1 – Num estudo recentemente publicado por investigadores do Alan Turing Institute, tendo por base um inquérito a 1403 adultos britânicos, 90,4% dos participantes reconheceram estar “muito preocupados” ou “algo preocupados” com a disseminação de deepfakes.
Embora elevados, os números não são, todavia, surpreendentes. Afinal, há muito que entidades como o Serviço de Estudos do Parlamento Europeu ou o Laboratório de Inovação da Europol vêm alertando para os riscos associados a este tipo de conteúdos. Riscos esses que, como a experiência tem demonstrado, não configuram meras hipóteses académicas, dignas da ficção distópica – antes ameaças reais, cujo impacto se começa, cada vez mais, a fazer sentir no dia-a-dia de cidadãos, administrações públicas e empresas.
Tome-se como exemplo o que sucedeu com a Arup: uma conhecida multinacional de design e engenharia que sofreu perdas de cerca de 25 milhões de dólares, após uma das suas trabalhadoras ter sido convencida a efetuar diversas transferências bancárias para as contas de um grupo de cibercriminosos, por meio de videochamadas fraudulentas em que os atacantes se faziam passar por altos quadros da empresa, clonando a sua voz e imagem. Ou, tão simplesmente, o que se verificou na Ucrânia, aquando do início da invasão russa, onde a emissão de um canal de televisão nacional foi invadida, durante breves segundos, por um vídeo manipulado de Volodymyr Zelensky, no qual este aparentava apelar à rendição de todos os que defendiam o país – circunstância que levou a que o próprio governante se sentisse na necessidade de efetuar um desmentido público da situação. Tudo isto sem esquecer casos tão ou mais preocupantes, como o ocorrido em Badajoz, onde um grupo de adolescentes foi condenado por ter difundido imagens eróticas falsificadas de colegas da mesma instituição de ensino, geradas por meio de uma aplicação móvel que associava faces reais de pessoas a corpos nus que não lhes pertenciam.
2 – Pois bem: que os deepfakes constituem um problema, isso parece evidente. Todavia, poderá o leitor legitimamente questionar: o que está a ser feito para o procurar combater? A resposta, como se verá, é “muito” – seja ao nível da UE, seja ao nível dos seus Estados-Membros.
Comecemos pela UE. A 13 de junho de 2024, foi adotado o Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho que cria regras harmonizadas em matéria de inteligência artificial (vulgarmente conhecido como “Regulamento IA” ou “AI Act”). Diploma que, para o que aqui interessa, veio introduzir três inovações fundamentais. Primeiro, a consagração de uma noção jurídica de deepfakes (“falsificações profundas”), que surgem definidas como “conteúdos de imagem, áudio ou vídeo gerados ou manipulados por IA, que sejam semelhantes a pessoas, objetos, locais, entidades ou acontecimentos reais, e que possam levar uma pessoa a crer, erroneamente, que são autênticos ou verdadeiros” (cfr. art. 3.º, ponto 60, do Regulamento IA). Segundo, o estabelecimento de certas obrigações de transparência aplicáveis aos prestadores e responsáveis pela implantação de sistemas de inteligência artificial que contribuam para a produção e difusão de deepfakes – concretamente: (i) a de que “os prestadores de sistemas de IA, incluindo sistemas de IA de finalidade geral, que geram conteúdos sintéticos de áudio, imagem, vídeo ou texto, devem assegurar que os resultados do sistema de IA sejam marcados num formato legível por máquina e detetáveis como tendo sido artificialmente gerados ou manipulados” (cfr. art. 50.º, n.º 2, do Regulamento IA); e (ii) a de que “os responsáveis pela implantação de um sistema de IA que gere ou manipule conteúdos de imagem, áudio ou vídeo que constituam uma falsificação profunda devem revelar que os conteúdos foram artificialmente gerados ou manipulados” (cfr. art. 50.º, n.º 4, do Regulamento IA). Terceiro – mas não menos importante –, a previsão de que a violação dessas obrigações “(…) fica sujeita a coimas até 15.000.000,00 € ou, se o infrator for uma empresa, até 3 % do seu volume de negócios anual a nível mundial no exercício anterior, consoante o que for mais elevado” (cfr. art. 99.º, n.º 4, al. g), do Regulamento IA).
