Europol 2.0 - proiectul care va generaliza supravegherea în Uniunea Europeană

Europol îşi consolidează în tăcere arhitectura digitală, prin acumularea unor cantităţi uriaşe de date şi formarea unor algoritmi capabili să redefinească modul în care funcţionează poliţia în întreg blocul comunitar, ceea ce va duce la generalizarea supravegherii în UE, se arată într-o investigaţie jurnalistică realizată de Investigative Journalism for Europe (IJ4EU) şi Lighthouse Reports.

Potrivit sursei citate, Europol numeşte proiectul „Obiectivul Strategic nr. 1”, al cărui scop este transformarea agenţiei în „centrul european al informaţiilor despre criminalitate”, un imens nod de date personale colectate din toate statele membre, din ţări terţe şi de la parteneri privaţi.

Criticii văd în această strategie mai puţin o coordonare necesară şi mai mult un experiment ascuns de achiziţie masivă de date şi supraveghere extinsă. Documente interne obţinute în urma investigaţiei citate şi analizate de experţi în protecţia datelor şi inteligenţă artificială arată clar motorul acestei ambiţii: inteligenţa artificială (IA) a devenit soluţia pe care conducerea Europol o consideră esenţială pentru a descifra fluxurile tot mai abundente de informaţii, de la capturi din aplicaţii de chat până la baze de date biometrice.

O investigaţie realizată de Computer Weekly, Netzpolitik şi site-ul Solomon arată că, începând din anul 2021, Europol a demarat o campanie în mare parte secretă de dezvoltare a unor modele de învăţare automată capabile să influenţeze decisiv modul în care va fi făcută poliţia în Uniunea Europeană şi chiar dincolo de graniţele sale. În spatele documentelor şi al interviurilor cu oficiali şi autorităţi apare întrebarea fundamentală: cât de mult are voie o agenţie de poliţie să colecteze în numele securităţii şi ce se întâmplă când automatizarea pătrunde în aplicarea legii fără controale reale?

Europol susţine, într-un răspuns scris pentru sursele citate, că menţine „o poziţie imparţială faţă de toate părţile interesate, pentru a-şi îndeplini mandatul - sprijinirea autorităţilor naţionale în combaterea crimei grave, organizate şi a terorismului” - şi că agenţia „va fi în avangarda inovaţiei şi cercetării în aplicarea legii”.

• 87 milioane de mesaje analizate de Europol

Experimentul de amploare cu date a pornit ca efect secundar al unor operaţiuni masive de hacking din anii 2020 şi 2021, care au permis poliţiilor europene acces la milioane de mesaje trimise prin telefoane criptate folosite de reţele criminale. Ţintele au fost EncroChat, SKY ECC şi ANOM. Rolul Europol ar fi trebuit să fie limitat la transferul datelor hackuite între autorităţile naţionale, dar agenţia a păstrat copii complete ale seturilor, aproximativ peste 60 milioane de mesaje doar de la EncroChat şi peste 27 milioane de la ANOM, şi a început să le analizeze pe propriile servere. Specialiştii Europol au constatat rapid că volumul depăşea complet capacitatea umană. Dar tocmai această limitare a deschis o perspectivă: dacă oamenii nu pot parcurge datele, poate o pot face algoritmii. În joc erau vieţi omeneşti şi criminali care puteau scăpa. Sursele citate precizează că documentele interne arată că la finalul anului 2020 Europol plănuia să antreneze şapte modele de machine learning pe datele EncroChat pentru a semnala automat conversaţii suspecte, ceea ce constituie primul experiment real al agenţiei cu inteligenţa artificială. Legalitatea păstrării şi analizei acestor date a fost contestată, iar un caz se află în prezent pe masa Curţii de Justiţie a UE.

Sursele citate mai amintesc de episodul din septembrie 2021, când zece inspectori ai Autorităţii Europene pentru Protecţia Datelor (EDPS) au descins la sediul Europol, unde au găsit un proiect lipsit aproape complet de garanţii: documentaţia privind monitorizarea antrenării modelelor fusese redactată abia după finalizarea dezvoltării. Ei au notat lipsa evaluării riscurilor de bias, de acurateţe statistică şi a fundamentelor procedurale. Europol a oprit proiectul EncroChat în februarie 2021 după ce EDPS a semnalat necesitatea unui control mai strict, control pe care agenţia părea dornică să îl evite. Totuşi, experimentul a scos la iveală atât ambiţia Europol, cât şi disponibilitatea de a forţa limitele legale. În interiorul agenţiei, liniştea era totală: riscul implicării eronate a unei persoane era considerat minim, iar modelele nu erau folosite operaţional. Nici nu existase până atunci un mandat explicit care să permită Europol să dezvolte şi să folosească IA în investigaţii - dar asta urma să se schimbe.

