Ar putea interzice România folosirea aplicației WhatsApp în instituțiile publice, pe modelul Congresului SUA?

WhatsApp se află din nou sub reflector, după ce Congresul american a decis interzicerea aplicației pe dispozitivele oficiale, invocând motive de securitate cibernetică. Reacția Meta nu a întârziat, compania apărându-și platforma și reiterând nivelul de criptare al mesajelor. Totuși, discuția nu este nouă: tensiunile dintre promisiunile inițiale ale fondatorilor și direcția comercială actuală revin constant în prim-plan, mai ales în contextul în care WhatsApp se pregătește să integreze publicitate. În România, apare întrebarea firească: este nevoie de o reglementare clară privind aplicațiile de mesagerie utilizate în instituțiile publice?

În notificarea este menționat faptul că „Biroul de Securitate Cibernetică a considerat WhatsApp un risc ridicat pentru utilizatori din cauza lipsei de transparență în ceea ce privește protejarea datelor utilizatorilor, absenței criptării datelor stocate și riscurilor potențiale de securitate asociate utilizării aplicației”, potrivit Reuters. Email-ul, emis de directorul administrativ al Camerei Reprezentanților, recomandă folosirea altor aplicații de mesagerie, inclusiv platforma Teams a Microsoft, Wickr de la Amazon, Signal, aplicațiile Apple iMessage sau FaceTime. 

Reacția Meta: „Mesajele sunt criptate end-to-end”

Andy Stone, director de comunicare al Meta, a reacționat împotriva acestei decizii într-o postare pe X (fostul Twitter), afirmând că Meta respinge „în cei mai fermi termeni posibil” caracterizarea făcută de CAO în legătură cu WhatsApp. Stone a adăugat că mesajele din WhatsApp sunt criptate end-to-end în mod implicit, ceea ce înseamnă că terți, nici măcar Meta, care deține platforma, nu le pot citi. „Acesta este un nivel de securitate mai ridicat decât al majorității aplicațiilor aflate pe lista aprobată de CAO, care nu oferă o astfel de protecție”, a scris el.

De pildă, în luna ianuarie, Meta a anunțat că a detectat și blocat o campanie de hacking care viza aproximativ 90 de utilizatori WhatsApp, inclusiv jurnaliști. Atacul a fost atribuit companiei israeliene de spyware Paragon Solutions, care a fost achiziționată în decembrie anul trecut de gigantul american de private equity AE Industrial Partners.

SUA: nu e prima interdicție

Catherine Szpindor, CAO-ul Camerei, a declarat pentru The Verge: „Protejarea Camerei Reprezentanților este prioritatea noastră principală. Monitorizăm constant și analizăm potențialele riscuri cibernetice care ar putea pune în pericol datele membrilor și ale angajaților. Revizuim periodic lista aplicațiilor autorizate și o actualizăm acolo unde este necesar”.

Oricum, Camera Reprezentanților a mai interzis în trecut aplicații de pe dispozitivele angajaților, inclusiv aplicația de videoclipuri scurte TikTok, în 2022, din motive de securitate.

România: următorul pas?

După o astfel de decizie la nivelul Congresului american, apare firesc întrebarea: ar trebui și România să reglementeze mai clar aplicațiile de mesagerie folosite în instituțiile publice?

Elena Ovreiu, expert în tehnologie medicală, susține că statul român ar trebui să ia în calcul o măsură similară, având în vedere precedentul american: „Cred că, dacă aplicația a fost interzisă de către Camera Reprezentanților din SUA, care oricum are acces la mai multă informație decât noi, și autoritățile noastre ar trebui să analizeze serios interzicerea aplicației de mesagerie WhasApp.”

De aceeași părere pare să fie și Alexandru Gheorghe, consultant specialist în domeniul Protecției Datelor, al Securității Cibernetice din perspectivă legislativă și al implementării sistemelor de Inteligență Artificială, în cadrul companiei Inperspective Business. La rândul său, declară pentru Adevărul: „România ar trebui, în opinia mea, să reanalizeze protocoalele de comunicare digitală în instituțiile publice, pentru că grupurile de WhatsApp sunt utilizate pentru comunicarea operativă atât în cadrul respectivelor instituții (în intern) cât și în comunicarea angajaților acestor entități cu publicul larg. Spre exemplu, zilele trecute, șeful unei secții de poliție dintr-un sat de lângă București, îmi povestea că la nivel județean s-au pus de acord să utilizeze WhatsApp în relație cu oamenii pentru a fi contactați mai ușor, mai ales pentru că este personal puțin iar secția respectivă este închisă atunci când resursa (insuficientă) este pe teren”.

