Em 26 de janeiro estive no Parlamento Europeu em reuniões com representantes da comissão de petições Mariana Santos e David Gil (assistente do eurodeputado Pedro Marques) e, no dia seguinte, com o eurodeputado Carlos Zorrinho (da Comissão da Indústria, da Investigação e da Energia). Abordei temas como a regulação das criptomoedas e várias propostas para travar a indústria do ransomware. Com o eurodeputado abordei também dos conceitos de democracia participativa aplicados aos PE e do voto electrónico onde – nos últimos anos – tenho desenvolvido bastante actividade.
No geral, defendi o voto electrónico no PE e em Portugal mas começando nas associações, clubes, ordens profissionais e outras instituições da sociedade civil e, depois de amplos testes e eventuais correcções e de a prática estar disseminada e tornada comum na sociedade civil sendo que acredito, conjuntamente com um grupo de amigos, que se poderia passar para eleições nacionais sendo que o piloto deveria poder ser realizado em eleições para o Parlamento Europeu (PE).
A petição que – em 2022 levei ao PE e que agora foi debatida – foi referenciada em
https://news.cision.com/pt/parlamento-europeu/r/esta-semana-no-parlamento-europeu—23-a-29-de-janeiro,c638100822790000000 e a sua gravação encontra-se em https://multimedia.europarl.europa.eu/en/webstreaming/peti-committee-meeting_20230125-0900-COMMITTEE-PETI
sendo que a análise da petição ocupa o último ponto da ordem do dia da manhã onde o Comissário respondeu a algumas das questões e observações colocadas pela petição.
Na reunião com os representantes das duas comissões tive ocasião referir o fundamental do texto:
“Daquilo que sei das iniciativas do Parlamento e do Conselho Europeu quanto à regulação das Criptomoedas estas instituições são sabedoras da matéria e os cidadãos da Europa estão em boas mãos. Talvez tenham começado com algum atraso mas agora parecem estar a recuperar algum do tempo perdido desde 2013 (a 1ª vez que a UE trabalhou este tema)
O que pretendo aqui trazer é mais uma perspectiva diferente: a de um técnico de IT, de um cidadão europeu anónimo com responsabilidades na defesa da sua organização contra a indústria do ransomware e a sua integração umbilical com as criptomoedas.
Em suma e por pontos:
1. Não existiria uma crescente “indústria de ransomware” sem criptomoedas. Cidadãos, empresas e Estados não teriam perdido muitos milhões de euros e de horas de trabalho sem a anonimidade que as criptomoedas garantem (se forem “bem” usadas).
2. A anonimidade quase total destas transacções serve os interesses dos grandes grupos criminosos e dos serviços de informações de potências inimigas. Mas mesmo que seja possível identificar o IP de origem: como seria possível que países como a Rússia ou a China entregassem os criminosos ou os agentes dos seus serviços de informações a uma qualquer investigação realizada fora do seu território? Este problema nunca será resolvido (por muita legislação que se crie). Mas é possível proibir – no espaço europeu – o pagamento de resgates: isso seria – talvez – decisivo como forma de afastar do nosso território estes bandos criminosos.
3. Apesar de correcções recentes, os níveis de valorização das criptomoedas continuam excessivos e representam um risco para a economia real. O colapso desta bolha não pode deixar de ter consequências sobre todos nós e a queda recente de algumas bolsas demonstra a fragilidade e a sua má governação desta indústria. Neste sentido: aguardamos com expectativa a materialização do MiCA em 2024 (?) e esperamos que seja rapidamente adoptado por todos os países da União d que a adopção de programas de bug hunting e de um rigoroso padrão de cibersegurança seja obrigatório.
4. Os representantes das maiores empresas europeias de seguros já avisaram: em breve não serão capazes de cobrir os riscos de ataques por ransomware (e, recordemo-nos: sem criptomoedas não pode haver ransomware). Este alerta é um efeito do crescimento deste fenómeno o que vai, necessariamente, adicionar mais um risco sistémico a toda a economia porque uma parte central da estratégia de resposta e prevenção de muitas empresas assenta, precisamente, neste tipo de seguros e nos requisitos que estes exigem às organizações que os adoptam. A este respeito, há que avaliar a obrigatoriedade deste tipo de seguros nas organizações que tenham determinada escala e facturação. Algo a reflectir.
Em conclusão:
Está bem a União Europeia ao decidir agir nesta direcção. Ao fazê-lo não está “apenas” a proteger os seus cidadãos, as suas organizações públicas e empresas: será também o clima e o planeta que sairão mais protegidos. Se o fizer não será a primeira entidade internacional a agir neste campo: uma vez que vários países já lançaram regulações (de severidade variável) mas será certamente seguida por muitos países do mundo e será a primeira vez que tal regulação se aplica a um tão grande número de países ao mesmo tempo. Aqui, como no RGPD, a Europa será o farol do mundo.
Sei bem que a União Europeia não gostaria de agir no sentido de proibir todas as transacções ou a posse de criptomoedas porque, simplesmente, não acredita que é possível impedir a inovação por decreto: e concordo com esse conceito. Mas é possível lançar a MiCA o mais rapidamente que for possível, desenvolver esta regulação – talvez seguindo as sugestões que aqui apresentei – e ter sempre em vista a ligação umbilical que existe entre ransomware e criptomoedas: para mim o ponto mais importante desta intervenção.”
Acredito que a União Europeia está bem encaminhada com o MiCA: a reacção positiva (apesar de algumas dúvidas) das entidades e dos grandes investidores em crypto-assets para com o regulamento indica que aguardam a segurança e previsibilidade que o MiCA trará a esta indústria (que já foi chamada de “o Far West das Criptomoedas). Do que vi (o regulamento é extenso e a tradução é de má qualidade: mas dizem-me que isso está a ser trabalhado). Não há dúvidas que a força do bloco europeu (28 países) e o facto de ser aqui que se transaccionam 25% de todas as cripto do mundo fará a diferença e servirá para que a UE sirva de exemplo a outros (os EUA, em particular, precisam de reformar a sua débil e confusa regulação em crypto-assets). Nestas reuniões, confirmei que o MiCA entrará em vigor em 2024 e que como o processo começou no Conselho Europeu não terá que ser aprovado nos parlamentos europeus. Não consegui saber quem foi foi dos 28 países quem votou contra o MiCA mas suspeito que foi a Hungria.
Depois destas reuniões enviei ao Ministro da Transição Digital do Governo português propostas que permitiram desenvolver os artigos previstos no regulamento europeu MiCA:
1. Proibir – em Portugal – o pagamento de resgates: isso seria – talvez – decisivo como forma de afastar do nosso território estes bandos de criminosos.
2. Exigir que as entidades que operam em Portugal (e já temos uma cryptoexchange em Portugal: (o Bison Bank) tenham programas de bug hunting e um rigoroso (e auditado do exterior) padrão de cibersegurança.
3. A mineração de criptomoedas é um seríssimo problema ambiental e de consumo de energia: Todas as organizações que se dedicarem a esta actividade em Portugal deve, compensar as suas externalidades através de uma taxa de carbono especialmente reforçada.
4. Todas estas entidades que operem em Portugal devem ter seguros contra perdas por ransomware: não somente porque estes seguros obrigam ao cumprimento de um exigente conjunto de requisitos de cibersegurança mas porque formam uma rede de protecção contra ataques bem sucedidos a estas organizações e aos crypto-assets de clientes que conservam sob o seu controlo.
Rui Martins
fundador do CpC