A 20 de maio de 2026, o portal BASE.gov (https://www.base.gov.pt/Base4/pt/detalhe/?type=contratos&id=14935054) registou um contrato de consulta prévia entre a Agência para a Integração, Migrações e Asilo (AIMA) e a empresa Topick World Lda, no valor de 49.900 euros, para a “aquisição de serviços de consultadoria para adequação dos sistemas da AIMA aos novos ICD do VIS Recast e EES”. O contrato foi adjudicado por consulta prévia, sem concurso público aberto nem comparação pública de múltiplas propostas.

A cronologia levanta questões. O sistema europeu Entry/Exit System (EES) entrou em funcionamento oficial e pleno em todos os países do Espaço Schengen a 10 de novembro de 2024, após sucessivos adiamentos nos anos anteriores. Isto significa que, em maio de 2026, Portugal e os restantes Estados-membros já operavam o sistema em regime pleno há cerca de um ano e meio…

Os “ICD – Interface Control Documents” são documentos técnicos produzidos pela eu-LISA que definem como os sistemas nacionais comunicam com os sistemas centrais europeus, neste caso o EES e o VIS Recast (Sistema de Informação de Vistos). As especificações técnicas foram distribuídas aos Estados-membros com anos de antecedência precisamente para permitir planeamento, desenvolvimento e testes antes da entrada em produção em 2024.

A contratação desta consultadoria em maio de 2026 demonstra que a adaptação técnica e a afinação dos sistemas nacionais da AIMA continuam em curso muito após a entrada em vigor do sistema europeu. Isto não prova, por si só, falhas críticas de segurança ou integridade de dados, mas demonstra um esforço contínuo e tardio de adequação técnica face ao calendário europeu original. A integração de sistemas biométricos e bases de dados migratórias implica requisitos exigentes de interoperabilidade, autenticação e consistência de dados, especialmente num contexto de operação em tempo real.

O que fizeram outros aeroportos europeus?

A comparação europeia neste domínio é difícil, uma vez que o impacto do EES foi global e as realidades, cargas turísticas e condições dos aeroportos europeus são bastante diferentes Apesar destas limitações é possível fazer algumas comparações:

Espanha: Em Madrid-Barajas, a operadora AENA instalou centenas de e-gates e reforçou as equipas de apoio ao passageiro para o EES desde meados de 2024. Espanha investiu dezenas de milhões de euros na adaptação nacional do sistema de fronteiras. Contudo, também houve relatos de atrasos e falhas técnicas durante a implementação inicial, pelo que a transição não foi totalmente fluida e desprovida de problemas.

Itália: Em Roma-Fiumicino, os Aeroporti di Roma expandiram significativamente os controlos automatizados para mitigar o impacto da recolha de dados biométricos (impressões digitais e fotos faciais) exigida pelo EES. O aeroporto romano movimenta ainda mais passageiros que Lisboa e enfrentou igualmente constrangimentos operacionais nas fases de maior fluxo.

França: Em Paris-Charles de Gaulle e Orly houve episódios documentados de falhas nos quiosques biométricos e atrasos substanciais em determinados períodos de pico. Contudo, não houve nenhum colapso sistema com a consequente reversão sistemática ao carimbo manual. Há relatos de planos de contingência manuais temporários em momentos de sobrecarga do sistema central da eu-LISA, mas não de suspensão total do novo sistema.

Portugal: Em Lisboa, o problema tornou-se particularmente visível porque o aeroporto já funciona no limite da sua capacidade de infraestrutura há muito tempo e antes da entrada em vigor do EES. Multiplicaram-se os relatos de esperas superiores a duas horas no controlo de fronteiras para passageiros de países terceiros (extra-comunitários). A transição em Portugal para o EES foi marcada por constrangimentos logísticos, informáticos e até de espaço físico frequentes multiplicados pela reestruturação das forças de segurança (com a transição de competências do ex-SEF para a PSP e para a AIMA).

O contrato no Base.gov com a Topick World reflete a necessidade de manutenção corretiva e evolutiva da administração pública portuguesa face a atualizações constantes da União Europeia:

1. A eu-LISA (Agência Europeia para a Gestão Operacional de Sistemas de TI de Grande Escala no Espaço de Liberdade, Segurança e Justiça) definiu o EES, o VIS Recast e a interoperabilidade dos sistemas Schengen como prioridades obrigatórias. A arquitetura técnica e os calendários revistos já eram, há anos, do conhecimento do Estado Português.

2. A AIMA, que herdou as competências administrativas do antigo SEF, gere sistemas ligados a autorizações de residência, vistos e dados biométricos de cidadãos estrangeiros. A adaptação permanente ao VIS Recast e ao EES implica a revisão de mecanismos de autenticação, proteção de dados em trânsito, sincronização de registos biométricos e conformidade estrita com os regulamentos europeus de interoperabilidade. A existência deste contrato pode indicar que esta adapção e aprendizagem ainda não está em níveis óptimos.