WhatsApp: între utilitate practică și vulnerabilitate juridică

În politicile pe care le implementăm, continuă el, în organizațiile pe care le reprezentăm, explicăm faptul că WhatsApp nu este un instrument de comunicare oficial utilizat în cadrul respectivelor organizații, ci dimpotrivă, este un instrument neoficial. „Cu alte cuvinte, instituțiile nu au încheiat un contract cu Meta pentru utilizarea aplicației si pentru accesarea acestor servicii în baza acestui acord scris cu impact juridic de ambele părți, ci este utilizat gratuit (versiunea free). Aceasta înseamnă o subordonare implicită a utilizatorului la politicile dezvoltatorului. Iar modul de utilizare al acestei aplicații de către fiecare persoană este problema și nu faptul că aplicația este în fapt utilizată”, completează acesta.

Dacă autoritățile publice ar implementa politici limitative și restrictive pentru utilizarea WhatsApp, prin limitarea transmiterii pozelor cu documente oficiale aparținând persoanelor fizice, spre exemplu copii de pe CI sau de pe alte documente aparținând contribuabililor, restricționarea în mod absolut a utilizării WhatsApp de către anumite departamente sau servicii, cum ar fi spre exemplu departamentele recrutare sau financiar, adaugă Alexandru Gheorghe, atunci aceste instituții ar avea timp să găsească soluții alternative de comunicare, mult mai sigure decât WhatsApp, pentru că există astfel de aplicații mai sigure.  „Totuși, salutăm inițiativa Camerei Reprezentanților din SUA, cu atât mai mult cu cât este cel mai mare compartiment legislativ din America în sensul numărului de membri, deci cred că și Parlamentul României ar trebui să reflecteze asupra intenției americanilor”, mai spune specialistul.

Informații sensibile, pe canale greu de monitorizat

Potrivit spuselor sale, avem un cadru legislativ obligatoriu, respectiv directiva europeană cunoscută sub numele de „NIS2”, adică „Network Information Security 2” care reglementează obligativitatea autorităților publice de a implementa măsuri de securitate informatice prevăzute de lege, iar actul normativ a fost transpus și în legislația națională prin Ordonanța de Urgență nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor informatice din spațiul cibernetic național civil. Implementarea unor protocoale privind utilizarea aplicațiilor de mesagerie face parte din evaluarea riscurilor, adică un audit al posturii generale de securitate digitală pe care o are respectiva instituție publică.   

„Îmi pun speranța în demersurile realizate în ultimul an de Directoratul Național de Securitate Cibernetică, care are rol de autoritate în materie pentru pregătirea cadrului instituțional prin care administrația publică poate să reacționeze în mod eficient în cazul unui atac cibernetic. Totuși, îmi atrage atenția un aspect (...) și anume, circulația unor informații sensibile, (...) date de interes în cercuri restrânse, chiar și secrete de stat – pe canale de comunicare necriptate sau greu de monitorizat, ceea ce trebuie să spun că mă neliniștește. În mod reflex, mă gândesc la Tik Tok, aplicație construită de chinezi dar care este interzisă în China, este interzisă în Canada, mai multe țări din UE au restricționat accesul la această aplicație pe telefonul mobil al angajaților, iar în Statele Unite ale Americii aplicația este interzisă în treizeci de state. În România, peste 9 milioane de oameni utilizează în prezent Tik Tok...”, continuă Alexandru Gheorghe.

WhatsApp e deja parte din infrastructura funcțională

Pe de altă parte, există și voci care consideră că o asemenea decizie nu ar fi justificată în contextul actual românesc. Lucia Nicoleta Barbu, cadru didactic asociat la Facultatea de Marketing din cadrul ASE București, argumentează în favoarea păstrării aplicației în uz.

„Consider că WhatsApp-ul este ușor de folosit și permite acces rapid la informații. Este o aplicație cunoscută și utilizată pe scară largă, ceea ce o face eficientă în comunicarea internă. Din punct de vedere al securității, cred că este suficient de bine criptată, iar dacă este folosită exclusiv de pe un număr dedicat biroului, nu personal, confidențialitatea poate fi menținută”, explică ea.

