Sign up to save your podcasts
Or
Share #397 – Grok, big techs e tarifas, invasão de carros e biometria em condomínios
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
#397 – Grok, big techs e tarifas, invasão de carros e biometria em condomínios
Neste episódio comentamos sobre a IA Grok de Elon Musk gerando conteúdo nazista, a suposta influência de big techs nas tarifas de Trump ao Brasil, e a banalização da biometria em condomínios.
Guilherme Goulart e Vinícius Serafim aprofundam os perigos da IA sem controle, analisando como o Grok de Elon Musk reproduziu discursos de ódio e antissemitismo após ter sua moderação de conteúdo relaxada. O episódio explora a complexa teia de interesses na guerra comercial de Trump, investigando a pressão das Big Techs sobre o Brasil em temas como LGPD e regulação da IA. A discussão avança para a cibersegurança automotiva, com uma nova vulnerabilidade de Bluetooth que permite o hacking de carros, e os riscos do uso de biometria e reconhecimento facial em condomínios, questionando a privacidade e a proteção de dados.
Para não perder futuras análises, assine o podcast Segurança Legal na sua plataforma de áudio preferida, siga-nos nas redes sociais e deixe sua avaliação.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
📝 Transcrição do Episódio
(00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 397, gravado em 14 de julho de 2025. Eu sou Guilherme Goulart e, junto com Vinícius Serafim, trago para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes. Olá aos internautas.
(00:26) Como vão? Tudo certo? Tudo bem? Vocês já sabem, este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Então, pegue o seu café ou a sua bebida preferida. No caso, hoje estamos com chimarrão aqui, Vinícius, e venha com a gente. Hoje está quente. Hoje é dia de tomar água.
(00:44) Para entrar em contato conosco, você já sabe, basta enviar uma mensagem para podcast@segurançalegal.com ou também nos encontrar no Mastodon, Instagram, Bluesky e YouTube. Se você nos ouve pelo feed, sabe que também consegue ver os nossos rostinhos bonitos lá no YouTube. Vinícius, uma pequena atualização sobre o caso CM, o caso do nosso último episódio, o grande hack dos últimos tempos, senão o maior hack, a maior fraude já cometida no Brasil, pelo menos é o que se tem até agora.
(01:20) Em termos de valores, sem dúvida nenhuma, é o maior. Não em dados, mas em valor financeiro movimentado. A coisa realmente se concretizou no sentido de se confirmar que deve, sim, passar de 1 bilhão. Não sei se chega a três, que chegou a ser discutido, chegou a ser falado em 3 bilhões de reais na questão da fraude. Se você não sabe do que estamos falando, tem que voltar nos episódios anteriores. No anterior, na verdade.
(01:53) No 396. É o caso do REC bancário, CM, Banco BMP e tudo mais. Isso. O que temos que talvez não comentamos na semana passada, porque aconteceu depois, ou pelo menos ficamos sabendo depois, é que a Polícia Civil entrou também na investigação. Existe uma investigação paralela da Polícia Civil.
(02:17) O que temos até o momento é que a BMP confirmou o prejuízo de 541 milhões. Outras duas instituições confirmaram 104 milhões e outra, 49 milhões. Isso ainda não dá 1 bilhão, mas a soma preliminar, segundo o que sabemos, supera 1 bilhão, embora não tenhamos a listagem de tudo o que foi perdido. Não temos a listagem exata de quem perdeu o quê.
(02:45) Então, sim, passou de 1 bilhão e vamos ver se chega nos três que o pessoal chegou a comentar na semana em que gravamos. A outra questão, que vocês já sabem, é que o dinheiro foi convertido, em boa parte, para criptomoeda. Existe uma investigação para seguir o caminho do dinheiro, mas, em última análise, ele vai chegar a uma exchange que vendeu criptoativos, e alguma conta legítima recebeu esses criptoativos e os passou para algum lugar. E aí, boa sorte. Mas esses intermediários a polícia vai conseguir levantar, e está levantando.
(03:23) Não sabemos se já não levantou. Então, a Polícia Federal e a Polícia Civil estão fazendo investigações paralelas sobre este caso. Um bilhão está confirmado.
(03:44) Por enquanto, ainda não temos informação técnica, não temos mais nenhuma novidade, pelo menos não por enquanto. A própria CM frisou que a questão foram as credenciais que o atacante conseguiu, e não uma falha no sistema, uma falha de segurança no sistema. O termo que ela usou, mas entendemos muito bem que, na mídia em geral, ela tem que… O termo que o pessoal usa… Ela falou que não é nenhum problema no código-fonte dela.
(04:17) Leia-se: ela está dizendo que não foi uma vulnerabilidade no sistema, uma vulnerabilidade técnica no sistema. Pode ter sido, e pelo visto existe, tanto que aconteceu, uma vulnerabilidade do ambiente. Se vocês pegarem a ISO 27002, que tem os controles da ISO 27001, verão que, quando falamos de segurança da informação, não se fala apenas da segurança técnica da aplicação, as vulnerabilidades que ela tem, se está exposta ou não, superfície de ataque, esse tipo de coisa, mas abrange, entre outras coisas, processo de contratação, gerenciamento de credenciais e até liberação de usuários, controle de acesso a certas operações e tudo mais.
(05:01) Então, sim, a CM está correta. Se não há vulnerabilidade no sistema, está correta em dizer que não tiveram um problema por causa do sistema. Mas, sim, eles tiveram um problema de segurança no ambiente deles, que permitiu que alguém subornasse um funcionário.
(05:25) E esse funcionário fez alguma coisa que ainda não sabemos o que é. Executou scripts, executou comandos etc. Ok, mas que comandos exatamente, o que foi, nós não sabemos, ou pelo menos não chegou até nós ainda.
(05:43) E ele conseguiu credenciais de clientes da CM, que é a BMP e outras empresas, e mexeu no dinheiro deles, conforme o episódio 396. Tem outra coisa que não comentamos: essa é uma característica de fraudes dessa natureza. Já gravamos sobre isso várias vezes, já falamos sobre a questão da confidencialidade das informações e sobre como as instituições, em geral, ao redor do mundo, acabam lidando com isso. Elas não têm incentivos nem interesses de trazer a público todas as explicações das falhas, porque isso pode comprometê-las de formas muito diferentes.
(06:22) Mas uma coisa que não comentamos, e aí sim há uma obrigação legal, são as comunicações necessárias do incidente de segurança que eventualmente envolva dados pessoais. Eu não vi nas notícias, até agora, nenhuma informação sobre tratamento ilícito de dados pessoais. Mas, se formos partir do pressuposto de que o sujeito teve um acesso tão longo aos sistemas, se ele criou transações Pix, se ele forjou transações Pix, ele provavelmente não forjou transações apenas de pessoas jurídicas.
(07:05) Ele também pode ter forjado transações Pix de pessoas físicas. Se isso aconteceu, o incidente também envolveu tratamento ilícito de dados pessoais e, portanto, deveria contar com a notificação à ANPD. Achei curioso não ver nenhuma informação sobre isso, sobre essa questão de dados pessoais, porque se ele teve um acesso tão profundo aos sistemas, diria que não podemos descartar a hipótese de que ele tenha copiado dados de pessoas físicas.
(07:39) Portanto, aí sim, teríamos um incidente de vazamento de dados pessoais, para além das questões do furto. É, mas não sabemos exatamente como foi feita a auditoria. O pessoal pode ter avaliado isso e descartado. “Olha, não aconteceu.”
(08:02) Mas aí os titulares de dados que eventualmente sofreram uma invasão deveriam ter sido avisados. Se isso tivesse acontecido, acho que já teria vindo a público. Mas, se foi feita a auditoria e foi visto que ele não fez nada, que ele executou operações e não fez extração de dados, não tem sentido dizer o que não aconteceu. Agora, se o cara tivesse extraído alguma coisa, mas me parece que, se eu estivesse no lugar desses atacantes, eu faria a coisa o mais direta possível.
(08:44) Por isso que eu falei, para quê explorar? Se tinha uma pessoa lá dentro que tinha acesso, era desenvolvedor…
(08:59) Pegar dados para fazer fraudes, para quê, se eles podem movimentar mais de 1 bilhão de reais em criptomoeda? Não tem porquê. É passar o rodo, como se diz. Você não vai lá juntar o copinho d’água, você pega o rodo e empurra tudo. E foi o que esses caras fizeram. Mas, enfim, é isso. Quem não sabe exatamente o que dissemos, vá dar uma olhada no 396.
(09:26) Por enquanto, não temos muitas novidades, nada muito novo. Quem acompanhou as notícias nos últimos dias, sobretudo na semana passada, viu um comportamento meio chocante do Grok, Vinícius, que ganhou bastante atenção da mídia.
(09:47) Pois é.
(09:52) O Musk… bom, acho que, a estas alturas, todo mundo sabe quem é o Elon Musk e sabe muito bem das transformações que ele tem tido em termos de atuação pública. Era um cara que, se vocês ouvirem episódios bem antigos do podcast, eu achava muito legal o esquema da SpaceX. Cheguei a comentar na época, há anos, acho que foi na pandemia, Guilherme, que a SpaceX pousou aqueles dois foguetes, a primeira vez que eles pousaram juntos sem explodir. Eram três, um sumiu, mas dois pousaram juntos.
(10:25) Aqueles boosters, eu não sei o nome, mas os foguetes da SpaceX. Eu achava muito legal. O esquema da própria Starlink, um negócio muito interessante, o investimento em carro elétrico. Só que, ao mesmo tempo, à medida que foi passando o tempo, começou a surgir um lado mais político do Musk. Para quem quiser saber mais detalhes, não vamos entrar nisso, mas deem uma olhada sobre o Musk e a filha dele que fez transição de gênero.
(11:03) Ele deserdou a filha, foi uma bagunça essa questão pessoal dele. E ele adotou essa agenda que o pessoal chama nos Estados Unidos de “anti-woke”, contra a questão das minorias, de inclusão e tudo mais. Tanto que o Trump entrou e conseguiu, dentro do governo federal, meio que zerar esse negócio de políticas de inclusão e combate a preconceito.
(11:42) E ele conseguiu meter a mão em algumas empresas também. O Musk entrou de cabeça nessa história, ele estava reclamando que as IAs eram muito “woke”, que elas respeitavam demais as coisas.
(12:16) Ele estava dizendo que o próprio Grok, a IA dele, da xAI, era muito “woke” também. Então, no dia 4 de julho, ele libera uma versão do Grok mais livre, com um “toquezinho de free speech a mais”, e disse: “Agora vocês vão ver que o modelo está melhor, entrou o Grok versão 4 e vocês vão perceber diferenças nele”.
(12:47) E, de fato, na sequência, o Grok foi conectado ao X. Lembra de uma empresa, Guilherme, que fez a mesma coisa uns anos atrás e que a gente comentou? Você está falando da Microsoft? Aham. Que botou a Tay no ar. Lembra disso? Lembra o que aconteceu? Em 24 horas virou uma IA neofascista, deu uma loucura.
(13:10) E tiveram que tirar do ar. O Grok… a data de quando isso aconteceu foi 2016, portanto, há 9 anos, Vinícius. E, só um parêntese, de 9 anos para cá, as possibilidades de moderação dentro das IAs se alteraram bastante. É outro mundo hoje de moderação.
(13:38) A gente percebeu mudanças desde que começamos a usar os chats, ali em 2022, quando saiu o ChatGPT para acesso público. Viemos brincando com isso há um tempo e percebemos mudanças nesses controles. Era muito mais fácil fazer o ChatGPT “pirar” e gerar coisas inadequadas em 2022/2023 do que agora.
(14:01) Agora é bem mais difícil. E, ainda assim, o Ilya Sutskever saiu da OpenAI e uma das coisas que ele apontou é justamente esse problema de alinhamento, que envolve, entre outras coisas, esses filtros e controles do que a IA pode dizer ou não, ou como dizer. Bom, mas aí o Grok foi pelo mesmo caminho da IA da Microsoft, o que aconteceu há 9 anos.
(14:30) Ele não alucinou. O Grok, assim como todo LLM, é treinado com tudo o que tem na internet. Então, não tem como fazer com que o modelo não saiba… a gente discutia isso mais cedo, Guilherme. Não tem como fazer com que o modelo não saiba o que é nazismo ou o que aconteceu, os discursos de ódio.
(14:55) Não tem como fazer a IA, o modelo, não conhecer isso. Então, isso está lá dentro. Misoginia está lá dentro, todo tipo de coisa absurda que você imaginar está lá dentro do modelo. E, claro, está latente. As associações que permitiriam ele conceber um discurso nazista ou racista estão presentes lá.
(15:20) Estão presentes na nossa cabeça também. Só que a gente não o faz por uma questão moral. Tem um filtro ético, um filtro moral, crenças. Tem uma série de coisas. Eu sei como fazer um discurso nazista, mas eu não vou fazer. É uma coisa que eu abomino.