Não há provas claras de que o sistema português esteja inseguro. Mas a necessidade de recorrer a consultadoria específica para os documentos de controlo de interface (ICD) nesta data sugere que o processo de integração técnica nacional ainda exige afinações profundas para mitigar os constrangimentos que afectam a fluidez dos passageiros nos aeroportos nacionais.

Como tornar o EES mais rápido:

A discussão pública em Portugal tem oscilado entre dois extremos igualmente inúteis: suspender o EES até setembro (a proposta da Ryanair e Carlos Moedas, que o Governo recusou) ou insistir no cumprimento integral sem admitir que a infraestrutura atual não está à altura do tráfego real. Contudo, existe um campo entre estes dois extremos radicais:

1. O primeiro estrangulamento não é o sistema europeu central. É o momento em que o passageiro chega ao posto de fronteira sem qualquer pré-processamento. O EES obriga à recolha de quatro impressões digitais e fotografia facial na primeira entrada: um processo que demora entre 90 segundos e quatro minutos por passageiro, dependendo do equipamento, da qualidade biométrica e da familiaridade do agente com o procedimento. Multiplicado por voos transatlânticos com 200 ou 300 passageiros extracomunitários a desembarcar em simultâneo, o resultado é aritmético: o sistema não colapsa por falha técnica, colapsa por ausência de capacidade instalada para o volume real de passageiros.

A solução estrutural não é ter mais agentes a fazer o mesmo processo mais depressa. É mover o processo para montante. Os quiosques de pré-registo: a chamada aplicação “Travel to Europe”, cuja implementação plena ainda está incompleta, permitem que o passageiro forneça os dados de viagem e até comece o processo de registo biométrico antes de embarcar ou durante o voo. Quando chega ao posto de fronteira, o agente apenas confirma a identidade e verifica o sinal de risco já calculado. Em vez de um processo de quatro minutos por passageiro, passa a ser uma verificação de 30 a 45 segundos. A Itália já planeou testar esta funcionalidade de pré-registo com companhias aéreas selecionadas em rotas de baixo volume, mas a implementação generalizada depende de coordenação entre Estados-membros, companhias aéreas e eu-LISA: coordenação que Portugal ainda não demonstrou ter ativado. 

2. Outro estrangulamento é a ausência de separação eficaz de fluxos. Em Madrid-Barajas, os passageiros norte-americanos foram direcionados para máquinas EES dedicadas (com cerca de 35 a 40 equipamentos visíveis só numa área de chegadas), com os que tinham perfil de risco baixo a avançar para e-gates e os restantes a completar verificação com um agente. Em Lisboa, a separação entre passageiros em primeiro registo EES, passageiros já registados e passageiros da UE é gerida com recursos manifestamente insuficientes, o que colapsa todos os fluxos ao mesmo tempo.

3. Por fim, o terceiro estrangulamento é a conectividade de rede nos postos de fronteira: As consultas ao EES, VIS e SIS são feitas em tempo real sobre ligações de rede que partilham infraestrutura com o resto do aeroporto. Qualquer degradação (e aeroportos em pico de uso são ambientes de rede particularmente instáveis…) propaga-se imediatamente para as filas físicas. A solução não é complexa do ponto de vista conceptual: ligações dedicadas e segregadas para os postos de fronteira, com redundância ativa e mecanismos de cache local para verificações de perfil de risco já calculado. 

A comparação com Roma-Fiumicino é aqui importante: cada máquina de e-gate em Fiumicino está diretamente ligada às bases de dados do governo italiano, com verificação e reconhecimento facial em tempo real processados localmente em cada equipamento. Esta arquitetura de processamento distribuído – em vez de uma arquitetura de terminal estúpido que consulta sempre um servidor central – reduz drasticamente a dependência da latência de rede e a vulnerabilidade a congestionamentos. Portugal não tem documentação pública que confirme qual a arquitetura dos seus terminais de fronteira. Mas, dados os conhecidos constrangimentos: é provável que não exista em Portugal nada de semelhante.

4. O quarto ponto, frequentemente ignorado mas crucial: é a formação e ergonomia dos postos. Em Madrid, o aeroporto implementou “assistentes digitais de fronteira” itinerantes,  agentes dedicados a apoiar passageiros nos quiosques de primeiro registo, reduzindo o número de erros, tentativas repetidas de leitura biométrica e chamadas ao balcão de apoio. Em Lisboa, a abordagem equivalente é o agente da PSP a gerir simultaneamente o posto de controlo e as dúvidas dos passageiros na fila.

O ângulo da cibersegurança

A discussão pública sobre o EES em Portugal tem sido quase inteiramente operacional: filas, tempos de espera, número de agentes, obras no aeroporto. O ângulo de cibersegurança está ausente dos comunicados do Ministério da Administração Interna, das notas da PSP e das declarações da AIMA.

