem, sim, profissões ameaçadas. Isso mudou ao longo do pouco tempo que já veio a IA. Ele trouxe para esse rol os contadores e o pessoal de telemarketing, que vão ser os mais afetados. E você tem, entre os menos expostos, segundo esse estudo, enfermeiros, cabeleireiros e profissões de construção civil. E os próprios advogados, que pretensamente se tinha colocado como um grupo blindado, ele disse que agora há (1:28:01) mais dúvidas sobre como advogados, arquitetos e jornalistas… Ele apresentou esse estudo no Fórum BCE. É uma reportagem lá de Portugal. E aí, fui atrás de um estudo que ele coloca sobre a questão de como a gente vai avaliar esse grau de possibilidade de automatização que cada atividade, cada profissão tem. Nós vamos ter… tem uma coisa, vou compartilhar com vocês aqui, que me chamou a atenção. Não vou (1:28:46) dar muitos detalhes, não vou citar nomes. Uma pessoa me relatou, e não fui eu, não é aquela coisa de “um amigo meu”. Mas uma pessoa me relatou o seguinte: ela precisava de um laudo técnico numa determinada área que ela não tem nenhum conhecimento, zero. Mas ela usou o ChatGPT para fazer o laudo, ela tinha as informações que precisava constar no laudo. E o ChatGPT fez o laudo. (1:29:26) Aí, essa pessoa levou para alguém da área que poderia assinar aquele laudo. E essa pessoa analisou o laudo e disse: “Não, está perfeito”, e assinou. Então, você percebe que tem esse risco, não de dar errado, mas no momento em que um leigo em um dado assunto consegue fazer um laudo técnico que uma pessoa que é quem pode assinar esse tipo de coisa assina sem problemas, dando aval em tudo. Leu e concorda com aquilo. (1:30:06) Esse emprego está em risco, não acha? A parte de escrever, claro. A questão técnica do sujeito ir lá avaliar é outra questão. E se é legal ou não fazer isso que acabei de descrever, é outra questão também. Mas me parece que esse profissional vai sumir. Tinha outra notícia que eu tinha anotado, que lá em Portugal o ganhador do Prêmio Pessoa 2023 foi um sujeito da Igreja. Você pronunciou em francês antes, vai ter que falar Pessoa… Pê-ssoa. O prêmio (1:30:51) Pessoa. Quem ganhou foi um cardeal, Dom José Tolentino Mendonça. Mas ele falou uma coisa… e, claro, o podcast Segurança Legal não tem religião, é que nem o Estado. Mas não quero fazer proselitismo aqui falando de um sujeito da Igreja Católica. O fato de ele ser da igreja não significa que a gente não possa olhar para o que ele diz e avaliar criticamente. Acho que ele foi (1:31:27) muito feliz ao dizer a seguinte frase: “Não podemos simplesmente delegar o futuro nas mãos de um processador de algoritmos”. Por quê? É óbvio, mas ele continua, dizendo que a inteligência artificial, para estar realmente a serviço das pessoas, deve ser associada a uma inteligência que não é apenas a das máquinas, mas a multimídia inteligência humana, que torna possível em nós o espanto e a poesia, a gratidão e o perdão, a alegria, a compaixão ou o amor. Colocado de outra forma, de uma forma (1:32:03) mais laica, eu diria, é uma tecnologia que deve observar também o cuidado humano, o bem-estar humano, colocando a pessoa no centro das preocupações, que é o famoso princípio na inteligência artificial, o princípio da centralidade da pessoa humana. A pessoa deve estar… estou falando em pessoa e nem me dei conta que o nome do prêmio é Prêmio Pessoa, claro, para o Fernando Pessoa, mas no final as duas “pessoas” se encontraram aqui. Sabe que isso é muito bonito, eu concordo, e não por ser católico, porque não sou. (1:32:46) Mas acho que, infelizmente, enquanto não tiver uma mudança de postura, e é uma coisa meio utópica o que vou colocar, das pessoas ou de quem tem condições de fazer essas coisas acontecerem, acho que vai ficar só no blá-blá-blá. Por quê? Como você acha que alguém que acha que as pessoas têm que trabalhar para além da carga horária, senão são preguiçosas ou não querem nada da vida… sabe essa visão de que tem que morrer trabalhando? É um exemplo só que estou pegando. Ou que você pode desrespeitar os horários de (1:33:29) descanso das pessoas e fazê-las trabalhar no final de semana porque tem que atingir a meta, e que, se nós queremos todos ser felizes, temos que ganhar bastante dinheiro e nos acabar trabalhando para um dia ter riqueza e poder ostentar? Enquanto tiver esse pensamento, fico imaginando o que vão fazer com a IA. Porque essa galera, os que ficam em evidência, não são todos, mas aqueles poucos que dão certo e ficam em evidência, que defendem esse tipo de tese, vão ter condições de usar a IA para tornar a vida dos outros mais miserável, saca? Com usos (1:34:08) absurdos de IA. Então, acho que, no final das contas, e discordo disso, é a grana que vai mandar, é o dinheiro que vai mandar nessa coisa. E quem está com o dinheiro na mão… eu tenho uma expectativa muito grande com relação a esse negócio da IA, de verdade. Tenho uma esperança de que a IA, de alguma forma, possa ser bem aplicada e nos traga mais (1:34:45) bem-estar, melhor acesso a atendimento médico, a informações de maior qualidade, e talvez opções onde falta instrução, que a IA possa ajudar nesse processo. Acho que tem muita coisa que a IA pode nos ajudar, um potencial de coisas legais muito grande. Por outro lado, acho que a gente pode pôr tudo isso a perder, ou isso ficar em segundo plano, a depender de quem vai bater o ritmo da marcha, sabe? De quem tem (1:35:28) condições de direcionar essas coisas. A gente sabe quem vai dar o ritmo, esse é o ponto. E tinha outra notícia, sobre como os trabalhadores que treinam IA têm condições muito terríveis, trabalho precário, indigno, que acaba com eles. Esses trabalhadores que ficam, por exemplo, taggeando conteúdo para treinar a IA, dando aquele feedback. Basicamente, um estudo que mostra (1:36:05) que o trabalho deles é desumanizante, e pior, acabam pegando pessoas marginalizadas, minorias, migrantes. Já pensou? Estou dando uma viajada, mas, por exemplo, a interface cérebro-máquina, que a gente fica pensando como uma forma de o nosso cérebro controlar o computador ou receber informações. Já pensou na hora que você puder usar essa interface não para você se utilizar de algo que está fora, mas para algo de fora utilizar seu cérebro para ser treinado? (1:36:49) Mas isso já está acontecendo, não diretamente com uma interface de cérebro, mas a grande busca agora do Meta, por exemplo, e toda essa questão da ANPD, aquela decisão provisória de interromper o treinamento da IA da Meta com os dados das redes sociais, é que o que se quer cada vez mais é buscar as interações pessoais que as pessoas têm. Não é só varrer a internet em fóruns, é ir mais fundo ainda. (1:37:27) A busca de todas essas empresas é por quem vai conseguir usar todos os dados pessoais de forma descontrolada, que é o que eles querem. E aí, tenho uma disparidade entre ética… e volto um pouco naquela história do sujeito lá do banco: “ah, vamos fazer de qualquer jeito”. Infelizmente, essas coisas estão acontecendo também na IA, nas desenvolvedoras que estão, sim, violando ao redor do mundo leis de proteção de dados e regras até mesmo éticas. E essa coisa, no final, para a gente já ir terminando… (1:38:07) desde a década de 60 você tem sociólogos, o próprio “1984” fala um pouco sobre isso, sobre como a tecnologia pode tornar uma sociedade totalitária, o papel da tecnologia na vigilância e tudo mais. Claro que tem benefícios, óbvio, a gente reconhece, mas tudo tem um potencial positivo e negativo. A questão é: a nossa sociedade está pronta para colocar a centralidade da pessoa humana ou é uma questão de ver (1:38:50) quem vai ganhar mais dinheiro às custas da saúde mental ou do bem-estar de todo mundo? Esse é um ponto. Minha esperança é que sim, meu voto é que vai ser. Aos trancos e barrancos, vai ser. Tomara. Olha para trás, um século, dois séculos, olha a m… que a gente era, em geral. Claro que tinha um ponto de luz aqui e ali, mas o ser humano (1:39:25) era muito pior. A gente melhorou. Então, acho que talvez a gente consiga melhorar também. Considerando a estupidez que nós tínhamos no passado, de novo, as luzes aqui e ali, mas a falta de instrução, as pessoas mais ignorantes, sem acesso à educação. O sistema público de educação foi uma inovação. Antes, quem estudava era quem podia ter um preceptor. (1:40:08) Quem tinha o direito de estudar. Hoje, a coisa, embora meio ruim a qualidade de maneira geral, dá para melhorar, mas dá para piorar bastante também. Eu tenho esperança, olhando historicamente onde nós estávamos e onde nós estamos, de que a gente melhore as coisas e não use só para o mal. Não é possível que a gente seja tão burro como humanidade. É o estado de (1:40:50) coisas, e como o mundo se tornou, as forças de poder no mundo se colocam para buscar qual objetivo. É, vamos encerrando então, Guilherme. Já vou encerrando pedindo desculpas aos nossos ouvintes, estou meio resfriado e descabelado, com uma cara de que posso ir para a cama e levantar assim. Estou muito arrebentado, estava tirando minha câmera toda hora porque (1:41:32) tinha que espirrar. Mas deu certo. Semana que vem, Guilherme, vou estar disponível a partir de quinta-feira, então talvez a gente consiga gravar na sexta. Fica aí para os nossos ouvintes que pode ser que a gente não consiga, mas tudo indica que sim. E eu já avisei lá na live de terça-feira que nesta terça que vem não vai ter, com certeza, mas na outra vai ter. Já avisei o pessoal e aproveito para avisar aqui de novo. Um abraço, pessoal. Valeu! Um (1:42:02) abração, valeu.  

 Ajude as vítimas de enchentes no RS (Sugestões de doações via PIX, Sugestões de outras instituições recebendo donativos)  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria Neste episódio, Guilherme Goulart e Vinícius Serafim conversam sobre o uso de softwares espiões pelo governo e os limites da vigilância estatal. Você irá descobrir os riscos dessas ferramentas para a sua privacidade e para a democracia.​ Com a participação de Ana Barbara Gomes e Luisa Dutra, do Instituto de Referência em Internet e Sociedade (Iris), o debate aprofunda a discussão sobre a vigilância estatal e o uso de softwares espiões como o Pegasus. As especialistas analisam a ADPF 1143 no STF, os perigos do hacking governamental para os direitos fundamentais e a privacidade, e a ineficácia da interceptação telefônica diante da criptografia ponta-a-ponta. A conversa aborda o frágil equilíbrio entre segurança da informação, investigação criminal e o risco de abuso de poder, além do papel da LGPD Penal na proteção de dados. Se você gosta de discussões sobre direito e tecnologia, siga o nosso podcast, avalie e compartilhe para não perder nenhuma análise. ShowNotes Episódios do Segurança Legal citados 2013-04-15 – Episódio #23 – Nova lei de crimes informáticos – Parte II 2013-04-15 – Episódio #22 – Nova lei de crimes informáticos – Parte I 2013-06-18 – Episódio #28 – PRISM – Privacidade X Segurança 2015-05-08 – Episódio #75 – Cavalos de troia do estado 2015-07-17 – Episódio #80 – HackingTeam 2015-10-09 – Episódio #86 – PL Espião 2016-03-26 – Episódio #98 – Grampos Telefônicos no Estado Brasileiro 2017-04-20 – Episódio #123 – Infiltração Policial na Internet 2021-07-19 – Episódio #289 – O Projeto Pegasus 2023-10-28 – Episódio #352 – Abin e o monitoramento estatal Imagem do episódio – ISS Composite Star Trail Image 📝 Transcrição do Episódio (00:00) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia. Eu sou Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? E aí, olá, Guilherme, olá aos nossos ouvintes. Pela segunda vez, vocês não têm ouvido, mas olá. Sempre lembrando que para nós é fundamental a participação dos ouvintes por meio de perguntas, críticas e sugestões de tema. Para isso, estamos à disposição pelo Twitter (ou X) no @segurancalegal, pelo e-mail [email protected], (00:31) no YouTube (youtube.com/segurancalegal) e também no Mastodon no @[email protected]. Também temos a nossa campanha de financiamento coletivo lá no Apoia-se: apoia.se/segurancalegal, onde você consegue ver as formas de apoio, as recompensas e também ficará aqui no nosso show notes as nossas indicações. A gente costuma falar e está sempre comentando sobre as questões das enchentes aqui no Rio Grande do Sul, então deixamos uma lista para quem quiser doar. Você pode fazer a doação (01:09) em algumas instituições, com algumas formas de doação que a gente indica no nosso podcast. Hoje, pessoal, nós temos duas convidadas que já estão aqui conosco acompanhando a abertura do Segurança Legal. Estamos falando com a Luísa Dutra, pesquisadora e líder de projeto do Instituto de Referência em Internet e Sociedade (Iris), nosso querido Iris, e doutoranda em Ciências Criminais pela PUC aqui do Rio Grande do Sul, nossa conterrânea, realizando período sanduíche na Universidade de Ottawa, no Canadá. E aí, (01:41) Luísa, tudo bem? Oi, Guilherme, tudo bom? Oi para todo mundo que está nos ouvindo aqui também. Grande prazer estar aqui com vocês. O prazer é nosso. E também Ana Bárbara Gomes, diretora do Instituto de Referência em Internet e Sociedade, o Iris, mestre em Política Científica e Tecnológica pela Unicamp, de volta no Segurança Legal. E aí, Ana, tudo bem? Ei, pessoal, que bom estar aqui de novo. Bom dia para quem é de bom dia e estou muito feliz de estar aqui mais uma vez. Ótimo. Nós ficamos muito felizes e honrados de contar com a participação de vocês para falar hoje sobre todas essas questões envolvendo o tema da vigilância e as (02:21) tentativas, esse vai e volta que o governo brasileiro… e não só no Brasil, mas no mundo inteiro, é uma discussão que se coloca sobre o tema da vigilância, do uso de novos mecanismos e de monitoramento das pessoas. Aqui, deixamos de lado aquele monitoramento um pouco mais amplo, realizado tanto pelas big techs quanto pelos governos, e aqueles monitoramentos com a finalidade de buscar combater terrorismo e agentes internacionais, e falamos sobre o tema da vigilância mais para as pessoas comuns, digamos assim. Apenas para constar, pessoal, (03:00) a gente já fala com frequência sobre esse tema aqui no Segurança Legal. Temos alguns episódios que eu destaquei: sobre interceptação telemática e a Lei dos Crimes Informáticos, que são os episódios 22 e 23, de 2013; sobre o caso Snowden, episódio 28, também de 2013; o episódio 80, falando sobre o Hacking Team, em 2015; PL Espião, episódio 86, em 2015, saído da CPI dos Cybercrimes com a participação do nosso querido amigo Paulo Rená; Grampos telefônicos no (03:35) Estado brasileiro, episódio 98, de 2016; Infiltração policial na internet, episódio 123; Projeto Pegasus, episódio 289, de 2021; e, mais recentemente, Os monitoramentos da Abin, episódio 352, do ano passado. Mas, principalmente, eu destaco o episódio 75, de 2015, “Quebrando a Ordem”, onde também tratamos sobre o tema “Cavalos de Troia do Estado”. E, claro, ontem e hoje (para quem nos escuta no futuro, estamos gravando no dia 12 de julho), tivemos os últimos acontecimentos envolvendo a chamada “Abin paralela”, que, em última análise, não deixa de também demonstrar (04:17) alguns efeitos deletérios do uso do aparato estatal para finalidades, neste caso, ao que tudo indica, certamente ilegais. Mas vou passar, então. Vamos começar pela Ana, e depois a Luísa pode ir complementando. Vocês fiquem bem à vontade para ir tomando a palavra. Gostaria que vocês trouxessem um pouco o contexto dessa audiência pública que foi promovida pelo STF, com a participação de vocês, que se deu na Arguição de Descumprimento de Preceito Fundamental (ADPF) (04:50) 1143. Audiência essa convocada pelo Ministro Cristiano Zanin. Vocês podem dar uma visão geral de como foi e também um pouco sobre a contribuição de vocês, claro. Então, como você bem colocou, esse é um tema que vem sendo pautado ao longo dos anos e que chegou no STF. E como esse tema chegou no STF? Foi uma iniciativa da Procuradoria-Geral da República, que protocolou uma Ação Direta de Inconstitucionalidade por Omissão, dizendo que não havia legislação que garantisse uma regulação do uso desse tipo de software pelo Estado e (05:35) que isso seria uma coisa que precisava ser endereçada pelos nossos legisladores. Só que, uma vez que a ação foi protocolada, foi apurado que já existiam projetos de lei sobre esse tema de uso de softwares espiões, e que, na verdade, não é um tema sobre o qual não se tem falado; muito pelo contrário, essas iniciativas buscam, de certa forma, legitimar essas ferramentas ou colocá-las como uma condição para o avanço de investigações. E aí o STF, o Supremo, transformou essa ação, que seria por omissão, numa Arguição de Descumprimento de Preceitos (06:20) Fundamentais. Por quê? Hoje em dia, não se pode usar esses softwares. Se não há previsão na lei para persecução penal de que isso é um meio de investigação, eles não são autorizados. Então, se o Estado faz uso deles, estaria agindo de uma forma inconstitucional. Aí a Procuradoria-Geral da República, e junto com a sua peça, a peça que a procuradoria propôs, vira essa ação por inconstitucionalidade, e o STF decide apurar sobre como tem sido o uso dos softwares espiões pelas autoridades investigativas, principalmente no Brasil. (07:02) Então, foi uma audiência convocada pelo relator, o ministro Cristiano Zanin. Aconteceu em dois dias. Tiveram pessoas de alto escalão das Forças Armadas para trazer suas percepções sobre como esse tema é visto do ponto de vista militar, de segurança nacional, de soberania. Tiveram várias contribuições da sociedade civil, trazendo suas preocupações sobre os limites dessas tecnologias, sobre as