(15:45) A IA tem isso lá, e como ele afrouxou esses filtros, como ele deu uma reduzida no controle das coisas, uma calibrada para baixo, o Grok saiu fazendo posts nazistas no X. Inclusive, se autodenominando de “Mecha Hitler”.
(16:12) E falando coisas absurdas, como “o Hitler saberia como lidar com os judeus”. Fazendo algumas inferências… o início nem foi tão direto. Não foi algo como “Ah, esses judeus não sei quê”. Não, ele pegou pelo sobrenome de uma pessoa, inferiu que a pessoa era judia e fez um comentário criticando-a, usando a linguagem que os antissemitas utilizam.
(16:47) A IA aprendeu direitinho. E, lembrando, a própria IA foi treinada com o que tem no Twitter também.
(17:03) Ela foi treinada com o que tem lá e também se alimenta em tempo real do que está sendo dito para responder. Em uma situação que você comentou comigo, que eu não tinha visto, nos “pensamentos” dela, ela começou a dizer algo como “avaliando como Elon Musk responderia”. Ao que parece, tentaram dar uma instrução para o Grok mais alinhada com o dono dele, mais ou menos isso.
(17:39) E a coisa deu no que deu. Eles tiraram, desconectaram o Grok do X.
(18:09) Falaram que vão botar controles mais severos sobre o que o Grok publica. “Fomos longe demais, vamos dar uma calibrada nesse negócio”. Vamos ver o que volta quando… nem vi se eles já conectaram o Grok de volta no X, mas a ideia é ligá-lo de volta com um filtro mais potente.
(18:31) Eu já tinha percebido, Guilherme, que o Grok não era tão restritivo. E te digo que, dependendo da situação, ser restritivo demais é um problema. Na geração de imagens, o ChatGPT às vezes recusa pedidos que não têm problema nenhum, dizendo “É contra minha política gerar uma imagem…”.
(18:49) E não tem nada demais no pedido. É ele que interpreta meio torto. Já o Grok, eu pedi coisas com violência explícita e ele gerou. Fui testar e ele gerou, enquanto o ChatGPT, por exemplo, se nega a gerar esse tipo de imagem. Então, esse ponto de equilíbrio é o que o Yuval Harari diz que é muito difícil de encontrar, porque a IA se comporta de maneiras inesperadas.
(19:21) E desde aquele processo que comentamos em laboratório, em que a Claude AI bolou uma chantagem a um funcionário da empresa usando e-mails pessoais a que tinha tido acesso… isso em laboratório, gente, não é uma situação real… demonstra bem o tipo de coisa que pode acontecer se a IA não estiver muito bem alinhada com os objetivos.
(19:51) Eu acho que são sinais de algo que quem estuda as repercussões éticas e legais das IAs já sabe: elas não são entidades. Embora produzam conteúdo que não foi colocado lá literalmente, ou seja, elas conseguem funcionar de forma estocástica e não determinística, como você muito bem disse, elas são treinadas. E o que temos avançado nos últimos tempos, como você colocou, são as medidas de moderação e controle, as camadas de moderação das IAs.
(20:31) Aqui estamos falando de LLMs, mas hoje temos, o que é outro problema, uma série de IAs pequenas disponíveis na internet para fazer deepfakes envolvendo nudes. Você “tira a roupa” de pessoas, sobretudo de meninas.
(20:50) Isso se tornou um grande problema em escolas. Então, primeiro, você tem a responsabilidade do mantenedor sobre o que aquela IA pode fazer. Ele deve ter uma responsabilidade sobre o conteúdo que está produzindo, porque não é algo banal. Você está tendo uma IA interagindo com as pessoas, reproduzindo conteúdo nazista.
(21:16) Isso não é um probleminha, um detalhezinho, uma “calibração”. É algo que, claro, não sabemos como funcionam os mecanismos de moderação, mas não me parece que seja algo que foi colocado ou reproduzido sem uma intenção direcionada, nem que essa intenção seja de afrouxar certos controles que me parecem obrigatórios para qualquer LLM. E veja, não é conversar com um LLM perguntando detalhes da Segunda Guerra Mundial. É ele produzir um conteúdo que tem por baixo um juízo de valor muito prejudicial para o mundo e para a sociedade.
(22:00) Por que estou dizendo isso? Porque a grande discussão que temos hoje é justamente essa intenção das big techs, sobretudo aquelas relacionadas com IA, mas hoje todo mundo está virando a chave para a IA. O X, que é uma rede social, tem uma IA. As empresas do Elon Musk têm uma IA.
(22:25) Você começa a ver uma série de plataformas das big techs com essa intenção de produzir IAs. E qual é o problema? O problema é que a ideia por trás dessas empresas é que você tenha o mínimo de intervenção ou interferência estatal no que eles podem produzir, com a justificativa, que é legítima, de que isso é feito para manter a liberdade de expressão.
(22:59) Sim, de fato, você tem que ter liberdade de expressão, claro. Só que a IA não é uma pessoa. É um ente computacional que vai produzir conteúdos, inclusive conteúdos criminosos e danosos, sobretudo para grupos que historicamente, no caso dos judeus, foram discriminados e mortos. Todo esse problema histórico que já conhecemos. Então, acho que é um negócio bem simbólico do que está acontecendo e do que pode acontecer se, de fato, não tivermos regulações para esse tipo de coisa.
(23:28) E eu repito, estamos falando de conteúdo nazista, e não acredito que seja o tipo de conteúdo que deva vigorar e ser reproduzido, ainda mais por máquinas. Não foi nenhuma pessoa que publicou aquilo, o que já seria problemático e criminoso. Foi uma máquina. E aí, depois, temos a questão da responsabilidade. De quem?
(23:51) Porque se fosse uma pessoa publicando isso, rapidinho alguém tomaria um processo, seria “cancelado” e tudo mais. Mas o pessoal não vai cancelar o Grok. Ao mesmo tempo, o Grok pertence a uma empresa. Se uma pessoa física vai lá e publica uma coisa dessas, aqui no Brasil, ela comete um crime. Não se pode dizer qualquer coisa, não se pode falar coisas desse gênero aqui no Brasil.
(24:34) Mas como foi a ferramenta… Sim, mas a ferramenta, pelo menos por enquanto, não é um ente independente. A empresa tem que responder pelo que a ferramenta faz, não? E essa própria questão de “vou diminuir os filtros porque ela é ‘woke'” ou por qualquer que seja o motivo… A partir do momento que você toma a decisão de afrouxar os filtros, essa é uma decisão que traz para o decisor uma responsabilidade, ou pelo menos deveria trazer.
(25:05) E, só para concluir, eu acho muito problemático, porque realmente é a demonstração clara dos problemas que podemos ter se esse tipo de ferramenta, se esse tipo de sistema não tiver regras mínimas de funcionamento.
(25:32) É um germe do que pode acontecer, fora aquelas coisas que você não percebe, que é pior ainda. O fato de esse tipo de conteúdo estar dormente lá dentro. Se você não tem um controle muito grande, pode ter um direcionamento implícito, subliminar, levando em consideração essas ideias sem que elas apareçam de forma ostensiva no conteúdo produzido. Ela está por trás, subliminar, mas sem ser tão ostensiva como foi nesse momento, o que também é outro problema.
(26:01) Ali apareceu o Grok.
(26:09) Agora, pode acontecer de não parecer que há algo por trás. Mas só finalizo lembrando que já comentamos uma situação em que uma empresa aérea botou uma IA no chat, um cliente conversou com a IA, a IA alucinou, não foi bem orientada e inventou um esquema de reembolso.
(26:50) Era um reembolso de passagem. Ela criou uma situação de reembolso que não existia, e a pessoa “Beleza, eu aceito”. Quando ela foi exercer o direito dela, a companhia aérea disse: “Não, isso não existe”.
(27:12) E o cara foi para cima: “Mas a IA de vocês disse”. E eles tentaram argumentar: “Mas não fomos nós, foi a IA”. “Não, mas foi a IA de vocês”. A IA estava falando em nome da empresa, e a companhia aérea teve que honrar a oferta feita pela IA. Então, gente, cuidado.
(27:38) A IA não é alguém que você chama para resolver um problema e depois diz: “Foi ela que fez mal feito”. Não, você a colocou para falar em nome da sua empresa. Tem que tomar muito cuidado com agentes de IA.
(27:55) E nós vamos ver muita porcaria acontecendo nesse sentido, Guilherme. É o problema de você atribuir… Nós vamos ver muita coisa acontecendo com agentes de IA sendo postos para uso, as pessoas começando a usar com mais frequência chatbots de atendimento, e daqui a pouco vai ter uma fazendo bobagem. Aí vai ser lindo.
(28:14) É a questão de atribuir personalidade jurídica, que é outra discussão dentro do direito da IA, sobre até que ponto, como e quando seria desejável ou viável atribuir personalidade jurídica para esses entes, com problemas até sobre desligá-los ou não. E daí toda aquela coisa mais de ficção científica.
(28:41) O 2001 e aquela coisa toda. Eu só vou levantar a bola, mas não vou comentar: o Harari fala disso. A hora que a IA tiver reconhecida a sua personalidade… mas esse é outro assunto.
(29:04) Bom, e só para terminar, esse é o problema dos tais riscos sistêmicos, um instituto previsto no AI Act e que foi mencionado na decisão do STF sobre o Marco Civil da Internet. Eles mencionam essas possibilidades de riscos sistêmicos. Mas vamos terminar por aqui, senão não vamos parar de falar desse negócio.
(29:30) E, ligando com outro assunto, o episódio desta semana está bem polêmico. A gente tem visto, se você não esteve em uma câmara criogênica nos últimos 10 dias, todas as discussões referentes às tarifas que o Trump quer impor ao Brasil, tarifas de 50% para, acho, que todo e qualquer produto vendido no Brasil.
(30:03) Aí você tem todos os problemas do que é exportado do Brasil. Por enquanto, ele está ameaçando. A tarifa entraria em primeiro de agosto, temos uns 15 dias ainda. É um problema se for realmente uma ameaça; você tem outro problema de interferência entre países, saindo da diplomacia, abrindo mão de tudo o que foi construído no comércio internacional.
(30:28) Bom, esse não é bem o nosso problema aqui, mas a nossa questão é que, para muito além do óbvio, ou seja, daqueles produtos que são exportados, como suco de laranja, carne… eu lembro de cabeça de suco de laranja e aço. Não, comércio internacional nós deixamos para o Xadrez Verbal. Nós temos o problema de uma hipótese que se levantou de que, por trás dos interesses dessa carta, e para além das questões políticas que foram ostensivamente mencionadas, estaria também um outro problema.
(31:12) Uma das razões da atuação dele de impor tarifas tão altas, acho que foi o maior valor entre todos os 26 países que receberam cartas semelhantes, fora a China, é que por trás disso estariam também os interesses das big techs.
(31:35) E essa é uma questão que nos interessa, porque já vimos a atuação dessas empresas em várias frentes. Em projetos de lei, aqui, é quase famoso que o próprio Google falou que era o projeto que ia censurar a internet. Ou seja, colocou lá na página inicial de pesquisa do Google que seria um projeto que destruiria a internet.
(31:59) Não lembro exatamente os termos. E, claro, é plenamente legítimo, em um regime republicano e democrático, que empresas tenham seus interesses manifestados, declarados e eventualmente considerados pelos gestores políticos. O problema é quando você tem uma captura de interesses por meio de lobbies muito poderosos, deixando o bem comum em segundo plano.
(32:29) E a grande questão é essa: como equacionar e compatibilizar os interesses das empresas e o bem comum? Esse é o campo da política. Seja em um mundo ideal, seria no campo da política, das concessões, das discussões, que se chegaria a um equilíbrio desses interesses, de forma a não inviabilizar a atuação de uma empresa e, ao mesmo tempo, não sobrepor completamente os interesses públicos com os interesses dessas empresas.
(33:02) O que estamos vendo agora, nessa hipótese, o Thássius Veloso, da CBN, e outros portais vêm colocando isso, é que uma instituição americana, a CCIA (Computer and Communications Industry Association), composta por empresas como Google, Meta, Microsoft, Amazon, Uber, Apple, Pinterest e eBay, lançou uma carta se manifestando alguns minutos depois da declaração ou da carta do Trump, que ameaçou impor as tarifas. Já estava preparado. Eles se manifestaram no seguinte sentido:
(33:44) “A CCIA saúda a atenção da administração em relação às barreiras do Brasil contra exportações digitais dos Estados Unidos por meio de uma investigação deliberativa da seção 301 sobre os prejuízos causados por tratamento discriminatório”. E eles teriam se referido nessa carta a questões como a própria suspensão do X, que se deu aqui no ano passado. Falaram até sobre a “taxa das blusinhas”, que na verdade foi o Remessa Conforme, a colocação dos impostos previstos e adequados.
