Dark
Light
Por 

Comissão Europeia foi hackeada. O que é que isso significa?

A instituição que escreve as regras de cibersegurança para o resto da Europa perdeu 350 gigabytes de dados de uma conta cloud. O vetor de entrada ainda não foi revelado. Mas as perguntas que este caso levanta já têm resposta, e nenhuma é confortável.
30 de Março, 2026

A 24 de março, a Comissão Europeia admitiu publicamente que foi atacada. Alguém entrou na sua conta AWS, copiou mais de 350 gigabytes de dados incluindo várias bases de dados da plataforma Europa.eu, e avisou que vai publicar tudo. Sem pedido de resgate. Sem negociação. O objetivo não é dinheiro.

A resposta oficial foi a que se esperava: o ataque foi contido, os sistemas internos não foram afetados, a investigação está em curso. Comunicado publicado, caixas marcadas. O que ninguém disse, e que é a parte mais importante, é como é que isto foi possível.

Dois ataques. Sessenta dias

Este não é o primeiro incidente. A 30 de janeiro, pouco mais de dois meses antes, a Comissão já tinha sido alvo de um ataque à infraestrutura de gestão de telemóveis dos seus funcionários. Nomes e números expostos. O sistema foi limpo em nove horas e o assunto foi rapidamente arquivado.

Dois ataques confirmados em dois meses contra a principal instituição executiva da UE não é azar. É um sinal. E é um sinal difícil de ignorar quando a organização em causa tem acesso direto ao CERT-EU, foi quem redigiu a NIS2, desenvolveu o Cyber Resilience Act e lançou um novo Cybersecurity Package em janeiro com grande alarido mediático.

Não estou a dizer que a Comissão é incompetente. Estou a dizer que qualquer organização pode ser comprometida, e que o facto de ser esta em particular torna a conversa inevitável.

O problema não foi a Amazon

A AWS foi clara: os seus sistemas funcionaram normalmente. Não houve falha de infraestrutura. O que falhou foi do lado da conta da Comissão. Provavelmente uma configuração incorreta, credenciais sem proteção adequada, falta de autenticação multifator em contas privilegiadas, ou monitorização que não detetou o acesso a tempo. São os mesmos erros que aparecem em relatórios de incidentes de organizações de todos os tamanhos, todos os anos.

Existe uma confusão persistente no mercado sobre o que a cloud garante. A cloud não é segurança. É infraestrutura. O fornecedor protege os seus centros de dados, a sua rede física, os seus sistemas. O que está dentro da conta, quem acede, com que permissões, o que está a ser monitorizado, tudo isso é responsabilidade de quem a gere. Chama-se modelo de responsabilidade partilhada e está nos contratos de qualquer hyperscaler. A diferença é que quando a conta comprometida pertence à Comissão Europeia, o erro custa mais do que a fatura de um consultor.

Quem foi e porquê

Não há atribuição oficial, mas o perfil do ataque diz alguma coisa. Exfiltração massiva sem pedido de resgate, com intenção declarada de publicação. Não é ransomware, nem um crime financeiro comum. É consistente com dois perfis: hacktivistas com agenda política, ou grupos ao serviço de um Estado com interesse em desacreditar as instituições europeias ou em aceder a informação estratégica.

Em março de 2026, o contexto geopolítico não falta: a guerra na Ucrânia está no quarto ano, as relações transatlânticas estão tensas e o Médio Oriente continua instável. Num ambiente assim, a Comissão Europeia é um alvo de enorme valor simbólico. Um ataque bem-sucedido, tornado público, comunica uma coisa muito simples: a instituição que diz ao resto da Europa como se proteger não consegue proteger-se a si própria.

É uma narrativa que serve vários interesses. Independentemente de quem a construiu.

“A pergunta não é como é que a Comissão falhou. É quanto tempo demorou a perceber que tinha falhado.”