Ce spune autoritatea

Mircea Abrudean, președintele Senatului, declară pentru Adevărul: „Compania Meta asigură că mesajele WhatsApp sunt criptate complet şi în mod implicit. Este foarte adevărat că aplicații precum Microsoft Teams, Signal, iMessage, FaceTime şi Wickr pot fi mai bine verificate și monitorizate de specialiști IT interni, dar asta nu înseamnă că orice altă aplicație este o vulnerabilitate”. Conform spuselor sale, dacă instituțiile responsabile de securitatea cibernetică a României vor face o recomandare în sensul limitării anumitor aplicații, sigur că vor trebui să ia această recomandare în serios, la nivelul instituțiilor din administrația publică.

„Directoratul Național de Securitate Cibernetică, împreună cu alte instituții cu rol în domeniul acesta, precum STS, SRI, MApN, ANCOM, Ministerul Economiei, Digitalizării, Antreprenoriatului și Turismului se ocupă de evaluarea riscurilor asociate aplicațiilor de mesagerie. Există și aplicații pe care le folosim interinstituțional în comunicări strategice sau secretizate. Se fac evaluări, bineînțeles, dar nu există și nici nu s-a pus problema să fie încurajată folosirea unor anumite aplicații, în detrimentul altora.

România are legislație specifică NIS și GDPR, pe zona de date cu caracter personal. Avem, din 2023, Legea securității cibernetice, iar în 2022 Guvernul a aprobat Strategia de Securitate Cibernetică pentru perioada 2022-2027. România este gazda Centrului European de Competențe în Securitate Cibernetică. Toate acestea arată angajamentul țării noastre către asigurarea unui spațiu cibernetic și digital corect și securizat. Și instituțiile responsabile fac eforturi zi de zi în acest sens.  Nu cred că e corect să ne propunem imposibilul și nici să limităm orice formă de comunicare doar din frică și dorința de control absolut. Importantă este responsabilitatea fiecăruia dintre noi vizavi de transmiterea de informatii”, continuă Mircea Abrudean.

Dan Cîmpean, directorul Directoratului Naţional de Securitate Cibernetică (DNSC), explică:  „Faptul că avem Camera Reprezentanților din SUA interzicând folosirea unei aplicații populare de mesagerie, WhatsApp, în cazul acesta, de către personalul lor pe dispozitivele de serviciu, pentru mine nu este o surpriză. Buna practică în domeniu este că fiecare organizație își face propria analiză de risc și decide dacă permite sau interzice utilizarea unei aplicații, în funcție de această evaluare. Spre exemplu, noi, la Directorat, am interzis încă de acum doi ani utilizarea TikTok pe dispozitivele de serviciu, din motive similare: termeni și condiții destul de neclare, aspecte ambigue în politica de confidențialitate, vulnerabilități tehnice cunoscute la momentul respectiv și o lipsă de transparență în privința colectării datelor de telemetrie și a modului în care acestea sunt utilizate.

În plus față de interzicerea internă, am emis în mai 2023 și o recomandare, neobligatorie, către instituții, în care le sugeram să adopte o măsură similară. Nu este ceva exotic sau neobișnuit, ci doar o bună practică. Aceste lucruri se întâmplă. Ca fapt anecdotic: în iulie 2017, China a blocat elemente ale WhatsApp în sectorul public, iar în mai 2018, Papua Noua Guinee a interzis WhatsApp în instituțiile guvernamentale. Există chiar și la nivel de instituții ale Uniunii Europene o recomandare de a se folosi platforma Signal, în loc de WhatsApp.”

În opinia sa, aceste decizii trebuie luate de fiecare organizație în parte, pe baza propriei analize de risc. „Nu cred că este fezabilă o abordare generalistă, la nivel de țară, din motive practice. Profilul de risc și vulnerabilitățile IT implicate diferă de la o instituție la alta, de la o platformă la alta. Contează foarte mult nu doar ce platformă folosești, ci și de ce o folosești și cum. Poți avea cea mai securizată aplicație din punct de vedere tehnic, dar dacă utilizatorul o folosește pentru a transmite date confidențiale în mod neadecvat, nu am rezolvat nimic. Avem inclusiv exemple recente și cunoscute de public în care membri ai Casei Albe au inclus jurnaliști în grupuri pe Signal. Din perspectiva Directoratului, nu considerăm că avem nevoie de o analiză generală la nivel de țară. Avem nevoie de analize de risc realizate individual, în funcție de profilul fiecărei instituții care utilizează astfel de aplicații de mesagerie”, mai spune el.

