Quem aí já não se deparou com uma página ou perfil falso em rede social? Pois é, aqui na Axur nós vemos isso milhares de vezes todos os dias. E, infelizmente, o volume de casos só aumenta.
O que pouca gente sabe é que qualquer um – seja pessoa, seja empresa – pode contestar a legalidade de um conteúdo na internet e solicitar sua remoção. Esse processo se chama “enforcement”, que é o ato de solicitar que uma lei, regra ou norma seja cumprida.
Normalmente, os hospedeiros do conteúdo são informados da infração através de uma carta (oops, hoje em dia só e-mail, né?), que é também uma notificação administrativa, portanto extrajudicial.
Os sites, marketplaces e provedores de internet todos estão sob a lei do seu país, dos seus reguladores e também possuem regras internas, aquelas criadas para proteger sua comunidade de usuários. Ou seja, é do interesse de todos que conteúdos infratores sejam varridos da internet.
Neste artigo vou discorrer sobre os segredos e peculiaridades do processo de enforcement, e sobre tudo aquilo que quem pratica, compra ou vende serviços de cybersecurity deve saber para abordar o tema com conhecimento e argumentos assertivos.
Por que eu devo me preocupar com isso?
Bom, todos os negócios estão migrando para o digital. Se não estão, deveriam. Ir para o digital não é só ter um app ou um serviço que é oferecido online. Quem anuncia, captura, transaciona ou se relaciona com clientes online, possui uma presença digital. E aqui vai um parênteses importante: a presença digital é ainda subestimada (como tudo que é invisível), mas pode ter certeza que uma boa presença na web pode ser mais importante que um endereço fixo em uma rua movimentada de uma grande metrópole.
Ao criar um perfil no TikTok, Instagram e afins, você está criando um touchpoint digital. Com ele, você dá ao seu cliente a possibilidade de interagir via meta-channel, onde e quando ele quiser. Ao levar os pontos de contato com o cliente para fora do perímetro, você precisará desenvolver a capacidade de monitorar se sua presença digital está preservada e se seus clientes não estão sendo enganados por fraudadores, que tentam pegar carona na sua marca e na sua reputação nesses canais.
Assim, se você concorda com um futuro digital, entende a importância de, por exemplo, remover perfis falsos que se passam pela sua empresa (mesmo sem ser especialista no tema, claro).
Não posso desejar que você não precise fazer takedown algum dia. Mesmo com sorte, seria muito improvável. Se você ainda não teve essa experiência, certamente vai chegar o seu momento, e com esse artigo pretendo deixá-lo preparado para encaminhar o processo. Aqui, divido com você um pouco da nossa experiência apoiando centenas de empresas a proteger a experiência digital dos clientes.
Takedown, Shutdown, Stay down… please
Existem diversos nomes para denominar a remoção de conteúdo infrator na internet. Talvez o mais comum seja “takedown”, mas vai de acordo com o gosto do freguês.
Como comentei acima, é um processo super simples, onde o dono de um direito (seja uma marca ou uma pessoa física), solicita a um provedor de internet hospedeiro de uma página, a um marketplace ou rede social, a remoção de um conteúdo – pode ser um perfil, produto, post ou página falsa.
Os provedores recebem e processam centenas de pedidos iguais a esse todos os dias. Por isso, aqui vai a primeira dica importante para que você não crie falsas expectativas: nem eu nem você somos tão especiais a ponto de furar a fila nos pedidos de remoção de perfil do Facebook, Instagram, Google, etc. Vou falar mais sobre isso a frente, quando abordarmos SLA.
O pedido normalmente deve ser feito por email, para o endereço específico da plataforma. Na falta deste, você pode tentar o abuse@provedor.com (descrito como caixa padrão para envio de mensagens relacionada a abuso ou comportamento inapropriado, pela RFC 2142 - MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS).
