O que é a interceção legal?

A interceção legal (IL) é a monitorização legalmente autorizada das telecomunicações - incluindo chamadas de voz, mensagens de texto, correio eletrónico, navegação na Internet, sessões VoIP e mensagens instantâneas - levada a cabo por agências de aplicação da lei, serviços de informação ou outros organismos governamentais autorizados sob supervisão judicial ou regulamentar. Ao contrário da vigilância ilegal ou da recolha maciça de dados, a interceção legal visa indivíduos ou canais de comunicação específicos, com base numa ordem judicial, num mandado ou num instrumento jurídico equivalente, e é efectuada de acordo com a legislação nacional e as normas internacionais.

O objetivo da interceção legal é apoiar investigações criminais, operações de combate ao terrorismo, objectivos de segurança nacional e, em algumas jurisdições, a aplicação da regulamentação. Os operadores de telecomunicações, os fornecedores de serviços Internet (FSI), as plataformas de comunicação over-the-top (OTT) e, cada vez mais, os fornecedores de serviços de computação em nuvem são obrigados por lei a integrar nas suas infra-estruturas capacidades técnicas que permitam a interceção autorizada. Esta obrigação significa que todos os fornecedores de serviços de comunicações electrónicas devem implementar e manter interfaces de interceção, sistemas de mediação e mecanismos de entrega que possam ser activados a pedido de agências autorizadas.

A interceção legal é fundamentalmente diferente da conservação de dados. Enquanto a retenção de dados envolve o armazenamento geral de metadados de comunicações (como quem ligou para quem, quando e durante quanto tempo) durante um período definido, a interceção legal capta o conteúdo real da comunicação - as palavras faladas, o texto da mensagem, os ficheiros transmitidos - em tempo real ou quase real. Ambas as disciplinas estão intimamente relacionadas e são frequentemente geridas através de plataformas de conformidade integradas, mas têm objectivos legais e operacionais distintos.

Breve história da interceção legal

O conceito de interceção legal de comunicações é tão antigo como as próprias telecomunicações modernas. Na era da telefonia analógica, a interceção era relativamente simples: uma escuta física numa linha de cobre podia captar conversas de voz. À medida que as redes evoluíram de arquitecturas de comutação de circuitos para arquitecturas de comutação de pacotes, e à medida que as comunicações passaram das linhas fixas para dispositivos móveis e plataformas baseadas na Internet, a complexidade técnica da interceção legal aumentou exponencialmente.

Nos Estados Unidos, o Communications Assistance for Law Enforcement Act (CALEA), de 1994, foi um dos primeiros quadros legislativos abrangentes que exige que os operadores de telecomunicações concebam os seus sistemas com capacidades de interceção incorporadas. Na Europa, o Conselho da União Europeia adoptou a Resolução 96/C 329/01 em 1996, estabelecendo os requisitos internacionais para a interceção que lançaram as bases para uma interceção legal harmonizada nos Estados-Membros da UE. O Instituto Europeu de Normas de Telecomunicações (ETSI) desenvolveu subsequentemente as normas técnicas - começando com a ES 201 671 e evoluindo para a família TS 102 232 - que definem o modo como os dados de interceção devem ser formatados, encriptados e entregues aos organismos responsáveis pela aplicação da lei.

A última década introduziu novos desafios. O aumento dos serviços de mensagens OTT, como o WhatsApp, o Telegram e o Signal - muitos dos quais utilizam encriptação de ponta a ponta - obrigou os legisladores e os organismos de normalização a repensar a forma como as obrigações de interceção legal se aplicam às plataformas de comunicação não tradicionais. O ETSI respondeu com a TS 103 707 (LI para serviços OTT) e a TR 103 854 (LI para veículos conectados), enquanto a UE adoptou o Código Europeu das Comunicações Electrónicas (EECC, Diretiva 2018/1972) para alargar as obrigações de interceção a uma gama mais vasta de prestadores de serviços.

Quadros jurídicos para a interceção legal a nível mundial

A interceção legal é regida por um conjunto de leis nacionais, diretivas regionais e convenções internacionais. Embora os instrumentos legais específicos variem de país para país, o princípio subjacente é consistente: os fornecedores de telecomunicações devem permitir o acesso autorizado às comunicações quando lhes é apresentada uma ordem legal válida. A seguir, apresentamos uma panorâmica dos principais quadros jurídicos que definem as obrigações de interceção legal em todo o mundo.