O EES não é um sistema de gestão de filas. É uma base de dados biométrica centralizada que regista os movimentos transfronteiriços de dezenas de milhões de pessoas, incluindo impressões digitais e imagens faciais, com ligação a sistemas de alerta de segurança partilhados por todos os Estados-membros Schengen. Quando este sistema opera sob stress: com infraestrutura subdimensionada, modos degradados ativados, procedimentos de contingência não testados e fragmentação de responsabilidades institucionais , a superfície de ataque não diminui: aumenta.

Em suma:

1. O primeiro risco concreto é o que acontece quando o sistema entra em modo degradado: Portugal suspendeu o EES em dezembro de 2025, reativou-o em janeiro de 2026 sem que as condições mínimas estivessem garantidas, e voltou a suspender a recolha biométrica em 11 e 12 de abril. Cada uma destas transições – entre modo normal, modo degradado e modo manual – implica procedimentos de segurança distintos: autenticação de sessões, reconciliação de registos, controlo de acessos a bases de dados em estados inconsistentes. Em sistemas críticos sob stress operacional, é precisamente nestes momentos de transição que ocorrem erros de segurança não intencionais: sessões reutilizadas, acessos privilegiados não auditados, dados escritos em bases locais sem sincronização adequada com o sistema central.

2. Outro risco é a integridade dos dados biométricos: O valor do EES como sistema de segurança depende criticamente da qualidade dos dados capturados no primeiro registo. Quando os postos de fronteira operam sob pressão extrema – com agentes a gerir filas de mais de uma hora, equipamento com taxas de falha elevadas e passageiros frustrados -, a tentação operacional de simplificar ou acelerar o processo de recolha biométrica é real e documentada em sistemas comparáveis. Um registo biométrico de baixa qualidade não é apenas ineficiente: é um dado corrompido numa base de dados europeia partilhada que persistirá por três anos e afetará todas as verificações futuras desse passageiro em qualquer fronteira Schengen.

3. Um terceiro risco é específico da fragmentação institucional portuguesa: Com a extinção do SEF e a criação da AIMA, as responsabilidades sobre sistemas de fronteira foram repartidas por PSP, GNR, PJ e AIMA: com a UNEF a entrar em funções apenas em agosto de 2025. Com a extinção do Serviço de Estrangeiros e Fronteiras em 2023, algumas das suas competências passaram para a esfera da PSP, mas a cadeia de responsabilidade operacional de cibersegurança para os sistemas de fronteira – quem deteta uma anomalia, quem responde, quem comunica à eu-LISA e ao CNCS – não é pública e há razões para duvidar que seja clara internamente. A diretiva NIS2 classifica infraestruturas de fronteira como infraestruturas críticas e impõe requisitos de reporte de incidentes, testes de resiliência e auditoria técnica. Não existem indícios de que Portugal tenha realizado qualquer auditoria NIS2 formal sobre a sua implementação nacional do EES.

4. Por fim, o  quarto risco decorrente da suspensão do EES é a cadeia de abastecimento do hardware biométrico: Os leitores de impressões digitais e os sistemas de reconhecimento facial instalados nos aeroportos portugueses são fornecidos por um número muito reduzido de fabricantes, alguns com cadeias de componentes que incluem fornecedores extra-europeus. Não existe um regime de certificação de segurança obrigatório para hardware biométrico equivalente ao que existe para software criptográfico. Um componente comprometido a nível de firmware capaz de transmitir dados biométricos para um destino não autorizado enquanto reporta operação normal  é um vetor de ataque silencioso que nenhum protocolo operacional deteta.

O contrato agora adjudicado à Topick World Lda para adequação dos sistemas da AIMA aos ICD do VIS Recast e EES é, neste contexto, uma peça deste puzzle mais amplo. Adaptar interfaces de sistemas de dados migratórios a especificações europeias em modo de consultadoria tardia e pontual: sem provas de que exista um programa estruturado de cibersegurança para os sistemas de fronteira, sem auditoria técnica independente, sem exercícios de ciber-resiliência documentados : é exatamente o padrão que a CpC tem identificado noutros domínios: cumprir a letra da obrigação europeia sem garantir a substância da segurança que essa obrigação visa proteger.

A proposta concreta é simples na formulação mas difícil na execução: o Governo português deve tratar o EES, o VIS Recast e os sistemas da AIMA como uma infraestrutura crítica digital com dados biométricos de milhões de pessoas, sujeita a auditoria técnica independente com resultados partilhados com o CNCS e a CNPD, testes de intrusão regulares, revisão de acessos privilegiados e exercícios periódicos de ciberresiliência. Enquanto isso não acontecer, Portugal não tem apenas um problema de filas nos aeroportos. Tem um problema de soberania digital que ainda não foi posto em cima da mesa…