O anúncio ressoou como um verdadeiro “grito de independência” nos corredores de Paris: a primeira-ministra ordenou que o governo abandonasse o WhatsApp e o Signal em favor do Olvid, um aplicativo de mensagens apresentado como “nativo”. O objetivo era claro: proteger segredos de Estado de agências de inteligência estrangeiras.
No entanto, surgiu rapidamente uma ironia amarga: o coração do Olvid — sua infraestrutura de servidores — bate dentro da Amazon Web Services (AWS), uma gigante americana.
Para o público em geral, isso parece uma simples questão técnica de hospedagem. Mas para os arquitetos da segurança cibernética soberana, é uma vulnerabilidade política de primeira ordem.
Extraterritorialidade e Conflito de Soberanias
Ao depender da infraestrutura da Amazon, o Olvid entra automaticamente na órbita do CLOUD Act dos EUA.
A análise jurídica deste caso revela um cenário de insegurança jurisdicional que a simples adoção de um “aplicativo” nacional não resolve. O ponto de inflexão reside no conceito de “controle” versus “localização”.
O CLOUD Act mudou radicalmente o paradigma jurídico ao estipular que a localização física do servidor não importa. A obrigação de cooperação do provedor (aqui, a AWS) decorre exclusivamente do seu vínculo jurisdicional com os EUA.
Legalmente, isso cria um conflito frontal com o RGPD. O Tribunal de Justiça da UE já estabeleceu que as leis de vigilância dos EUA não oferecem um nível de proteção equivalente ao da Europa.
A soberania digital não é um atributo do software, mas uma propriedade da integridade da cadeia de custódia.
O Espectro do FISA e a Falsa Promessa da Criptografia
Pior ainda, essa dependência da infraestrutura americana coloca esses dados sob a sombra do Foreign Intelligence Surveillance Act (FISA).
Diante dessas ameaças, o Olvid afirma que sua criptografia de ponta a ponta constitui um escudo suficiente. Da perspectiva da engenharia de privacidade, essa defesa é perigosamente parcial.
Mesmo que o conteúdo seja criptografado, a infraestrutura centralizada da AWS expõe os metadados. Saber quem fala com quem, quando, com que frequência e de onde costuma ser muito mais valioso para a inteligência do que a própria mensagem.
A criptografia protege o texto, mas o servidor centralizado trai a rede de contatos.
O Verdadeiro Perigo Ainda Está Por Vir
Enquanto a infraestrutura europeia depender de entidades sujeitas a estatutos extraterritoriais, a segurança das nossas comunicações continuará a ser ilusória.
A segurança nacional no século XXI exige total independência de infraestrutura e hardware. A estratégia “Colete agora, descriptografe depois” é a ameaça mais devastadora da próxima década.
Um segredo de Estado interceptado hoje não passa de uma bomba-relógio matemática.
(Leia o restante da nossa análise na Parte 2: A Bomba-Relógio e o Imperativo Zero-Knowledge)