• Parteneriatul cu compania Thorn, uşa deschisă americanilor la planurile interne ale Europol

În iunie 2022, o nouă reglementare adoptată discret a oferit agenţiei puteri vaste pentru dezvoltarea şi utilizarea tehnologiilor IA, precum şi posibilitatea de a schimba date operaţionale direct cu companii private. Europol a găsit imediat o cauză ideală pentru a-şi face noile instrumente politic intangibile: combaterea abuzului sexual online asupra copiilor. Într-un moment perfect sincronizat cu propunerea Comisiei Europene care cerea platformelor digitale să scaneze mesajele private după materiale de abuz, liderii Europol au presat Comisia să permită ajustarea acestor tehnologii pentru alte scopuri, transmiţând clar: „Toate datele sunt utile şi ar trebui transmise forţelor de ordine”, deoarece „date de calitate sunt necesare pentru antrenarea algoritmilor”. Au cerut să fie excluşi de la restricţiile prevăzute de viitorul AI Act, deşi multe dintre sistemele lor ar intra în categoria celor intruzive şi cu risc ridicat.

Aceeaşi retorică se regăsea şi în mediul privat, iar relaţia Europol cu dezvoltatorii de tehnologie este de notorietate. Un partener important: Thorn, organizaţie americană non-profit care creează instrumente IA pentru detectarea imaginilor cu abuz asupra copiilor. Sursele citate susţin că e-mailurile dintre Thorn şi Europol, datate între 2022 şi 2025, arată cum agenţia a solicitat acces la materiale tehnice confidenţiale pentru a dezvolta propriul clasificator. Într-un astfel de mesaj, un reprezentant al companiei Thorn a avertizat: „Trebuie să subliniez că documentul este confidenţial şi nu trebuie redistribuit”.

Ulterior, Europol a cerut ajutor pentru accesarea unor clasificatori dintr-un proiect comun. Expertul Nuno Moniz a subliniat pentru sursele citate, referitor la conversaţiile prin e-mail, că acestea ridică întrebări serioase, deoarece compania Thorn era tratată ca un partener privilegiat, cu acces fără precedent la planurile interne ale Europol. Întâlnirile informale, prânzurile şi prezentările la sediul Europol întăresc imaginea unei colaborări strânse. Europol insistă că nu a achiziţionat produse Thorn şi că nu intenţionează să le utilizeze, însă o parte din corespondenţă rămâne puternic redactată sau nedezvăluită.

Investigaţia jurnalistică precizează că lipsa de transparenţă nu se limitează la relaţia cu compania Thorn. Europol refuză constant să publice documente cruciale despre programul său IA, iar cele furnizate sunt atât de redactate încât devin inutile.

• FRO - o instituţie europeană nefuncţională?

Ombudsmanul European a contestat motivările Europol, iar mai multe plângeri sunt încă în analiză. Punctul vulnerabil al supravegherii este însăşi arhitectura ei internă: Ofiţerul pentru Drepturi Fundamentale (FRO), creat pentru a preveni abuzurile, nu are nicio putere de impunere. „Rolul este instituţional slab”, afirmă Barbara Simao de la organizaţia Article 19, care avertizează că FRO funcţionează mai degrabă simbolic, iar propriile rapoarte ale biroului admit că nu există instrumente adecvate pentru evaluarea sistemelor IA - procedurile fiind inspirate, printre altele, de un manual din 1998, "The Responsible Administrator”. Grupul parlamentar care supraveghează Europol nu are putere reală, iar EDPS, deşi vital, are resurse limitate pentru a controla creşterea exponenţială a IA în aplicarea legii.

