As paralisações recentes em aeroportos europeus devido a drones tiveram custos de muitos milhões de euros e revelam uma nova frente de vulnerabilidade: a cibersegurança aplicada ao espaço aéreo. Em Munique, 17 voos foram cancelados e 15 desviados, com prejuízos directos estimados em cerca de 650 mil euros, sem contar compensações a passageiros; em Copenhaga, o fecho do aeroporto por quatro horas afectou mais de 30 voos e cerca de 20 mil passageiros, com custos que podem ultrapassar meio milhão de euros; em Oslo, também houve perturbações, embora sem números exactos divulgados, mas de escala comparável.

Somando estas paragens apenas nestes três países e até 04.10.2025, o impacto directo ronda alguns milhões de euros, podendo duplicar ou triplicar quando incluídas compensações legais, alojamento e perda de receita. É previsível que estes ataques sejam repetidos, tanto nos mesmos aeroportos como noutros países do centro e sul da Europa, já que existem indícios de lançamento a partir de plataformas marítimas da chamada “frota negra” de petroleiros russos ou de embarcações sob falsas bandeiras. Isto não é apenas uma questão de segurança física, mas uma componente clara de guerra híbrida, onde drones e cibermeios convergem.

Em termos práticos e jurídicos, a Europa deve responder com uma defesa em várias camadas para impedir, detectar, identificar e neutralizar drones em torno de aeroportos e de outras infraestruturas críticas, como centrais energéticas, hospitais, cabos submarinos ou bases militares. Para além da vulnerabilidade física, existe também uma dimensão digital: drones podem ser usados como vetores de ciberataque, transportando cargas electrónicas para bloquear comunicações, provocar interferência electromagnética ou lançar dispositivos de intrusão

contra redes e infraestruturas críticas e sensíveis.

Em primeiro lugar, é essencial generalizar rapidamente a identificação remota e o geofencing a todos os UAS (“Unmanned Aircraft Systems” ou Sistemas de Aeronaves Não Tripuladas) que operam no espaço europeu, aproveitando os Regulamentos (UE) 2019/947 e 2019/945, que já preveem requisitos técnicos como identificação remota e funções de geo-awareness. Contudo, é necessário garantir fiscalização, interoperabilidade transfronteiriça e sanções dissuasoras. Atualmente, estas regras existem no papel, mas não estão a ser aplicadas de forma sistemática, criando um vazio que adversários exploram.

Em paralelo, os Estados-Membros devem declarar e operar “U-spaces aeroportuários”, como previsto no Regulamento (UE) 2021/664. Estes corredores digitais permitem pré-autorizar operações legítimas, bloquear automaticamente perfis de voo não autorizados e criar um quadro comum de dados em tempo real, fundamental não só para aviação mas também para resposta cibernética. Um U-space funcional é, na prática, uma firewall do espaço aéreo de baixa altitude.

No plano tático, os aeroportos precisam de “kits” C-UAS normalizados e certificados, integrando vigilância dedicada (radares de baixa assinatura, sensores RF, ótico/IR e fusão de dados) com meios de neutralização legalmente autorizados. A experiência mostra que sistemas tradicionais de vigilância não detetam drones de pequena dimensão. Sem meios ativos de bloqueio RF, tomada de controlo ou neutralização cinética, o ciclo de segurança fica incompleto. Ao nível da UE, é urgente harmonizar o uso estatal de contramedidas ativas com salvaguardas de segurança aérea e proteção do espectro, de forma a dar às autoridades aeroportuárias capacidade de resposta imediata.

Do ponto de vista da cibersegurança, estas medidas devem ser complementadas com protocolos de deteção de interferência (jamming) e spoofing GPS, análise de tráfego de comunicações entre drones e controladores e defesa contra ataques combinados que possam incluir ransomware ou bloqueio digital de sistemas de tráfego aéreo. Sem esta camada digital, qualquer estratégia física fica vulnerável a ataques coordenados.

Na prática, seria avisado adoptar protocolos de resposta rápida à escala europeia, com centros de coordenação táctica que liguem aeroportos, ANSP (Air Navigation Service Providers), polícia, defesa aérea e equipas de resposta cibernética. Exercícios conjuntos tipo “red team” devem incluir não só cenários de drones físicos, mas também ataques digitais a redes aeroportuárias. EUROCONTROL deve consolidar métricas de desempenho específicas para incidentes UAS e UAS+ciber, permitindo avaliar custos-benefício e investimentos prioritários. A partilha de informação pelo ecossistema EASA/EUROCONTROL e, quando aplicável, com a NATO, é indispensável, dado o risco de campanhas coordenadas de disrupção.

No plano político e financeiro, a Comissão e os Estados-Membros devem recorrer ao Fundo Europeu de Defesa e a outros mecanismos para acelerar a aquisição de sistemas C-UAS interoperáveis e adaptados ao ambiente civil, simplificando procedimentos de compra e criando aeroportos “piloto” onde possam ser testados e avaliados. Importa também integrar a dimensão cibernética no Mecanismo Europeu de Resposta a Incidentes, com capacidade de ativação imediata.

Por fim, a componente humana e de comunicação não pode ser esquecida. Campanhas de sensibilização para operadores recreativos e profissionais, parcerias com fabricantes para impor atualizações automáticas de geofencing em TFRs aeroportuárias e canais de denúncia imediata ajudam a reduzir falsos positivos e tempos de resposta. Também é necessário treinar passageiros e funcionários para reconhecerem sinais de ataque híbrido e saberem reagir de forma segura.

O caso de Munique, com encerramentos e milhares de passageiros afectados durante dois dias, ilustra de forma clara o preço da inacção. A aplicação efectiva do direito europeu, a operação dos U-spaces, a integração da cibersegurança nos planos de defesa aérea civil e a dotação de meios C-UAS de resposta rápida são as alavancas decisivas para proteger a aviação civil europeia de um novo tipo de ameaça híbrida que cruza o digital com o físico.