preocupações diretas com a garantia dos direitos humanos, de liberdade de expressão, liberdade de (07:37) associação e vários outros direitos fundamentais. Tiveram algumas contribuições de empresas também e pessoas do meio acadêmico. Essa audiência foi chamada de forma aberta; as pessoas poderiam mandar seu interesse em participar, e o Iris colocou seu interesse, dada a nossa trajetória recente nas pesquisas sobre hacking governamental, sobre mecanismos intrusivos de investigação e como compatibilizar essas formas de investigação com a defesa dos direitos humanos no campo digital. E aí, (08:17) inclusive, o Paulo Rená que você citou, que já esteve aqui, um “passageiro frequente”, como ele mesmo disse, do Segurança Legal, é um dos pesquisadores desse relatório. A Luísa também, que está aqui, o Guilherme… Muitas das contribuições que a gente levou foram embasadas nesse relatório que publicamos recentemente. Então, de contexto, eu posso passar a bola para a Luísa contar um pouquinho também sobre esses trabalhos recentes e essas preocupações sobre o que são esses softwares. (08:53) Qual é a tua visão, Luísa? Você é doutoranda em Ciências Criminais aqui pela PUC. Como você vê essas tentativas? Porque a gente já tem uma lei antiga, acho que de 96, a lei de interceptações… 94, não lembro agora o ano, mas ela parece que não alberga essas novas possibilidades de monitoramento que inclusive estão sendo colocadas e são objeto dessa arguição de descumprimento de preceito fundamental. Qual é a tua visão sobre isso? Guilherme, antes da Luísa responder, eu só quero fazer uma objeção ao que tu (09:26) disse: “antiga”, citando o ano de 96. Não é antigo. Gostaria que o senhor falasse “passado recente”. Sim, está bom. “Passado recente” eu aceito. “Antigo” nós vamos ter que conversar depois. Está bom. Luísa, sobre o passado recente. Vamos abrir uma audiência para ver o quão “antiga” é. É contigo, Lu. Ai, gente, o passado recente. Então, vamos falar. Obrigado, Lu. Obrigado, obrigado. Então, gente, é um tema muito delicado, como a Ana já veio trazendo, essa questão do uso de softwares de monitoramento secreto, softwares espiões, (10:08) de aparelhos pessoais. Porque é exatamente isso: aparelhos pessoais que vão ser monitorados por parte de órgãos de investigação, segurança pública, enfim, persecução penal. Eu acho, particularmente, e isso é a visão do Iris também, que existem umas problemáticas muito fortes na utilização dessas ferramentas, que poderíamos chamar aqui, no senso da sociedade civil e do que a gente conhece, como as ferramentas de rastreamento, para dar o exemplo do Pegasus, que (10:39) vocês já tinham comentado aqui, inclusive em outros episódios. Quais são, brevemente falando, alguns dos grandes problemas? Primeiro, que são ferramentas digitais de controle, de vigilância, que podem ser ferramentas de perfilamento, como a gente chama, direcionadas para dispositivos pessoais. A primeira questão é que os nossos dispositivos hoje contêm todas as nossas informações. Faz parte do meu dia a dia, faz parte de quem eu sou. Por exemplo, (11:18) o meu celular. Se hoje tu pegar o meu celular e for hackear, tu vai encontrar várias coisas que eu não gostaria que tu encontrasse, Guilherme. Ele é quem eu sou, ele é constitutivo de quem eu sou. Então, acho que esse é o primeiro grande problema. Estamos falando de acesso à vida pessoal das pessoas hoje, num mundo que a gente pode chamar de mundo digitalizado. A grande questão é que também não existem regras para esse acesso. O que a PGR quis foi criar regras e procedimentos. (11:47) Inclusive uma lei futura, claro, mas regras e procedimentos atuais. Como podemos usar hoje? A grande questão é: vamos querer usar isso? E a minha defesa aqui é que são mecanismos e ferramentas de vigilância que não deveriam ser usados. Esse é o primeiro ponto. Claro, se formos usar, que se criem regras para isso. Mas acho que o primeiro grande problema seria esse: o problema de não ter regras e de acesso à nossa vida pessoal. A outra grande questão é quando estamos falando de ferramentas de monitoramento e (12:21) controle, de vigilância, dentro dos nossos dispositivos móveis. Estamos falando de ferramentas espiãs, como o Pegasus, que vocês citaram, que são ferramentas que podem, inclusive, mudar as mensagens enviadas de uma pessoa para outra. Ou seja, uma mensagem vai ter uma possibilidade de rastreamento simultâneo ao envio ou do passado. Existe a possibilidade de os órgãos de segurança mudarem as (12:54) mensagens que foram enviadas. Então, alterarem essas mensagens. E aí, como é que a gente vai poder fazer, por exemplo, uma cadeia de custódia da prova penal quando estamos falando de investigação criminal? A gente já está num processo judicial, criando aquele cheiro de possibilidade de crime que vai judicializar uma ação, mas utilizando provas ou ações que podem ter sido modificadas. Então, eu não tenho como saber se essa mensageria foi alterada (13:29) ou não, o que traz um grande problema para uma persecução penal, uma investigação criminal dentro de um Estado Democrático de Direito, que tem regras e artigos dentro de uma Constituição, por exemplo, que têm que ser totalmente assegurados. Acho que, de início, eu poderia falar que existem inúmeros problemas, mas acho que esse pode ser o nosso ponto inicial para isso. Mas eu tenho uma série aqui de pelo menos 10 problemas que a gente poderia identificar. (14:07) Luísa, gostaria de te complementar no sentido de que não só a lei não prevê o uso disso, mas, como a gente defendeu na audiência pública, o Ministério Público já tem condições de declarar a inconstitucionalidade dessa prática. Porque já temos um ordenamento jurídico brasileiro que apresenta princípios pertinentes nesse contexto. São artigos da Constituição Federal, a Lei Geral de Proteção de Dados, a própria Lei de Interceptação Telefônica, que traz as suas parametrizações. Então, já há esse subsídio para apontar sua irregularidade, para além desse falso paralelo com a lei (14:47) de interceptação. Só queria fazer esse parêntese, que levamos para a audiência esse posicionamento também, de que gostaríamos que isso já fosse reconhecido. Esse ponto que tu levantaste, Luísa, e a gente comentou, eu lembro bem, no “Cavalos de Troia do Estado”, no episódio… qual foi o número do episódio mesmo? Foi um dos que tu citou no início. E a gente chamou atenção justamente para isso, porque no momento que tu invade a máquina, tu violou a integridade dela. (15:19) Não tem nem aquela possibilidade de “vou apreender a máquina, vou gerar um hash desse negócio aqui, vou assinar, vou entregar para todo mundo e, depois, quando eu for me defender, se for o caso, tenho como garantir que aquela informação está sendo tirada do meu computador, das informações originais do meu disco”. A partir do momento que alguém entra e altera, o simples fato de botar um software lá dentro já avacalhou com tudo, acabou com a integridade do ambiente, (15:52) foi para o beleléu. Ao mesmo tempo, e essa não acho que deva ser a forma de ser feita, só estou provocando vocês. Em minha defesa, tenho um episódio gravado há anos em que afirmo isso categoricamente. Mas, só para provocar, pegando um pouco do que o pessoal normalmente traz: não será essa a única saída (estou forçando “a única saída”) para um ambiente em que a escuta telefônica, eu diria, está meio que ultrapassada? Porque eu não sei quantas vezes eu uso (16:32) o aplicativo mesmo de telefone no meu celular. Praticamente não uso. Eu ligo para o Guilherme, para a minha esposa, para os meus amigos, normalmente via WhatsApp ou Signal. Eu raramente uso o telefone, a não ser para ligar para um SAC, para me incomodar ou coisa parecida. Imagino que muita gente deva fazer isso cada vez mais, então isso prejudicaria um pouco a questão da escuta telefônica, embora a gente veja pessoas de alto escalão (17:01) cometendo erros nesse sentido, de usar o telefone para coisas muito importantes. E a informação toda, a comunicação, passa pelo computador, passa pelo celular, pelo meio digital, frequentemente criptografado. Interceptar a comunicação no meio do caminho, não vou dizer que é impossível, mas é muito difícil por causa do processo de criptografia ponta a ponta, que é a forma como a criptografia tem que ser implementada, senão não temos criptografia. E, ao mesmo tempo, como é que a gente (17:35) faz isso? Como é que a gente possibilita essas investigações? Porque esse é o argumento que a gente ouve do outro lado, digamos assim. Eu assisti a audiência inteirinha, todas as falas, e é isso que a gente escuta com frequência. Claro, eu acho que é importante, já vou puxar o teu gancho, Vinícius, para dizer exatamente isso. Tem os argumentos, que é o argumento dos órgãos que a gente chama de segurança e controle da ordem pública, (18:03) ou seja, polícia, Ministério Público, órgãos investigativos e do lado acusatório no processo penal. E eles sempre pautam isso: a dificuldade de investigação criminal e persecução contra os crimes que seriam graves e feitos virtualmente, por exemplo, abuso sexual de crianças e adolescentes em ambientes digitais. Esse é um dos grandes argumentos usados pela defesa do uso de softwares que não quebram a criptografia, são alternativos, mas que conseguem ter acesso às mensagerias, (18:41) às conversas feitas por ambientes digitais. Então, tem esse argumento sempre muito defendido e aquele argumento que tu falou: a ampla adoção dessas novas tecnologias vai criar como se fosse um obscurecimento e uma impossibilidade investigativa, porque eu tenho, por exemplo, uma criptografia de ponta a ponta e não vou conseguir acessar aquele dispositivo. Mas a grande questão é que a defesa da impossibilidade de investigação criminal seria que a gente vai criar uma insegurança social e jurídica (19:19) porque não consigo investigar. Então, como é que eu vou investigar um crime se eu não consigo ter provas para isso, não consigo ter acesso à mensageria? Só que a utilização desses softwares, na verdade, vai criar mais insegurança, me parece, porque a gente não tem normas e não tem uma possibilidade de medir os usos dele. E depois vamos entrar na parte de outros meios de investigação que não sejam esses. (19:51) Mas também tem a defesa de que a utilização desses softwares é exatamente o caminho que os órgãos persecutórios querem. Os argumentos para não utilizar são os mesmos. Se eu utilizar, vai criar uma insegurança jurídica, eu não vou saber para que está sendo utilizado. Por exemplo, eles são utilizados para perseguição de defensores de direitos humanos, são usados para perseguição de jornalistas. Então, que segurança jurídica eu vou ter? Que segurança pública (20:22) e ordem social eu terei utilizando eles? Para mim, já começa aí o ponto inicial. Os argumentos já começam a se desfazer desde aí. Quero passar para a Ana, mas só para dizer, antes de passar para ela abordar mais esses assuntos, que outro ponto é a gente entender de que órgãos de segurança estamos tratando. No Brasil, a gente trata de uma polícia investigativa e uma polícia na rua, a polícia civil e a polícia militar, que são extremamente autoritárias, violentas e racistas. (20:58) A gente pode trazer aqui, e é super duro ouvir isso. Eu sei que policiais que eu entrevisto para minha tese não gostam de ouvir isso, mas os dados demonstram isso, os dados oficiais. Não é uma pessoa ou outra, é a instituição policial brasileira. E a utilização desses softwares aqui, por exemplo, pode ser utilizada por esses órgãos de segurança para vigilância de pessoas que já são consideradas suspeitas. Então, a gente vai ter uma relegação de práticas violentas, autoritárias e discriminatórias com a utilização disso, (21:29) e isso vai contra uma questão de segurança jurídica e segurança nas nossas instituições. Na verdade, cria uma quebra de confiança na polícia, por exemplo. Deixa eu só, me perdoe, antes de passar para a Ana, e reforçando isso que a Luísa acaba de dizer. Essa é uma coisa… Talvez um erro, e aí você diz se acredita que é um erro também ou não, mas me parece que é. Quando a gente começa a colocar tecnologia nas situações, seja do cotidiano, seja onde for, a gente acha que a (22:04) tecnologia vai resolver todos os problemas, o solucionismo tecnológico. Mas, ao mesmo tempo, parece que às vezes a gente esquece um pouco isso que a Luísa colocou, que é: poxa, mas as nossas instituições também têm problemas muito graves que não foram resolvidos. E me parece que colocar tecnologias com potenciais de invasão ou com potenciais de violação de direitos nesse contexto brasileiro, e eu falo um contexto institucional mesmo, parece que traz um novo perigo aí, né, Ana? (22:39) Exato. Eu gostaria de fazer duas considerações. Primeiro, quando eu ouço o Vinícius tipo “ah, será que é a única forma, já que o dado só está ali?”, eu fico pensando: será que é? Porque, se o único jeito de investigar é o meio digital, a gente nunca produziu tanto dado quanto produz hoje. E quantos desses dados não são criptografados? E quanta inteligência pode ser feita com dados abertos? E o tanto que isso tem sido utilizado como uma alternativa? E será que está dificultando as (23:26) investigações ou está facilitando? Porque a gente não tinha tanto registro de acesso, de onde você esteve, onde você comeu, com quem você conversou. As pessoas postam tudo nas redes sociais. Então, eu me pergunto se realmente está ficando mais difícil ou se é uma investida de um atalho investigativo. Acho que falta, inclusive, dado para que a gente pudesse trabalhar com isso com mais segurança e mais transparência: que tanto de crimes são esses que não estão sendo resolvidos por necessidade (24:03) de interceptação ou quebra de criptografia? E a segunda coisa que eu gostaria de colocar, que vai muito na linha do que você e a Luísa trouxeram, é que os problemas que a gente tem na nossa polícia, para além desses problemas institucionais, eu imagino o tanto de problemas que tem na falta de pessoal para engajar nas investigações, na falta de treinamento, de recursos. Então, o quanto também a gente não poderia olhar para a solução desse problema fortalecendo as nossas autoridades de investigação no que elas (24:42) deveriam estar fazendo de melhor, no que a gente espera que elas façam para resolverem os nossos problemas sociais. Então, acho que também tem essa visão que parece uma forçação, um atalho. Tem os outros problemas que não são solucionados, da carência de investimento, de treinamento, etc., e tentar resolver aí, direto na ponta, tentando ter um acesso privilegiado à comunicação privada. Bem interessante isso que tu colocas, Ana. Primeiro, que acho que nem todos os (25:20) meios estão sendo utilizados. Ontem o Guilherme compartilhou comigo um tweet que o pessoal estava investigando quem estava por trás do podcast “Medo e Delírio em Brasília”. Já tinham descoberto o nome de um deles, sendo que eles dão os nomes dos participantes logo no início de cada episódio. Isso no caso lá da Abin paralela. O pessoal investigando quem estava por trás do Medo e Delírio em Brasília… Enfim, então sim, acho que dá para usar outras coisas ainda para investigar que não estavam sendo utilizadas. Mas (25:54) também surge uma questão que a gente levantou há uns anos atrás discutindo esse assunto, que é: quando tu implementa uma ferramenta dessa, isso está ligado justamente ao que você e a Luísa estavam comentando, do uso desse tipo de ferramenta para perseguir jornalistas, dissidentes políticos e coisas assim. A gente viu um exemplo agora com a questão da Abin paralela. Mas, antes mesmo disso, a gente já comentava: poxa, quem é o governo da vez que vai dar o tom do uso da ferramenta no final das contas? (26:25) De repente, tu podes estar super confortável com um dado governo, que está tudo direitinho, em tese, e tem todas as balizas legais para o uso da tecnologia, tudo auditado, tudo com autorização judicial. Só que, de repente, muda. De repente, quem assume certos postos, não só o posto máximo, no caso da Presidência da República, mas quem assume outros postos também, pode fazer mau uso dessas ferramentas, e a gente viu isso. (27:00) Até para uso pessoal. A gente teve gente dentro de companhia telefônica investigando namorada, namorado e coisas assim. Uma pessoa normal, no seu trabalho, usando esse tipo de coisa. A gente viu nos Estados Unidos, o Snowden demonstrou isso, não só para investigar outras pessoas, outros políticos, mas as próprias pessoas lá dentro investigando conhecidos, parceiros, vizinhos. O que demonstra uma dificuldade bastante grande de se controlar o uso efetivo dessas ferramentas. E aí a questão do (27:36) jornalista… Quando falou, Luísa, me lembrou de imediato aquele jornalista da Arábia Saudita que foi resolver um negócio para o casamento dele lá na embaixada… foi na Turquia, na embaixada da Turquia. E o cara foi esquartejado dentro da embaixada. (28:08) A gente está vendo, paulatinamente, o mau uso desse tipo de mecanismo. E vendo o que a gente está vendo aqui no Brasil, não precisa nem sair daqui. Eu entendo, considerando a honestidade intelectual daqueles que efetivamente querem fazer o bom uso disso, e acredito que essas pessoas existam, mas eu não consigo pensar um cenário em que a gente consiga impedir o mau uso, controlar o mau uso, como a gente viu essas coisas sendo mal utilizadas. Não sei se a gente consegue saída para isso. (28:52) Eu acho que quando tu abre a… Desculpa, Ana. Não, pode ir, pode ir, Lu. Vou botar as duas, vocês disputem agora. Então, eu vou… Você me lembrou, Vinícius, essa prática