(34:18) O limite sem imposto na lei era de $100, aí tinha uma portaria da Receita Federal que baixava para $50. E sempre foi uma coisa maluca, porque, embora na maior parte do tempo esses valores não fossem taxados, e até valores maiores, eventualmente, eu tive coisas que custavam 7 reais, um troço absurdo, que foram taxadas. Era um processo meio maluco. Agora é tudo taxado, não tem mais. Quem faz parte do Remessa Conforme, sim. Algumas lojas não fazem, e aí parece que você entra na roleta.
(35:14) Mencionaram também a própria LGPD e sua aplicação. E o que me chamou a atenção nesse caso, veja, estamos falando da ameaça das tarifas de 50%, acompanhada da cartinha padrão, tirando a questão política que ele cita, falando que o comércio está muito ruim para os Estados Unidos, o que é uma desvantagem, quando na verdade não é. É superavitário para o Brasil.
(35:50) Os Estados Unidos exportam mais para o Brasil do que o Brasil para os Estados Unidos. Então, você tem um problema de compreensão da própria realidade. E eles disseram que o governo americano deveria instar o Brasil, abre aspas, “a considerar as proteções de privacidade disponíveis nos Estados Unidos como adequadas sob a lei brasileira”.
(36:21) O Thássius Veloso também comentou na CBN que a decisão do STF sobre o Marco Civil e as manifestações do presidente nos BRICS sobre a regulamentação da IA também teriam pesado. Então, não dá para saber exatamente quais foram as razões do Trump para fazer isso.
(36:45) Claro, me parece que não são só questões econômicas, mas políticas também. O que muitos comentaristas têm falado, e me parece bem óbvio, é uma tentativa de interferência pela via de uma guerra comercial na ordem jurídica do país. Com essa possível atuação, essa hipótese de que as big techs também estariam por trás, você tem uma tentativa de interferir diretamente tanto no processo legislativo como no judiciário de um país estrangeiro, com os Estados Unidos tentando impor práticas não pela via da diplomacia.
(37:26) Que seria a via adequada, e provavelmente não seria um caminho legítimo para fazer isso, mas em vez de fazer dessa forma, se faz por meio de uma guerra comercial. Veja, repito, estamos vendo os Estados Unidos dizendo: “Olha, vocês devem interpretar as nossas regras de proteção de dados como compatíveis com a lei brasileira”. E há uma série de problemas entre Estados Unidos e a União Europeia, são sistemas diferentes.
(37:57) De repente, isso está sendo feito de uma forma um tanto quanto apressada e preocupante, colocando o Brasil numa posição muito delicada. Nós já temos uma série de dificuldades internas para legislar sobre proteção de dados, regulação da IA, eventuais controles em redes sociais.
(38:23) De repente, você tem mais uma medida dessa que me parece bastante prejudicial à nossa própria autonomia enquanto país. Então, fica só a referência de que as big techs poderiam estar por trás disso também, e ficam, como sempre, os links nos “show notes” de comentaristas e órgãos de imprensa que têm levantado essa bandeira.
(38:47) Guilherme, vou te dar algumas palavras e tu me diz o que aconteceu. Bluetooth. Mercedes-Benz, Volkswagen e Skoda. Essa eu não conheço. Você disse que ia falar uma notícia surpresa, mas acho que eu sei sobre o que é.
(39:13) É uma possibilidade de invadir os carros por alguns módulos que teriam uma vulnerabilidade. Possibilidade não, eles encontraram uma vulnerabilidade. É um módulo de Bluetooth, o Blue SDK da Open Synergy, que é a empresa. A notícia está no The Hacker News, então estará nos “show notes” para vocês olharem com detalhes.
(39:41) Mas o que dá para fazer são algumas vulnerabilidades que, exploradas em conjunto, permitem executar código arbitrário nos carros de pelo menos três grandes fabricantes: Mercedes-Benz, Volkswagen e Skoda.
(40:12) Eles exploram essa vulnerabilidade e isso permite que executem códigos maliciosos no carro. Vimos algo parecido… mas, deixa eu te perguntar antes: quando você fala sobre um módulo, é algo físico? É um SDK, então imagino que seja um conjunto de coisas que faz parte da interface Bluetooth, certamente, e o software que faz o gerenciamento disso. Então, você poderia atualizar o carro? Depende do fabricante.
(40:50) A separação é justamente o que eles comentam na notícia. No caso do Jeep Cherokee, se tu puder procurar isso, já faz 10 anos ou mais. Deixa eu ver. O que aconteceu com o Jeep Cherokee foi que os caras exploraram não via Bluetooth, mas via um acesso da empresa de telefonia.
(41:18) Episódio 81. Nossa. Isso foi em julho de 2015. Quase 10 anos. Eu falei 10 anos, para fechar 10 anos.
(41:41) Acertei, quase 10 anos. Naquela época, o Jeep Cherokee vinha conectado a uma companhia telefônica, não lembro o nome, como se fosse a Vivo ou a Claro no Brasil. E o pessoal da Jeep teve a ótima ideia: como vamos controlar o acesso aos carros? Você pode acessá-los remotamente. Eles disseram: “Você só pode acessar se tiver também um chip da mesma companhia telefônica”.
(42:13) E foi o que aconteceu. Os pesquisadores compraram um chip da mesma empresa e conseguiram acesso aos carros, demonstrando isso na prática. A separação entre o sistema de informação e entretenimento e o resto do CAN bus, a rede local do carro para controlar tudo o que vocês imaginarem, desde limpador de para-brisa, volume do rádio, funcionamento do motor, ar condicionado… essa separação não estava bem feita, e os caras demonstraram um ataque em que controlaram tudo remotamente.
(42:47) Está lá no episódio 81. Vão lá, tem as referências, inclusive um vídeo do ataque sendo feito. E agora acontece algo muito parecido, só que o que dá para fazer nos sistemas depende.
(43:19) E eles chamam atenção para isso. Enquanto os sistemas de infoentretenimento são frequentemente isolados de controles críticos do veículo, o que no Jeep Cherokee, há 10 anos, não era… É o CAN bus que eu citei. Na prática, essa separação depende muito de como cada fabricante projeta a segmentação de sua rede interna. Segmentação de rede interna, gente, criar VLANs separadas, vale para o carro também. Tivemos um problema semelhante há uns 10 anos com a Boeing, quando lançou o Dreamliner. Um cara chegou a ser preso porque conectou-se via sistema de entretenimento e conseguiu controlar a aceleração do avião.
(44:17) Ele usou o Android dele e chegou a mexer. Por ter feito isso, o pesquisador foi preso na época. A gente comentou aqui no podcast.
(44:29) Deixa eu te perguntar, você falou sobre CAN bus e VLAN. Pode rememorar rapidamente para quem não tem intimidade com esses conceitos? O que isso significa? Significa que tem vários sistemas dentro do carro. É assim: na nossa casa, precisamos de Wi-Fi para o celular, tablet, notebook, TV. Tudo hoje está conectado. Então, temos uma rede local (LAN). Via de regra, as pessoas têm uma rede Wi-Fi e conectam tudo nela: TV, computador, celular, dispositivos smart.
(45:49) E, quando chega alguém, pede a senha do Wi-Fi. Você dá a senha para seus amigos e vira uma grande bagunça, porque você não tem controle de acesso. Todo mundo vê todo mundo. Se alguém entrar na sua rede, pode ver e mexer nas suas coisas, acessar uma câmera. É muito ruim ter uma rede só para tudo. E no carro é muito ruim ter uma rede só para controlar o sistema de entretenimento e, ao mesmo tempo, coisas críticas como o motor, sensores de proximidade, freios, direção.
(46:53) Não se pode colocar tudo isso na mesma rede. A Jeep fez exatamente isso 10 anos atrás e, dependendo, alguns desses fabricantes podem ainda estar fazendo algo nesse sentido.
(47:16) O que se faz no carro não é uma LAN, é uma CAN (Controller Area Network). É uma rede que conecta sensores, atuadores, controladores, o rádio, o display. Então, da mesma forma que sua rede em casa deveria ser separada (uma para você e outra para visitantes), no carro deveria ser a mesma coisa. Acredito que, depois do que aconteceu com a Jeep, a maior parte dos fabricantes aprendeu.
(48:12) A Boeing aprendeu também a separar essas redes. A rede Wi-Fi de entretenimento em um avião não pode ter comunicação com a rede de dados que interconecta os subsistemas do avião. É isso, Guilherme.
(48:42) A CAN é essa rede no carro, a LAN é a sua rede em casa, e a segmentação é separar suas coisas dos visitantes. Eu separo bem mais a minha rede. E outra, Vinícius, o carro deixou há bastante tempo de ser meramente um dispositivo mecânico. É tudo eletrônico, controlado por computador.
(49:14) É um computador, em última instância. Você tem um joystick ali e a porcaria do carro está online. Lembra quando você comprou seu carro e queria desativar algo, e meio que conseguiu e meio que não conseguiu? De lá para cá, agora nem tem mais como.
(49:36) Ele está conectado o tempo todo, você não consegue desabilitar. E você tem todos os problemas de privacidade e proteção de dados, e a diferença entre security e safety. Se alguém invade o carro e isso for fácil de realizar, pode causar um acidente, sequestrar o carro.
(49:54) Os golpes são inimagináveis. O meu carro tem um aplicativo que, no mínimo, permite saber onde o carro está, definir cerca eletrônica. Não dá para desligar o carro, acho que pensaram em não colocar tanta coisa no aplicativo.
(50:25) Mas o caminho está ali. A funcionalidade pode não estar disponível, mas o caminho para chegar nela está lá de alguma maneira.
(50:42) Dá para trancar e abrir portas, ligar o ar condicionado. Ligar o microfone dentro do carro? Não pelo aplicativo, mas, como eu disse, nunca fui atrás para ver até onde vai. Mas eu não tenho a opção de desligar essa porcaria. Não tenho o que fazer.
(51:02) E boa parte dos carros está assim. Mas, enfim, é isso. Mais uma dessas, 10 anos depois. E olha que eu chutei que fazia 10 anos. É, tem tantas possibilidades.
(51:24) Para terminar, Vinícius, há algum tempo, em um episódio recente, tínhamos preparado para falar sobre a questão da biometria, de como a ANPD iniciou uma tomada de subsídios para tratamento de dados biométricos no Brasil.
(51:42) A ideia, acho que no início de junho, era coletar contribuições da sociedade para efetivamente trazer uma regulação para essa categoria de dados, que é uma categoria de dados sensíveis. Portanto, você tem hipóteses distintas, uma regulação diferente, e o controlador e o operador que tratam dados sensíveis, no caso biométricos, precisam tomar medidas adicionais, porque os dados sensíveis são aqueles que, em casos de tratamentos ilícitos ou vazamentos, além de atingir mais profundamente a personalidade do titular, têm maiores chances de vulnerabilizar a pessoa.
(52:39) Pois bem, mas acabamos não tendo tempo. Hoje eu vi uma reportagem do G1, bem interessante, falando sobre a questão da biometria no Brasil.
(52:52) Eu chamei de “a festa da biometria no Brasil”, porque temos visto e acompanhado uma certa banalização do uso da biometria não somente para autenticação, mas para controle de acesso físico.
(53:11) Se você frequentou uma academia de ginástica nos últimos 10 anos, muito provavelmente precisa entrar lá com a sua biometria digital.
(53:28) Qual é a grande questão aqui? Mesmo que tenhamos a possibilidade de uso de dados biométricos para controle de acesso, ainda precisamos aplicar os princípios da LGPD, conceder aos titulares o direito de exercitar seus direitos e fornecer todas as informações que embasam esses tratamentos de dados.
(54:11) E o princípio que emerge com maior atenção é o da necessidade. Ou seja, toda e qualquer atividade de tratamento, além da finalidade, deve verificar se os dados coletados são necessários para atingir aquela finalidade. O velho exemplo que eu já contei: fui a um restaurante com menu eletrônico e, para tomar um chope e comer uma batatinha, eu tinha que dar meu celular, sem nenhuma explicação do porquê.
(55:01) “Ah, mas posso fazer sem o celular?” “Até pode, mas…” “Não, eu só quero tomar um chope, não quero te dar meu celular.” Você tem a questão da necessidade. E, junto com essa situação, algo bem comum: o viés de automação, quase uma fanatização tecnológica, que hoje atinge a IA. Ou seja, a ideia de que colocar tecnologia em tudo, como reconhecimento facial, que invariavelmente envolve IA, seria sempre preferencial, sem a adequada análise dos riscos e sem a verificação da compatibilidade com o princípio da necessidade.
(55:54) Dia desses, fui a uma galeria no centro de Porto Alegre. Na entrada da área de salas comerciais, você tem os sisteminhas de biometria facial. O mais interessante é que, quando você passa perto, ele põe um quadradinho na sua cara em uma tela. Sei lá como aquilo está funcionando, se já tentou me reconhecer enquanto eu estava passando como um transeunte.