Meta, ca platformă, adaugă Dan Cîmpean, este considerată, din februarie, Very Large Online Platform (VLOP), conform Regulamentului privind serviciile digitale 2022/2065 (Digital Services Act DSA). Mai exact, la momentul respectiv, aveau peste 46,8 milioane de utilizatori activi în UE, ceea ce înseamnă că au depășit pragul de 45 de milioane stabilit de legislație. „Din acel moment, li se aplică în mod direct toate obligațiile prevăzute de regulament. În România, există Legea nr. 50/2024, care permite ANCOM să verifice modul în care furnizorii de servicii intermediare respectă obligațiile ce le revin conform DSA. Conform regulamentului european, de la momentul desemnării sale ca VLOP, Meta avea la dispoziție patru luni pentru a implementa o serie de măsuri concrete atât tehnice, cât și non-tehnice. Este important de menționat că acest regulament european are forță de lege în toate statele membre ale UE. Aceste obligații, inclusiv pentru WhatsApp, ca parte a ecosistemului Meta, oferă utilizatorilor un cadru suplimentar de garanție că platforma va respecta bune practici de securitate, transparență și protecția datelor.  În România, la nivelul Directoratului, până în prezent nu am primit notificări din partea Meta cu privire la modul în care se conformează și își îndeplinesc obligațiile legale. Strict din perspectiva securității cibernetice, există un articol relevant al DSA care impune realizarea de audituri periodice la nivelul VLOP, dar celelalte obligații țin mai degrabă de raportări, notificări și evaluări de impact asupra riscurilor”, declară acesta. 

În prezent nu există o analiză guvernamentală consolidată privind riscurile de securitate asociate aplicațiilor de mesagerie. Motivul? Fiecare instituție își alege individual platforma de comunicare, într-un peisaj fragmentat, de la aplicații comerciale, până la soluții dezvoltate intern, precum DRAGON, creată de STS. Deși riscurile sunt cunoscute și discutate periodic, nu sunt considerate, la acest moment, suficient de ridicate pentru a impune o evaluare națională. Măsurile de protecție, spune Dan Cîmpean, țin mai degrabă de aplicarea actualizărilor de securitate și de respectarea unor reguli interne clare privind utilizarea aplicațiilor.

Directorul DNSC atrage atenția că ritmul accelerat al digitalizării din ultimii ani, amplificat în perioada pandemiei, a adus nu doar beneficii rapide, ci și o multiplicare a riscurilor cibernetice. Dacă înainte tehnologiile erau testate luni întregi, acum sunt implementate direct, ceea ce presupune o vulnerabilitate mai mare la nivel de infrastructură, date și utilizare. „Am ajuns să folosim simultan zeci de aplicații de comunicare, fiecare instituție, fiecare interlocutor are altă preferință. Iar odată cu această diversificare, au crescut și riscurile”, explică acesta. El subliniază că nu doar aplicațiile în sine pot fi exploatate, ci și modul în care sunt utilizate: „Poți avea cea mai sigură aplicație din lume, dar dacă o folosești greșit, riscul rămâne.”

De asemenea, atrage atenția asupra faptului că platformele populare precum WhatsApp, Signal sau Telegram sunt folosite nu doar de instituții, ci și de rețele de criminalitate informatică, inclusiv pentru atacuri de tip inginerie socială. „Suntem obligați să fim pregătiți. Nu avem luxul de a renunța la digitalizare, dar trebuie să fim conștienți că riscurile sunt reale și trebuie gestionate”, completează directorul DNSC.

Conform spuselor sale, majoritatea riscurilor pot fi prevenite prin conștientizare și igienă cibernetică de bază: actualizări frecvente, reguli clare de utilizare, evitarea versiunilor vechi ale aplicațiilor și un comportament informat, mai ales din partea celor care iau decizii.

„80% dintre problemele de securitate pot fi prevenite prin măsuri simple. Important e să nu fim naivi: riscurile fac parte din noul normal, iar responsabilitatea este împărțită între utilizatori, tehnicieni și decidenți”, mai precizează Dan Cîmpean.