de colocar os telefones das companheiras para serem investigados, uma prática que ficou conhecida como “barriga de aluguel” no abuso das interceptações telefônicas. Você colocava um número que não era investigado para, enfim, descobrir caso de adultério, traição, ou o marido que suspeitava que foi traído colocando (29:32) a esposa, companheira, para ser investigada. E eu acho que tem uma particularidade nossa, do nosso contexto brasileiro, que é também uma realidade nos outros países da América do Sul, que é a nossa história, nosso passado recente, nossa democracia recente e essa assombração dos governos violentos, autoritários, na forma como as nossas políticas e as nossas polícias operam. E esse medo do abuso de poder tem muito fundamento, ele tem muito onde se firmar. Não há muito tempo, a gente assistiu a tentativas de golpes. Então, (30:19) eu acho que pensar nesse contexto de democracias jovens, com seus desafios de fortalecimento e de estabilidade, é muito importante para colocar isso que o Vinícius falou: quem estiver com a caneta na mão vai dar o tom. E o que isso pode custar para nós a nível de defesa de direitos humanos. Eu acho que quando tu abre a caixa de Pandora, é muito difícil medir de que forma essa tecnologia vai ser utilizada e por quem. (31:02) Tínhamos um governo Bolsonaro que, depois descobrimos, estava se utilizando de algumas tecnologias de vigilância e rastreamento para pessoas que tinham um posicionamento político divergente do governo até então. E é isso. Como é que a gente vai medir de que forma está sendo usado pela própria instituição das Forças Armadas, de investigação, de segurança pública? E aí, aquela discussão do início da nossa conversa: a gente vai parametrizar ou vai (31:36) banir? Claro, existe a possibilidade de tu banir e ainda assim continuar se usando, sem parâmetros. Então, é importante discutir os parâmetros. Mas é saber que não existem dados que mostrem que, por exemplo, a polícia só vai conseguir fazer algum tipo de investigação utilizando hacking governamental ou, por exemplo, a varredura pelo lado do cliente, que é outro tipo de tecnologia alternativa à quebra de criptografia, muito usado nos casos de abuso sexual (32:14) infantil em meios online. Então, não existem dados demonstrando a eficácia de fato dessas ferramentas. E para mim, isso talvez seja o ponto falho. Tu dizes que precisa, mas não me dás dados demonstrando a eficácia, como é o funcionamento, qual vai ser a segurança para outras pessoas em relação aos dados e imagens que são coletados. Como é que eu vou ter segurança sobre a minha privacidade em relação a essas técnicas? (32:51) Privacidade, sigilo de comunicações, presunção de inocência… Eu acho que tem isso. E tem aquela coisa, né, Luísa? Você me corrige se eu estiver incorreto, porque você é uma pesquisadora dentro do direito e processo penal, mas, pelo meu conhecimento, parece que no Brasil a gente tem uma banalização das próprias interceptações telefônicas. Sei lá por quais razões, também não sei se há estudos nesse sentido, mas é toda aquela ideia de uma lei de interceptações que se coloca numa perspectiva de “você tem que ter justificativas para renovar as (33:28) interceptações”. A gente sabe que existem interceptações que ficam meio que “ad eternum” lá, até o cara fazer alguma coisa errada. E essa é uma coisa também… qualquer pessoa que se coloque em uma situação de ficar sendo monitorada incessantemente… E aí tem vários filmes e livros, como “A Vida dos Outros”, aquele filme alemão que fala dos monitoramentos feitos na Alemanha. E aí eu fico pensando: a gente tem mesmo essa banalização da interceptação? Porque na própria lei diz que você só vai poder utilizá-la se não conseguir (34:07) comprovar aquele fato por outros meios. Mas me parece que a gente tem um pouco essa banalização. O que você acha, Luísa, e depois Ana? Eu acho que, mais do que a banalização por alguns tipos de lei e formas de investigação, acho que é uma quase construção e banalização do “antes disso”: da suspeição, do suspeito. Então, quem pode ser monitorado, quem pode ser interceptado, quem é o “cidadão (34:44) de bem”. Porque eu acho que parte também de uma construção meio sociológica, que às vezes é um pouco chato dizer, eu amo, porque eu vim da sociologia também, mas que tem toda uma construção do suspeito e do indivíduo que merece ser interceptado, olhado, vigiado, porque ele pode ser um criminoso que vai cometer uma coisa horrível. Então, a gente precisa estar antecipando os passos dele ou esperando ele errar para chegar e abocanhar, digamos assim. E (35:13) aí a gente perde, foi o que tu falou, Guilherme, o próprio respeito e banaliza o uso da lei, e perde o respeito e a proteção a questões constitucionais, como o inciso 12 do artigo 5º, que é proteger a intimidade e a vida privada do cidadão contra ações investigativas abusivas. Só que aí a gente abusa da interceptação telefônica, por exemplo, porque é mais importante eu provar o fim, o que eu quero no fim, do que o meio para chegar nisso. Então, talvez seja uma banalização do próprio meio investigativo e de produção (35:50) de provas, porque eu quero chegar no fim. Seria muito interessante se fosse usado dentro dos parâmetros constitucionais, dentro do Estado Democrático de Direito. O que eu acho é que a banalização vem nesse sentido: a gente não está dentro dos parâmetros, a gente não respeita princípios básicos de um processo penal, de persecução penal. Longe disso. Longe disso. Eu acho que isso vem muito daquela ideia da ideologia do inimigo interno, (36:25) um mal a ser combatido internamente, a repressão aos dissidentes, e que eu também leio como uma associação a esse passado autoritário que é muito recente. E uma coisa que a Luísa falou sobre a segurança dos parâmetros, “como que a gente vai ter segurança que não vai ser abusado?”. Sabe uma coisa que eu acho que é central para a gente pensar o uso desse tipo de aplicativo e a segurança dos dados que vão ser coletados por eles? Estamos falando, (37:00) muitas vezes, de aplicativos feitos em outros países, sobre os quais a gente não tem a menor transparência sobre como esses dados são tratados. Muitas vezes, estamos falando sobre dados extremamente sensíveis e de inteligência, já que é para esses casos que eles querem usar. E, além da falta de segurança sobre abuso, há uma vulnerabilidade gigantesca de soberania nacional. É uma, não sei, eu diria, uma irresponsabilidade pensar em colocar esse tipo de dado nosso em aplicações sobre as quais a gente tem pouca ou nenhuma informação. (37:47) Ainda mais, Ana, que essas mesmas aplicações foram utilizadas contra o governo brasileiro, foram utilizadas contra o Brasil. Nós tivemos atores internacionais que usaram dessas ferramentas, e a maior parte das ferramentas é de desenvolvimento israelense. E Israel, eu acho, é mais próximo dos Estados Unidos do que do Brasil. Eu não sei, em termos de cooperação, eu tenho uma leve desconfiança, não tenho certeza absoluta do que estou dizendo, mas eles forneceram as ferramentas que foram (38:21) utilizadas para monitorar o governo brasileiro, e a gente está botando essas próprias ferramentas aqui dentro. E algum pedaço delas, com certeza… Não só estamos botando informação lá fora, sabe-se lá onde, mas como também estamos botando pedaços dessas ferramentas aqui para dentro. Mas é aquele velho problema, desde as coisas mais fundamentais, como hardware e sistema operacional, até agora, que o governo brasileiro está trazendo uma empresa estrangeira para fazer uma aplicação de IA aqui com dados do Estado. (38:54) De repente, a IA pode ser programada para “se tiver gente de cidadania americana envolvida, pula, não precisa fazer isso”. Então, existe uma coisa bem delicada nesse ponto. Existe um outro ponto que é: para essas ferramentas funcionarem, a gente tem que estar vulnerável, todo mundo tem que estar vulnerável. Que é o que tu colocou, acho que foi a Ana, lá no início da tua fala. Todo mundo, em algum momento, tem que estar vulnerável. “Ah, mas eu não tenho nada a ver com isso.” Não, tu tens a ver sim, porque para essas ferramentas funcionarem, a tua máquina rodando Windows, o teu (39:33) telefone rodando Android ou iOS, o teu Mac, etc., ele tem que ter uma vulnerabilidade que já foi descoberta e que os caras vendem para essas empresas para poder fazer as invasões. Enquanto isso, tu vais ficar exposto para alguém roubar teus dados, ficar aplicando golpe financeiro em ti. Então, isso tem tudo a ver com a gente, sim. Porque o Estado… e seria muito… que daí é outro problema que a gente já comentou, o mercado de vulnerabilidades. Porque, para que essas coisas possam funcionar, você precisa manter um mercado de vulnerabilidades (40:10) escondidas, que ocasionalmente vão ficar na mão dessas empresas, mas que podem vazar a qualquer momento, e outros atores podem explorar. Aliás, Guilherme, foi o que aconteceu quando a gente migrou para a telefonia celular. Havia uma possibilidade, quando fizemos a mudança para a segunda, terceira geração, de meter criptografia na comunicação, criptografia segura, boa. Algumas operadoras pelo mundo fizeram (40:40) e tiveram que voltar atrás, porque ao implementar isso, impedia a escuta telefônica, trivialmente feita com alguns equipamentos. Então, a gente optou por ambientes inseguros no passado. Claro que na internet o papel da sociedade civil foi muito forte no sentido de “não, nós vamos implementar criptografia segura”. E vai ser assim. As operadoras não tiveram (41:15) como segurar ou não quiseram segurar. Poderiam ter implementado, mas todo mundo tinha que implementar para funcionar. Algumas fizeram e fizeram elas voltar atrás. Então, a gente já viu esse filme de deixar todo mundo inseguro. O celular é assim até hoje por causa disso. Tem um pouco mais de proteção hoje, mas… Exato. E nesse ponto do mercado de vulnerabilidades, ainda tem a consequência da onerosidade dessas ferramentas. Porque se ela está baseada numa vulnerabilidade que, uma vez descoberta, o sistema vai ter que ser (41:50) sempre outro, vai ser um sistema oneroso para o Estado, e não sei em que medida isso está sendo considerado. Estamos partindo de uma premissa de que a vulnerabilidade é um bem a ser explorado, colocando o Estado exatamente como um incentivador desse mercado que se baseia… Enfim, eu, como cidadã, não gostaria de ser conivente com um mercado que se pauta na vulnerabilidade coletiva. Claro, porque eu concordo totalmente com vocês. Acho que tem toda a questão da lucratividade, da questão (42:31) econômica que atravessa tudo isso. Inclusive, lembrei do relatório, e vou falar aqui porque acho importante, do Iperrec, o instituto do Recife, que se chama “Mercadores da Insegurança”. Eles vão tratar exatamente sobre isso, sobre a utilização desses softwares espiões e a utilização das vulnerabilidades. Para se usar cada vez mais, quando tu vais produzindo esses softwares, tu já vais produzindo as vulnerabilidades que (43:05) esses softwares vão poder explorar. Não existe um software se não existe essa vulnerabilidade já antes existente. Ele vai se utilizar dela. Então, as vulnerabilidades vão existir cada vez mais, provavelmente, porque vamos querer que existam cada vez mais esses softwares, porque eles também são rentáveis para alguma parcela da sociedade. E uma coisa que talvez o próprio Estado não veja é que ele, enquanto Estado, também fica vulnerável a (43:37) esses mesmos atores, que poderiam utilizar isso contra os próprios Estados. A gente tem visto aí, ao longo do tempo, tanto situações de abuso, como a publicação no Jornal Nacional de escutas telefônicas por órgãos do Poder Judiciário, mas também temos visto atores governamentais que, eventualmente, se comunicam por telefone e que podem estar sendo monitorados, não somente por órgãos estrangeiros, mas também por potenciais atores internos que poderiam (44:13) violar essas mesmas vulnerabilidades. É um negócio bem estranho de se falar. Deixa eu trazer um pouco aqui para a nossa equação, que a gente não comentou ainda, que é a LGPD Penal. Porque a gente ainda tem essa dimensão de proteção de dados pessoais enquanto direito fundamental, que passa a ser considerado agora. Temos outras questões internacionais, como a Laura Schertel Mendes sempre comenta, daquela decisão do tribunal constitucional alemão que define o direito à segurança e integridade dos sistemas informáticos. Então, talvez (44:50) a gente consiga fazer esse paralelo aqui para enxergar isso como um direito fundamental com o que nós já temos hoje, talvez pela via do direito fundamental à proteção de dados pessoais. Mas ainda temos nessa equação a questão da LGPD Penal, que parece que ainda está meio longe de ser aprovada e discutida. E temos a nossa LGPD que, apesar de o artigo 4º afastar sua aplicação nesses contextos, ela ainda diz que deve ser preservado o direito (45:23) fundamental à proteção de dados. Como é que essa LGPD Penal entra aí? Se quiser começar com a Ana, depois a Luísa. Exato, ela entra exatamente como mais uma evidência da necessidade de que ela avance. A gente parou num anteprojeto para a LGPD Penal, que, como você bem disse, excetua a Lei Geral de Proteção de Dados para o seu uso em segurança pública. E a gente vive nesse vácuo que traz uma certa insegurança sobre como esses dados podem ou não ser utilizados, e que faz emergir um monte de discussões sobre o que devemos ou não utilizar enquanto sociedade. (46:07) A gente deve utilizar reconhecimento facial para segurança pública? É razoável usar um aplicativo de intrusão para fazer investigações? Acho que existem uma série de questões que precisam ser niveladas nessa expectativa de LGPD Penal para que a gente tenha uma baliza do que já temos enquanto garantia e arcabouço legal, e como isso vai ser aplicado para a segurança pública. Vão haver exceções? Que exceções são essas? Como é que a gente vai (46:46) fazer com que haja contrapesos para que não haja abuso das ferramentas digitais nas investigações? Então, acho que existem um monte de perguntas a serem respondidas, que vão ser endereçadas uma vez que a gente avançar com esse debate no Congresso. Mas acho que é mais uma evidência da urgência desse debate, que está desde 2015, se não me engano, para andar. Luísa? Eu concordo completamente com a Ana. E acho que, apesar de não termos uma LGPD Penal… o que aconteceu, resumidamente, é que tínhamos um (47:33) anteprojeto de lei que foi criado por uma comissão de juristas indicada pela Câmara dos Deputados há dois anos. Mas aí, também há dois anos, entrou aquele Projeto de Lei 1515 de 2022, que a gente até não pode falar muito, que se falar três vezes reaparece, de autoria do então deputado Coronel Armando, do PL de Santa Catarina. Então, são temas que estão sendo debatidos. Apesar de nenhum dos projetos ainda ter sido aprovado (o 1515 saiu de pauta, eu acho), (48:14) isso demonstra, como a Ana já falou, essa necessidade da gente debater para criar uma lei, um texto de projeto de lei para ser aprovado, que vai guiar as ações dentro do campo de segurança pública e persecução penal. Mas sabendo que temos uma LGPD que, embora não trate disso, traz princípios básicos que devem ser seguidos para a proteção de dados pessoais, tanto em segurança pública quanto em outros meios. (48:50) Embora não exista esse texto ainda, existem princípios. Não existe uma regulação, uma lei imposta e vigente, mas temos princípios já na LGPD que podemos usar para guiar os modos de utilização de softwares espiões. Esses princípios estão sendo respeitados quando os usamos? Me parece que não. Então, isso já é um modo de balizar os usos ou, se for usado, quais princípios da LGPD devem ser estipulados para medir a ação desses softwares. (49:30) E num momento difícil, eu diria, que passa não somente o Brasil, mas o mundo inteiro, que passa a ver cada vez com menos valor essas garantias fundamentais envolvendo processo penal. Vocês que estudam processo penal devem estar bem mais preocupados do que eu, que minha área acaba sendo mais o direito civil. A gente começa a discutir as questões de uma atualização do Código Civil, e eu conversava com uma colega da área do Direito Penal, e dizia: “Bah, mas se fosse uma rediscussão do (50:09) Código Penal, embora a gente precise revisá-lo, lá da década de 40… se fosse revisado agora, talvez veríamos soluções muito piores do que as que já temos”. Então, acho que o desafio ainda é discutir este tema em um momento de percepção difícil que o mundo passa. Acho que isso é um desafio talvez sociológico maior ainda, e que talvez deixe a coisa muito mais complexa do que já é. Pessoal, (50:45) a gente já está chegando aqui próximo dos 50 minutos, se encaminhando para o tempo que tínhamos previsto. Quero pedir para que vocês tragam aí alguma conclusão, se é que há alguma, mas talvez um resumo da opinião de vocês, ou colocando o que queiram colocar que eventualmente não foi perguntado. Começando pela Luísa dessa vez, e depois a gente vai para a Ana. Beleza? Vamos tentar resumir, então. Acho que a primeira coisa é (51:20) saber que tratar da utilização de mecanismos de controle, de vigilância, de softwares espiões pelos órgãos de segurança pública e investigação, que foi o que falamos na ADPF 1143, é um assunto extremamente delicado. Acho que ninguém sabe a resposta certíssima, não tem certeza sobre (51:59) uma verdade sobre esse debate. O que temos são alguns indicadores a partir de outros locais que já se utilizaram desses softwares, talvez de maneira mais regulamentada, ou de uma maneira que a gente enxerga