(56:32) Mas isso já funciona há muitos anos, não precisa de um LLM para fazer isso. O Yann LeCun já brincava com reconhecimento de caracteres. Depois, isso foi evoluindo. Bem antes dos LLMs, já tínhamos essa identificação de pessoas em imagens. Eu tinha um colega no doutorado na UFRGS, por volta de 2001, 2002, que estava usando machine learning para identificação de imagens com pornografia, para fazer um filtro dinâmico.
(57:40) E ele tinha vários desafios na época, por exemplo, com corpos pintados no carnaval. A IA falhava.
(58:25) Hoje, não vou dizer que é trivial, mas funciona muito bem. Os LLMs com a parte de imagem funcionam muito bem, o computer vision. Você tem todos os problemas que já conhecemos com a falha no treinamento, sobretudo com pessoas de pele negra, e isso sendo usado para fins de persecução penal.
(58:45) O CNJ publicou uma regra recente sobre isso, mas enfim. Qual é o problema que se coloca aqui? Uma outra coisa de que se fala pouco na LGPD aqui no Brasil é a relação de fundo que justificaria o tratamento dos seus dados. No Brasil, é muito comum: escolho a hipótese e pronto. “A proteção ao crédito permite uma série de coisas”. Só que eu tenho que avaliar, além disso, qual é a relação de fundo que o titular tem comigo para justificar.
(59:28) E aí chegamos ao problema dos condomínios. Essa é a “festa da biometria” de que trata a reportagem.
(59:41) Eles dizem que 1 milhão de condomínios no Brasil já fazem o controle de acesso com biometria. Aqui no nosso não tem, mas no entorno já vi vários, com uma telinha na frente.
(1:00:02) E quais são os problemas? Primeiro, eu tenho várias pessoas com tipos de relações diferentes com o condomínio: moradores (incluindo crianças e adolescentes, o que deixa a coisa mais complexa), visitantes, prestadores de serviços e entregadores. Tenho cinco, seis grupos de pessoas que, eventualmente, precisarão se submeter a um tratamento biométrico sem saber direito quem guarda os dados, qual a segurança desses sistemas, quais as práticas gerais no tratamento.
(1:00:53) A reportagem entrevista um prestador de serviços que diz: “Ah, a responsabilidade pelo sistema é da empresa, mas a responsabilidade pelo uso dos dados seria do condomínio”. É mais ou menos, porque o artigo 42 da LGPD fala que o operador responde solidariamente quando descumpre a lei ou as instruções do controlador.
(1:01:12) E quando você coloca um condomínio… teu pai já foi síndico. Eu me lembrei dessa história agora. Aqui no condomínio, as imagens das câmeras ficam em um computador largado lá no salão de festas, ligado. Você entra lá e vê as câmeras, acessadas pela internet.
(1:01:35) O que deveria estar acontecendo é a necessidade de que o condomínio… e não estou falando isso só porque a BrownPipe presta serviço de apoio para adequação à LGPD. Visitem lá brownpipe.com.br.
(1:02:02) Conheçam os serviços, vejam o blog da BrownPipe, inscrevam-se para receber semanalmente as notícias. Você está gostando deste conteúdo, Vinícius? Eu estou, estou curtindo. O episódio passado eu gostei muito.
(1:02:22) Acho que ficou bem diferente do que vimos por aí. Então, se você, assim como o Vinícius, gosta do conteúdo que o Segurança Legal produz, considere apoiar em apoia.se/segurancalegal.
(1:02:45) Você pode ter acesso à campanha, fazer parte do nosso grupo, conversar com a gente. Pois bem, eu dizia, não é só porque a BrownPipe presta serviços. Eu realmente acredito, enquanto cidadão e titular, que é problemático ter que me submeter a esse tipo de sistema sem os controles adequados, sem inclusive ter uma alternativa. A reportagem fala isso: é preciso dar alternativas aos condôminos que eventualmente não querem.
(1:03:19) Você pode muito bem ter os mecanismos de autenticação biométrica, com todas as questões de segurança observadas, e também manter o sistema com as “tags” tradicionais para quem não quiser fornecer seus dados biométricos. Porque há um risco. Mais de 1 milhão de condomínios confiando nos sistemas de empresas que disponibilizam essas soluções, que acredito estarem funcionando pela internet.
(1:03:57) Eu já vi as duas situações. Desde o computador largado numa sala fechada e úmida do condomínio… Em geral é assim. Até computador largado na casa do síndico, do zelador.
(1:04:24) Com meu pai, no prédio, eles tinham uma salinha úmida. De uns anos para cá, a coisa tem sido cada vez mais online, porque é mais raro não ter internet no próprio condomínio, e fica muito mais fácil ligar isso a uma central. Ainda mais se tiver algum termo de uso que permita usar as informações para outra coisa. Mas, no geral, o que eu já vi desses sistemas… eu nunca testei a segurança, mas a gente tem aquele feeling… você olha a cara do sistema e pensa: “Isso aqui tem problema. Está meio estranho”.
(1:05:24) Você vê umas coisas meio “enjambradas”. E esse lance de “o uso das informações é por conta do condomínio”… É, mas você tem um SaaS, um Software as a Service, conectado lá, com as informações mantidas em algum lugar. E a LGPD se aplica plenamente aos condomínios.
(1:05:48) É um tema que não debatemos muito agora, mas, com essa banalização da biometria… Para dar um exemplo: precisamos fazer uma obra aqui no condomínio.
(1:06:10) Contratamos uma empreiteira, e o síndico disse: “Vamos precisar contratar outro engenheiro para acompanhar o serviço da empreiteira”. O pessoal ficou: “Poxa, mas já vou pagar a empreiteira, por que tenho que pagar outro engenheiro?”. Ele respondeu: “A não ser que você seja engenheiro e consiga avaliar o trabalho. Eu não tenho condições”. E, de fato, o engenheiro precisou pedir para que refizessem uma série de questões.
(1:06:40) Por quê? Porque você tem prestadores de serviços que, eventualmente, vão prestar o serviço mal. Com a LGPD, é a mesma coisa.
(1:06:54) O ideal seria contratar alguém para te acompanhar nisso, para garantir um mínimo de segurança no tratamento de dados sensíveis e biométricos de sei lá quantos milhões de pessoas que estão sendo tratados hoje no Brasil.
(1:07:12) Para terminar, eu fico meio indignado com isso, porque me indigna ter que ficar fornecendo a biometria facial para entrar na minha casa sem que ninguém consiga… claro, as pessoas não foram treinadas para isso, não conhecem o tema, mas não estão percebendo o risco e os problemas envolvidos. E não é só “ah, os dados vão vazar e podem tirar um empréstimo no seu nome”. É muito mais simples: eu tenho o direito de não dar os meus dados. Eu quero ter um método alternativo, que é plenamente factível, de entrar sem fornecer a biometria facial.
(1:07:54) Porque acredito que talvez não seja o lugar mais seguro, ou eventualmente eu não quero. Aí vão dizer: “Então não entra, mude-se”. Esse é o problema de morar em condomínio, a maioria impõe a regra. A não ser que seja algo flagrantemente ilegal. Mas, eu te diria, se meu pai fosse síndico e tivesse uma oferta de um sistema desses que não fosse caro, ele adotaria muito facilmente.
(1:08:31) E, se eu dissesse: “Mas tem esse problema…”, ele diria: “Vamos fazer o quê?”. É o pensamento mais comum.
(1:08:50) Não é porque existe que temos que sair utilizando em tudo. Aumente o nível de segurança até onde você precisa. E o pior é que, depois, você chega a um condomínio desses, com biometria e tudo, e… aconteceu comigo. Fui a outra cidade, tinha um prédio com interfone, câmera… eu tentava entrar e não atendiam. Veio uma senhora, perguntei se a empresa tal era ali, ela disse que sim. Eu disse que não conseguia contato, e ela: “Ah, não tem problema, é no andar tal”. Abriu para mim e eu entrei com ela.
(1:09:35) Acabou. Você põe um negócio com biometria e um monte de coisa… não precisa, não vai aumentar a segurança. Talvez tire um incômodo, dê uma sensação. Tem uma coisa interessante aí, Guilherme, e não dá para ignorar.
(1:10:00) Em condomínios com chaveirinho RFID, aquelas “tags”, para copiar isso é ridículo de fácil. Eu tenho um copiador. Na internet, custa uns 30, 40 reais.
(1:10:20) Não precisa ser um super copiador. Você gasta 100 reais e já tem um negócio que copia a tag. E aí, você perde o controle, porque é fácil de copiar e você não sabe quantas tags existem por aí.
(1:10:43) Com a biometria, se eu quiser cancelar o acesso do Guilherme, eu cancelo. Eu sei quem tem acesso cadastrado. Então, de fato… estou vendendo o sistema de biometria, você vai ficar bravo comigo. Mas você tem um controle muito melhor com biometria do que com chave ou com tag. Com biometria, eu consigo saber quem está liberado, posso classificar os moradores, de tempos em tempos zerar os acessos de não moradores.
(11:31) Você consegue manter isso atualizado. Com uma tag, você dá para o pessoal da obra e não sabe se vão passar para alguém ou copiar. “Ah, mas eu cancelo aquela tag”. Sim, mas pode ser a cópia da tag de alguém. Então, existe uma vantagem no uso da biometria em vez da tag ou da chave física. Eu não queria entrar nisso, mas me lembro do nosso episódio sobre o “teatro da segurança”.
(12:16) Traduzimos na época o artigo do Bruce Schneier. E acho que se encaixa na questão do viés de automação e da fanatização tecnológica. As pessoas ficam maravilhadas com aquela telinha que filma seu rosto.
(12:56) Mas, usando seu próprio argumento, a partir do momento que alguém permite que outro entre… vou te dar outro exemplo. Sigo uns grupos de fraudes. Alguns furtos são feitos com o cara se anunciando como entregador do Mercado Livre. Sábado à noite, 9 horas, toca o interfone. Eu sei que esses caras ralam para caramba, mas de repente um cara: “Você pode vir pegar a encomenda do apartamento tal porque ele não está em casa?”. Eu não vou descer quase 10 horas da noite para pegar uma encomenda. Provavelmente era legítimo, mas você percebe que a segurança física pode ser destruída.
(13:55) É aquela velha história dos caixas 24 horas, que você tinha que passar o cartão para entrar. Depois, acabaram com aquilo. A gente falava isso nas palestras há 20 anos.
(14:19) É uma questão muito mais complexa. Eu não te contrario no sentido de que é útil ou eficiente. Me preocupo com o exercício dos direitos do titular, a eventual oposição e a segurança do sistema que mantém tudo isso. Ele pode, sim, aumentar a segurança do ambiente.
(14:46) Só que não podemos esquecer da manutenção, do cadastro de rostos, que eventualmente não vai funcionar. Esse processo de manutenção também pode trazer outros riscos que não vão compensar o gasto. E, eventualmente, uma chave física pode ser mais eficiente. O valor está caindo, só está sendo usado em condomínios porque o investimento caiu muito.
(15:17) Já foi caro a ponto de ser coisa de filme, de ambientes super controlados. O preço cai e a tecnologia se populariza.
(15:43) E aí começa a ser viável usar um leitor digital na academia. Aí entra a questão da comodidade versus a segurança e a percepção de segurança. Os valores aqui: por ponto de acesso, de 1.200 a 3.500 reais; o sistema para uma base de 1.500; e a instalação com portaria remota, 5.000 em média, com custo mensal de 1.000 a 2.500. Porque ainda tem a questão da portaria remota, abrir com aplicativo, que é outro problema.
(16:42) Você fica pensando… é um assunto que me revolta. “Ah, mas o criminoso não sabe que eu tenho esse sistema”. Os caras acabaram de desviar um bilhão. Basta que o criminoso se dê conta de eventuais vulnerabilidades nesses sistemas, que eu diria que há muita chance de existirem, e você começará a ter exploração. Paga alguém para acrescentar uma biometria, ou para abrir o portão tal hora.
(17:16) Que nem aconteceu na CM, paga 5.000 para o cara e ele te dá as credenciais. Como aconteceu no banco. É isso aí.
(17:31) Vamos terminando.
(17:37) Lembra que deixamos de fazer café quente, café frio? O café frio vai para o Grok, para o Elon Musk, que está cada vez mais doido e agora fez isso com o Grok, num momento em que todo mundo fala que tem que ter segurança na IA, superalinhamento, etc.
(1:18:08) Eu dou o café frio para a banalização da biometria no Brasil. E o expresso? O expresso vai para a ANPD, que está recolhendo a tomada de subsídios para o tratamento de dados biométricos, o que pode trazer mais segurança para essas atividades.
(1:18:32) Eu acompanho o relator, porque não tenho para quem dar meu café expresso. Agradecemos àqueles e àquelas que nos acompanharam até aqui e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.
View all episodes
By Guilherme Goulart e Vinícius Serafim
4
77 ratings
Neste episódio comentamos sobre a IA Grok de Elon Musk gerando conteúdo nazista, a suposta influência de big techs nas tarifas de Trump ao Brasil, e a banalização da biometria em condomínios.
