A Rússia pode ter conseguido aceder a informações pessoais de milhões de indivíduos através do sistema electrónico de controlo de fronteiras da União Europeia. A empresa responsável pelo desenvolvimento desse sistema realizou parte do trabalho em um escritório localizado em Moscovo, o que teria permitido que os serviços de inteligência russos acompanhassem o processo.

A Procuradoria Europeia está agora investigando o envolvimento da filial russa da empresa Atos no desenvolvimento deste sistema, que armazena dados biométricos e informações de cidadãos não pertencentes ao bloco.

Segundo informações divulgadas pelo Financial Times, a Atos, um grupo francês de tecnologia, usou a sua equipa na Rússia para adquirir software essencial para o Sistema de Entrada e Saída (SES) em 2021. Este sistema é crucial para registar a entrada e saída de viajantes de curta duração nas fronteiras externas da União Europeia, incluindo os 27 Estados-Membros, além da Noruega e da Suíça.

Os documentos divulgados revelam que a filial da Atos em Moscovo funcionava sob uma licença emitida pelo Serviço Federal de Segurança da Rússia (FSB), que permitia acesso ao desenvolvimento e distribuição de ferramentas criptográficas, sistemas de informação e telecomunicações. O envolvimento de actores russos nesse projecto levanta sérias preocupações sobre a segurança e confiabilidade do sistema, cujo lançamento tem sido adiado devido a falhas técnicas.

Há suspeitas de que o lado russo teve participação directa na aquisição do software utilizado no sistema fronteiriço, algo que exigiria aprovação explícita da União Europeia. Agora, os procuradores europeus tentam esclarecer até que ponto a Rússia teve acesso a dados sensíveis e quais as informações podem ter sido comprometidas.

A Atos afirma ter encerrado as suas operações na Rússia em setembro de 2022, depois da invasão da Ucrânia. No entanto, há indicações de que Moscovo teve acesso a informações críticas por vários meses antes desse desligamento. A filial russa era responsável pelo software que permite às companhias aéreas verificar informações sobre os vistos dos passageiros.

Como a União Europeia poderia ter evitado essa situação e como pode prevenir casos semelhantes no futuro?
1. A UE pode criar regras mais rígidas para contratação de fornecedores devendo reforçar os critérios de segurança cibernética na selecção de empresas que desenvolvem sistemas sensíveis. Isso inclui exigir transparência total sobre onde e como o software será produzido.
2. Proibição de subcontratação em países de risco sobretudo se se tratarem de projectos estratégicos, como sistemas de controle de fronteiras, não devem ser desenvolvidos em países considerados adversários. Empresas contratadas deveriam ser impedidas de terceirizar partes do projeto a escritórios localizados em nações que possam representar uma ameaça à segurança.
3. Supervisão contínua e auditorias independentes: A UE poderia implementar auditorias regulares conduzidas por entidades independentes para garantir que não haja vulnerabilidades no desenvolvimento e manutenção de sistemas críticos.
4. Revisão de todos os contratos e licenças actualmente em vigor no sistemas de todas as instituições europeias: Antes de conceder contratos para sistemas sensíveis, deve-se verificar se a empresa tem vínculos com governos estrangeiros que possam comprometer a segurança. Além disso, a UE precisa de rever constantemente as licenças emitidas para empresas que lidam com dados sensíveis.
5. Investimento em tecnologia própria e segurança digital: Reduzindo a dependência de fornecedores externos, investindo em investigação e desenvolvimento dentro da própria UE, ajudaria a evitar riscos associados ao uso de tecnologia estrangeira.
6. Sanções e responsabilização de empresas envolvidas: Empresas que expuserem dados sensíveis ou falharem em cumprir normas de segurança devem ser responsabilizadas financeiramente e legalmente, incluindo a possibilidade de serem impedidas de participar de futuros contratos públicos.
7. Fortalecimento da cooperação entre países europeus na cibersegurança: Criar um órgão europeu especializado em segurança digital que monitorize continuamente os sistemas críticos da UE ajudaria a detectar e prevenir possíveis ameaças externas.

Se estas medidas tivessem sido aplicadas desde o início, a União Europeia poderia ter evitado esta vulnerabilidade. No futuro, adoptando um controle mais rigoroso, a UE pode garantir que os seus sistemas de segurança digital sejam mais resilientes contra interferências externas como a que aconteceu com a Atos com o Sistema de Entrada e Saída (SES) em 2021.