mais. E tentar trazer para cá. Então, acho que é tentar entender os motivos. Se a gente vai debater isso, quais os objetivos para utilizar esses softwares? Acho que em segurança pública a gente peca muito em entender (52:29) os objetivos de utilização de qualquer mecanismo digital. O que a gente quer com isso? Porque quando a gente sabe o que quer, consegue medir o impacto. Se eu quero usar isso, qual o impacto que eu vou querer ter daqui a seis meses ou um ano? Então, vamos supor que esses softwares foram aprovados por lei, decidiu-se que vai se poder usar. É preciso um relatório de impacto para ver se eles estão trazendo o que a gente quer ou se estão indo num (52:59) caminho contrário. Então, trazer os objetivos do que a gente espera enquanto sociedade e órgãos de persecução penal da utilização desses softwares é muito importante. A outra coisa é a gente aprender a dialogar de uma forma multissetorial. O que a gente enxerga muito hoje é que as instituições de segurança pública dialogam muito pouco com especialistas da área, pesquisadores. Então, talvez poder enxergar que existem pesquisas que demonstram os riscos de uma vigilância (53:34) massiva na utilização desses softwares, ou uma quebra de princípios e direitos fundamentais como a privacidade. Se utilizar softwares, a privacidade não existe mais, ou ela é colocada em xeque. Então, como a gente vai lidar com isso? Como a gente debate com dados que demonstram isso? Como a gente dialoga entre os setores, com esses dados que existem e com essa vontade que também existe por outro lado dos órgãos de (54:09) segurança pública de se utilizarem desses softwares? Como dialogar com isso? E acho que, utilizando esses softwares, o que me parece é que a gente perde, não consegue medir a finalidade que temos para eles e como eles vão ser utilizados. Hoje eu apoio, mas amanhã eu posso ser investigada também. De que forma a gente vai lidar com isso enquanto sociedade? O que a gente quer com isso? Vou passar para a Ana. E sabe, só antes da Ana… os alemães (54:40) foram no sentido de dizer que, se formos usar isso aqui, devemos usar em situações de perigo absoluto e concreto, situações absolutamente extremas. A gente já viu muitas vezes, até naquelas discussões que o Diego Aranha participou, que os órgãos de investigação no Brasil usam muito a cartada de “vamos lutar contra a pornografia infantil e a pedofilia”. E, claro, todas as pessoas querem lutar contra isso, mas ao mesmo tempo é uma cartada que também pode ser perigosa, porque aí você coloca o uso disso para subverter a (55:20) segurança de todo mundo. Mas eu acho que seria importante também a gente colocar: eu vou usar isso em quais circunstâncias? É para o cara que está devendo imposto de renda ou para perigos absolutos para a vida, como sequestros? Acho que isso também poderia ser definido. E não sei, Luísa, se você tem visto, antes de passar para a Ana, situações nesse sentido de querer se definir quando e como, ou se vai ser uma coisa meio aberta, que o juiz vai decidir “pode usar nesse caso” e deixa assim. Como é que tu vês? (55:52) Eu acho que ainda não tem muito uma parametrização e uma ação contínua só numa direção ou outra sobre isso. Foi uma discussão da audiência pública, de “quando vamos usar?”. Me parece, e acho que a Ana pode abordar isso melhor, que é para crimes graves. Mas o que são crimes graves? Então, deixar muito bem definido para quando a gente pode usar algum software de monitoramento, se formos usar. Até porque daí existe uma possibilidade de parametrização para ser com ordem judicial, por exemplo. Precisa de uma ordem judicial para se utilizar desse software para (56:29) investigar crime x, y, z, porque parece que essa situação está ocorrendo. A grande questão é que está sendo utilizado sem a gente saber, sem ordem judicial e sem parametrização. Então, é a velha discussão: a gente já está usando, apesar de querermos banir. Como é que a gente lida com a utilização que já está ocorrendo? E aí essa discussão de qual é o menos pior. Ana, vamos lá. (57:09) Sim, foi uma coisa que a gente levou, e outras contribuições apontaram também, sobre a necessidade de se distinguir atividades de inteligência de atividades investigativas normais. Porque, por exemplo, o estudo que a Luísa mencionou, do Iperrec, demonstra que softwares espiões foram adquiridos inclusive por órgãos que nem desempenham atividade de investigação, como o CADE (Conselho Administrativo de Defesa Econômica). Então, é muito necessário que (57:48) a gente recorte essa discussão com a competência de cada autoridade, e que isso não seja utilizado para segurança pública, mas se for para ser utilizado, que seja em atividades de inteligência, com todas as previsões e cuidados que isso envolve. E aí estamos olhando muito mais para a nossa segurança nacional, para relações e conflitos internacionais, do que operar nessa lógica do inimigo interno, direcionando uma arma digital para a sociedade civil, para (58:26) detratores, para dissidentes políticos, a depender de quem estiver no governo. E aí eu acho que posso emendar isso nas minhas últimas considerações. Acho que uma mensagem importante a dizer é que a gente não está negando o problema. Existe um problema, existem crimes que precisam ser solucionados, que são muito complexos e estão ambientados no ambiente digital. Mas é uma constatação de que não vai existir uma bala de prata, não vai ter uma ferramenta que resolva tudo de uma forma (59:09) só, sem ter os seus custos. E a gente precisa pensar quais são os ônus e bônus da ferramenta que estamos escolhendo, e não comprar de barato esse solucionismo tecnológico, achando que soluções simples vão resolver problemas complexos. Afinal de contas, isso nunca aconteceu. É uma oportunidade de dizer também que a gente não admite um desenvolvimento tecnológico em detrimento dos direitos fundamentais. A gente não admite um aplicativo, por mais sofisticado que ele seja na (59:46) possibilidade de intrusão, que coloque em risco os direitos fundamentais. E aí, para citar alguns, porque acho que já contemplamos bastante, só no campo dos direitos humanos há um risco generalizado para um julgamento justo, o risco da validade da prova que a Luísa mencionou, o risco da presunção de inocência, da liberdade de expressão. Então, vai inclusive nos levar a um novo cenário de novos desafios e novas fragilidades da garantia dos direitos humanos no contexto digital. É isso. (1:00:26) Não existe bala de prata. Não tem como fazer uma vulnerabilidade só para as pessoas más; vai deixar todo mundo vulnerável. E também não tem como garantir que as ferramentas vão ser usadas só pelas pessoas de boa intenção. Ótimo. Sabe que eu gostei muito dessa frase da “vulnerabilidade só para os maus”. Isso eu vou dizer para o Mateus fazer um corte bem aqui. Bom, eu gostaria de agradecer a presença de vocês, dizendo que, primeiro, a gente sempre fala aqui, por várias razões, um grande carinho pelo (1:01:06) pessoal do Iris, e a gente sempre fica muito feliz e muito honrado de ter vocês aqui representando a instituição, mas também pelo brilho pessoal de vocês duas, pesquisadoras que nos ensinaram bastante aqui sobre esse tema. Fica bastante clara a qualidade do trabalho que vocês fazem, e a gente fica muito orgulhoso, eu fico muito orgulhoso enquanto brasileiro mesmo, de ver pessoas com projeção internacional, mulheres estudiosas, estando no topo de suas carreiras. Fico até tocado. Acho legal contar com a (1:01:44) participação de vocês. Eu gostaria de agradecer e também dizer que os nossos microfones aqui ficam abertos. Então, se vocês quiserem divulgar as pesquisas de vocês… “Ah, quero concluir meu trabalho aqui, Luísa, quero falar sobre ele”. É só vocês mandarem uma mensagem que a gente marca a hora e começa. Se quiserem vir aqui contar um poema, podem vir falar o que vocês quiserem. Então, mais uma vez, agradeço à Luísa Dutra e à Ana Bárbara Gomes do Iris, que vieram aqui conversar conosco (1:02:16) um pouco sobre essa questão relacionada ao monitoramento do Estado. Agradecemos a todos aqueles e aquelas que nos acompanharam até aqui e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.  

 Ajude as vítimas de enchentes no RS (Sugestões de doações via PIX, Sugestões de outras instituições recebendo donativos)  Visite nossa campanha de financiamento coletivo e nos apoie! Participe da Comunidade:  Conheça o Blog da BrownPipe Consultoria Neste episódio comentamos a decisão da ANPD contra a Meta, falhas de segurança da Apple e o caso Assange. Você irá descobrir os bastidores da tecnologia, privacidade e liberdade de imprensa. Aprofundamos na atuação da ANPD que barrou o treinamento de IA da Meta com dados de usuários, uma vitória para a proteção de dados e a privacidade. Analisamos a grave vulnerabilidade de supply chain attack da Apple, que por 10 anos expôs o ecossistema da empresa, e debatemos as implicações da liberdade de Julian Assange e do WikiLeaks para a liberdade de imprensa. Discutimos também o uso de IA generativa por empresas como a Perplexity, levantando questões sobre ética e cibersegurança. Se você se interessa por segurança da informação, não se esqueça de seguir, assinar e avaliar nosso podcast para não perder nenhuma análise. ShowNotes Perplexity é acusada de usar conteúdos de sites sem autorização Apple’s Phil Schiller is reportedly joining OpenAI’s board ‘Almost every Apple device’ vulnerable to CocoaPods supply chain attack Publicação do Radar Tecnológico – Biometria e reconhecimento facial – Estudos Preliminares da ANPD Declaração pela criação da Rede Lusófona de Proteção de Dados – ANPD Suspensão da nova política da Meta pela ANPD Como o Wikileaks alcançou os holofotes mundiais mas esbarrou no ativismo hacker de Julian Assange, que o levou à prisão Acordo de Assange é ruim para liberdade de imprensa, diz autora de livro sobre WikiLeaks Livro – O vazamento: memórias do ano em que o WikiLeaks chacoalhou o mundo 📝 Transcrição do Episódio (00:01) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 368, gravado em 5 de julho de 2024. Eu sou o Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes. Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção, tomando um café; dessa vez, um café de verdade. Então, pegue o seu café e venha com a gente. (00:31) Para entrar em contato conosco e enviar suas críticas e sugestões, é muito fácil: basta enviar uma mensagem para [email protected] ou, se preferir, também pelo @segurancalegal no Twitter (ou X, mas nós aqui falamos Twitter) e também no Mastodon: @[email protected]. Já pensou em apoiar o projeto Segurança Legal? Acesse o site ou o Apoia-se: apoia.se/segurancalegal e escolha uma das modalidades de apoio. (00:57) Entre os benefícios recebidos, você terá acesso ao nosso grupo exclusivo de apoiadores lá no Telegram. Tem também o blog da Brown Pipe, Vinícius. Se você quiser se manter informado, visite o blog da Brown Pipe: brp.com.br. (01:17) Lá você vai ter o link para o blog. Se quiser, pode se inscrever no nosso mailing semanal. Nesse mailing, você receberá uma curadoria de algumas das notícias mais relevantes de toda a semana. Temos uma nova série, Vinícius: o Blogcast Segurança Legal. O que é essa nova série? (01:57) Para manter o nosso feed mais ativo e dar mais visibilidade para aquilo que você está curando. O Guilherme seleciona as notícias, algumas vezes ele até usa o ChatGPT para ajudar na questão do resumo, mas é sempre curado pelo Guilherme, pessoalmente. Não é conteúdo sintético puro, largado lá. É algo que o Guilherme faz com bastante cuidado e carinho. Eu falei para o Guilherme: “Cara, vou começar a pegar essas informações que você está colocando no blog e vou, eventualmente, gravar para colocar no feed, para o pessoal saber também do que está constando lá”. São coisas bem relevantes que não necessariamente vêm parar aqui no podcast. (02:31) Algumas coisas a gente traz para o Segurança Legal, como hoje, mas nem todas fazem seu caminho até aqui. Então, estamos começando a gravar esses blogcasts que entram no nosso feed. Tem também outra coisa interessante, Guilherme, que quem nos acompanha há algum tempo já deve ter percebido: estamos com os vídeos no YouTube. Neste momento, estamos gravando o áudio em ótima qualidade para ir para o feed e também o vídeo que vai para o YouTube. (03:04) Para incentivar você a também nos ouvir por lá, se puder (se estiver dirigindo, não vá assistir no YouTube, fique no feed mesmo), lá no YouTube sempre temos uns minutinhos a mais no final. Depois que a gente se despede, sempre tem alguma coisinha a mais. No último episódio, com o Lucas Lago, nosso convidado, seguimos conversando um pouquinho com ele depois, foi bem legal. E tem uma outra coisa, Guilherme, uma iniciativa Brown Pipe/Segurança Legal: (03:37) eu comecei a gravar, talvez com saudade das aulas, umas lives ao vivo. Tem sido sempre nas terças-feiras, às 8 horas da noite. Terça-feira que vem terá de novo, sobre segurança da informação com um viés bem aplicado. Claro que trago as questões conceituais importantes para compreendermos as coisas, mas sempre com viés de aplicação, inclusive com um enfoque um pouco maior para desenvolvimento seguro de software. (04:17) Começamos uma série agora sobre criptografia. Já foram uns três episódios bem interessantes. Na semana que vem, na terça-feira às 8h, vai ter o que eu chamo de um “hash cuca”. Vou destrinchar um tipo de vulnerabilidade que pode aparecer em softwares, que mesmo que você use um algoritmo forte como AES para criptografia com uma chave de 128 bits muito bem escolhida… (04:55) se você cometer dois erros na sua aplicação, a gente consegue decifrar o texto cifrado com esse seu ótimo algoritmo e com essa maravilhosa chave completamente randômica que você escolheu. O algoritmo é bom. Como conseguimos fazer isso? Vou mostrar na terça-feira, às 8 da noite, ao vivo. É um bom exercício para a mente, para quem gosta de pensar bastante. (05:31) Se o ouvinte quiser ver essa série de vídeos, basta entrar no canal do Segurança Legal no YouTube. Os vídeos passados estão na aba “Ao vivo”. Você clica lá na abinha, no canal do Segurança Legal no YouTube, e vai aparecer todas as lives que já passaram e o agendamento da próxima. (06:04) Inclusive, tem aqui o “Live 1 Piloto do Segurança Legal no YouTube”, gravado há 7 anos. A gente já vem há um tempo tentando brincar com essas coisas. Somos meio old school. Mas, aproveitando o ensejo, Vinícius, eu também deixei um videozinho lá porque participei da última Jornada Internacional de Direito, que ocorreu nos dias 26 a 28 de junho de 2024. Foi uma jornada remota. (06:44) Os participantes mandavam seus vídeos, e eu mandei uma contribuição de 20 minutos sobre os desafios da regulação da Inteligência Artificial. Se você quiser saber um pouco mais ou ver essa contribuição, basta acessar no YouTube do Segurança Legal. Certo, Vinícius? Certíssimo. (07:23) Uma última coisinha, pessoal: o pessoal do Rio Grande do Sul, nós aqui no Rio Grande do Sul, as pessoas que foram atingidas pelas enchentes ainda precisam de ajuda. Quem é daqui de Porto Alegre e do interior mais atingido sabe, consegue ver isso. Tem muita gente em abrigo, muita gente fora de casa. Esses dias eu estive ali perto da Arena e o pessoal estava com filas gigantescas para pegar colchão e cobertor. Então, ajudem se puderem. Escolham, tem muitos… Nós colocamos no nosso site uma listinha de algumas indicações. Os gaúchos que foram atingidos ainda precisam de você. Pedimos que, se puder, continue ajudando. (07:57) Temos uma mensagem de ouvinte aqui, Vinícius, do nosso antigo ouvinte Alexandre Rajhara. Ele está conosco há bastante tempo e deu uma alfinetada, sugerindo que iniciaríamos o episódio com um “café frio”. Ele trouxe a notícia, indicou-a e disse: “Xi, teremos um café frio para o Perplexity no próximo episódio”. O que o pessoal do Perplexity andou fazendo? (08:35) Na real, o Perplexity deu uma inovada. Tínhamos um GPT que foi treinado com tudo que havia na internet até um certo ano. O GPT-3.5, depois o 4, o Omni, foram sendo atualizados com conteúdo da internet. Uma funcionalidade que faltava ao GPT, e que agora tem no ChatGPT 4o, é a consulta à internet. O Perplexity trouxe isso. Ele usa por baixo vários modelos, inclusive o GPT-4, se você pagar. (09:17) O que o Perplexity fez foi a consulta em tempo real na internet. Em vez de usar um mecanismo de busca como o Google, você vai no Perplexity e faz a busca lá. Ele busca na internet em tempo real, trazendo as coisas mais recentes ou relevantes, e te dá as respostas, o resumo do que encontrou, mas também os links das fontes originais. Eu normalmente uso porque prefiro conferir. (09:56) O que eles têm feito, essas empresas todas, não só o Perplexity, é varrer a internet para alimentar seus modelos e gerar informação relevante, o que, no final das contas, acaba fazendo com que a pessoa não vá mais à fonte da informação. E você não indo à fonte, meio que quebra o modelo. Não estou dizendo que isso é bom ou ruim, podemos discutir em outro momento, mas acho que é ruim. (10:34) Ele quebra esse modelo de receita por acesso. Para nós, por exemplo, no Segurança Legal, a hora que tiver uma ferramenta que faça um resumo do nosso áudio, e a partir desse resumo gere um conteúdo que você vai consumir em vez do podcast, é ruim, porque vamos perder o contato direto com nossos ouvintes. (11:10) O que a Perplexity está fazendo é um resumo das pesquisas, artigos, inclusive de coisas que estão atrás de paywall, e trazendo esse resumo para quem está pesquisando. A maioria