Alerta público sobre o EES em Portugal e propostas concretas de correção

O que aconteceu com o Entry/Exit System (EES) em Portugal não foi um mero incidente técnico nem um azar pontual. Foi a exposição clara de fragilidades estruturais na forma como o Estado português implementou um sistema crítico europeu, num momento de forte pressão operacional e com preparação insuficiente.

Portugal não opera o núcleo do EES. É apenas cliente de um sistema europeu gerido pela agência eu‑LISA, responsável pelo desenvolvimento e operação do sistema central. Isso significa que a robustez do sistema, do ponto de vista português, depende em grande medida da qualidade da arquitetura nacional de acesso, da capacidade de rede, da redundância local e da preparação operacional nos postos de fronteira. Foi aqui que o sistema falhou de forma mais grave, em particular no Aeroporto Humberto Delgado, em Lisboa, onde a Comissão Europeia identificou “deficiências graves” no controlo de fronteiras.​

Os problemas de carga e de tempos de processamento não foram exclusivos de Portugal. França, Itália, Espanha, Alemanha, Grécia e outros países registaram falhas, filas prolongadas e quiosques inoperacionais, como reconhecido publicamente pela ACI Europe, que pediu uma revisão urgente do EES devido ao aumento até 70% nos tempos de controlo e esperas que chegaram às três horas em vários aeroportos. A diferença esteve na severidade e na duração do impacto em Lisboa, onde houve relatos de esperas de até sete horas e perda de voos, o que mostra uma menor capacidade de absorver falhas operacionais e de contingência face ao mesmo sistema europeu.​

Há responsabilidades claras na dimensão nacional. A extinção do SEF, determinada pela Lei n.º 73/2021, e a criação da AIMA e da nova arquitetura de competências em matéria de fronteiras e migrações coincidiram com a introdução faseada do EES e com um aumento muito significativo de passageiros de países terceiros no Aeroporto de Lisboa. As funções policiais de fronteira foram repartidas por PSP, GNR e PJ, enquanto as funções administrativas e de bases de dados migratórias passaram para a AIMA e outros organismos. Esta sobreposição de reforma institucional com a entrada em funcionamento de um sistema crítico de fronteiras foi uma decisão política arriscada: sistemas de soberania não deveriam ser migrados quando a cadeia de comando, os procedimentos e as equipas ainda estão em plena reorganização.​

Face a este cenário, impõem‑se propostas concretas e imediatas.

Em primeiro lugar, é necessário um reforço técnico urgente da arquitetura nacional do EES. Isso implica aumentar significativamente a redundância dos pontos de acesso nacionais, escalar capacidade de rede e de processamento dedicadas ao controlo de fronteiras, introduzir mecanismos robustos de balanceamento de carga e assegurar que não exista qualquer configuração “mínima” incompatível com um sistema de fronteira de alta criticidade.

Em segundo lugar, deve ser criada ou explicitamente mandatada uma unidade técnica permanente, com autoridade operacional clara, dedicada aos sistemas europeus de fronteira (EES, ETIAS, VIS, SIS). Esta unidade deve integrar especialistas em redes, cibersegurança, sistemas distribuídos e operação 24/7, com cadeia de comando definida e articulação formal com eu‑LISA e com as forças de segurança, e não funcionar como apêndice disperso de várias entidades em fase de consolidação.

Em terceiro lugar, os testes têm de deixar de ser meramente formais. Portugal deve planear e executar testes de stress com volumes de passageiros próximos dos reais, em vários aeroportos e postos de fronteira, em períodos de pico, incluindo cenários de falha deliberada de componentes do sistema europeu e das infraestruturas nacionais. Testar apenas um voo ou um cenário controlado não é suficiente para validar um sistema crítico.

Em quarto lugar, o Governo deve exigir à eu‑LISA e à Comissão Europeia maior transparência técnica sobre falhas operacionais do EES, métricas de disponibilidade, tempos de resposta e planos de correção. Ser cliente de um sistema europeu não significa aceitar opacidade: sistemas que afetam direitos de circulação, segurança e imagem internacional do país exigem escrutínio técnico e político reforçado.​

É também essencial separar comunicação política de explicação técnica. Reduzir o problema a “servidores que avariam” (“pifam” nas palavras da ministra) é tecnicamente impreciso e mina a confiança pública. O país precisa de relatórios técnicos claros, auditáveis e independentes sobre o que falhou – no plano europeu e no plano nacional -, por que falhou e como será corrigido, incluindo as medidas já adotadas, como o reforço de meios humanos, a suspensão temporária do EES e o aumento da capacidade de equipamentos no Aeroporto de Lisboa.​

Há ainda uma dimensão crítica de cibersegurança que foi pouco discutida publicamente e que agrava a gravidade do sucedido. O Entry/Exit System é um sistema de dados sensíveis de altíssimo valor, envolvendo biometria, registos de movimentos transfronteiriços e identificação de milhões de cidadãos de países terceiros. Qualquer degradação operacional prolongada, sobrecarga de sistemas nacionais, bypass de procedimentos normais ou ativação de modos degradados aumenta inevitavelmente o risco de falhas de segurança, de erros humanos, de acessos indevidos e de exposição de dados.

Arquiteturas nacionais subdimensionadas, com poucos pontos de acesso, pouca redundância e forte pressão operacional, criam condições propícias a más práticas: reutilização de sessões, desativação temporária de controlos, aceleração manual de procedimentos e dependência excessiva de soluções de contingência não testadas. Isto não é especulação, é um padrão conhecido em incidentes de sistemas críticos sob stress. Um sistema de fronteiras não falha apenas quando cai; falha também quando continua a funcionar de forma instável.

Acresce que a fragmentação institucional em Portugal, com responsabilidades repartidas entre várias entidades em plena reorganização, dificulta a existência de uma autoridade clara de cibersegurança operacional para os sistemas de fronteira. 

A segurança não pode depender apenas de requisitos contratuais europeus ou de orientações genéricas. Exige monitorização contínua, equipas próprias, capacidade de deteção de anomalias, resposta a incidentes em tempo real e exercícios regulares de ciber-resiliência. Sem isso, o país limita-se a confiar que “o sistema europeu é seguro”, esquecendo que o elo mais fraco é quase sempre o cliente nacional.

Neste contexto, impõe-se uma exigência adicional: Portugal deve tratar o EES, e os restantes sistemas europeus de fronteiras, como infraestruturas críticas digitais, sujeitas a auditorias de cibersegurança independentes, nacionais e europeias, com testes de intrusão, análise de dependências, revisão de acessos privilegiados e avaliação dos procedimentos em modo degradado. A articulação técnica com a eu-LISA e com a ENISA deve ser permanente e operacional, não apenas normativa.

Ignorar esta dimensão seria um erro grave. Um sistema de fronteiras que não consegue garantir simultaneamente desempenho, disponibilidade e segurança não é apenas ineficiente: é um risco para os direitos fundamentais, para a confiança internacional e para a própria soberania digital do Estado. Aqui, como noutras áreas, a cibersegurança não é um “extra”. É uma condição mínima de funcionamento.

Este episódio não é apenas sobre filas nos aeroportos. É sobre a capacidade do Estado português de operar sistemas digitais críticos num contexto europeu cada vez mais exigente. Se não forem feitas correções estruturais agora – técnicas, organizacionais e de governação -, o próximo sistema europeu a entrar em produção repetirá as mesmas fragilidades. E, nessa altura, já não haverá surpresa possível, apenas responsabilidade política claramente identificável.