Algumas plataformas possuem canais web para o recebimento de denúncias, com formulário apropriado. Outras, possuem o botão de denúncia dentro da interface do cliente. O Facebook e Google, por exemplo, recebem as denúncias através de seus formulários, ainda que você possa (e deva) denunciar por dentro da própria rede social.
Takedown é coisa de advogado?
Em algumas empresas, o assunto é tratado dentro do departamento jurídico. A explicação é simples, uma vez que o assunto exige a confecção de uma notificação extrajudicial. O que acontece, na prática, é que sempre que o assunto é remetido pelo jurídico, o outro lado – o provedor – recebe a notificação pelo seu departamento jurídico também e, dependendo do tom usado, o documento pode ficar muito tempo em análise.
O takedown pode ser conduzido pelo departamento jurídico desde que feito de forma simples – sim, por favor o mais simples possível – sem ameaças, em um tom amigável. Uma notificação pode ter 3 ou 4 parágrafos e, acredite, vai funcionar muito bem.
O que é passível de takedown?
Tudo o que infringe alguma lei ou norma de uso é passível de takedown. Existem quatro grandes grupos de infrações beyond the firewall, ou fora do seu perímetro:
Uso da marca
Você sempre pode solicitar a remoção da sua marca em conteúdos online. Muitas empresas fazem isso. Basta que você comprove que é o dono da marca. A exceção é a citação em conteúdo jornalístico ou em comentários, o que entra em liberdade de expressão – que vou detalhar a frente.
Fraude
Páginas falsas (phishing) ou páginas feitas por estelionatários para enganar consumidores. São casos mais simples de remover, mas é importante apresentar evidências para o hospedeiro. Como algumas vezes o conteúdo está em um idioma que não é conhecido pelo hospedeiro, podem ser necessárias explicações. A questão é que para casos de fraude o tempo em que ela fica no ar conta muito em seu impacto.
Vazamento de dados
Quando dados sensíveis sobre pessoas (clientes ou não) ou dados empresariais considerados de uso interno ou confidencial, são expostos. Algumas plataformas são muito rápidas removendo o conteúdo, outras têm muita dificuldade, porque não possuem esse caso de uso em seus Termos de Uso.
Venda de produtos
Anúncios com venda de produtos falsos ou venda não autorizada em canais digitais. As grandes plataformas já possuem políticas claras para remoção desse tipo de conteúdo. O Brand Protection Program do Mercado Livre, o VeRO do eBay, dentre outros, funcionam muito bem.
Liberdade de expressão ou fraude?
Costumamos receber os mais variados pedidos para remoção de conteúdo infrator. Às vezes, nossos clientes nos pedem para remover um comentário maldoso feito sobre seu aplicativo ou uma crítica pesada compartilhada em rede social.
Casos que envolvem a opinião de pessoas sobre sua empresa, seu produto ou seu serviço muito dificilmente serão removidos. E aí você deve estar pensando.. “ah, mas esse fulano é um usuário fake que só está fazendo isso para prejudicar minha reputação”. Esse tipo de evento é classificado como o direito que as pessoas têm de não gostarem de algo e soltarem o verbo, acredite!
Alguns casos, quando além de opinião, ainda divulgam inverdades fáceis de comprovar, são exceção Por exemplo, alguém falando que determinado produto de uma marca não funciona, sendo que a empresa alvo não comercializa esse produto. Ao invés de tentar apagar esses comentários, faça uma boa resposta e envolva o time de relações com a imprensa para deixar o ponto de vista de sua empresa super claro.
SLA para remoção de conteúdo
Este é um ponto importante e quero dividir com vocês. Algumas pessoas perguntam quanto tempo leva para remover uma página falsa (phishing) ou perfil falso em rede social. Aqui vai outra dica importante: não faz sentido o fornecedor "vender" um SLA para remoção de uma página. Claro, se ele quiser ele pode vender… mas é improvável que vá cumprir.
Mas por quê? Porque o takedown é um processo que depende de um terceiro – que você conhece muito pouco ou quase nada –, e que não está subordinado a você nem aos interesses da sua empresa. Lembre-se, estamos falando de notificações extrajudiciais!