Guilherme Goulart e Vinícius Serafim aprofundam os perigos da IA sem controle, analisando como o Grok de Elon Musk reproduziu discursos de ódio e antissemitismo após ter sua moderação de conteúdo relaxada. O episódio explora a complexa teia de interesses na guerra comercial de Trump, investigando a pressão das Big Techs sobre o Brasil em temas como LGPD e regulação da IA. A discussão avança para a cibersegurança automotiva, com uma nova vulnerabilidade de Bluetooth que permite o hacking de carros, e os riscos do uso de biometria e reconhecimento facial em condomínios, questionando a privacidade e a proteção de dados.
Para não perder futuras análises, assine o podcast Segurança Legal na sua plataforma de áudio preferida, siga-nos nas redes sociais e deixe sua avaliação.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
📝 Transcrição do Episódio
(00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 397, gravado em 14 de julho de 2025. Eu sou Guilherme Goulart e, junto com Vinícius Serafim, trago para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes. Olá aos internautas.
(00:26) Como vão? Tudo certo? Tudo bem? Vocês já sabem, este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Então, pegue o seu café ou a sua bebida preferida. No caso, hoje estamos com chimarrão aqui, Vinícius, e venha com a gente. Hoje está quente. Hoje é dia de tomar água.
(00:44) Para entrar em contato conosco, você já sabe, basta enviar uma mensagem para podcast@segurançalegal.com ou também nos encontrar no Mastodon, Instagram, Bluesky e YouTube. Se você nos ouve pelo feed, sabe que também consegue ver os nossos rostinhos bonitos lá no YouTube. Vinícius, uma pequena atualização sobre o caso CM, o caso do nosso último episódio, o grande hack dos últimos tempos, senão o maior hack, a maior fraude já cometida no Brasil, pelo menos é o que se tem até agora.
(01:20) Em termos de valores, sem dúvida nenhuma, é o maior. Não em dados, mas em valor financeiro movimentado. A coisa realmente se concretizou no sentido de se confirmar que deve, sim, passar de 1 bilhão. Não sei se chega a três, que chegou a ser discutido, chegou a ser falado em 3 bilhões de reais na questão da fraude. Se você não sabe do que estamos falando, tem que voltar nos episódios anteriores. No anterior, na verdade.
(01:53) No 396. É o caso do REC bancário, CM, Banco BMP e tudo mais. Isso. O que temos que talvez não comentamos na semana passada, porque aconteceu depois, ou pelo menos ficamos sabendo depois, é que a Polícia Civil entrou também na investigação. Existe uma investigação paralela da Polícia Civil.
(02:17) O que temos até o momento é que a BMP confirmou o prejuízo de 541 milhões. Outras duas instituições confirmaram 104 milhões e outra, 49 milhões. Isso ainda não dá 1 bilhão, mas a soma preliminar, segundo o que sabemos, supera 1 bilhão, embora não tenhamos a listagem de tudo o que foi perdido. Não temos a listagem exata de quem perdeu o quê.
(02:45) Então, sim, passou de 1 bilhão e vamos ver se chega nos três que o pessoal chegou a comentar na semana em que gravamos. A outra questão, que vocês já sabem, é que o dinheiro foi convertido, em boa parte, para criptomoeda. Existe uma investigação para seguir o caminho do dinheiro, mas, em última análise, ele vai chegar a uma exchange que vendeu criptoativos, e alguma conta legítima recebeu esses criptoativos e os passou para algum lugar. E aí, boa sorte. Mas esses intermediários a polícia vai conseguir levantar, e está levantando.
(03:23) Não sabemos se já não levantou. Então, a Polícia Federal e a Polícia Civil estão fazendo investigações paralelas sobre este caso. Um bilhão está confirmado.
(03:44) Por enquanto, ainda não temos informação técnica, não temos mais nenhuma novidade, pelo menos não por enquanto. A própria CM frisou que a questão foram as credenciais que o atacante conseguiu, e não uma falha no sistema, uma falha de segurança no sistema. O termo que ela usou, mas entendemos muito bem que, na mídia em geral, ela tem que… O termo que o pessoal usa… Ela falou que não é nenhum problema no código-fonte dela.
(04:17) Leia-se: ela está dizendo que não foi uma vulnerabilidade no sistema, uma vulnerabilidade técnica no sistema. Pode ter sido, e pelo visto existe, tanto que aconteceu, uma vulnerabilidade do ambiente. Se vocês pegarem a ISO 27002, que tem os controles da ISO 27001, verão que, quando falamos de segurança da informação, não se fala apenas da segurança técnica da aplicação, as vulnerabilidades que ela tem, se está exposta ou não, superfície de ataque, esse tipo de coisa, mas abrange, entre outras coisas, processo de contratação, gerenciamento de credenciais e até liberação de usuários, controle de acesso a certas operações e tudo mais.
(05:01) Então, sim, a CM está correta. Se não há vulnerabilidade no sistema, está correta em dizer que não tiveram um problema por causa do sistema. Mas, sim, eles tiveram um problema de segurança no ambiente deles, que permitiu que alguém subornasse um funcionário.
(05:25) E esse funcionário fez alguma coisa que ainda não sabemos o que é. Executou scripts, executou comandos etc. Ok, mas que comandos exatamente, o que foi, nós não sabemos, ou pelo menos não chegou até nós ainda.
(05:43) E ele conseguiu credenciais de clientes da CM, que é a BMP e outras empresas, e mexeu no dinheiro deles, conforme o episódio 396. Tem outra coisa que não comentamos: essa é uma característica de fraudes dessa natureza. Já gravamos sobre isso várias vezes, já falamos sobre a questão da confidencialidade das informações e sobre como as instituições, em geral, ao redor do mundo, acabam lidando com isso. Elas não têm incentivos nem interesses de trazer a público todas as explicações das falhas, porque isso pode comprometê-las de formas muito diferentes.
(06:22) Mas uma coisa que não comentamos, e aí sim há uma obrigação legal, são as comunicações necessárias do incidente de segurança que eventualmente envolva dados pessoais. Eu não vi nas notícias, até agora, nenhuma informação sobre tratamento ilícito de dados pessoais. Mas, se formos partir do pressuposto de que o sujeito teve um acesso tão longo aos sistemas, se ele criou transações Pix, se ele forjou transações Pix, ele provavelmente não forjou transações apenas de pessoas jurídicas.
(07:05) Ele também pode ter forjado transações Pix de pessoas físicas. Se isso aconteceu, o incidente também envolveu tratamento ilícito de dados pessoais e, portanto, deveria contar com a notificação à ANPD. Achei curioso não ver nenhuma informação sobre isso, sobre essa questão de dados pessoais, porque se ele teve um acesso tão profundo aos sistemas, diria que não podemos descartar a hipótese de que ele tenha copiado dados de pessoas físicas.
(07:39) Portanto, aí sim, teríamos um incidente de vazamento de dados pessoais, para além das questões do furto. É, mas não sabemos exatamente como foi feita a auditoria. O pessoal pode ter avaliado isso e descartado. “Olha, não aconteceu.”
(08:02) Mas aí os titulares de dados que eventualmente sofreram uma invasão deveriam ter sido avisados. Se isso tivesse acontecido, acho que já teria vindo a público. Mas, se foi feita a auditoria e foi visto que ele não fez nada, que ele executou operações e não fez extração de dados, não tem sentido dizer o que não aconteceu. Agora, se o cara tivesse extraído alguma coisa, mas me parece que, se eu estivesse no lugar desses atacantes, eu faria a coisa o mais direta possível.
(08:44) Por isso que eu falei, para quê explorar? Se tinha uma pessoa lá dentro que tinha acesso, era desenvolvedor…
(08:59) Pegar dados para fazer fraudes, para quê, se eles podem movimentar mais de 1 bilhão de reais em criptomoeda? Não tem porquê. É passar o rodo, como se diz. Você não vai lá juntar o copinho d’água, você pega o rodo e empurra tudo. E foi o que esses caras fizeram. Mas, enfim, é isso. Quem não sabe exatamente o que dissemos, vá dar uma olhada no 396.
(09:26) Por enquanto, não temos muitas novidades, nada muito novo. Quem acompanhou as notícias nos últimos dias, sobretudo na semana passada, viu um comportamento meio chocante do Grok, Vinícius, que ganhou bastante atenção da mídia.
(09:47) Pois é.
(09:52) O Musk… bom, acho que, a estas alturas, todo mundo sabe quem é o Elon Musk e sabe muito bem das transformações que ele tem tido em termos de atuação pública. Era um cara que, se vocês ouvirem episódios bem antigos do podcast, eu achava muito legal o esquema da SpaceX. Cheguei a comentar na época, há anos, acho que foi na pandemia, Guilherme, que a SpaceX pousou aqueles dois foguetes, a primeira vez que eles pousaram juntos sem explodir. Eram três, um sumiu, mas dois pousaram juntos.
(10:25) Aqueles boosters, eu não sei o nome, mas os foguetes da SpaceX. Eu achava muito legal. O esquema da própria Starlink, um negócio muito interessante, o investimento em carro elétrico. Só que, ao mesmo tempo, à medida que foi passando o tempo, começou a surgir um lado mais político do Musk. Para quem quiser saber mais detalhes, não vamos entrar nisso, mas deem uma olhada sobre o Musk e a filha dele que fez transição de gênero.
(11:03) Ele deserdou a filha, foi uma bagunça essa questão pessoal dele. E ele adotou essa agenda que o pessoal chama nos Estados Unidos de “anti-woke”, contra a questão das minorias, de inclusão e tudo mais. Tanto que o Trump entrou e conseguiu, dentro do governo federal, meio que zerar esse negócio de políticas de inclusão e combate a preconceito.
(11:42) E ele conseguiu meter a mão em algumas empresas também. O Musk entrou de cabeça nessa história, ele estava reclamando que as IAs eram muito “woke”, que elas respeitavam demais as coisas.
(12:16) Ele estava dizendo que o próprio Grok, a IA dele, da xAI, era muito “woke” também. Então, no dia 4 de julho, ele libera uma versão do Grok mais livre, com um “toquezinho de free speech a mais”, e disse: “Agora vocês vão ver que o modelo está melhor, entrou o Grok versão 4 e vocês vão perceber diferenças nele”.
(12:47) E, de fato, na sequência, o Grok foi conectado ao X. Lembra de uma empresa, Guilherme, que fez a mesma coisa uns anos atrás e que a gente comentou? Você está falando da Microsoft? Aham. Que botou a Tay no ar. Lembra disso? Lembra o que aconteceu? Em 24 horas virou uma IA neofascista, deu uma loucura.
(13:10) E tiveram que tirar do ar. O Grok… a data de quando isso aconteceu foi 2016, portanto, há 9 anos, Vinícius. E, só um parêntese, de 9 anos para cá, as possibilidades de moderação dentro das IAs se alteraram bastante. É outro mundo hoje de moderação.
(13:38) A gente percebeu mudanças desde que começamos a usar os chats, ali em 2022, quando saiu o ChatGPT para acesso público. Viemos brincando com isso há um tempo e percebemos mudanças nesses controles. Era muito mais fácil fazer o ChatGPT “pirar” e gerar coisas inadequadas em 2022/2023 do que agora.
(14:01) Agora é bem mais difícil. E, ainda assim, o Ilya Sutskever saiu da OpenAI e uma das coisas que ele apontou é justamente esse problema de alinhamento, que envolve, entre outras coisas, esses filtros e controles do que a IA pode dizer ou não, ou como dizer. Bom, mas aí o Grok foi pelo mesmo caminho da IA da Microsoft, o que aconteceu há 9 anos.
(14:30) Ele não alucinou. O Grok, assim como todo LLM, é treinado com tudo o que tem na internet. Então, não tem como fazer com que o modelo não saiba… a gente discutia isso mais cedo, Guilherme. Não tem como fazer com que o modelo não saiba o que é nazismo ou o que aconteceu, os discursos de ódio.
(14:55) Não tem como fazer a IA, o modelo, não conhecer isso. Então, isso está lá dentro. Misoginia está lá dentro, todo tipo de coisa absurda que você imaginar está lá dentro do modelo. E, claro, está latente. As associações que permitiriam ele conceber um discurso nazista ou racista estão presentes lá.
(15:20) Estão presentes na nossa cabeça também. Só que a gente não o faz por uma questão moral. Tem um filtro ético, um filtro moral, crenças. Tem uma série de coisas. Eu sei como fazer um discurso nazista, mas eu não vou fazer. É uma coisa que eu abomino.
(15:45) A IA tem isso lá, e como ele afrouxou esses filtros, como ele deu uma reduzida no controle das coisas, uma calibrada para baixo, o Grok saiu fazendo posts nazistas no X. Inclusive, se autodenominando de “Mecha Hitler”.