A questão da regulação

Há uma tensão real aqui que merece ser nomeada. A Comissão passou anos a construir um dos quadros regulatórios de cibersegurança mais exigentes do mundo. A NIS2 obriga as organizações europeias a gerir o risco de forma documentada, a notificar incidentes em 24 horas, a responsabilizar a gestão de topo. O Cyber Resilience Act impõe requisitos a produtos digitais. O Cybersecurity Act 2.0 cria critérios para cadeias de fornecimento seguras.

Toda esta legislação é necessária. O problema é que, quando a instituição que a escreveu sofre dois incidentes em sessenta dias, fica mais difícil sustentar que a conformidade é sinónimo de segurança. Mas não é a regulação que falha, é a ideia de que cumprir uma norma é suficiente. As auditorias certificam o que existia ontem, os atacantes trabalham hoje.

Este caso vai ser usado em dois sentidos opostos nos próximos meses. Haverá quem diga que a regulação europeia é burocracia ineficaz, e haverá quem use isto para promover soberania digital europeia e afastar fornecedores americanos como a AWS. Nenhum dos argumentos é linear, mas ambos vão circular. Convém estar preparado.

O que este caso tem a ver com a sua empresa

A resposta mais cómoda a um incidente desta escala é pensar que acontece a outros. A grandes instituições, com exposição que a sua empresa não tem. Essa leitura é humana, mas é errada.

Os vetores mais prováveis neste ataque, má configuração de conta cloud, gestão frouxa de identidades e acessos, monitorização insuficiente, são os mesmos que comprometem PMEs, escritórios de advocacia, clínicas, construtoras e empresas de serviços todos os meses. A diferença é que o incidente da Comissão sai nos jornais, já os outros ficam no relatório interno, quando chegam a ser detetados.

As perguntas práticas são simples. Quem tem acesso às contas cloud da sua organização? Com que nível de privilégio? Existe autenticação multifator em todas as contas com acesso a dados críticos? Há alguém a monitorizar comportamentos anómalos em tempo real, ou só se descobre quando o estrago está feito? Se não há respostas imediatas para estas questões, a conversa que importa ainda não aconteceu.

Conformidade ajuda. Certificações ajudam. Mas não são blindagem. A Comissão Europeia cumpre todos os requisitos regulatórios aplicáveis às instituições da UE. E foi comprometida na mesma.

A única pergunta que realmente importa

Há uma métrica que define melhor do que qualquer outra a maturidade real de uma organização em cibersegurança: o tempo entre a entrada do atacante e a deteção. Não o tempo de resposta depois de saber. O tempo até saber.

A Comissão disse que o ataque foi contido. Que os sistemas internos não foram afetados e que as medidas de mitigação foram implementadas. Tudo correto. Mas o incidente ocorreu a 24 de março e só foi confirmado publicamente a 27. Três dias. Num ataque onde alguém copiou 350 gigabytes, três dias são muito tempo.

A métrica mais honesta não é “fomos atacados?” mas “quanto tempo demorámos a perceber?”. E essa pergunta, cada responsável de tecnologia ou de negócio devia saber responder sobre a sua própria organização antes de ler notícias sobre a Comissão Europeia.

Porque a próxima notícia pode ser sobre outra empresa. E pode não chegar aos jornais.

Rui Ribeiro é Consultor em Tecnologia e Gestão. Especialista em projetos de transformação digital.

Ver mais

Opinião

Cibersegurança e soberania digital: uma nova frente da guerra

Luís Magalhães

A realidade perturbadora da internet aberta

Bruno Castro

Agentes de IA: não é o sistema, mas o contexto que faz a diferença

Tiago Machado

Os CEO de Davos estão preocupados com a Ciberguerra. A sua empresa está no caminho do conflito

Filipe Domingues e Marco Raposo

O NIS2 como medida preventiva contra emergências: estratégias de interligação para a cadeia de abastecimento de TI

Thomas King

NIS2: Portugal Entrou, Espanha ficou para trás, mas o problema é nosso 

Rui Ribeiro
Ver mais

Relacionados