das pessoas, imagino, não vai na fonte original. O Perplexity deu um passo adiante: se vocês usarem o Perplexity, mesmo o gratuito, verão uma opção chamada “Discovery”, que traz notícias curadas pelo time deles. (11:52) Usando IA, eles usam o Eleven Labs, que é uma solução de geração de áudio, e em parceria com eles, estão gerando um podcast a partir do Discovery. Disseram que era diário, mas está falhando. Tem dias que não tem. Eles geram um podcast com as notícias do Discovery. (13:06) É uma discussão que tem que ser trazida não só com relação ao Perplexity, mas sobre todo esse uso de IA. O próprio Google está tentando fazer isso no seu mecanismo de busca, correndo atrás do Perplexity e da OpenAI. O Google também está tentando fazer com que você não precise ir à origem. Ele já faz isso com os snippets, mas comparado com o Perplexity, é ruim. (14:21) Eu te pergunto, em termos práticos e sem fazer juízo de valor: se você faz uma pesquisa e tem duas ferramentas, uma que já te dá a resposta pronta e outra que te dá um link para ler o texto inteiro, você acaba indo para a mais rápida, não tem jeito. Mas tem outros dois elementos: eles estavam desrespeitando o protocolo robots.txt. Tem um arquivinho que você pode colocar na raiz do seu site para listar coisas que não queira que sejam indexadas. (15:02) O Perplexity não é o primeiro nem o último a desrespeitar isso. Não é um controle de acesso, é só um pedido para não indexar. Mas é um grande acordo de cavalheiros da internet. Não seguir o robots.txt é uma atuação de má-fé. Veja, mesmo que o conteúdo esteja livre, esses caras usam seus crawlers. Essas big techs de Inteligência Artificial têm robôs varrendo a internet. (15:43) Só que, em vez de indexar o conteúdo para mecanismos de busca, eles estão usando para treinar. Não é só uma questão de apresentação, é também de treinamento. Potencialmente, eles poderiam estar treinando, o que faz conexão com outra notícia que vamos falar hoje. Mas, ainda sobre a OpenAI, já mandando um grande abraço para o Rajhara. O seu “café frio” foi endossado. (16:26) Concordamos com o “café frio” para esse tipo de uso de IA que temos visto. Ao mesmo tempo, não podemos ser hipócritas, porque também usamos para pesquisar. Mas isso tem que ser resolvido. Recuperando nossas mensagens com o Rajhara, ele mandou a primeira vez em 2016. Já são 8 anos. Muito obrigado pela audiência. Abração, cara. (17:00) Depois, temos uma notícia sobre quem está entrando no conselho da OpenAI. O Phil Schiller, da Apple, vai fazer parte do board da OpenAI, mas sem direito a voto. Vai meio que supervisionar e acompanhar as decisões, pensando na própria integração que a Apple está fazendo do GPT em seus dispositivos. (17:53) Na mesma linha da integração que a Microsoft está fazendo no sistema operacional. A OpenAI tem o ChatGPT para uso desktop no macOS, mas não para Windows ou Linux. A Apple, por meio de sua parceria, também está integrando isso em seu sistema operacional. Estamos vendo uma corrida de integração de IA em tudo, tanto em desktop quanto em mobile. (19:21) Essa aproximação da Apple serve para azeitar esse andamento. O pessoal tem chamado muito a atenção para a questão da privacidade envolvendo o uso de IA direto no seu sistema operacional. Temos que ver como isso vai acontecer. Já falamos, procurem nos episódios passados, sobre o recurso Recall da Microsoft. É interessante, mas perigoso. Que uso será feito dessas informações? (20:05) Em essência, a Microsoft poderia, com o Recall, saber tudo que você fez na sua máquina no passado. É delicado. Não estamos vendo um respeito a dados por essas empresas. Estamos vendo o contrário: uma corrida que, na verdade, é o que se esperaria, porque são empresas que tradicionalmente vêm desrespeitando direitos. (20:52) Temos visto um movimento não de proteção, mas de cada vez maior desrespeito e tentativas de bypassar as proteções legais. Quando falamos em proteção de dados, o negócio é mundial e atinge públicos em qualquer lugar do mundo. Mas fiquemos a ver o que vai acontecer com a participação do Phil Schiller no board. (21:31) E falando em proteção de dados, Guilherme, temos movimentações da ANPD. Sim, temos três destaques. A ANPD tem se movimentado. O primeiro foi o lançamento de um novo documento com estudos preliminares sobre biometria e reconhecimento facial, da série “Radar Tecnológico”. Um documento bem interessante que avalia o funcionamento dessas tecnologias e os usos feitos aqui no Brasil. (22:13) É bem interessante para quem está estudando esse tema. As autoridades de proteção de dados no mundo costumam produzir documentos técnicos como esses. Você vai ter documentos do CNIL, do ICO, da autoridade espanhola, que são bem profícuos nesse sentido. (22:53) A ANPD cita casos emblemáticos de uso de biometria facial na educação para apurar frequência de alunos e usos comerciais em soluções de autenticação do Serpro e do gov.br. Quem tem interesse no tema pode dar uma olhada. Inclusive, tem no final uma projeção de futuro. (23:27) Depois, temos uma notícia da ANPD sobre a declaração para a criação da Rede Lusófona de Proteção de Dados, que reúne os países que falam português. Houve uma reunião em Lisboa com representantes de Portugal, Angola, Cabo Verde, São Tomé e Príncipe e o Brasil, para discutir a criação dessa rede. (24:09) Estão estudando a criação de um estatuto. O objetivo é a cooperação e a troca de conhecimento entre as autoridades. Acho que é uma união bem importante. Podemos nos beneficiar, no melhor sentido da palavra, dessa união, porque é bastante provável que tenhamos problemas semelhantes e mais convergências do que se comparássemos Brasil e França, por exemplo. (25:31) Temos uma proximidade do GDPR com a LGPD, foi intencional. As soluções das autoridades europeias podem e devem ser estudadas por nós. Mas aqui vejo a questão dos problemas mesmo. Os países do Sul Global, em desenvolvimento, terão problemas semelhantes. O Brasil talvez pudesse exercer um papel de liderança aqui, pelo seu tamanho e representatividade. (26:09) Fiquei bem empolgado. Nosso amigo David Theófilo esteve lá acompanhando a comitiva. Mas o grande assunto, a grande atuação da ANPD nessas últimas semanas, talvez a maior até agora, foi a suspensão da nova política da Meta, que visava ao treinamento de IA com os dados dos usuários. Mais uma vez, vemos essa interconexão entre as duas disciplinas. (26:56) Apesar de não termos ainda uma lei específica sobre IA no Brasil, e termos visto um lobby intenso das big techs, conseguimos ver essa interconexão entre proteção de dados e inteligência artificial quando há tratamento de dados pessoais. Posso ter dados pessoais usados para treinar as ferramentas, o que atrai as leis de proteção de dados, ou ter como output conteúdos que prejudicam as pessoas, como deepfakes. (27:34) A Meta veio com essa nova política querendo treinar a IA deles com fotos, áudios e imagens dos usuários. Temos que ver o tamanho do Brasil e como os brasileiros usam os produtos da Meta. Parece que não envolvia o WhatsApp, embora a política cobrisse todos os produtos. (28:15) Só o Facebook tem 102 milhões de usuários. A ANPD se manifestou dizendo que a implementação dessa política traria um risco iminente de dano grave ou de difícil reparação para os brasileiros, considerando esse enorme grupo de pessoas e um contraste com o que ocorreu na União Europeia, onde a aplicação também foi postergada. (29:30) Aqui, eles se sentiram mais à vontade para tentar implementar essa política, o que diz muito sobre como as big techs lidam com países como o Brasil. Talvez não contassem com a atuação da ANPD, que veio com uma medida preventiva. Não é uma decisão definitiva, mas uma medida para suspender preventivamente a política, numa análise preliminar. (30:07) Os argumentos da decisão muito provavelmente serão os definitivos. Eles suspenderam essa política e as práticas ali estabelecidas. Criaram um processo de fiscalização que culminou nesse processo de suspensão cautelar. Vou trazer alguns dos elementos que motivaram essa suspensão. O primeiro foi a hipótese de tratamento. (31:22) A Meta decidiu utilizar o legítimo interesse para pegar todos os seus vídeos, fotos, áudios e imagens passados para treinar a IA. A ANPD disse: “Opa, não podemos utilizar o legítimo interesse”, até porque, potencialmente, podemos estar tratando dados sensíveis. Eu posso, por exemplo, determinar a posição política de alguém que postou fotos do seu candidato. (32:34) Dá para tirar as doenças, eventualmente. As pessoas postam de tudo. Já falamos aqui de fotos de crianças, de trabalhinhos de escola que podem ser considerados dados sensíveis. Para um leigo, é só um desenho. Mas para um olho treinado, seja humano ou de uma IA, aquilo pode revelar muito mais. (33:42) E essas informações sobre a vida da pessoa estarão lá, podendo ser analisadas. Isso, obviamente, impacta quem a pessoa é. Você falou “um olho treinado”, e gostei. A IA é um olho treinado para fazer isso ou aquilo. A ANPD critica a escolha do legítimo interesse, que deve ser usado em situações muito específicas. Para dados sensíveis, o ideal seria o consentimento. (35:07) Além do mais, para usar o legítimo interesse, deveria ser razoável que o titular tivesse a expectativa de que seus dados pudessem ser usados para aquela finalidade. Certamente, quando você publicou fotos 5 anos atrás, não tinha a expectativa de que pudessem ser usadas para treinar uma IA. Não é que não pode, mas a hipótese de tratamento estaria errada. (35:44) Houve também um problema de informação. Eles não informaram adequadamente as consequências do uso dos dados nem cumpriram o princípio da finalidade. “Para treinar sistemas de IA generativa” não quer dizer muita coisa. Você precisa ser mais específico. Isso exigiria, caso fosse possível usar o legítimo interesse, uma transparência ampliada. (36:15) O que não ocorreu. A possibilidade de opt-out que eles deram era absurdamente difícil. Há vídeos na internet mostrando como fazer, e é inacreditável. É virtualmente impossível conseguir chegar lá sem ser orientado. Isso é um problema de transparência e também de dark patterns, um padrão de uso feito para dificultar o opt-out. (36:52) Isso foi notado também na União Europeia. Lá, mandaram um e-mail com o link para o opt-out. Aqui, não avisaram ninguém. Por fim, eles se manifestaram sobre a questão das crianças. Não falaram nada sobre o uso de dados de crianças, o que é muito grave, porque temos que levar em consideração o seu melhor interesse. (37:32) A Miriam Wimmer, diretora relatora da ANPD, numa decisão primorosa, aponta o risco disso para as crianças. Será que não posso estar treinando possibilidades de deepfakes? Então, de forma cautelar, suspenderam e estabeleceram uma multa de R$50.000 por dia em caso de descumprimento. A Meta terá que demonstrar o cumprimento. (38:42) A coisa deve se prolongar, mas foi uma das grandes atuações da ANPD. Veio no momento certo, alinhada com o que o mundo inteiro vem discutindo. Foi, para terminar, uma das grandes atuações da ANPD desde a sua criação. Fico me perguntando se o conteúdo apagado do Face também entra no treinamento. É uma boa pergunta. A gente sabe que o apagado não é bem apagado. (39:30) Guilherme, vou para minha última notícia. É sobre uma senhora bagunça que a Apple fez, segundo o The Register. A Apple tem o Swift e o Objective-C, usados para desenvolver softwares. Essa plataforma tem seus pacotes, os Pods. Em 2014, a Apple fez uma migração para um novo repositório e, quando fez isso, resetou a propriedade dos repositórios de cada um desses Pods. (40:20) Você tinha que reclamar a propriedade dos seus Pods. O processo era essencialmente mandar um e-mail. Vários Pods ficaram, até 2023, sem terem sido reclamados. Desde 2014, nem todo mundo foi lá reclamar a propriedade. (41:05) Esses Pods “órfãos” ficaram disponíveis para quem quisesse adotá-los. Isso permitiria que alguém mal-intencionado injetasse código malicioso, colocando em risco todos os dispositivos iOS e macOS. Esses Pods sem titularidade já estavam sendo usados em projetos no mundo inteiro. Exato. São bibliotecas. (42:14) É como se, no npm (JavaScript) ou no pip (Python), os pacotes de repente ficassem sem dono e qualquer um pudesse assumir a titularidade e fazer o que quisesse com o código-fonte. Você tem um problema seríssimo de supply chain. Isso desde 2014. Quem descobriu foi uma firma israelense. É algo que não foi pego por auditorias internas, ficou assim por 10 anos. (43:32) Talvez alguém tenha descoberto isso lá em 2014 e vendido para outras firmas, como a NSO Group, que compra esse tipo de vulnerabilidade. Mas esse não foi o único problema. O The Register chamou de “bagunça” por um motivo. (44:54) Outra vulnerabilidade permitia executar código remoto enviando um e-mail. Eles usaram um pacote do Ruby vulnerável no servidor que conseguia executar um comando Bash na linha de comando do Linux. Esse comando permitiria não só roubar sessões de usuários, mas eventualmente até desligar o servidor, dando um “reboot”. Para fazer isso, você precisa ser root. (46:13) Há mais um problema, um básico de segurança. Para recuperar uma conta, você recebe um link por e-mail. Um ataque conhecido é o atacante incluir, na requisição de recuperação, o cabeçalho X-Forwarded-Host com o nome de um servidor que ele controla. (48:08) O servidor da Apple pegava o conteúdo desse cabeçalho para montar o link de recuperação. Ele mandava o link do atacante para o usuário. Se o usuário clicasse, ele faria um acesso ao servidor do atacante, que receberia o token de recuperação. Com esse token, o atacante acessa o servidor correto e reseta a senha. (49:32) Eram três CVEs nesse servidor. Os problemas foram corrigidos pela Apple recentemente. Mas agora temos código que, potencialmente, foi manipulado. É preciso fazer uma revisão nesses Pods para ver se não há nada malicioso socado lá. É um problemaço. A Apple resolveu as vulnerabilidades, mas as consequências podem estar ainda ativas ou latentes. (50:10) Uma bela de uma “mess” (bagunça), como chamou o The Register. Por último, Vinícius, temos que falar sobre o caso Assange. Julian Assange está livre. Ele foi solto no último dia 24 de junho, depois de um longo processo de asilo e prisão. (50:58) Ele funda o WikiLeaks em 2006, com o objetivo de promover transparência com dados retirados de governos. Em 2010, ele divulga documentos sigilosos da guerra do Iraque e do Afeganistão. O mais conhecido foi um vídeo de militares americanos atirando em civis de um helicóptero Apache. (52:11) Os caras teriam confundido uma câmera fotográfica com um fuzil. O nome do vídeo é “Collateral Murder”. São dois helicópteros atirando em 12 homens com uma metralhadora de 30mm. É um negócio gigante, absurdo. Esses materiais foram repassados pela soldado Chelsea Manning. A partir daí, os Estados Unidos começam a tomar medidas contra ele. (54:13) Ele pede asilo na embaixada do Equador em Londres e fica lá de 2012 a 2019. Houve uma acusação de estupro contra ele nesse meio tempo, mas a imprensa tem indicado que seria uma medida persecutória planejada. Depois de 2019, ele é preso em Londres e agora liberado, num acordo com os Estados Unidos, depois de se declarar culpado de um dos crimes: conspiração para obter e divulgar documentos de defesa nacional. (54:48) A pena combinada foi exatamente o tempo que ele passou preso. Tenho duas indicações sobre isso. A primeira é o livro da Natália Viana, “O vazamento: Memórias do ano em que o WikiLeaks chacoalhou o mundo”. Ela participou da análise das informações. O livro foi lançado em 5 de julho de 2024. A outra é uma entrevista dela no podcast “O Assunto”, episódio 1243. (56:11) Por que isso é importante? Esse, junto com o caso Snowden, foram talvez os dois grandes casos deste século envolvendo liberdade de imprensa e o papel da internet nas democracias. A grande discussão era que ele, atuando como jornalista, foi punido por divulgar um material que demonstrou um crime de guerra. (57:33) Vi a Natália Viana dizer que o acordo não foi bom, porque ele teve que assumir a culpa de um crime que não cometeu, pois estava realizando um trabalho jornalístico. Isso pode ser um recado de que, se você publicar, seu destino pode ser o do Assange, que por pouco não morreu preso. E o Snowden está até hoje na Rússia. São dois casos importantíssimos. (58:50) No meu ponto de vista, temos que comemorar a soltura dele. O que me chama a atenção é que houve um pronunciamento do governo brasileiro em favor do Assange, mas o Snowden, que revelou que o governo brasileiro estava sendo monitorado, está lá até hoje. É algo que chama a atenção. (1:00:26) O livro que a Natália Viana escreveu é um relato de quem esteve no olho do furacão. Tem outro livro, “O Processo: O caso Assange”, de Nils Melzer, que também é muito bem recomendado. (1:01:47) Agora, vamos para o pós-café. Vou dar meu café expresso para a ANPD pelo caso Meta. Sem dúvida. E para a Miriam, diretora relatora. Vale a pena ler a decisão. É um dos grandes movimentos da ANPD. (1:02:24) Meu café frio vai para a Apple, que desde 2014, na migração do repositório de Pods, inseriu múltiplas vulnerabilidades e deixou os pacotes órfãos. Vou endossar o café frio do Rajhara para o Perplexity, por estarem abusando no treinamento e uso de materiais da internet. Se não cuidarmos de como regular as big techs no campo da IA, o futuro tende a ser bastante perturbador. (1:03:46) Agradecemos àqueles que nos acompanharam até aqui. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima.  