(16:12) E falando coisas absurdas, como “o Hitler saberia como lidar com os judeus”. Fazendo algumas inferências… o início nem foi tão direto. Não foi algo como “Ah, esses judeus não sei quê”. Não, ele pegou pelo sobrenome de uma pessoa, inferiu que a pessoa era judia e fez um comentário criticando-a, usando a linguagem que os antissemitas utilizam.
(16:47) A IA aprendeu direitinho. E, lembrando, a própria IA foi treinada com o que tem no Twitter também.
(17:03) Ela foi treinada com o que tem lá e também se alimenta em tempo real do que está sendo dito para responder. Em uma situação que você comentou comigo, que eu não tinha visto, nos “pensamentos” dela, ela começou a dizer algo como “avaliando como Elon Musk responderia”. Ao que parece, tentaram dar uma instrução para o Grok mais alinhada com o dono dele, mais ou menos isso.
(17:39) E a coisa deu no que deu. Eles tiraram, desconectaram o Grok do X.
(18:09) Falaram que vão botar controles mais severos sobre o que o Grok publica. “Fomos longe demais, vamos dar uma calibrada nesse negócio”. Vamos ver o que volta quando… nem vi se eles já conectaram o Grok de volta no X, mas a ideia é ligá-lo de volta com um filtro mais potente.
(18:31) Eu já tinha percebido, Guilherme, que o Grok não era tão restritivo. E te digo que, dependendo da situação, ser restritivo demais é um problema. Na geração de imagens, o ChatGPT às vezes recusa pedidos que não têm problema nenhum, dizendo “É contra minha política gerar uma imagem…”.
(18:49) E não tem nada demais no pedido. É ele que interpreta meio torto. Já o Grok, eu pedi coisas com violência explícita e ele gerou. Fui testar e ele gerou, enquanto o ChatGPT, por exemplo, se nega a gerar esse tipo de imagem. Então, esse ponto de equilíbrio é o que o Yuval Harari diz que é muito difícil de encontrar, porque a IA se comporta de maneiras inesperadas.
(19:21) E desde aquele processo que comentamos em laboratório, em que a Claude AI bolou uma chantagem a um funcionário da empresa usando e-mails pessoais a que tinha tido acesso… isso em laboratório, gente, não é uma situação real… demonstra bem o tipo de coisa que pode acontecer se a IA não estiver muito bem alinhada com os objetivos.
(19:51) Eu acho que são sinais de algo que quem estuda as repercussões éticas e legais das IAs já sabe: elas não são entidades. Embora produzam conteúdo que não foi colocado lá literalmente, ou seja, elas conseguem funcionar de forma estocástica e não determinística, como você muito bem disse, elas são treinadas. E o que temos avançado nos últimos tempos, como você colocou, são as medidas de moderação e controle, as camadas de moderação das IAs.
(20:31) Aqui estamos falando de LLMs, mas hoje temos, o que é outro problema, uma série de IAs pequenas disponíveis na internet para fazer deepfakes envolvendo nudes. Você “tira a roupa” de pessoas, sobretudo de meninas.
(20:50) Isso se tornou um grande problema em escolas. Então, primeiro, você tem a responsabilidade do mantenedor sobre o que aquela IA pode fazer. Ele deve ter uma responsabilidade sobre o conteúdo que está produzindo, porque não é algo banal. Você está tendo uma IA interagindo com as pessoas, reproduzindo conteúdo nazista.
(21:16) Isso não é um probleminha, um detalhezinho, uma “calibração”. É algo que, claro, não sabemos como funcionam os mecanismos de moderação, mas não me parece que seja algo que foi colocado ou reproduzido sem uma intenção direcionada, nem que essa intenção seja de afrouxar certos controles que me parecem obrigatórios para qualquer LLM. E veja, não é conversar com um LLM perguntando detalhes da Segunda Guerra Mundial. É ele produzir um conteúdo que tem por baixo um juízo de valor muito prejudicial para o mundo e para a sociedade.
(22:00) Por que estou dizendo isso? Porque a grande discussão que temos hoje é justamente essa intenção das big techs, sobretudo aquelas relacionadas com IA, mas hoje todo mundo está virando a chave para a IA. O X, que é uma rede social, tem uma IA. As empresas do Elon Musk têm uma IA.
(22:25) Você começa a ver uma série de plataformas das big techs com essa intenção de produzir IAs. E qual é o problema? O problema é que a ideia por trás dessas empresas é que você tenha o mínimo de intervenção ou interferência estatal no que eles podem produzir, com a justificativa, que é legítima, de que isso é feito para manter a liberdade de expressão.
(22:59) Sim, de fato, você tem que ter liberdade de expressão, claro. Só que a IA não é uma pessoa. É um ente computacional que vai produzir conteúdos, inclusive conteúdos criminosos e danosos, sobretudo para grupos que historicamente, no caso dos judeus, foram discriminados e mortos. Todo esse problema histórico que já conhecemos. Então, acho que é um negócio bem simbólico do que está acontecendo e do que pode acontecer se, de fato, não tivermos regulações para esse tipo de coisa.
(23:28) E eu repito, estamos falando de conteúdo nazista, e não acredito que seja o tipo de conteúdo que deva vigorar e ser reproduzido, ainda mais por máquinas. Não foi nenhuma pessoa que publicou aquilo, o que já seria problemático e criminoso. Foi uma máquina. E aí, depois, temos a questão da responsabilidade. De quem?
(23:51) Porque se fosse uma pessoa publicando isso, rapidinho alguém tomaria um processo, seria “cancelado” e tudo mais. Mas o pessoal não vai cancelar o Grok. Ao mesmo tempo, o Grok pertence a uma empresa. Se uma pessoa física vai lá e publica uma coisa dessas, aqui no Brasil, ela comete um crime. Não se pode dizer qualquer coisa, não se pode falar coisas desse gênero aqui no Brasil.
(24:34) Mas como foi a ferramenta… Sim, mas a ferramenta, pelo menos por enquanto, não é um ente independente. A empresa tem que responder pelo que a ferramenta faz, não? E essa própria questão de “vou diminuir os filtros porque ela é ‘woke'” ou por qualquer que seja o motivo… A partir do momento que você toma a decisão de afrouxar os filtros, essa é uma decisão que traz para o decisor uma responsabilidade, ou pelo menos deveria trazer.
(25:05) E, só para concluir, eu acho muito problemático, porque realmente é a demonstração clara dos problemas que podemos ter se esse tipo de ferramenta, se esse tipo de sistema não tiver regras mínimas de funcionamento.
(25:32) É um germe do que pode acontecer, fora aquelas coisas que você não percebe, que é pior ainda. O fato de esse tipo de conteúdo estar dormente lá dentro. Se você não tem um controle muito grande, pode ter um direcionamento implícito, subliminar, levando em consideração essas ideias sem que elas apareçam de forma ostensiva no conteúdo produzido. Ela está por trás, subliminar, mas sem ser tão ostensiva como foi nesse momento, o que também é outro problema.
(26:01) Ali apareceu o Grok.
(26:09) Agora, pode acontecer de não parecer que há algo por trás. Mas só finalizo lembrando que já comentamos uma situação em que uma empresa aérea botou uma IA no chat, um cliente conversou com a IA, a IA alucinou, não foi bem orientada e inventou um esquema de reembolso.
(26:50) Era um reembolso de passagem. Ela criou uma situação de reembolso que não existia, e a pessoa “Beleza, eu aceito”. Quando ela foi exercer o direito dela, a companhia aérea disse: “Não, isso não existe”.
(27:12) E o cara foi para cima: “Mas a IA de vocês disse”. E eles tentaram argumentar: “Mas não fomos nós, foi a IA”. “Não, mas foi a IA de vocês”. A IA estava falando em nome da empresa, e a companhia aérea teve que honrar a oferta feita pela IA. Então, gente, cuidado.
(27:38) A IA não é alguém que você chama para resolver um problema e depois diz: “Foi ela que fez mal feito”. Não, você a colocou para falar em nome da sua empresa. Tem que tomar muito cuidado com agentes de IA.
(27:55) E nós vamos ver muita porcaria acontecendo nesse sentido, Guilherme. É o problema de você atribuir… Nós vamos ver muita coisa acontecendo com agentes de IA sendo postos para uso, as pessoas começando a usar com mais frequência chatbots de atendimento, e daqui a pouco vai ter uma fazendo bobagem. Aí vai ser lindo.
(28:14) É a questão de atribuir personalidade jurídica, que é outra discussão dentro do direito da IA, sobre até que ponto, como e quando seria desejável ou viável atribuir personalidade jurídica para esses entes, com problemas até sobre desligá-los ou não. E daí toda aquela coisa mais de ficção científica.
(28:41) O 2001 e aquela coisa toda. Eu só vou levantar a bola, mas não vou comentar: o Harari fala disso. A hora que a IA tiver reconhecida a sua personalidade… mas esse é outro assunto.
(29:04) Bom, e só para terminar, esse é o problema dos tais riscos sistêmicos, um instituto previsto no AI Act e que foi mencionado na decisão do STF sobre o Marco Civil da Internet. Eles mencionam essas possibilidades de riscos sistêmicos. Mas vamos terminar por aqui, senão não vamos parar de falar desse negócio.
(29:30) E, ligando com outro assunto, o episódio desta semana está bem polêmico. A gente tem visto, se você não esteve em uma câmara criogênica nos últimos 10 dias, todas as discussões referentes às tarifas que o Trump quer impor ao Brasil, tarifas de 50% para, acho, que todo e qualquer produto vendido no Brasil.
(30:03) Aí você tem todos os problemas do que é exportado do Brasil. Por enquanto, ele está ameaçando. A tarifa entraria em primeiro de agosto, temos uns 15 dias ainda. É um problema se for realmente uma ameaça; você tem outro problema de interferência entre países, saindo da diplomacia, abrindo mão de tudo o que foi construído no comércio internacional.
(30:28) Bom, esse não é bem o nosso problema aqui, mas a nossa questão é que, para muito além do óbvio, ou seja, daqueles produtos que são exportados, como suco de laranja, carne… eu lembro de cabeça de suco de laranja e aço. Não, comércio internacional nós deixamos para o Xadrez Verbal. Nós temos o problema de uma hipótese que se levantou de que, por trás dos interesses dessa carta, e para além das questões políticas que foram ostensivamente mencionadas, estaria também um outro problema.
(31:12) Uma das razões da atuação dele de impor tarifas tão altas, acho que foi o maior valor entre todos os 26 países que receberam cartas semelhantes, fora a China, é que por trás disso estariam também os interesses das big techs.
(31:35) E essa é uma questão que nos interessa, porque já vimos a atuação dessas empresas em várias frentes. Em projetos de lei, aqui, é quase famoso que o próprio Google falou que era o projeto que ia censurar a internet. Ou seja, colocou lá na página inicial de pesquisa do Google que seria um projeto que destruiria a internet.
(31:59) Não lembro exatamente os termos. E, claro, é plenamente legítimo, em um regime republicano e democrático, que empresas tenham seus interesses manifestados, declarados e eventualmente considerados pelos gestores políticos. O problema é quando você tem uma captura de interesses por meio de lobbies muito poderosos, deixando o bem comum em segundo plano.
(32:29) E a grande questão é essa: como equacionar e compatibilizar os interesses das empresas e o bem comum? Esse é o campo da política. Seja em um mundo ideal, seria no campo da política, das concessões, das discussões, que se chegaria a um equilíbrio desses interesses, de forma a não inviabilizar a atuação de uma empresa e, ao mesmo tempo, não sobrepor completamente os interesses públicos com os interesses dessas empresas.
(33:02) O que estamos vendo agora, nessa hipótese, o Thássius Veloso, da CBN, e outros portais vêm colocando isso, é que uma instituição americana, a CCIA (Computer and Communications Industry Association), composta por empresas como Google, Meta, Microsoft, Amazon, Uber, Apple, Pinterest e eBay, lançou uma carta se manifestando alguns minutos depois da declaração ou da carta do Trump, que ameaçou impor as tarifas. Já estava preparado. Eles se manifestaram no seguinte sentido:
(33:44) “A CCIA saúda a atenção da administração em relação às barreiras do Brasil contra exportações digitais dos Estados Unidos por meio de uma investigação deliberativa da seção 301 sobre os prejuízos causados por tratamento discriminatório”. E eles teriam se referido nessa carta a questões como a própria suspensão do X, que se deu aqui no ano passado. Falaram até sobre a “taxa das blusinhas”, que na verdade foi o Remessa Conforme, a colocação dos impostos previstos e adequados.
(34:18) O limite sem imposto na lei era de $100, aí tinha uma portaria da Receita Federal que baixava para $50. E sempre foi uma coisa maluca, porque, embora na maior parte do tempo esses valores não fossem taxados, e até valores maiores, eventualmente, eu tive coisas que custavam 7 reais, um troço absurdo, que foram taxadas. Era um processo meio maluco. Agora é tudo taxado, não tem mais. Quem faz parte do Remessa Conforme, sim. Algumas lojas não fazem, e aí parece que você entra na roleta.