União Europeia

O Código Europeu das Comunicações Electrónicas (Diretiva 2018/1972) é a pedra angular da política de interceção a nível da UE. Exige que todos os prestadores de serviços de comunicações electrónicas - incluindo telefonia tradicional, VoIP, correio eletrónico e plataformas de mensagens interpessoais - permitam a interceção legal quando solicitada pelas autoridades nacionais. Cada Estado-Membro da UE transpõe esta diretiva para a legislação nacional. Na Alemanha, a Telekommunikationsgesetz (TKG), nomeadamente o artigo 108.º (antigo artigo 110.º), em conjugação com a Technische Richtlinie TR TKÜV, define os requisitos técnicos e operacionais precisos que os operadores devem cumprir. A Bundesnetzagentur (Agência Federal das Redes) é a autoridade reguladora que certifica os sistemas de interceção e supervisiona a sua conformidade. Além disso, o Regulamento (UE) 2023/1543 relativo às provas electrónicas introduz um novo quadro transfronteiriço para o acesso a provas electrónicas através de ordens europeias de produção e conservação de provas, com aplicação plena a partir de 18 de agosto de 2026.

Estados Unidos

O Communications Assistance for Law Enforcement Act (CALEA) de 1994 exige que as operadoras de telecomunicações concebam os seus equipamentos e sistemas para permitir a vigilância legal. A CALEA tem sido progressivamente alargada de modo a abranger os fornecedores de acesso à Internet de banda larga e determinados serviços VoIP. O Federal Bureau of Investigation (FBI) e o Department of Justice supervisionam a conformidade, enquanto as normas técnicas são mantidas pela Alliance for Telecommunications Industry Solutions (ATIS) e pela Telecommunications Industry Association (TIA). O Foreign Intelligence Surveillance Act (FISA) prevê um quadro jurídico separado para a interceção relacionada com os serviços de informações, administrado pelo Tribunal FISA.

Reino Unido

O Investigatory Powers Act 2016 (vulgarmente conhecido como Snooper's Charter) constitui a base jurídica para a interceção legal no Reino Unido. Estabelece um quadro para a emissão de mandados de interceção, mandados de interferência de equipamento e autorizações de recolha de dados em massa. A lei criou o Investigatory Powers Commissioner's Office (IPCO) como organismo independente de controlo. Os prestadores de serviços são obrigados a manter capacidades de interceção permanentes e devem respeitar os avisos de capacidade técnica emitidos pelo Ministro do Interior.

Ásia-Pacífico

O Telecommunications (Interception and Access) Act 1979 (TIA Act) da Austrália, alterado pelo Telecommunications and Other Legislation Amendment (Assistance and Access) Act 2018, exige que os fornecedores criem capacidades de interceção e, de forma controversa, forneçam assistência técnica para contornar a encriptação quando necessário. Na Índia, a Secção 5(2) da Lei do Telégrafo Indiano de 1885, em conjugação com as Regras das Tecnologias da Informação (Procedimento e Salvaguardas para a Interceção, Monitorização e Descodificação de Informações) de 2009, autoriza os Governos Central e Estatal a ordenar a interceção. O Wiretapping for Criminal Investigation Act 1999 do Japão prevê um quadro mais restritivo, limitando a interceção a infracções penais graves e exigindo uma autorização judicial.

Médio Oriente e África

Muitos países do Médio Oriente e de África promulgaram legislação sobre interceção legal como parte de quadros mais amplos de cibersegurança ou de segurança nacional. A Lei Federal n.º 34 de 2021 dos Emirados Árabes Unidos sobre a luta contra os rumores e os cibercrimes inclui disposições relativas à interceção legal. A Lei 70 de 2002 sobre a regulamentação da interceção de comunicações e a prestação de informações relacionadas com as comunicações (RICA) da África do Sul estabelece um quadro de interceção abrangente que inclui requisitos para a cooperação entre fornecedores e a retenção de dados. Estas regiões estão a adotar cada vez mais normas baseadas no ETSI para a implementação técnica.

As normas de interceção legal do ETSI são utilizadas não só na Europa, mas também foram adoptadas ou referenciadas por entidades reguladoras do Médio Oriente, África, partes da Ásia e América Latina. As normas definem uma arquitetura em três partes: a Função de Interceção Interna (FII), que se situa no interior da rede do operador e isola as comunicações alvo; a Função de Mediação e Entrega (MF/DF), que formata, correlaciona e encripta os dados interceptados; e o Dispositivo de Monitorização da Aplicação da Lei (LEMF), que é o sistema da agência que recebe e processa a informação entregue. Esta arquitetura assegura uma separação clara entre a rede do operador e o domínio de aplicação da lei.

Como funciona a interceção legal? A arquitetura técnica

A arquitetura técnica de um sistema de interceção legal é concebida para garantir que a vigilância autorizada possa ser efectuada de forma eficiente, segura e sem perturbar as operações normais da rede. Embora as implementações variem consoante o tipo de rede e o fornecedor, a arquitetura central segue um modelo normalizado definido pelo ETSI e adotado a nível mundial. A compreensão destes componentes é essencial para os operadores que planeiam a sua infraestrutura de conformidade.