Algumas vezes ouço alguém dizendo que consegue remover mais rápido em um determinado provedor porque tem “um conhecido por lá”. Isso funciona? Funciona sim, já usamos inúmeras vezes, e acredite: já tivemos casos onde envolvemos diretores, presidentes e até o dono de empresas de hospedagem. A questão é que isso não escala. Se você faz alguns casos por ano, pode contar com o apoio daquele seu amigo, mas se precisar fazer centenas de pedidos de remoção, pode ter certeza que aquele seu amigo vai bloquear o seu telefone no décimo pedido (talvez antes disso).
Processos são feitos para funcionar e se tem algo que americano gosta de seguir, são processos. Como a maioria das empresas notificadas são americanas ou controladas por grupos americanos, é melhor você se acostumar a entrar no processo. Insistir ou tentar furar a fila pode te colocar no final dela.
Também vejo com frequência empresas avaliando o sucesso do seu processo de takedown através do uso da média do uptime. Uptime, para quem ainda não sabe, é quanto tempo o site ficou no ar, da primeira notificação até a sua remoção.
Essa média não é confiável, porque quando tratamos de remoção de conteúdo, existem muitas idas e vindas, até que o hospedeiro se convença de que aquele conteúdo é infrator de verdade e que você tem direitos. Isso acaba gerando aberrações, que se transformam em outliers. Você pode ter 20 casos removidos em 5 horas, mas se tiver 1 caso com mais de 20 dias para o takedown, então essa será a leitura dos seus dados:
Uptime médio: 27 horas
Parece muito ruim, não? 27 horas em média para remover uma infração. Mas não é, afinal de contas 95% dos casos foram removidos em até 5 horas. Isso corrige as distorções na análise de dados.
Então quando você montar seu SLA para takedown, pergunte ao fornecedor qual o histórico do tempo de remoção distribuído em percentil. Alguns fornecedores mais sofisticados poderão informar esse número por plataforma ou ISP, por exemplo: 98% dos casos de Facebook são removidos em até 24 horas.
Existem outros pontos bem relevantes no SLA de um takedown. É importante que seja definido o MTTN (mean-time-to-notify), ou seja, o tempo que leva entre a decisão de que aquele site, perfil ou app é infrator, e o envio da notificação. Vejo muita empresa super preocupada com uptime, mas muitas vezes um caso detectado na sexta-feira só é notificado na segunda, ou seja, adiciona mais de 48 horas no tempo de exposição. Mais tempo de exposição, mais risco para o consumidor e para sua marca.
Verdadeiros desafios do takedown
O processo de solicitação de remoção de conteúdo, como expliquei acima, é super simples. Entretanto, quando feito em volume e para alguns casos mais específicos, pode crescer muito em complexidade.
Os criminosos usam técnicas sofisticadas para que sua página falsa seja visível apenas para alguns consumidores, às vezes bloqueando a visualização do conteúdo para qualquer usuário fora de determinada rede. Isso dificulta muito o trabalho, porque além das limitações da própria internet, muitas vezes é preciso acessar o conteúdo a partir de diferentes redes, localizações, versões de browser e resolução de tela. Tudo isso para ter certeza que a página falsa realmente foi derrubada.
Além destas questões técnicas, é importante garantir que você coletou e armazenou todas as evidências associadas ao caso, como HTML, screenshot, etc. Isso é importante para evitar contestações do hospedeiro ou qualquer outra parte que se sentir prejudicada. A gestão dos casos, considerando o armazenamento das evidências e a contabilização do uptime, podem ser bem desafiadores.
O assunto é intrigante e certamente está na agenda de todos que tratam com cybersecurity. Espero que você tenha gostado e que essas dicas te ajudem a tornar as experiências digitais de seus clientes mais seguras, nosso propósito aqui na Axur.
Fundador e CEO da Axur, onde protegemos a presença digital e a relação de confiança entre empresas (marcas) e seus públicos.