(35:14) Mencionaram também a própria LGPD e sua aplicação. E o que me chamou a atenção nesse caso, veja, estamos falando da ameaça das tarifas de 50%, acompanhada da cartinha padrão, tirando a questão política que ele cita, falando que o comércio está muito ruim para os Estados Unidos, o que é uma desvantagem, quando na verdade não é. É superavitário para o Brasil.
(35:50) Os Estados Unidos exportam mais para o Brasil do que o Brasil para os Estados Unidos. Então, você tem um problema de compreensão da própria realidade. E eles disseram que o governo americano deveria instar o Brasil, abre aspas, “a considerar as proteções de privacidade disponíveis nos Estados Unidos como adequadas sob a lei brasileira”.
(36:21) O Thássius Veloso também comentou na CBN que a decisão do STF sobre o Marco Civil e as manifestações do presidente nos BRICS sobre a regulamentação da IA também teriam pesado. Então, não dá para saber exatamente quais foram as razões do Trump para fazer isso.
(36:45) Claro, me parece que não são só questões econômicas, mas políticas também. O que muitos comentaristas têm falado, e me parece bem óbvio, é uma tentativa de interferência pela via de uma guerra comercial na ordem jurídica do país. Com essa possível atuação, essa hipótese de que as big techs também estariam por trás, você tem uma tentativa de interferir diretamente tanto no processo legislativo como no judiciário de um país estrangeiro, com os Estados Unidos tentando impor práticas não pela via da diplomacia.
(37:26) Que seria a via adequada, e provavelmente não seria um caminho legítimo para fazer isso, mas em vez de fazer dessa forma, se faz por meio de uma guerra comercial. Veja, repito, estamos vendo os Estados Unidos dizendo: “Olha, vocês devem interpretar as nossas regras de proteção de dados como compatíveis com a lei brasileira”. E há uma série de problemas entre Estados Unidos e a União Europeia, são sistemas diferentes.
(37:57) De repente, isso está sendo feito de uma forma um tanto quanto apressada e preocupante, colocando o Brasil numa posição muito delicada. Nós já temos uma série de dificuldades internas para legislar sobre proteção de dados, regulação da IA, eventuais controles em redes sociais.
(38:23) De repente, você tem mais uma medida dessa que me parece bastante prejudicial à nossa própria autonomia enquanto país. Então, fica só a referência de que as big techs poderiam estar por trás disso também, e ficam, como sempre, os links nos “show notes” de comentaristas e órgãos de imprensa que têm levantado essa bandeira.
(38:47) Guilherme, vou te dar algumas palavras e tu me diz o que aconteceu. Bluetooth. Mercedes-Benz, Volkswagen e Skoda. Essa eu não conheço. Você disse que ia falar uma notícia surpresa, mas acho que eu sei sobre o que é.
(39:13) É uma possibilidade de invadir os carros por alguns módulos que teriam uma vulnerabilidade. Possibilidade não, eles encontraram uma vulnerabilidade. É um módulo de Bluetooth, o Blue SDK da Open Synergy, que é a empresa. A notícia está no The Hacker News, então estará nos “show notes” para vocês olharem com detalhes.
(39:41) Mas o que dá para fazer são algumas vulnerabilidades que, exploradas em conjunto, permitem executar código arbitrário nos carros de pelo menos três grandes fabricantes: Mercedes-Benz, Volkswagen e Skoda.
(40:12) Eles exploram essa vulnerabilidade e isso permite que executem códigos maliciosos no carro. Vimos algo parecido… mas, deixa eu te perguntar antes: quando você fala sobre um módulo, é algo físico? É um SDK, então imagino que seja um conjunto de coisas que faz parte da interface Bluetooth, certamente, e o software que faz o gerenciamento disso. Então, você poderia atualizar o carro? Depende do fabricante.
(40:50) A separação é justamente o que eles comentam na notícia. No caso do Jeep Cherokee, se tu puder procurar isso, já faz 10 anos ou mais. Deixa eu ver. O que aconteceu com o Jeep Cherokee foi que os caras exploraram não via Bluetooth, mas via um acesso da empresa de telefonia.
(41:18) Episódio 81. Nossa. Isso foi em julho de 2015. Quase 10 anos. Eu falei 10 anos, para fechar 10 anos.
(41:41) Acertei, quase 10 anos. Naquela época, o Jeep Cherokee vinha conectado a uma companhia telefônica, não lembro o nome, como se fosse a Vivo ou a Claro no Brasil. E o pessoal da Jeep teve a ótima ideia: como vamos controlar o acesso aos carros? Você pode acessá-los remotamente. Eles disseram: “Você só pode acessar se tiver também um chip da mesma companhia telefônica”.
(42:13) E foi o que aconteceu. Os pesquisadores compraram um chip da mesma empresa e conseguiram acesso aos carros, demonstrando isso na prática. A separação entre o sistema de informação e entretenimento e o resto do CAN bus, a rede local do carro para controlar tudo o que vocês imaginarem, desde limpador de para-brisa, volume do rádio, funcionamento do motor, ar condicionado… essa separação não estava bem feita, e os caras demonstraram um ataque em que controlaram tudo remotamente.
(42:47) Está lá no episódio 81. Vão lá, tem as referências, inclusive um vídeo do ataque sendo feito. E agora acontece algo muito parecido, só que o que dá para fazer nos sistemas depende.
(43:19) E eles chamam atenção para isso. Enquanto os sistemas de infoentretenimento são frequentemente isolados de controles críticos do veículo, o que no Jeep Cherokee, há 10 anos, não era… É o CAN bus que eu citei. Na prática, essa separação depende muito de como cada fabricante projeta a segmentação de sua rede interna. Segmentação de rede interna, gente, criar VLANs separadas, vale para o carro também. Tivemos um problema semelhante há uns 10 anos com a Boeing, quando lançou o Dreamliner. Um cara chegou a ser preso porque conectou-se via sistema de entretenimento e conseguiu controlar a aceleração do avião.
(44:17) Ele usou o Android dele e chegou a mexer. Por ter feito isso, o pesquisador foi preso na época. A gente comentou aqui no podcast.
(44:29) Deixa eu te perguntar, você falou sobre CAN bus e VLAN. Pode rememorar rapidamente para quem não tem intimidade com esses conceitos? O que isso significa? Significa que tem vários sistemas dentro do carro. É assim: na nossa casa, precisamos de Wi-Fi para o celular, tablet, notebook, TV. Tudo hoje está conectado. Então, temos uma rede local (LAN). Via de regra, as pessoas têm uma rede Wi-Fi e conectam tudo nela: TV, computador, celular, dispositivos smart.
(45:49) E, quando chega alguém, pede a senha do Wi-Fi. Você dá a senha para seus amigos e vira uma grande bagunça, porque você não tem controle de acesso. Todo mundo vê todo mundo. Se alguém entrar na sua rede, pode ver e mexer nas suas coisas, acessar uma câmera. É muito ruim ter uma rede só para tudo. E no carro é muito ruim ter uma rede só para controlar o sistema de entretenimento e, ao mesmo tempo, coisas críticas como o motor, sensores de proximidade, freios, direção.
(46:53) Não se pode colocar tudo isso na mesma rede. A Jeep fez exatamente isso 10 anos atrás e, dependendo, alguns desses fabricantes podem ainda estar fazendo algo nesse sentido.
(47:16) O que se faz no carro não é uma LAN, é uma CAN (Controller Area Network). É uma rede que conecta sensores, atuadores, controladores, o rádio, o display. Então, da mesma forma que sua rede em casa deveria ser separada (uma para você e outra para visitantes), no carro deveria ser a mesma coisa. Acredito que, depois do que aconteceu com a Jeep, a maior parte dos fabricantes aprendeu.
(48:12) A Boeing aprendeu também a separar essas redes. A rede Wi-Fi de entretenimento em um avião não pode ter comunicação com a rede de dados que interconecta os subsistemas do avião. É isso, Guilherme.
(48:42) A CAN é essa rede no carro, a LAN é a sua rede em casa, e a segmentação é separar suas coisas dos visitantes. Eu separo bem mais a minha rede. E outra, Vinícius, o carro deixou há bastante tempo de ser meramente um dispositivo mecânico. É tudo eletrônico, controlado por computador.
(49:14) É um computador, em última instância. Você tem um joystick ali e a porcaria do carro está online. Lembra quando você comprou seu carro e queria desativar algo, e meio que conseguiu e meio que não conseguiu? De lá para cá, agora nem tem mais como.
(49:36) Ele está conectado o tempo todo, você não consegue desabilitar. E você tem todos os problemas de privacidade e proteção de dados, e a diferença entre security e safety. Se alguém invade o carro e isso for fácil de realizar, pode causar um acidente, sequestrar o carro.
(49:54) Os golpes são inimagináveis. O meu carro tem um aplicativo que, no mínimo, permite saber onde o carro está, definir cerca eletrônica. Não dá para desligar o carro, acho que pensaram em não colocar tanta coisa no aplicativo.
(50:25) Mas o caminho está ali. A funcionalidade pode não estar disponível, mas o caminho para chegar nela está lá de alguma maneira.
(50:42) Dá para trancar e abrir portas, ligar o ar condicionado. Ligar o microfone dentro do carro? Não pelo aplicativo, mas, como eu disse, nunca fui atrás para ver até onde vai. Mas eu não tenho a opção de desligar essa porcaria. Não tenho o que fazer.
(51:02) E boa parte dos carros está assim. Mas, enfim, é isso. Mais uma dessas, 10 anos depois. E olha que eu chutei que fazia 10 anos. É, tem tantas possibilidades.
(51:24) Para terminar, Vinícius, há algum tempo, em um episódio recente, tínhamos preparado para falar sobre a questão da biometria, de como a ANPD iniciou uma tomada de subsídios para tratamento de dados biométricos no Brasil.
(51:42) A ideia, acho que no início de junho, era coletar contribuições da sociedade para efetivamente trazer uma regulação para essa categoria de dados, que é uma categoria de dados sensíveis. Portanto, você tem hipóteses distintas, uma regulação diferente, e o controlador e o operador que tratam dados sensíveis, no caso biométricos, precisam tomar medidas adicionais, porque os dados sensíveis são aqueles que, em casos de tratamentos ilícitos ou vazamentos, além de atingir mais profundamente a personalidade do titular, têm maiores chances de vulnerabilizar a pessoa.
(52:39) Pois bem, mas acabamos não tendo tempo. Hoje eu vi uma reportagem do G1, bem interessante, falando sobre a questão da biometria no Brasil.
(52:52) Eu chamei de “a festa da biometria no Brasil”, porque temos visto e acompanhado uma certa banalização do uso da biometria não somente para autenticação, mas para controle de acesso físico.
(53:11) Se você frequentou uma academia de ginástica nos últimos 10 anos, muito provavelmente precisa entrar lá com a sua biometria digital.
(53:28) Qual é a grande questão aqui? Mesmo que tenhamos a possibilidade de uso de dados biométricos para controle de acesso, ainda precisamos aplicar os princípios da LGPD, conceder aos titulares o direito de exercitar seus direitos e fornecer todas as informações que embasam esses tratamentos de dados.
(54:11) E o princípio que emerge com maior atenção é o da necessidade. Ou seja, toda e qualquer atividade de tratamento, além da finalidade, deve verificar se os dados coletados são necessários para atingir aquela finalidade. O velho exemplo que eu já contei: fui a um restaurante com menu eletrônico e, para tomar um chope e comer uma batatinha, eu tinha que dar meu celular, sem nenhuma explicação do porquê.
(55:01) “Ah, mas posso fazer sem o celular?” “Até pode, mas…” “Não, eu só quero tomar um chope, não quero te dar meu celular.” Você tem a questão da necessidade. E, junto com essa situação, algo bem comum: o viés de automação, quase uma fanatização tecnológica, que hoje atinge a IA. Ou seja, a ideia de que colocar tecnologia em tudo, como reconhecimento facial, que invariavelmente envolve IA, seria sempre preferencial, sem a adequada análise dos riscos e sem a verificação da compatibilidade com o princípio da necessidade.
(55:54) Dia desses, fui a uma galeria no centro de Porto Alegre. Na entrada da área de salas comerciais, você tem os sisteminhas de biometria facial. O mais interessante é que, quando você passa perto, ele põe um quadradinho na sua cara em uma tela. Sei lá como aquilo está funcionando, se já tentou me reconhecer enquanto eu estava passando como um transeunte.
(56:32) Mas isso já funciona há muitos anos, não precisa de um LLM para fazer isso. O Yann LeCun já brincava com reconhecimento de caracteres. Depois, isso foi evoluindo. Bem antes dos LLMs, já tínhamos essa identificação de pessoas em imagens. Eu tinha um colega no doutorado na UFRGS, por volta de 2001, 2002, que estava usando machine learning para identificação de imagens com pornografia, para fazer um filtro dinâmico.
(57:40) E ele tinha vários desafios na época, por exemplo, com corpos pintados no carnaval. A IA falhava.
