- A União Europeia deu três anos para as operadoras mobilizarem a retirada de equipamentos de fornecedores considerados de “alto risco”, abrangendo infraestruturas críticas além do 5G.
- A medida foca na forma como é gerida a confiança em componentes que sustentam serviços essenciais, não apenas na substituição de dispositivos.
- Especialistas alertam que trocar hardware de origem chinesa por europeus ou americanos não resolve automaticamente o problema de possíveis backdoors, devido à natureza fechada de muitos sistemas.
- O debate envolve quem confia no interior dos sistemas e como realizar auditorias independentes, testes periódicos e transparência para evitar “caixas‑pretas”.
- O analista Aras Nazarovas destaca que a UE pode ir além da substituição de fornecedores, exigindo código-fonte aberto, verificação externa e procedimentos de relato de vulnerabilidades, independentemente da nacionalidade do fabricante.
A União Europeia definiu um prazo de três anos para que as operadoras de telecomunicações retirem equipamentos de fornecedores tidos como de alto risco. A medida não se aplica apenas ao 5G, atingindo infraestruturas críticas como redes elétricas e sistemas de água. A gestão da confiança em componentes essenciais é o foco.
Especialistas alertam que a simples substituição de hardware não resolve o problema. A avaliação de riscos não depende da origem geográfica, mas da capacidade de auditar o interior dos sistemas. A “caixa preta” pode permanecer, mesmo com outra marca.
A UE pretende ampliar o âmbito para além do 5G. Seguem-se redes energéticas, sistemas de tratamento de água, fronteiras, dispositivos médicos e hospitais, onde um ciberataque pode ter impactos graves na continuidade de serviços.
Desafios técnicos e riscos reais
A substituição por fornecedores europeus ou americanos não elimina vulnerabilidades. O analista Aras Nazarovas sustenta que backdoors podem continuar presentes no firmware, no software de gestão ou no sistema operativo interno. A auditoria independente é essencial.
Segundo Nazarovas, a origem do problema não está apenas na nacionalidade do fornecedor. O controlo do risco depende de mecanismos de verificação que permitam inspecionar código, atualizações e práticas de segurança ao longo do ciclo de vida dos dispositivos.
A prática de infraestrutura crítica envolve camadas que vão além do hardware. Falhas de programação, arquivos de teste mitigados e bibliotecas desatualizadas podem criar brechas, com impacto potencial em redes de telecomunicações.
Limitações da abordagem baseada apenas na proveniência
Ferramentas de proteção convencionais tendem a monitorizar apenas a superfície do sistema. Falhas profundas, especialmente em camadas inferiores, podem passar despercebidas. A redução de risco requer testes regulares por terceiros e revisões de código.
Há precedentes de campanhas de atores ligados a países específicos que comprometeram redes de operadores em 2025. Invasões associadas ao uso de ferramentas de interceção integradas na rede demonstram vulnerabilidades exploráveis com autorização judicial.
A amplitude da medida da UE exige uma verificação externa mais rigorosa. Proibir fornecedores com base na proveniência não garante transparência ou segurança sem auditorias independentes e avaliações periódicas de segurança.
Caminho para maior transparência
Nazarovas aponta que a UE tem margem para exigir padrões verificáveis. Isso inclui abertura de código-fonte para revisão, participação em testes de segurança periódicos e processos transparentes de reporte e correção de vulnerabilidades, independentemente da nacionalidade do fabricante.
Entre na conversa da comunidade