Sursele citate mai menţionează că în vara lui 2023 prioritatea maximă a agenţiei Europol devenise crearea unui clasificator propriu pentru materiale de abuz asupra copiilor. Documentele FRO recunosc riscuri precum biasul rasial sau de gen în datele de antrenament, dar oferă doar recomandări succinte. Seturile de date urmau să includă materiale cunoscute de abuz şi imagini „non-CSE”, surse neprecizate, iar materialele CSE urmau să provină în principal de la NCMEC, organizaţia americană care primeşte rapoarte de la companii precum Meta sau Google. Chiar dacă proiectul propriu a fost ulterior pus în aşteptare, datele NCMEC au alimentat primul model automatizat folosit efectiv de Europol: EU-CARES, lansat în octombrie 2023, capabil să descarce automat fişiere, să le verifice în bazele interne Europol şi să transmită rezultate către forţele de poliţie din UE în câteva minute. Automatizarea a eliminat blocajele, dar a introdus riscuri noi: „date incorecte raportate de NCMEC”, „asocieri greşite” şi potenţiala implicare a unor persoane nevinovate. EDPS a avertizat asupra „consecinţelor severe”, obligând Europol să introducă marcaje de „neconfirmat”, alerte pentru anomalii şi mecanisme mai bune de eliminare a rapoartelor retractate.

• Germania: doar 48,3% din rapoarte au valoare operaţională

În februarie 2025, Catherine De Bolle anunţa că sistemul procesase peste 780.000 de rapoarte, fără ca acurateţea acestora să fie cunoscută. Poliţia federală germană, care primeşte direct rapoarte NCMEC, a declarat că 48,3% dintre cele 205.728 primite în 2024 nu aveau valoare operaţională.

În paralel, Europol extinde automatizarea către un domeniu extrem de sensibil: recunoaşterea facială. Din 2016 testează şi achiziţionează instrumente comerciale, iar cea mai recentă achiziţie este NeoFace Watch, produs de compania NEC, menit să înlocuiască sau să completeze sistemul FACE, care avea acces la aproximativ un milion de imagini faciale în 2020. Corespondenţa pe e-mail arată că discuţiile privind NeoFace datează încă din luna mai 2023. EDPS a avertizat asupra riscului unei acurateţi scăzute în procesarea feţelor minorilor şi a incompatibilităţii dintre sisteme diferite.

Europol a decis să excludă datele copiilor sub 12 ani. Studiile NIST citate de Europol nu utilizau imagini „din teren” - lumina slabă putea ridica rata de eroare până la 38%. Contractul cu NEC a fost semnat în octombrie 2024. În opinia sa, FRO a recunoscut riscuri serioase privind dreptul la apărare şi caracterul intruziv al sistemului, clasificându-l ca unul cu risc ridicat sub AI Act, dar totuşi l-a aprobat, solicitând doar transparenţă. NEC afirmă că algoritmul lor este „cel mai precis din lume”, dar experţii precum Luc Rocher arată pentru sursele citate că acurateţea se degradează în condiţii reale, afectând în special minorităţile şi tinerii. Barbara Simao a avertizat că accentul pus pe performanţă tehnică minimalizează pericolele reale.

O foaie de parcurs internă a Europol, datată în 2023, dezvăluie magnitudinea reală: 25 de modele IA potenţiale, de la detecţie de obiecte şi geolocalizare din imagini până la identificarea deepfake-urilor şi extragerea caracteristicilor personale. Arhitectura propusă ar face din Europol centrul automatizării poliţieneşti în UE, modelele sale putând fi utilizate în întreaga Uniune.

În februarie 2025, Catherine De Bolle a anunţat că au fost depuse zece evaluări de impact, şapte pentru modele în curs de dezvoltare şi trei pentru modele noi. Însă răspunsul transmis parlamentarilor - un document de patru pagini cu descrieri generice - nu a clarificat nimic. Eurodeputata Saskia Bricmont afirmă că sistemele dezvoltate de Europol „pot implica riscuri şi consecinţe foarte puternice asupra drepturilor fundamentale” şi că „este crucială o supraveghere puternică şi eficientă”, dar admite că parlamentarilor europeni le este aproape imposibil să îşi îndeplinească rolul de monitorizare.

Între timp, Comisia Europeană propune transformarea Europol într-o „agenţie de poliţie cu adevărat operaţională” şi vrea să-i dubleze bugetul la 3 miliarde de euro.

Acesta este portretul unei agenţii aflate într-o expansiune accelerată, împinsă înainte de tehnologie, protejată de opacitate şi susţinută politic în numele securităţii, în timp ce mecanismele de control rămân fragmentate şi lipsite de putere.

Într-o Europă care se pregăteşte pentru o nouă eră a aplicării legii automatizate, întrebarea esenţială rămâne în aer: cine supraveghează supraveghetorii?