(58:25) Hoje, não vou dizer que é trivial, mas funciona muito bem. Os LLMs com a parte de imagem funcionam muito bem, o computer vision. Você tem todos os problemas que já conhecemos com a falha no treinamento, sobretudo com pessoas de pele negra, e isso sendo usado para fins de persecução penal.
(58:45) O CNJ publicou uma regra recente sobre isso, mas enfim. Qual é o problema que se coloca aqui? Uma outra coisa de que se fala pouco na LGPD aqui no Brasil é a relação de fundo que justificaria o tratamento dos seus dados. No Brasil, é muito comum: escolho a hipótese e pronto. “A proteção ao crédito permite uma série de coisas”. Só que eu tenho que avaliar, além disso, qual é a relação de fundo que o titular tem comigo para justificar.
(59:28) E aí chegamos ao problema dos condomínios. Essa é a “festa da biometria” de que trata a reportagem.
(59:41) Eles dizem que 1 milhão de condomínios no Brasil já fazem o controle de acesso com biometria. Aqui no nosso não tem, mas no entorno já vi vários, com uma telinha na frente.
(1:00:02) E quais são os problemas? Primeiro, eu tenho várias pessoas com tipos de relações diferentes com o condomínio: moradores (incluindo crianças e adolescentes, o que deixa a coisa mais complexa), visitantes, prestadores de serviços e entregadores. Tenho cinco, seis grupos de pessoas que, eventualmente, precisarão se submeter a um tratamento biométrico sem saber direito quem guarda os dados, qual a segurança desses sistemas, quais as práticas gerais no tratamento.
(1:00:53) A reportagem entrevista um prestador de serviços que diz: “Ah, a responsabilidade pelo sistema é da empresa, mas a responsabilidade pelo uso dos dados seria do condomínio”. É mais ou menos, porque o artigo 42 da LGPD fala que o operador responde solidariamente quando descumpre a lei ou as instruções do controlador.
(1:01:12) E quando você coloca um condomínio… teu pai já foi síndico. Eu me lembrei dessa história agora. Aqui no condomínio, as imagens das câmeras ficam em um computador largado lá no salão de festas, ligado. Você entra lá e vê as câmeras, acessadas pela internet.
(1:01:35) O que deveria estar acontecendo é a necessidade de que o condomínio… e não estou falando isso só porque a BrownPipe presta serviço de apoio para adequação à LGPD. Visitem lá brownpipe.com.br.
(1:02:02) Conheçam os serviços, vejam o blog da BrownPipe, inscrevam-se para receber semanalmente as notícias. Você está gostando deste conteúdo, Vinícius? Eu estou, estou curtindo. O episódio passado eu gostei muito.
(1:02:22) Acho que ficou bem diferente do que vimos por aí. Então, se você, assim como o Vinícius, gosta do conteúdo que o Segurança Legal produz, considere apoiar em apoia.se/segurancalegal.
(1:02:45) Você pode ter acesso à campanha, fazer parte do nosso grupo, conversar com a gente. Pois bem, eu dizia, não é só porque a BrownPipe presta serviços. Eu realmente acredito, enquanto cidadão e titular, que é problemático ter que me submeter a esse tipo de sistema sem os controles adequados, sem inclusive ter uma alternativa. A reportagem fala isso: é preciso dar alternativas aos condôminos que eventualmente não querem.
(1:03:19) Você pode muito bem ter os mecanismos de autenticação biométrica, com todas as questões de segurança observadas, e também manter o sistema com as “tags” tradicionais para quem não quiser fornecer seus dados biométricos. Porque há um risco. Mais de 1 milhão de condomínios confiando nos sistemas de empresas que disponibilizam essas soluções, que acredito estarem funcionando pela internet.
(1:03:57) Eu já vi as duas situações. Desde o computador largado numa sala fechada e úmida do condomínio… Em geral é assim. Até computador largado na casa do síndico, do zelador.
(1:04:24) Com meu pai, no prédio, eles tinham uma salinha úmida. De uns anos para cá, a coisa tem sido cada vez mais online, porque é mais raro não ter internet no próprio condomínio, e fica muito mais fácil ligar isso a uma central. Ainda mais se tiver algum termo de uso que permita usar as informações para outra coisa. Mas, no geral, o que eu já vi desses sistemas… eu nunca testei a segurança, mas a gente tem aquele feeling… você olha a cara do sistema e pensa: “Isso aqui tem problema. Está meio estranho”.
(1:05:24) Você vê umas coisas meio “enjambradas”. E esse lance de “o uso das informações é por conta do condomínio”… É, mas você tem um SaaS, um Software as a Service, conectado lá, com as informações mantidas em algum lugar. E a LGPD se aplica plenamente aos condomínios.
(1:05:48) É um tema que não debatemos muito agora, mas, com essa banalização da biometria… Para dar um exemplo: precisamos fazer uma obra aqui no condomínio.
(1:06:10) Contratamos uma empreiteira, e o síndico disse: “Vamos precisar contratar outro engenheiro para acompanhar o serviço da empreiteira”. O pessoal ficou: “Poxa, mas já vou pagar a empreiteira, por que tenho que pagar outro engenheiro?”. Ele respondeu: “A não ser que você seja engenheiro e consiga avaliar o trabalho. Eu não tenho condições”. E, de fato, o engenheiro precisou pedir para que refizessem uma série de questões.
(1:06:40) Por quê? Porque você tem prestadores de serviços que, eventualmente, vão prestar o serviço mal. Com a LGPD, é a mesma coisa.
(1:06:54) O ideal seria contratar alguém para te acompanhar nisso, para garantir um mínimo de segurança no tratamento de dados sensíveis e biométricos de sei lá quantos milhões de pessoas que estão sendo tratados hoje no Brasil.
(1:07:12) Para terminar, eu fico meio indignado com isso, porque me indigna ter que ficar fornecendo a biometria facial para entrar na minha casa sem que ninguém consiga… claro, as pessoas não foram treinadas para isso, não conhecem o tema, mas não estão percebendo o risco e os problemas envolvidos. E não é só “ah, os dados vão vazar e podem tirar um empréstimo no seu nome”. É muito mais simples: eu tenho o direito de não dar os meus dados. Eu quero ter um método alternativo, que é plenamente factível, de entrar sem fornecer a biometria facial.
(1:07:54) Porque acredito que talvez não seja o lugar mais seguro, ou eventualmente eu não quero. Aí vão dizer: “Então não entra, mude-se”. Esse é o problema de morar em condomínio, a maioria impõe a regra. A não ser que seja algo flagrantemente ilegal. Mas, eu te diria, se meu pai fosse síndico e tivesse uma oferta de um sistema desses que não fosse caro, ele adotaria muito facilmente.
(1:08:31) E, se eu dissesse: “Mas tem esse problema…”, ele diria: “Vamos fazer o quê?”. É o pensamento mais comum.
(1:08:50) Não é porque existe que temos que sair utilizando em tudo. Aumente o nível de segurança até onde você precisa. E o pior é que, depois, você chega a um condomínio desses, com biometria e tudo, e… aconteceu comigo. Fui a outra cidade, tinha um prédio com interfone, câmera… eu tentava entrar e não atendiam. Veio uma senhora, perguntei se a empresa tal era ali, ela disse que sim. Eu disse que não conseguia contato, e ela: “Ah, não tem problema, é no andar tal”. Abriu para mim e eu entrei com ela.
(1:09:35) Acabou. Você põe um negócio com biometria e um monte de coisa… não precisa, não vai aumentar a segurança. Talvez tire um incômodo, dê uma sensação. Tem uma coisa interessante aí, Guilherme, e não dá para ignorar.
(1:10:00) Em condomínios com chaveirinho RFID, aquelas “tags”, para copiar isso é ridículo de fácil. Eu tenho um copiador. Na internet, custa uns 30, 40 reais.
(1:10:20) Não precisa ser um super copiador. Você gasta 100 reais e já tem um negócio que copia a tag. E aí, você perde o controle, porque é fácil de copiar e você não sabe quantas tags existem por aí.
(1:10:43) Com a biometria, se eu quiser cancelar o acesso do Guilherme, eu cancelo. Eu sei quem tem acesso cadastrado. Então, de fato… estou vendendo o sistema de biometria, você vai ficar bravo comigo. Mas você tem um controle muito melhor com biometria do que com chave ou com tag. Com biometria, eu consigo saber quem está liberado, posso classificar os moradores, de tempos em tempos zerar os acessos de não moradores.
(11:31) Você consegue manter isso atualizado. Com uma tag, você dá para o pessoal da obra e não sabe se vão passar para alguém ou copiar. “Ah, mas eu cancelo aquela tag”. Sim, mas pode ser a cópia da tag de alguém. Então, existe uma vantagem no uso da biometria em vez da tag ou da chave física. Eu não queria entrar nisso, mas me lembro do nosso episódio sobre o “teatro da segurança”.
(12:16) Traduzimos na época o artigo do Bruce Schneier. E acho que se encaixa na questão do viés de automação e da fanatização tecnológica. As pessoas ficam maravilhadas com aquela telinha que filma seu rosto.
(12:56) Mas, usando seu próprio argumento, a partir do momento que alguém permite que outro entre… vou te dar outro exemplo. Sigo uns grupos de fraudes. Alguns furtos são feitos com o cara se anunciando como entregador do Mercado Livre. Sábado à noite, 9 horas, toca o interfone. Eu sei que esses caras ralam para caramba, mas de repente um cara: “Você pode vir pegar a encomenda do apartamento tal porque ele não está em casa?”. Eu não vou descer quase 10 horas da noite para pegar uma encomenda. Provavelmente era legítimo, mas você percebe que a segurança física pode ser destruída.
(13:55) É aquela velha história dos caixas 24 horas, que você tinha que passar o cartão para entrar. Depois, acabaram com aquilo. A gente falava isso nas palestras há 20 anos.
(14:19) É uma questão muito mais complexa. Eu não te contrario no sentido de que é útil ou eficiente. Me preocupo com o exercício dos direitos do titular, a eventual oposição e a segurança do sistema que mantém tudo isso. Ele pode, sim, aumentar a segurança do ambiente.
(14:46) Só que não podemos esquecer da manutenção, do cadastro de rostos, que eventualmente não vai funcionar. Esse processo de manutenção também pode trazer outros riscos que não vão compensar o gasto. E, eventualmente, uma chave física pode ser mais eficiente. O valor está caindo, só está sendo usado em condomínios porque o investimento caiu muito.
(15:17) Já foi caro a ponto de ser coisa de filme, de ambientes super controlados. O preço cai e a tecnologia se populariza.
(15:43) E aí começa a ser viável usar um leitor digital na academia. Aí entra a questão da comodidade versus a segurança e a percepção de segurança. Os valores aqui: por ponto de acesso, de 1.200 a 3.500 reais; o sistema para uma base de 1.500; e a instalação com portaria remota, 5.000 em média, com custo mensal de 1.000 a 2.500. Porque ainda tem a questão da portaria remota, abrir com aplicativo, que é outro problema.
(16:42) Você fica pensando… é um assunto que me revolta. “Ah, mas o criminoso não sabe que eu tenho esse sistema”. Os caras acabaram de desviar um bilhão. Basta que o criminoso se dê conta de eventuais vulnerabilidades nesses sistemas, que eu diria que há muita chance de existirem, e você começará a ter exploração. Paga alguém para acrescentar uma biometria, ou para abrir o portão tal hora.
(17:16) Que nem aconteceu na CM, paga 5.000 para o cara e ele te dá as credenciais. Como aconteceu no banco. É isso aí.
(17:31) Vamos terminando.
(17:37) Lembra que deixamos de fazer café quente, café frio? O café frio vai para o Grok, para o Elon Musk, que está cada vez mais doido e agora fez isso com o Grok, num momento em que todo mundo fala que tem que ter segurança na IA, superalinhamento, etc.
(1:18:08) Eu dou o café frio para a banalização da biometria no Brasil. E o expresso? O expresso vai para a ANPD, que está recolhendo a tomada de subsídios para o tratamento de dados biométricos, o que pode trazer mais segurança para essas atividades.
(1:18:32) Eu acompanho o relator, porque não tenho para quem dar meu café expresso. Agradecemos àqueles e àquelas que nos acompanharam até aqui e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.
More shows like Segurança Legal
View all
Braincast
108 Listeners
RapaduraCast - Podcast de Cinema e Streaming
111 Listeners
MacMagazine no Ar
179 Listeners
Xadrez Verbal
174 Listeners
Giro do Loop
91 Listeners
Tecnocast
43 Listeners
NerdCast
1,010 Listeners
Naruhodo
120 Listeners
Petit Journal
78 Listeners
Durma com essa
46 Listeners
História FM
30 Listeners
Ciência Suja
20 Listeners
Vortex
19 Listeners
Só no Brasil
4 Listeners
IA Sob Controle - Inteligência Artificial
0 Listeners