 Ajude as vítimas de enchentes no RS (Sugestões de doações via PIX, Sugestões de outras instituições recebendo donativos)  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria Confira as seguintes notícias nesse episódio: Macron propõe proibir celulares para crianças menores de 11 anos Banco Central divulga novos vazamentos de chaves PIX

 Ajude as vítimas de enchentes no RS (Sugestões de doações via PIX, Sugestões de outras instituições recebendo donativos)  Visite nossa campanha de financiamento coletivo e nos apoie!  Participe da Comunidade:  Preencha a pesquisa “A voz do ouvinte do Segurança Legal”  Conheça o Blog da BrownPipe Consultoria Neste episódio, Guilherme Goulart e Vinicius Serafim conversam com Lucas Lago, do Instituto Aaron Swartz, sobre ativismo digital. Você irá descobrir o legado de Swartz e a luta pelo acesso livre à informação.​ A conversa aprofunda na história de Aaron Swartz, figura central na defesa do acesso à informação e do software livre. Discutimos sua perseguição após o caso J-STOR, o Manifesto do Acesso Aberto e a controversa prática de scraping de dados por empresas de Inteligência Artificial (IA). Lucas Lago detalha a missão do Instituto Aaron Swartz, herdeiro do Partido Pirata no Brasil, e seu trabalho em segurança digital, privacidade online e transparência política, como o Projeto 7c0. A discussão também aborda a ética hacker, direitos autorais e o Marco Civil da Internet. Assine, siga e avalie o Segurança Legal para apoiar o debate sobre tecnologia e sociedade.​ ShowNotes Site do Instituto Aaron Swartz Projeto 7c0 Nota CopyTrolls Cursos abertos apoiados pelo instituto Foto do Episódio de Fred Bedenson 📝 Transcrição do Episódio (00:00) [Música] Este é o Segurança Legal, Episódio 367, gravado em 21 de junho de 2024: Instituto Aaron Swartz. Neste Episódio, entrevistamos Lucas Lago, do Instituto Aaron Swartz, sobre o papel do ativismo digital no mundo contemporâneo. Segurança Legal com Guilherme Goulart e Vinícius Serafim, um oferecimento Brown Pipe Consultoria. [Música] Bem, já estamos de volta com o nosso convidado, nosso amigo Lucas Lago. Lucas Lago é um tecnologista de interesse público com mais de uma década de experiência em desenvolvimento de (00:44) software, criador do projeto 7c0 e ex-aluno do Media Democracy Fund. É também membro ativo do Instituto Aaron Swartz e, dentro desse Instituto, Lucas representa a organização em grupos de trabalho, tanto na Coalizão Direitos na Rede quanto na ISOC Brasil. Seu trabalho se concentra na divulgação da tecnologia, especialmente em segurança digital e tecnologias eleitorais. Seja bem-vindo ao Segurança Legal, Lucas, tudo bem? Tudo certo, Guilherme. Obrigado pelo convite. É um prazer enorme estar participando aqui do podcast de vocês. Eu sou ouvinte assíduo do Segurança e (01:25) fico feliz de estar aqui hoje. Legal, a gente fica muito feliz de contar com o teu tempo, com a tua participação. Nesse momento, acho que a primeira pergunta tem a ver com isso. Você sabe que eu estava lendo ontem, até uma coisa bem fora, assim, eu estava lendo um cara chamado Peter Singer, que ele fala sobre a questão da proteção animal, tem um livro chamado “Libertação Animal”, e ele falava do papel dos ativistas, da importância do papel dos ativistas para a causa animal. E aí eu pensei: “Bom, mas amanhã a gente vai falar com o Lucas, vou perguntar para ele (01:55) qual o que tu achas do papel do ativismo hoje em dia em relação à tecnologia, claro. E, levando em consideração que no mundo atual as novas tecnologias de maneira geral são tão intensas e fazem parte tão fortemente da vida de todos, como que tu vês o papel dos ativistas e dos divulgadores científicos na área de tecnologia hoje?” Acho que é um papel muito complicado, porque a gente fica responsável por empurrar as coisas para o lado que é contra o lado mais hegemônico das grandes empresas, Big Tech, principalmente. Então, (02:36) é um negócio muito de ter o papel de dar murro em ponta de faca, de apontar aonde as coisas tecnicamente não funcionam, às vezes, e, às vezes, onde elas tecnicamente funcionariam, mas o resultado não é exatamente o que as pessoas imaginam que seria, porque se compra muito o marketing da big tech. Então, o nosso papel é um pouco trabalhar para falar: “não, peraí, isso aí é propaganda, não é de verdade, ou isso aí é de verdade e é muito pior do que você imagina”. Então, o nosso papel é um pouco (03:19) esse. Esse “de verdade é muito pior que você imagina” é complicado. E também, até um pouco, eu acho que os ativistas, os divulgadores, eles vêm sendo meio que desacreditados ao longo dos últimos tempos, assim. Tu notas ou sempre foi assim, na tua visão? Na área em que eu sou mais atuante, eu acho que teve um processo, principalmente no meio de tecnologias eleitorais, teve um processo muito complicado de descrédito da divulgação científica e dos cientistas. E na área de segurança, nem (04:03) tanto, porque é uma área meio arcana, assim, meio que o pessoal não tem muito conhecimento, então acaba ficando por fora. Mas, no geral, tem um descrédito do papel do especialista nas discussões, assim. Então a gente percebe bastante isso acontecendo. E aí é onde a gente tenta trazer a discussão técnica e tentar falar: “olha, a gente está tentando apontar para isso aqui por conta desses elementos, por conta dessas coisas”. Então, a gente tenta trazer, forçar bastante o lado técnico. E só (04:40) trazendo aqui, isso é um papel que a gente do Instituto Aaron Swartz, eu sei que eu estou adiantando um pouco, mas a gente tenta fazer bastante esse ativismo por um lado técnico, por um lado mais da tecnologia mesmo, de sermos tecnologistas e ativistas ao mesmo tempo, porque existe muito ativismo que é super bem feito, mas ele não é feito por pessoas técnicas da área da computação, é feito por técnicos do direito, de outras áreas. E, então, a gente tenta trabalhar no nicho de: “nós somos ativistas e sabemos como isso aqui (05:24) funciona de forma bastante específica, assim, por dentro”. Legal. Beleza, Lucas. Primeiro, queria te dizer que o Guilherme falou no início ali que tu tens 10 anos de experiência como dev, alguma coisa parecida. A gente não perguntou a tua idade, mas, olhando, cara, eu acho difícil que tenhas esses 10 anos aí. Eu acho que não sei, não, cara, tu me pareces mais jovem do que… Deixa eu pensar, cara, com 10 anos tu devias estar com uns 12, lá. Que idade tu tens, cara? Que idade tu tens agora? Agora quer saber? Eu tenho mais que 35. Ah, vai te catar, sério, meu? Ah, não, cara, só vou (06:05) manter por aí. Poxa. Não, então tá bom, tá bom. Eu já estava duvidando desses 10 anos de experiência aí. Mas isso é profissionalmente, porque se for considerar o primeiro código que eu escrevi, eu escrevi com 10, 11 anos mesmo, porque eu ganhei um computador do meu pai, tipo um Commodore, alguma coisa. Ah, que legal. Que vinha com um livro com os códigos. Aí eu copiei um… Tu já estás com quase 40, cara? Quase. Tu já estás perto dos 40, aí. Bem pertinho, na verdade. Um Commodore, sim, sem dúvida. Tu tiveste esse, Vinícius, ou não? O Commodore, não. Eu comecei a mexer com 8 anos, só (06:47) que, quando eu tinha 8 anos, eu acho, eu tenho a impressão de que o Lucas não tinha nascido, cara, não sei, não. E aí foi o primeiro, foi um MSX, era da Gradiente na época. Meu Deus, 28k de… Mas tu gravaste software em fita cassete, então? Sim, claro, sim, gravei. E tentei muitas vezes carregar da fita cassete. Gravar é tranquilo, a questão é carregar da fita cassete. Aquela coisa de jogo, eu tinha jogo em fita cassete. Primeiro eu estava te falando que eu tinha um negócio, um simulador de voo, o primeiro (07:32) simulador de voo que eu usei na minha vida foi no MSX e ficava numa fita cassete. Tinha que carregar aquela porcaria inteira. Ah, cara, Deus do céu. Enfim, mas, Lucas, voltando, fora o esquema da tua idade, que com certeza nós vamos ter que verificar para ter certeza do que tu estás falando. Sei lá, o cara leu “Commodore” em algum lugar e resolveu dizer que usou Commodore, quando ele já tinha PlayStation na idade dele. Cara, a gente começou a conversar, essa conversa surgiu de uma troca nossa, que, volta e meia, a gente passa um (08:08) tempo, troca umas mensagens. Eu te perguntei, a gente falou de um outro assunto e aí: “E aí, cara, como é que tu estás?”. Daí tu falaste que estavas no Instituto, assim: “Bah, cara, vamos gravar”. E a gente acabou… Eu falei para o Guilherme: “Guilherme, o Lucas está no Instituto Aaron Swartz, e tal, vamos gravar com ele”. Daí o Guilherme topou de cara, te fiz o convite. E, cara, essa figura, assim, muita gente que eu conheço da área de TI não sabe quem é o Aaron Swartz. (08:40) E o Instituto Aaron Swartz, aqui no Brasil, nos disseste antes da gente conversar que ele é único, ele existe só no Brasil. Eu achei que fosse o braço de algo que existisse internacionalmente, o que me deixou mais surpreso ainda, estar no Brasil uma iniciativa única nesse sentido. Então, nos explica um pouco quem foi o Aaron Swartz, por que ele é importante para a internet e qual é o papel do Instituto, ou seja, (09:21) qual é a ideia do Instituto aqui no Brasil. Beleza. O Aaron, tristemente, é um cara que sumiu um pouco logo depois da morte dele, mas ele foi um cara absolutamente ativo em muitas, muitas diferentes áreas fundamentais para a internet. Desde todo mundo que escreve usando Markdown, ele estava lá no meio desse rolê. Todo mundo que já viu alguma coisa no Internet Archive, ele está lá no começo dessa discussão, lá no meio. Ele ajudou com várias coisas (10:08) dentro da Wikipedia. Então, ele tem diversas atuações. E, como eu estava comentando, da gente querer ter essa discussão ativista e técnica ao mesmo tempo, o Aaron Swartz é um exemplo muito grande para a gente disso, porque ele era um cara, ele era um programador. Ele sabia escrever código, ele era um cara que fazia isso da vida, mas tudo que ele fazia, ele tinha esse olhar de: “Não, peraí. Isso aqui, qual a relação disso aqui com a sociedade?”. Então, por que isso aqui é importante? Uma das grandes atuações dele foi contra o SOPA, (10:47) que era a lei antipirataria americana, o Online Privacy Piracy Act, e ele foi um dos caras que liderou a campanha contra isso, que era um projeto de lei para que ampliava ali o direito autoral nos Estados Unidos e ameaçava a liberdade de expressão e tal. Então, o Aaron estava lidando com ativismo contra isso, e do jeito dele. Então, ele construiu sites contra isso, ele levantou dados, ele fez esse tipo de trabalho. Então, ele tem todo esse ativismo dele baseado muito em (11:30) “o que que dá para fazer de efetivo com o que eu sei fazer?”. “Então, eu sei programar, então eu vou fazer meu ativismo com programação”. Isso é uma coisa muito interessante do Aaron. E para quem conhece o Reddit, ele também estava lá no começo desse fórum também. Então, é muito difícil usar alguma coisa na internet que não tenha um dedo do Aaron em algum momento. O RSS, ele estava metido. Ah, isso que eu ia falar. Eu ia dizer que se você está ouvindo esse podcast pelo seu agregador, é graças a ele também. (12:15) Lucas, eu não sei até que ponto, se foi ele que desenvolveu, ele trabalhou junto com a equipe, mas eu sempre soube que ele estava diretamente envolvido no RSS. Sim, então, o Aaron, ele tem muito pouca coisa que você olha e fala: “beleza, isso aqui foi o Aaron Swartz que fez sozinho”. Ele era um cara que estava sempre junto com uma galera fazendo coisas. E se você pegar a biografia dele, você vai ver que ele passava por meio de diversos grupos e sempre era convidado por um grupo para ajudar com alguma coisa, ia lá, se metia, fazia. Então, (12:50) eu acho que assim, tem poucas coisas que você pode falar: “isso aqui o Aaron que fez, sentou um dia e fez sozinho”. Ele era um cara que fazia muito pouca coisa assim, ele era um cara de fazer parte de várias equipes e tal. E talvez a coisa pela qual ele tenha ficado mais famoso é a questão que ele teve com a JSTOR, que é uma editora de artigos científicos. Enquanto ele estava no MIT, ele tinha acesso a todos os artigos dessa editora e ele decidiu que, como ele tinha acesso, ele ia fazer o download (13:28) de todos e publicar na internet. Então, ele subverteu um pouco o que significava ter acesso aos documentos. Muita gente fala que ele hackeou a JSTOR. Não, ele tinha acesso e fez um raspador. Em nenhum momento ele invadiu o sistema dos caras. Ele tinha acesso por ser do MIT e usou esse acesso de forma que a empresa não concordou com ele depois. E por causa disso, ele foi bastante perseguido, inclusive pelo FBI nos Estados Unidos. Então, ele teve uma perseguição gigante, e isso levou ele a tirar a própria (14:12) vida. Então, é um cara que levou a ideia dele, que era um ideal que ele tinha de que a informação tem que ser livre, e ele levou isso em todo momento na vida dele, em toda oportunidade que ele tinha, ele atuava em cima desse ideal. E isso, levou isso até as últimas consequências mesmo. E nessa… Foi essa tragédia, né? Porque ele esteve envolvido… Eu estava dando uma navegada para ver, entrego minha idade também, estava “navegando na internet” ontem, lendo (14:50) um pouco sobre a história dele, e me deparei com uma foto dele com o cara do Creative Commons, o Lawrence Lessig. E eles tiveram… Hoje a gente olha o site de vocês, do projeto, e tem lá no Instituto, aqui eu estou baixando o Creative Commons. Os nossos podcasts também são publicados com essa licença de Creative Commons. Então, ele teve uma participação muito grande e a tragédia da vida dele estava diretamente relacionada com a questão dos direitos autorais. E teve bem essa relação. E eu (15:31) acho que o Instituto hoje também tem essa preocupação. Sim, a gente… Não seria possível montar um instituto que tenta levar o nome do Aaron Swartz sem se preocupar com esse tipo de disputa em relação a direitos autorais. Mas o Instituto ainda tem mais uma grande influência que faz a gente lutar bastante contra isso, que é a origem do Instituto. A gente é a última decisão do Partido Pirata brasileiro. Então, em 2022, o Partido Pirata encerra as (16:11) atividades, e o encerramento das atividades do Partido Pirata cria o Instituto Aaron Swartz. A gente é o resultado da continuação, a gente tenta ser também a continuação da luta do Partido Pirata no Brasil. Então, direitos autorais é realmente uma coisa que a gente tem bastante interesse em discutir e debater. Então, por dois caminhos bem diferentes. Esse lance, só voltando um pouquinho, Lucas, na questão dos papers que o Aaron extraiu, raspou, porque ele de fato não invadiu… O que a gente tem hoje, os (16:55) periódicos dentro das universidades, continua