WhatsApp, Signal și relația tensionată cu armata americană

Meta a cumpărat WhatsApp în 2014 pentru 19 miliarde de dolari, însă cofondatorul Brian Acton a părăsit compania în 2017, în urma unor neînțelegeri privind confidențialitatea utilizatorilor și lipsa de independență față de compania-mamă. Ulterior, Acton a cofondat aplicația rivală Signal, care s-a aflat în centrul unui scandal în luna martie, după ce oficiali americani, inclusiv vicepreședintele JD Vance și secretarul apărării Pete Hegseth, au împărtășit accidental detalii despre lovituri militare iminente într-un grup de mesagerie neoficial, unde se afla și un jurnalist, scrie Financial Times.

Potrivit aceleiași surse, Meta se confruntă în prezent cu un proces deschis de Comisia Federală pentru Comerț (FTC), care acuză compania că deține un monopol ilegal după achiziția WhatsApp și Instagram.

Pe fondul tensiunilor politice, Mark Zuckerberg a încercat să-și apropie administrația Trump, inclusiv prin vizite repetate la Casa Albă și colaborări cu armata americană. În noiembrie, Meta a permis utilizarea modelelor sale AI (LLaMA) în scopuri militare, iar recent a anunțat un parteneriat cu Anduril pentru dezvoltarea de tehnologii de realitate mixtă destinate armatei.

Andrew Bosworth, directorul tehnologic Meta, a fost numit locotenent-colonel în cadrul Executive Innovation Corps al armatei SUA.

WhatsApp introduce reclame, în ciuda promisiunilor inițiale

Și, deși compania promisese inițial că WhatsApp nu va include reclame, aplicația va afișa în curând reclame în secțiunea „Updates”, separată de zona de conversații. Totuși, Comisia irlandeză pentru protecția datelor a confirmat pentru Politico că noul model nu va fi implementat în UE mai devreme de 2026. 

„Meta nu a dovedit însă până acum că este o companie care pune etica pe primul plan si nici că nu minte niciodată. A demonstrat tot timpul că pune deciziile care-i ajută profitabilitatea pe primul loc, asta e singura constantă în istoria companiei”, declara de curând, pentru Adevărul, antreprenorul digital Dragoș Stanca.

Înainte ca WhatsApp să fie achiziționat de Facebook, în 2014, cofondatorul aplicației, Jan Koum, a publicat un articol pe blogul companiei „Why we don’t sell ads”, în care își exprima clar dezgustul față de reclame. Articolul este în continuare disponibil și devine cu atât mai interesant acum, când WhatsApp se pregătește să integreze exact ceea ce fondatorul său respingea, amintește, într-un articol recent, jurnalistul Paul Thurrott.

„Publicitatea nu înseamnă doar că strică estetica, e o insultă la inteligența ta și o distragere a gândurilor. În fiecare companie care vinde reclame, o parte importantă din echipa de ingineri își petrece ziua optimizând extragerea de date, scriind cod pentru colectarea datelor personale, modernizând serverele care le stochează și asigurându-se că totul este înregistrat, sortat, feliat, ambalat și livrat... Iar la final, rezultatul este un banner publicitar ușor diferit în browserul sau pe ecranul telefonului tău. Ține minte: când există publicitate, tu, utilizatorul, ești produsul”, scria Koum.

Koum a părăsit WhatsApp în 2018 și s-a retras ulterior și din consiliul de administrație al Facebook.

Primul său tweet spunea, potrivit Business Insider, că: „Publicitatea ne face să alergăm după mașini și haine, să lucrăm în slujbe pe care le urâm doar ca să cumpărăm prostii de care nu avem nevoie.” („Aceasta este o referință la filmul Fight Club.”).

Dacă într-un interviu acordat Forbes, Jan Koum declara: „Să te ocupi de reclame e deprimant... Nu faci viața nimănui mai bună îmbunătățind sistemul de publicitate.” Iată, că, la un moment dat, pentru Weird, a spus:  „Nu există nimic mai personal decât să comunici cu prietenii și familia, iar să întrerupi asta cu reclame nu e o soluție potrivită... Și nici nu trebuie să știm prea multe despre utilizatorii noștri. Pentru a targeta eficient reclamele, companiile trebuie să știe unde ești, ce faci, cu cine ești, ce-ți place sau ce nu-ți place. E o cantitate nebunească de date”.