Etapa 1: Ativação do mandado e aprovisionamento do destino

O processo de interceção legal começa quando uma agência de aplicação da lei (LEA) apresenta uma ordem legal válida - normalmente um mandado emitido por um tribunal ou uma autorização judicial - ao fornecedor de serviços. O mandado especifica a identidade do alvo (como um número de telefone, endereço de correio eletrónico, endereço IP ou identificador de dispositivo), o âmbito da interceção (conteúdo, metadados ou ambos) e a duração autorizada. A função de administração da LI do prestador valida o mandado e coloca o alvo no sistema de gestão das intercepções, frequentemente designado por Sistema de Gestão das Intercepções Legais (LIMS). Este sistema mantém o ciclo de vida de todos os mandados activos e garante que apenas os alvos autorizados são interceptados.

Etapa 2: Função de Interceção Interna (FII)

Assim que um alvo é provisionado, a Função de Interceção Interna - incorporada nos elementos de rede do operador, como switches, controladores de fronteira de sessão, media gateways, sondas de inspeção profunda de pacotes (DPI) ou nós LI dedicados - começa a isolar as comunicações do alvo. Para uma chamada de voz tradicional, o IIF capta a sinalização (configuração da chamada, desmontagem, eventos de reencaminhamento) e o fluxo multimédia (o áudio real). Para o tráfego de Internet, pode captar dados de sessões IP, atividade de navegação na Web, conteúdo de correio eletrónico ou mensagens instantâneas. A IIF funciona de forma transparente na rede: o alvo não deve ter conhecimento da interceção e a qualidade do serviço para todos os outros utilizadores não deve ser afetada.

Etapa 3: Função de mediação e entrega (MF/DF)

A função de mediação recebe os dados brutos interceptados da IIF, normaliza-os para o formato exigido pela norma ETSI pertinente (normalmente ASN.1 codificado de acordo com a TS 102 232), correlaciona as informações relacionadas com a interceção (IRI) com o conteúdo da comunicação (CC), aplica a cifragem para uma transmissão segura e entrega os dados formatados ao serviço de aplicação da lei através da interface de transmissão. A função de entrega gere o canal de comunicação seguro para a instalação de monitorização da LEA, gerindo a gestão da sessão, o controlo do fluxo e a confirmação da entrega. Este componente é fundamental porque traduz os diversos formatos internos dos diferentes elementos da rede num formato de transmissão normalizado que qualquer LEMF conforme pode processar.

Etapa 4: Mecanismo de controlo da aplicação da lei (LEMF)

A LEMF é o sistema operado pela agência de aplicação da lei que recebe, descodifica, armazena e apresenta as comunicações interceptadas. O LEMF recebe dois tipos de dados: IRI (metadados como registos de detalhes de chamadas, informações sobre sessões, identificadores de assinantes e dados de localização) e CC (o conteúdo real - fluxos de áudio, texto de mensagens, transferências de ficheiros). As LEMF modernas fornecem interfaces gráficas para os analistas, suportam a monitorização em tempo real, a pesquisa histórica, a correlação de alvos e a gestão de casos. O operador não tem visibilidade da LEMF nem acesso aos dados interceptados depois de estes terem sido entregues.

Quem deve cumprir os requisitos de interceção legal?

O âmbito das obrigações de interceção legal expandiu-se significativamente nas últimas duas décadas. Inicialmente limitada aos operadores de telecomunicações tradicionais - operadores de telefonia fixa e de redes móveis - a rede regulamentar abrange atualmente um leque muito mais vasto de entidades. Perceber se a sua organização está abrangida pelo âmbito de aplicação é o primeiro passo para a conformidade.

Como o ICS apoia sua conformidade com a intercetação legal

A ICS - International Carrier Services GmbH - é uma empresa especializada em tecnologia de interceção legal e conformidade, com sede na Alemanha. Fornecemos soluções completas para operadores e fornecedores de serviços que necessitam de implementar, manter ou atualizar as suas infra-estruturas de interceção legal. O nosso portfólio inclui o Sistema de Gestão de Interceção Legal (LIMS) para gestão, mediação e transferência de mandados; aparelhos de hardware "plug-and-play" para uma rápida implementação; operações de LI geridas para fornecedores que preferem externalizar a sua função de conformidade; e serviços de consultoria que abrangem a interpretação regulamentar, a conceção do sistema e a certificação.

Nossas soluções são certificadas pelo Bundesnetzagentur alemão e construídas em arquiteturas compatíveis com o ETSI, suportando TS 102 232, TS 103 707, TS 102 657 e TR 103 854. Quer se trate de uma rede móvel, de um serviço de banda larga fixa, de uma plataforma VoIP ou de uma aplicação de mensagens OTT, a ICS fornece a tecnologia, a experiência e o apoio operacional para garantir o cumprimento das suas obrigações de interceção legal - em qualquer jurisdição e em qualquer tecnologia de rede.