Um canário de mandado é uma declaração pública usada por organizações para informar que não receberam solicitações específicas de informações por parte de autoridades governamentais ou legais.
Na prática, trata-se de uma forma indireta de transparência: ao afirmar que determinadas ações não ocorreram, a empresa comunica aos usuários que seus dados ainda não foram alvo de certas investigações ou exigências legais.
- Leia também: DLP: Como Funciona a Prevenção contra Perda de Dados e Vazamentos de Informação
- Leia também: O que é CASB? Entenda os 4 pilares da segurança em nuvem
- Leia também: ZTNA: O que é Zero Trust Network Access e como ele substitui as VPNs tradicionais
Muitos serviços utilizam canários de mandado como uma maneira de reforçar o compromisso com a privacidade e a transparência no tratamento de dados.
Como funcionam os canários de mandado?
Algumas solicitações feitas por autoridades — especialmente de agências de inteligência — vêm acompanhadas de ordens de sigilo, que impedem as organizações de divulgarem que receberam tais solicitações.
Nesse cenário, o canário de mandado atua como um sinal indireto:
- Enquanto a declaração estiver publicada → significa que nada ocorreu
- Se a declaração desaparecer → indica que a organização recebeu uma solicitação (mesmo sem poder falar sobre isso diretamente)
Ou seja, a ausência do canário é a mensagem.
Por que o nome “canário”?
O termo vem da expressão “canário na mina de carvão”.
Antigamente, mineiros levavam canários para dentro das minas porque esses animais eram sensíveis a gases tóxicos invisíveis e inodoros. Se o canário morresse, era um sinal de perigo imediato.
Da mesma forma:
- Solicitações governamentais podem ser “invisíveis” ao público
- O desaparecimento do canário indica que algo aconteceu
Assim, o canário funciona como um alerta silencioso de risco à privacidade.
Exemplos de canários de mandado
Um dos primeiros casos conhecidos ocorreu em 2005, em uma biblioteca de Vermont (EUA), com uma placa que dizia:
“O FBI não esteve aqui.”
Se a placa fosse removida, isso indicaria que o FBI havia acessado registros da biblioteca.
Já em serviços online, os canários são mais elaborados. Um exemplo:
“Nossa empresa nunca instalou software ou equipamentos de aplicação da lei em nossa rede.”
Essas declarações são atualizadas periodicamente — e sua ausência levanta um sinal de alerta.
O que é um relatório de transparência?
Os canários de mandado geralmente aparecem em relatórios de transparência, que são documentos publicados regularmente pelas empresas para informar:
- Quantidade de solicitações governamentais recebidas
- Tipos de dados solicitados
- Ações tomadas (como remoção de conteúdo)
Se um canário desaparece de um relatório atualizado, isso indica que a declaração deixou de ser verdadeira — ou seja, uma solicitação governamental foi recebida.
O que é uma solicitação do governo?
Uma solicitação governamental é qualquer pedido feito por uma autoridade pública para acesso a dados ou informações.
Essas solicitações podem vir de:
- Autoridades policiais
- Tribunais
- Agências de inteligência
Em muitos casos, elas exigem autorização judicial. No entanto, algumas podem ser feitas diretamente — especialmente em contextos de inteligência.
O que é uma carta de segurança nacional (NSL)?
Uma NSL (National Security Letter) é um tipo de solicitação usada por agências de inteligência dos Estados Unidos.
Ela possui uma característica crítica:
Ordem de sigilo obrigatória
Ou seja, a empresa que recebe uma NSL não pode divulgar que recebeu o pedido.
Além disso:
- Não permite acesso ao conteúdo das comunicações (como e-mails)
- Foca em metadados (registros, conexões, etc.)
Esse tipo de restrição torna os canários ainda mais relevantes.
O que são backdoors de criptografia?
A criptografia protege dados ao transformá-los em informações ilegíveis sem a chave correta.
Um backdoor é uma forma de contornar essa proteção — como uma “chave mestra” que permite acesso aos dados protegidos.
Problema:
- Backdoors enfraquecem a segurança
- Criam riscos para todos os usuários
Por isso, algumas empresas usam canários para declarar que:
Não enfraqueceram sua criptografia sob pressão governamental
Canários de mandado da Cloudflare
Em dezembro de 2020, a Cloudflare publicou declarações como:
- Nunca entregou chaves de criptografia ou autenticação
- Nunca instalou software de vigilância na rede
- Nunca forneceu conteúdo de clientes em trânsito
- Nunca modificou conteúdo a pedido de terceiros
- Nunca alterou respostas de DNS por solicitação externa
- Nunca enfraqueceu sua criptografia
Essas afirmações funcionam como garantias públicas — e qualquer alteração ou remoção delas pode indicar mudanças importantes no cenário de privacidade.
Os canários de mandado são uma estratégia inteligente para equilibrar:
- Obrigação legal de sigilo
- Transparência com os usuários
Embora não sejam perfeitos, eles oferecem uma forma indireta de comunicação sobre eventos que não podem ser divulgados abertamente.
Em um cenário cada vez mais complexo de vigilância e proteção de dados, os canários se tornam uma ferramenta importante para quem valoriza privacidade, segurança e confiança digital.