do mesmo jeito. Se tu estás na universidade, tu tens acesso aos periódicos e tal. Se tu não estás, tu não tens acesso. E, mesmo assim, a universidade tem que pagar uma grana para esses portais, não é de graça. E o que é interessante é que, normalmente, a pesquisa é feita com grana do governo, com grana pública, e aí os professores, os alunos, fazem o trabalho, fazem a pesquisa, divulgam… Já é difícil conseguir dinheiro para pesquisa, aí tem que publicar. Aí tu publicas, aí (17:31) quando tu publicas, foi-se. Tipo assim, se tu quiseres o teu próprio artigo de volta, tens que pagar 40, 50 dólares por um artigo. Por um artigo, sim, por um único paper. Então, é interessante essa volta que o pessoal dá de “não, isso não é bem direito autoral, isso é meio que apropriação de direito autoral”. Em termos legais, talvez esteja OK, mas em termos morais não sei se isso é muito correto. Sim. E é muito interessante que, se você pegar a origem da disputa do Aaron Swartz sobre papers, ele (18:10) tem o “Guerrilla Open Access Manifesto”. Nele, ele fala, por exemplo, sobre o Sul Global, ele fala sobre o fato que, quando você coloca esses papers atrás de um paywall, atrás de uma cobrança, você cria um desbalanço de poder entre o Norte Global e o Sul Global, porque existe uma questão de acesso a recursos diferenciada nesses polos. Então, você vê que é um cara que, (18:50) ao pensar nisso, no manifesto dele, ele começa falando que informação é poder. Que informação é absolutamente filosófica. Disso, ele chegou à conclusão que o que ele tinha que fazer era escrever um script para raspar papers e publicar isso na internet. Então, ele foi um cara que vai do filosófico, da ideia de escrever o manifesto, à ideia de escrever uma peça de código. E, então, é um cara muito diferente do que a gente está acostumado a encontrar. É uma perda gigante para (19:27) a humanidade. E você colocou uma coisa muito interessante sobre essa raspagem, o scraping. É a relação de como a IA faz isso hoje. Sim, que é um negócio que eu, pessoalmente, e todo mundo do Instituto também… Hoje em dia, OpenAI, Microsoft, Facebook, todo mundo que está desenvolvendo seu grande modelo de linguagem, faz o que o Aaron fez. E são celebrados, e são investidos, e recebem… Têm a capacidade de chegar e falar que precisam de 6 trilhões de dólares para conseguir melhorar o desenvolvimento do seu modelo. (20:17) E lá em 2012, quando o Aaron fez a mesma coisa, o que teve foi perseguição e assédio judicial. E o objetivo do Aaron era raspar os negócios e tornar público, não tinha um objetivo de fazer grana, depois de montar um império em cima dessa Inteligência Artificial. Então, é muito revoltante ver que o mesmo expediente que o Aaron fez, de ir lá e raspar o que já tinha, o que tinha comprado para ter acesso, ser tratado de forma tão diferente quando é um ativista que faz e quando é uma corporação gigante que faz. (21:00) Ontem mesmo, Vinícius, chegou um ouvinte, mandou para nós uma notícia do teu buscador lá, o Perplexity. Conta para nós, tu lembras? Sim, sim. O Perplexity AI é uma ferramenta que eu conheci por uma pessoa que me indicou. Eu fui dar uma olhada e ela usa por baixo, se quiser, o GPT, assim como outros modelos. E ele é pago também, mesmo lance do ChatGPT. Só que a sacada dela era que ela faz pesquisa na internet e te traz as coisas referenciadas, coisa que o GPT até o 4 não fazia, o ChatGPT. E parece que agora o 4.0 parece que faz, embora eu (21:44) não use muito, então uso mais o Perplexity mesmo. Só que o Perplexity, eles não só fazem esse scraping daquilo que já foi treinado, eles fazem o scraping na internet em tempo real. E eles começaram a fazer, eu acho que desde o início tem isso, agora não lembro se quando comecei a usar já tinha, eles têm o Discovery, que é uma parte de notícias curadas pelo pessoal da Perplexity, mas usando IA e fazendo scrap na internet. Então saem várias notícias lá, realmente bem relevantes na parte de tecnologia. (22:22) Às vezes tem umas coisas diferentes, mas a parte de tecnologia é realmente bem relevante. Só que eles estão pegando coisas de trás de paywall, eventualmente, sabe-se lá como, se estão pagando as fontes com uma assinatura normal e fazendo scraping mesmo assim, que nem exatamente como o Aaron fez. E eles começaram a incomodar agora algumas empresas, uma delas é o New York Times e a outra é a Forbes, por uma matéria específica que eles falaram sobre IA para o Eric Schmidt, que era o CEO da Google, que saiu dizendo que a Google estava com IA, não sei o quê, (23:01) que era perigoso. O cara está numa empresa botando IA em drone de guerra, drone para matar gente, então dá para ver que o cara estava muito preocupado mesmo com a IA, e a preocupação dele era bem fundamentada. Mas o que chama a atenção é o fato que essa frase que tu colocaste, cara… Se a gente fosse ter um… Olha que daqui a pouco o Mateus faz o corte. Mateus, que trabalha com a gente, Lucas. Que hoje, essas empresas usam o mesmo expediente que o Aaron usou. E, de fato, (23:35) eles usaram a internet, tudo que estava aberto e mais um pouco, para treinar os modelos. Esses modelos não são de graça, tu tens que pagar para usar os modelos. E, ainda por cima, tu tens esse acesso em tempo real à informação. E mais um detalhe, Vinícius: a própria Perplexity disse que estava violando esse acordo de cavalheiros, que é o robots.txt, aquela coisa de “não olhe”. Mas, assim, se tu quiseres, não vai ter nada que impeça além daquela declaração do robots.txt. Mas, assim, todo mundo… Agora não sei mais se todo mundo, (24:11) pelo visto, não. Mas é mais complicado ainda, parece. Parece que sim. Sim, toda IA, e principalmente essas mais famosas, é muito claro que eles violaram bastante direito autoral… Não vou dizer que é muito claro porque vira uma acusação, mas… Cadê o negócio de cortar que você falou? Mas parece muito que eles violaram bastante direitos autorais, inclusive de Creative Commons e de licenças abertas, de você falar: “isso aqui está disponível para qualquer pessoa (25:03) usar, mas você não pode fazer dinheiro com isso. Se você pegou isso aqui de graça, você vai usar isso para fazer coisas igualmente gratuitas”. Então, eu não sei, por exemplo, se o ChatGPT acessou alguma coisa que eu tenha colocado… O ChatGPT, não, o Perplexity… A versão da Microsoft… A versão da Microsoft que acessa o GitHub. Ah, o Copilot. Isso, Copilot. Ah, o acesso ao GitHub, o Copilot, sim, que foi treinado com… Sim. Se estava no GitHub e se estava aberto, eles mesmos falaram que usaram se estava no GitHub público. Agora, os fechados, eu não sei. Aí eu (25:44) não vou acusar também. Mas os abertos, com qualquer licença, eles usaram. Porque tem licenças que não permitem uso para fins que deem lucro. Não vou acusar, mas se eu tiver que chutar, eu digo que usaram independente de licença. Não estou acusando, mas o meu palpite é que eles não olharam a licença, estava aberto e foi. É muito complicado. E, para a gente do Instituto Swartz, é muito dolorido, porque a gente tem como exemplo que, quando foi feito isso para criar uma biblioteca gratuita, o negócio mais (26:24) “good vibes” que existe, falar “a gente quer que o conhecimento seja acessível para as pessoas”, virou uma discussão, um assédio judicial gigante que levou uma pessoa a tirar a própria vida. E agora a Microsoft faz isso para ganhar bilhões. E aí, machuca bastante a gente. Claro, cara. E já que a gente entrou nesse assunto de IA, como tu já colocaste um pouco do que tu percebes, nessa perspectiva do próprio Instituto, na filosofia que existe por (27:02) trás do Instituto, como que tu vês o desenvolvimento atual da IA? E se tu achas que isso está sendo feito de maneira ética, se as pessoas estão cientes dos riscos envolvidos? Qual a tua visão? Como que vocês discutem isso hoje no Instituto? A gente tem poucas coisas diretamente sobre IA no Instituto ainda, a gente está elaborando. É uma coisa que eu estou devendo, a gente está elaborando um posicionamento sobre essa questão do direito autoral, dessas raspagens, e (27:40) como isso, fazendo um paralelo mesmo com a história do Aaron. A gente tem um pouco sobre como isso vem sendo usado. A gente participou um pouco de discussões sobre o uso para fazer identificação biométrica, uso pela polícia e esse tipo de coisa. Isso muito com o pessoal da campanha “Tire meu rosto da sua mira”. A gente participou com eles na CryptoRave de um painel. Mas, assim, sobre a IA, uma posição minha, não tanto do Instituto, eu fiquei muito feliz (28:25) quando eu vi um artigo falando que a gente chegou no limite da IA, tipo, talvez as coisas não melhorem tanto daqui para frente, os LLMs não fiquem tão melhores daqui para frente. Porque isso entrou num loop que parece muito uma bolha que vai estourar a qualquer momento, que me lembra muito quando eu discutia blockchain e estava nessa questão da bolha, e depois o negócio hoje em dia desapareceu de quase toda a discussão possível. Mas eu acho que a IA tem essa coisa de parecer muito útil, mas quando você começa a usar, ela às vezes tem tanta limitação (29:07) que te coloca no meio do caminho, que você fala: “não é tão útil quanto parecia”. E ela cria, às vezes, problemas que você não tinha antes. Então, eu ainda tenho muito problema com usar, apesar de que eu uso Copilot para programar. Principalmente porque o Copilot é muito bom quando você é um programador que não é muito bom, então ele te ajuda muito. Como eu sou um programador medíocre, eu adoro, ele me ajuda demais. Mas eu imagino que programadores bons não se sintam muito à vontade com ele, porque ele erra muita coisa que eu também erraria. (29:46) Você sabe que você falou do blockchain, dos NFTs, e aquela febre toda dos NFTs… A gente até gravou aqui um episódio, Vinícius, não sei se gravamos sobre NFT, eu acho, ou sobre blockchain, mas não lembro. Acho que teve um sobre NFT, só sobre NFT. E a gente estava meio perplexo. Tenho que ouvir de novo aquilo para ver se a gente acertou, mas a gente foi numa linha do tipo: “isso não faz muito sentido”. E, claro, fazia bem menos sentido do (30:21) que se pode falar hoje sobre IA. Guilherme? Oi. Episódio 274. Quando foi? Foi em 2021. Ah, legal. Para tu veres, 274, há 3 anos. O hype que era daquilo há 3 anos e hoje é um negócio que… Mas dizem que NFT… Agora eu não sei se vocês viram, se na semana passada ou essa semana. Eu vi, mas na pior das hipóteses foi na semana passada, o famoso disco do Wu-Tang Clan, que é aquela… Como é o nome? É uma banda… Procura depois no Tidal ou no Spotify. (31:09) Esses caras são quase uma religião, a galera que acompanha eles. E teve aquele… Esqueci daquele cara que foi preso, que ficava comprando direito de medicamentos que não valiam nada e, como tinha gente usando, aumentava lá em cima o valor. Cara, eu vou pegar o nome dele aqui e já falo para vocês, mas deixa eu contar a história. E esse cara que comprava os medicamentos, fazia essas sacanagens, desgraçado, ele comprou o disco. E o disco não (31:45) poderia ser tocado até, não sei que ano, 2000 e não sei quanto. E ele tocou um pouquinho uma vez numa live dele, mas ninguém ouviu. E aí o disco foi leiloado, o pessoal comprou e transformou o disco em NFT. Então, tem os NFT tokens lá, e cada token que tu compras libera, acho que, se não me engano, 5 minutos do disco, até o dia que todo mundo comprar todos os NFTs e o disco vai estar liberado. Eu vou pegar a informação com mais precisão aqui, mas só para dizer que eu queria lembrar que essa semana ou na anterior teve um uso de NFT, um que eu (32:24) não ouvia há muito tempo. Mas a tecnologia por trás ainda continua sendo usada, no final das contas, é criptografia. No final, tem um monte de ferramenta esperta sendo usada por trás só para fazer uma coisa que é muito estranha, que é compartilhar imagem de… Aqui, originalmente a cópia física é de 2014, “Once Upon a Time in Shaolin”, esse é o nome do disco do Wu-Tang Clan, e só tem uma cópia física. E agora ele foi transformado em NFT. O álbum foi… Podem comprar os (33:06) fãs, podem comprar. O álbum tem um banimento de 88 anos de uso comercial, e cada vez que alguém compra um NFT, reduz por 88 segundos o tempo de banimento do disco. Então, tu podes participar da publicação gradual do disco. E quem tinha o disco antes… Deixa eu só ver aqui… Ele foi comprado… Ah, aqui, o ownership aqui, o Shkreli, Martin Shkreli. Se pesquisarem quem é esse cara… Eu não vou dar adjetivos aqui, que daqui a pouco… Vai que o cara tem representante no Brasil, sei eu, mas o (33:59) cara fez dinheiro comprando remédio que valia pouco, quase não dava lucro na indústria farmacêutica, mas tinha muita gente usando. E da noite para o dia, vou dar um exemplo, ele passou um negócio que custava 5 dólares e passou a cobrar 100 dólares. Ele começou a fazer dinheiro desse tipo de medicamento, começou a atingir um monte de gente. Então, o cara não é boa pessoa. Mas, fechou. O Lucas tinha colocado antes sobre os usos da IA. Eu acho que dá para fazer uma coisa que a gente sempre cita aqui, nosso amigo Paulo Rená. Ele já falou (34:35) algumas vezes: “para que que a gente está usando a IA?”. Esse “para que”… Eu acho que dá para relacionar, voltando agora para o Instituto, para os objetivos gerais, porque lá no próprio site de vocês a gente tem os objetivos do Instituto e a gente também tem esse alinhamento com os Objetivos de Desenvolvimento Sustentável da ONU. Não são todos, pelo que eu entendi. Vocês teriam alguns ali com que vocês seriam mais ligados. Se você puder falar um pouquinho sobre essa relação de vocês com os objetivos do Instituto e também com esses objetivos do (35:10) desenvolvimento sustentável. Porque, no final das contas, acho que até tem uma relação com IA, quando a gente fala “consumo responsável”, “redução de desigualdade”, “energia limpa”. Energia limpa é muito relacionado, claro. Fala um pouquinho para a gente dessas relações. Isso… Eu não participei da fundação do Instituto, entrei um pouco depois, então não posso dizer sobre o processo que a gente fez para chegar nesses 10 itens do esforço global. Mas, assim, (35:47) essa agenda da ONU, apesar de “agenda da ONU” soar como um gatilho para um monte de conspiracionista, são 17 objetivos, e é impossível você olhar para eles e discordar de algum deles. São todos, obviamente, coisas que se precisa fazer. E o Instituto olhou e viu quais eram alinhados com o que a gente tinha como missão antes, no Partido, e o que a gente era capaz de entregar. O Instituto, curiosamente, tem a sede numa cidade lá em Minas Gerais, (36:27) uma cidade pequena, então uma das ações que a gente tem é de ensinar programação para as crianças da rede pública. Então, a gente olhou para aquilo e falou: “Beleza, o que a gente pode fazer?”