O GrapheneOS vai deixar a França devido a preocupações legais e de segurança, incluindo a pressão governamental para uma backdoor de encriptação. Eis o que aconteceu e porque é importante.

O que aconteceu com o GrapheneOS em França?

A 24 de novembro de 2025, o GrapheneOS anunciou no X(nova janela) que removeu todos os servidores ativos de França e está em processo de terminar a sua relação com o fornecedor de alojamento OVHcloud. “A França não é um país seguro para projetos de privacidade de código aberto”, disse a equipa, apontando para o que descreve como as expectativas das autoridades francesas relativamente a backdoors de encriptação.

Esta decisão surge numa altura em que a França se torna um dos defensores mais vocais da proposta de legislação de controlo de chat da UE, que visa forçar as plataformas online e os serviços de mensagens a analisar automaticamente chats privados, imagens e multimédia em busca de material de abuso sexual de crianças (CSAM) e conteúdo de aliciamento. Em março, a Assembleia Nacional Francesa rejeitou uma proposta(nova janela) que exigiria que serviços de comunicação segura como o Signal enfraquecessem ou removessem a sua encriptação ponto a ponto.

A encriptação ponto a ponto (E2EE) significa que apenas o remetente e o destinatário podem ler o conteúdo de uma mensagem — e não o fornecedor de serviços ou outros terceiros, incluindo autoridades governamentais ou cibercriminosos.

Para além das backdoors de encriptação, crescem as dúvidas sobre se a empresa francesa OVHcloud consegue garantir a soberania dos dados. Um tribunal canadiano(nova janela) tentou forçar a empresa a entregar dados de clientes armazenados em servidores europeus utilizando a sua subsidiária canadiana — contornando efetivamente os canais legais habituais entre governos.

O que é o GrapheneOS e porque é que as pessoas o utilizam?

O GrapheneOS é um sistema operativo sem fins lucrativos, de código aberto e baseado em Android, utilizado por muitas pessoas que procuram maior privacidade, segurança e controlo. Eis algumas das razões pelas quais as pessoas o preferem ao Android da Google:

  • Sem recolha de dados em segundo plano, rastreio ou telemetria Google incorporados. Isto significa que o seu dispositivo não envia dados de utilização, diagnósticos ou informações comportamentais para a Google ou para os seus parceiros.
  • ID de publicidade desativada por predefinição. A ID de publicidade é um identificador único atribuído ao seu dispositivo pelo Android que permite aos profissionais de marketing rastreá-lo para anúncios direcionados.
  • Sem bloatware, tal como aplicações do fabricante ou instaladas pela operadora.
  • Sem aplicações forçadas que não pode desinstalar, como o Google Assistant ou o Gemini.
  • Sem avisos de bloqueio da Google, como notificações persistentes a encorajar serviços Google. Também pode utilizar o GrapheneOS sem uma conta Google.
  • Sem integração na nuvem por predefinição, tal como a cópia de segurança automática do Google Fotos.
  • Controlos avançados de permissões de privacidade, como melhor proteção contra exploits de dia zero.
  • Regras de segurança mais rigorosas que controlam o comportamento das aplicações, como o sandboxing que impede que as aplicações acedam aos dados de outras aplicações ou aos recursos do sistema sem permissão explícita.

Porque é que as backdoors de encriptação são perigosas

O GrapheneOS protege dispositivos móveis utilizando encriptação total do disco para proteger todos os dados, incluindo metadados como nomes de ficheiros e carimbos de data/hora. Uma backdoor de encriptação significaria adicionar um método secreto que as autoridades policiais poderiam utilizar para desbloquear dados encriptados sem o seu consentimento, PIN ou rosto.

O problema de uma backdoor de encriptação é que, uma vez existente, pode ser descoberta, mal utilizada ou explorada por qualquer pessoa que a encontre, incluindo cibercriminosos. Isto coloca toda a gente em risco, não apenas as pessoas visadas por uma investigação, razão pela qual os defensores da privacidade se opõem consistentemente à mesma.

Porque é que o GrapheneOS diz que uma backdoor é tecnicamente impossível

De acordo com o GrapheneOS, comentários públicos recentes e memorandos internos que circulam entre as autoridades policiais francesas incluíam avisos para tratar os dispositivos Google Pixel como “altamente suspeitos” e o que o projeto caracteriza como desinformação sobre o GrapheneOS.

O GrapheneOS explica que, mesmo que quisesse, a introdução de uma backdoor de encriptação é tecnicamente impossível devido ao elemento seguro de hardware do telefone, que impõe uma cadeia de confiança rigorosa. Apenas firmware devidamente assinado é autorizado a ser executado, e qualquer modificação não autorizada faria com que o dispositivo falhasse a verificação. Além disso, as proteções impostas por hardware limitam o número de tentativas de desbloqueio e introduzem atrasos entre elas, impedindo ataques de força bruta.

O GrapheneOS não está sozinho na recusa em criar backdoors de encriptação

As grandes empresas tecnológicas também enfrentaram pressões para enfraquecer a encriptação e recusaram. Eis alguns exemplos recentes:

  • Em 2023, quando o Reino Unido estava a avançar com a Lei de Segurança Online, o Signal disse(nova janela) que preferia encerrar o seu serviço numa jurisdição que trai a confiança dos seus utilizadores do que cumprir uma lei que introduziria backdoors ou funcionalidades que permitem a vigilância.
  • Em 2025, o governo do Reino Unido forçou efetivamente a Apple a escolher entre criar uma backdoor de encriptação e remover a encriptação ponto a ponto para determinados serviços. A Apple optou por retirar a Proteção Avançada de Dados (ADP) — uma funcionalidade que estende a encriptação ponto a ponto a vários serviços iCloud, incluindo cópias de segurança, fotos, notas e ficheiros — em vez de comprometer o seu modelo de segurança. A Apple apresentou mais tarde um desafio legal contra a exigência do governo do Reino Unido.

Quando os governos enfraquecem a privacidade, o preço é seu

A posição de França contra empresas que privilegiam a privacidade e projetos de código aberto envia uma mensagem mais ampla: operem aqui e deem-nos acesso aos vossos dados, ou saiam.

Quando plataformas seguras como o GrapheneOS optam por se manter firmes com os seus princípios de segurança intactos e retiram a sua infraestrutura do país, as próprias pessoas que servem acabam por perder o acesso às ferramentas concebidas para as proteger de incidentes de dados, roubo de identidade e censura estatal.

Na Proton, a encriptação forte e a privacidade online são fundamentais para a nossa missão. Não seríamos capazes de fornecer à nossa comunidade e-mail seguro, V(nova janela)P(nova janela)N(nova janela), armazenamento na nuvem ou gestão de palavras-passe sem elas.