Complementarmente – e no que em especial respeita ao combate aos deepfakes sexuais –, é ainda de destacar a adoção da Diretiva (UE) 2024/1385 do Parlamento Europeu e do Conselho de 14 de maio relativa ao combate à violência contra as mulheres e à violência doméstica, a qual veio obrigar os Estados-Membros, entre outras coisas, a assegurar que os seguintes comportamentos intencionais sejam puníveis como crime: (i) “produzir, manipular ou adulterar e, subsequentemente, disponibilizar publicamente, através das TIC, imagens, vídeos ou materiais semelhantes, dando a ideia de que uma pessoa participa em atos sexualmente explícitos, sem o consentimento dessa pessoa, sempre que esse comportamento seja suscetível de causar danos graves a essa pessoa”; (ii) “ameaçar adotar os comportamentos referidos (…) a fim de coagir uma pessoa a praticar, tolerar ou abster-se de um determinado ato” (cfr. art. 5.º, n.º 1, als. b) e c), da Diretiva supramencionada).
Ao nível dos Estados-Membros, têm-se também verificado desenvolvimentos relevantes. Em Itália, foi aprovada uma lei nacional abrangente em matéria de inteligência artificial, da qual, nomeadamente, resultou a criação de um novo tipo legal de crime: o crime de “divulgação ilícita de conteúdos gerados ou alterados com sistemas de inteligência artificial”, inserido no art. 612-quater do Código Penal do país, e punível com pena de prisão de um a cinco anos (cfr. art. 26.º, n.º 1, al. c), da Legge 23 settembre 2025, n.º 132). Em Espanha, a autoridade de controlo nacional em matéria de proteção de dados pessoais invocou a violação do art. 6.º, n.º 1, do Regulamento Geral sobre a Proteção de Dados, para aplicar uma coima de 1.200,00 € a um particular, responsável por participar na difusão de deepfakes de carácter sexual (cfr. Expediente n.º EXP202503445 da referida autoridade).
3 – Perante isto, resta apenas perguntar: o que falta fazer? A resposta, também aqui, é “muito” – especialmente, num país como Portugal, que ambiciona poder estabelecer-se como “líder mundial na Inteligência Artificial”, tal como publicamente assumido pelo Ministro Adjunto e da Reforma do Estado, Gonçalo Matias, em declarações na Web Summit.
Assim – e antes de tudo mais –, importa proceder à transposição da Diretiva (UE) 2024/1385, aprovando legislação interna que criminalize a difusão de deepfakes sexuais (o que deverá ocorrer até 14 de junho de 2027, sob pena de incumprimento). Não obstante, pode – e deve – o legislador nacional refletir sobre a possibilidade de ir mais longe, adotando uma solução idêntica à acolhida no referido art. 612-quater do Código Penal italiano, à luz do qual se determina como penalmente punível não apenas a difusão de deepfakes sexuais, mas antes de quaisquer deepfakes quecausem “um dano injusto a uma pessoa”.
Por outro lado, afigura-se-nos decisivo que a ANACOM seja dotada de meios que lhe permitam exercer as atribuições e poderes que lhe são conferidos enquanto autoridade nacional de fiscalização do mercado para efeitos do Regulamento IA de forma adequada. De outro modo, as “inovações fundamentais” introduzidas por este diploma, que anteriormente aplaudimos, tornar-se-ão num verbo de encher, sem qualquer relevância prática.
Por fim, parece-nos igualmente crucial que a Comissão Nacional de Proteção de Dados não esqueça o papel que lhe é atribuído nos termos do Regulamento Geral sobre a Proteção de Dados e da Lei n.º 58/2019, de 8 de agosto. É que, como bem demonstra o Expediente n.º EXP202503445 da Agência Espanhola de Proteção de Dados, a difusão de deepfakes é também um problema de proteção de dados pessoais, ao qual cumpre responder – não só com palavras, mas com atos. Que a autoridade vizinha sirva de exemplo.
Nota: as opiniões expressas no presente artigo são formuladas a título individual, não vinculando a entidade em que o autor desempenha funções.
Os textos nesta secção refletem a opinião pessoal dos autores. Não representam a VISÃO nem espelham o seu posicionamento editorial.