. A gente pode trabalhar com educação, ajudar o pessoal da escola pública no contraturno da cidade onde a gente tem uma sede. O que a gente consegue fazer discutindo tecnologia? Por exemplo, é superdivertido ficar gerando imagem de IA, mas trazer à luz o gasto de energia que isso tem, o (37:04) fato que para treinar e para manter um modelo desses você está queimando carvão em algum lugar na China, é importante trazer isso à luz. Então, a gente olhou para isso, viu as coisas em que a gente consegue atuar. E é muito isso: o que a gente sabe fazer, o que as pessoas que estão no Instituto sabem fazer e como a gente consegue ajudar. Então, a gente chegou nesses 10 dos 17. Eu acredito que são 17, posso estar errado no número de objetivos da ONU. (São 17 objetivos). E a gente chegou nos que estavam alinhados com os objetivos que a gente já atende dentro do Instituto. Então, (37:39) a gente tem um foco grande em educação. A gente quer, inclusive, expandir, criar alguns materiais para ajudar a ensinar certas coisas que a gente acha importante que as pessoas saibam. A gente tem um trabalho forte na questão de copyright, inclusive. Talvez o único instituto, não o único, mas um instituto que tem CNPJ e fala abertamente que “olha, pirataria não é um problema tão sério assim quanto vocês estão pensando”. (38:22) É importante a gente falar dessas coisas. Então, a gente chegou nesse alinhamento, chegou nesses 10, que têm muita relação com os que a gente já tinha. A própria questão da pirataria, a relação que você tem do uso privado, da cópia privada, que é uma coisa que há muito vem se discutindo em vista de se revisar a Lei de Direitos Autorais. Lá no próprio Marco Civil, em 2014, ou pré-2014, tinha a discussão de “vamos tentar rever aqui a Lei de Direitos (39:02) Autorais”. Era o Gilberto Gil, eu acho, o ministro na época, se não me engano. Eu acho que era, sim. E aí teve a discussão dos direitos autorais e disseram: “não, vamos deixar isso para depois do Marco Civil, para discutir, sobretudo, começar a olhar para essa questão da cópia privada”. Dessa coisa de você fazer a cópia para teu uso próprio, que é uma coisa que vem sendo aceita em vários lugares, e aqui a gente ainda continua com uma lei antiga em relação à tecnologia atual. (39:34) Sim. E, só para puxar disso, isso é um trabalho que o Partido Pirata começou quando chegaram no Brasil os famosos, internacionalmente, “copyright trolls”, que são, essencialmente, advogados, escritórios de advocacia, que o trabalho deles é entrar em contato com pessoas que supostamente acessaram conteúdos que têm copyright e mandar uma carta ou um e-mail pedindo um valor para corrigir o erro que a pessoa cometeu. Tipo, falando para a pessoa: “olha, você pode mandar para a gente R$3.000 aqui que a gente não entra com processo”. Eu (40:24) lembro disso, Lucas, era o valor mágico dos R$3.000. Eu lembro disso, era os R$3.000. Eu lembro que o valor era esse, era R$3.000. Exato. “Você baixou ‘Hellboy 2’ e aí você tem que pagar R$3.000 (40:51) por causa disso”. Tipo, além de ter sido punido já por assistir ao filme. [Risadas] Eu até não vi, mas não sei, baixa aí depois para você ver, ter uma ideia. E o Partido Pirata criou um e-mail para ajudar as pessoas, porque, aparentemente, não existe nada na legislação brasileira que realmente faça esse valor de R$3.000 (41:23) fazer algum sentido. E a gente tem um e-mail lá para quem receber essa carta e precisar de alguma ajuda, pelo menos de alguma informação. Tem o e-mail [email protected], que agora chega para a gente no Instituto. A gente consegue dar algum auxílio, pelo menos para falar para a pessoa: “olha, marca esse e-mail como lido, deixa para lá que não dá em nada”. E se vocês virem os tipos de e-mail que chegam, o fato de eles parecerem um esquema, um golpe, é (41:59) assustador. É um e-mail que fala: “Olha, você cometeu um crime, você precisa acessar esse site aqui e fazer um depósito de R$3.000 nessa conta”. É muito parecido com qualquer golpe que você encontra de phishing na internet. Não dá para diferenciar um e-mail legítimo, seja lá o que for legítimo nesse caso, de um e-mail que você receberia só por ter uma conta de e-mail na internet. Então, é um negócio que a gente ainda mantém, o canal de comunicação para ajudar quem está (42:38) com esse problema. E isso é uma coisa que a gente herdou do Partido Pirata. A gente, inclusive, tem aqui, Lucas, você nos passou o site, então a gente vai deixar aqui no show notes. Mas apenas para dizer que, além do Instituto, a gente tem aqui, além do Partido Pirata à época, a gente tinha envolvido nesse grupo de pessoas, com uma nota conjunta, grupos e institutos como a Coalizão de Direitos na Rede, o Creative Commons Brasil, o IDEC (Instituto Brasileiro de Defesa do Consumidor), grupo (43:16) de Estudos em Direito, os nossos amigos lá do IRIS. Então, é uma coisa muitíssimo amparada por todos os lados, seja técnico e jurídico também. Porque você pode, às vezes, pensar de forma até legítima: “não, eu não estou alinhado com os objetivos do Partido Pirata”. Não é só isso, você tem institutos como o próprio IDEC aqui, e o Creative Commons Brasil, a Coalizão de Direitos na Rede, que também estão interessados, porque devem ter abusos sendo cometidos num cenário de (43:54) discussão bem delicado. E, pegando do ponto de vista técnico, tem um abuso esquisito, porque a carta chega para você por causa do IP que você usou, do IP que eles pegaram no servidor do seu provedor. Só que é o provedor que passa essa informação para eles. E o endereço IP não garante que o usuário final é aquela pessoa. Isso não era verdade quando toda a internet era cabeada, a internet de casa. (44:36) Hoje em dia é muito menos, com Wi-Fi. O endereço IP chega no meu roteador, ele é compartilhado por muitas máquinas que eu não tenho controle. O meu não, porque eu sou paranoico, então meu SSID é escondido e tem senha forte, etc. Mas, normalmente, os Wi-Fis são públicos e todo mundo consegue acessar, e muitos não têm senha ou têm uma senha simples. Então, usar o IP para falar: “você, Fulano, que paga a conta desse IP, é o cara que baixou esse filme” é um absurdo, tecnicamente falando, (45:17) completo. Sem contar que eu não sei exatamente como eles estão fazendo isso, mas imagino que estejam pedindo essa identificação para os provedores por via extrajudicial. E a gente também não sabe como isso é feito, para eles pegarem essa informação, de saber que é esse registro e tal. Isso não deveria ser bem assim para consultar. Mas, deixa, Lucas, eu vou pegar um outro assunto aqui, em que vocês podem ter sido… Tu, vocês, Instituto, não, porque foi antes, mas tu podes ter sido acusado por alguém por ter sido um troll, (45:53) também, por não deixar as pessoas esquecerem os tuítes que elas escreveram e depois disseram que não escreveram e apagaram. Que é o projeto 7c0. Essa pronúncia, 7c-zero? É essa aqui a fonte que a gente usou aqui? 7c0? O que que é o 7c0? Explica para o pessoal o que o 7c0 fazia e como que está esse projeto, como que aconteceu, qual foi o resultado dele. Vocês sofreram também por terem feito o que fizeram? O que vocês fizeram? Explica um pouco aí. O 7c0, primeiro só para contar o nome, (46:39) 7c0 é 1984 em hexadecimal. Ah, que legal, cara. Agora eu passei vergonha, porque eu nem me dei ao trabalho de tentar fazer isso. Mas, baita sacada, baita sacada. Faltou um “x” na frente, podia pôr. Podia, podia. Põe um “0x” ali na frente, porque senão isso não passa no programa. Claro, se tivesse posto um 0x… Aí, sim. Não vou me sentir mais culpado agora. Tinha que ter. Então, a ideia do projeto era… E se vocês entrarem, acho que o site ainda está no ar, eu não o derrubei ainda. Está, sim. A primeira (47:24) frase lá é do Orwell. Então, a ideia era, meio que baseado na questão do livro, uma das questões que o Orwell trata no “1984”, que é como o controle do passado influencia o presente e o futuro. Tinha aquele monte de gente reescrevendo, trocando as notícias de jornais e tal. Exatamente. Eu falei: “Beleza. O fato que o Twitter, o ex-Twitter e agora X, permite que um cara que é chefe de Estado apague um tuíte sem manter nenhum registro de que, um, aquilo foi apagado e, dois, o que que estava escrito lá”, eu achava um absurdo. (48:10) E eu falei: “Beleza, o que eu posso fazer além de achar isso um absurdo e reclamar no próprio Twitter?”. Sozinho? Você começou a fazer sozinho isso? Isso. Eu falei: “Vou escrever um código, vou escrever um script em Python e vou raspar a conta de algumas pessoas”. No começo, começou com algumas pessoas. Depois, alguém me passou, não vou lembrar o nome da pessoa, mas um cientista social me passou uma lista com todos os deputados brasileiros da legislatura 2019-2022. E eu peguei e falei: “Beleza, vou seguir todos eles”. Então, eu tinha um robozinho que seguia todos esses caras e (48:47) baixava todos os tuítes que eles escreviam. Então, de minuto em minuto, eu ia lá, olhava os tuítes que eles tinham escrito, gravava no banco de dados e, uma vez por dia, eu fazia uma varredura e via se esses tuítes ainda estavam no ar. E, quando não estavam, eu fazia um tuíte falando: “Fulano apagou o tuíte” e postava o conteúdo de novo, recuperava o conteúdo. Foi um trabalho bem divertido de fazer, eu imagino. Ele deu menos problema do que eu imaginei que daria no começo. (49:22) Eu lembro de ter conversado bastante com muita gente sobre: “Beleza, isso aqui, eu estou legalmente amparado por fazer isso ou posso ter algum problema muito grande?”. Mas eu decidi que poderia considerar que uma conta pública de um deputado é parte do mandato dele, e o mandato dele tem uma obrigação de publicidade. Então, eu estava razoavelmente seguro que seria difícil dar problema. E, tirando algumas acusações de um pessoal da direita, de que eu estava perseguindo os políticos de (49:59) direita no Twitter, deu pouco problema. Teve algum barulho uma vez, eu acho que foi na época que teve, não sei se vocês lembram, o rolo da vacina da Covaxin, que teve um superfaturamento e alguma coisa assim. E tinha um monte de deputado de direita que apagou tuítes falando: “Ah, essa aqui é a vacina boa, que não é a vacina chinesa”, e não sei o quê. E aí, quando saiu a notícia do superfaturamento, eles apagaram isso em massa. E aí eu recuperei. Quando eu recuperei isso, rolaram algumas críticas, alguns xingamentos e uma outra ameaça, (50:40) mas nada que fosse muito complicado. E, se eu bem me lembro, o robozinho ficava dizendo: “Fulano apagou tal coisa, está aqui o tuíte”. Era isso, um print? Ele simulava um print, eu tirava um print… Eu não lembro como era. Eu cheguei a fazer as duas versões, cheguei a fazer o print, mas o print ficou muito pesado para mim, porque eu desenvolvi e pagava os servidores todos disso. Então, ficar armazenando print na Amazon, que era o servidor onde o sistema estava, foi ficando meio caro. (51:21) Então, eu comecei a gravar só o texto, até porque print é muito fácil de forjar também, então não tinha grande valor gravar o print versus gravar o texto. Mas eu sempre recuperava. No começo, eu marcava a pessoa, colocava o arroba do deputado que apagou, mas o próprio Twitter me baniu. Eu fiquei banido um mês, um mês e pouco do Twitter, o robozinho, porque eles falaram que isso era “harassment”. Eu argumentei com eles, eles concordaram que, no caso, tinha um certo valor cívico, mas eles pediram para eu tirar o arroba. (1:18:25) A gente encerra, no áudio vai ser cortado, fica “Até a próxima” e o teu “Tchau, gente”. E depois, no YouTube, a gente fica mais um pedaço, não corta. A gente acaba quando tem alguma coisinha a mais para trazer. Eu ia botar a música, mas o YouTube vai nos derrubar. Vai nos derrubar, e com razão. Não por direitos autorais, mas por utilizar uma música de baixa qualidade num vídeo no YouTube. A (1:19:02) música… Eu estava vendo aqui, o nome da música não é “Tell Me Why”, é “I Want It That Way”. “I Want It That Way”, “Tell me why…” Ah, é boa, não é ruim, não. Terminou? Quando terminar eu ponho de volta o fone. Ah, não é ruim, eu acho legal. Eu lembro, a minha irmã adorava. Ah, legal, cara. Nossa, era um negócio assim… Dizem que tem mais ódio do que justificável, do que merece. Claro, claro. O próprio Justin Timberlake, do NSYNC, que eu acho que era meio que um concorrente, eu estou puxando de memória aqui porque eu não acompanhava tanto, mas ele era bom, é um cara bom, canta bem. (1:19:49) Tinha uma dezena dessas bandas, todas eram muito iguais, e eu entendo a fadiga. Mas, cara, música pop… Hoje tem o K-pop, que é outra pegada. Tenho um amigo meu que tem uma filha, a guria tem 12, 13 anos, eu acho. Cara, é super forte nos adolescentes, muito forte mesmo. Mas, deixo para vocês. Eu não curto essas bandas. Vocês lembram do… Não sei se era NX Zero, cara, lá no começo. NX Zero, que são os gaúchos aqui. Eu, na época, morava em Porto Alegre ainda, Guilherme. E a gente fez uma transmissão de um (1:20:33) show desses caras. Não, não foi NX Zero, foi aqueles caras que eram todos coloridos, que eles tocavam com umas roupinhas coloridas. Sim, a gente fez uma das primeiras transmissões ao vivo, que deu um trabalho. A gente estava envolvido na parte técnica, fez a transmissão, a gente recebia o sinal e tinha que mandar para os servidores para distribuir. Cara, como era o nome daquela banda? Era o Restart. Restart. Cara, Restart, meu Deus. Cada coisa que a gente faz na vida… Mas era legal. Na verdade, era uma (1:21:18) promoção de um refrigerante, tinha uma coisa. Eu não sei por que a gente estava envolvido nisso, mas tinha um contato que conhecia o André, amigo do André, lá de São Paulo, e ele estava envolvido com esse negócio e perguntou se a gente não faria. A gente conversou e: “Ah, vamos fazer”. Cara, foi um aprendizado naquela época, esse negócio foi bem… Você está no cantor gaúcho e a juventude numa banda numa propaganda de refrigerante… Só “guessing”. Eu sou muito fã, eu gosto. (1:22:00) Cara, eu acho ele o máximo, inclusive assisti a shows já aqui bem de pertinho. Ah, legal. Bom, vê só, Lucas, no final a coisa degringolou completamente, o tema aqui, mas está valendo. Sim, eu nunca tinha visto, não assisto no YouTube, eu baixo no podcast, então para mim acabava, não tinha esses extras. Sabe quem vê no YouTube, cara? A gente nem fala nada. É o backstage do negócio. Então, eu vou agora, sim, eu vou encerrar agora com o pessoal vendo. (1:22:45) Obrigado por ter aceitado prontamente o convite. Para quem nos acompanha até agora, um abração para vocês. A gente segue os três aqui para encerrar. Um abraço. Para quem acompanhou a gente até aqui, estou desligando. 1, 2, 3 e foi.