Gameiro Marques: “A maior ameaça que enfrentamos é a desinformação”

Vamos mesmo começar pelo princípio: soberania digital. Estamos a falar exatamente de quê?

Sigo este tema há bastante tempo e para que percebam melhor, gosto de fazer analogias com o mundo físico.

No mundo físico, há zonas como estreitos ou desfiladeiros. Quem os controla, controla inequivocamente quem por lá passa e pode determinar se lá passam ou não. Tomemos o exemplo do Estreito de Gibraltar, onde dois países - um no sul e outro no norte - têm presença para controlar essa entrada estratégica.

No mundo digital, a analogia faz-se com os chamados pontos de concentração estratégica: quem controla a conceção e a produção da tecnologia tem uma vantagem enorme sobre quem apenas a utiliza. Acho que isso é compreensível para qualquer pessoa.

Se olharmos para as diversas camadas tecnológicas que usamos todos os dias, percebemos rapidamente que, ao que às nossas infraestruturas diz respeito, os dois grandes players mundiais são os Estados Unidos da América e a República Popular da China. A Europa, mesmo sendo maior que a União Europeia, não tem grande coisa a dizer nessa área - com a exceção do 5G, onde por orientação da Comissão Europeia, alguns Estados-membros tomaram decisões semelhantes à que Portugal tomou, o que proporcionou que duas grandes marcas europeias voltassem a surgir na área do 5G, nllesse mercado. Se assim não fosse, provavelmente, não teriam mercado e, também no 5G, a Europa ficaria para trás.

Nos dispositivos que usamos - tablets, computadores, smartphones - a conceção é feita nos EUA e a produzidos no Extremo Oriente. Europa, zero. Os sistemas operativos, nenhum é concebido na Europa. Nas redes sociais, nos serviços de cloud - entre os dez maiores prestadores de serviços cloud do mundo não há um único europeu. A única exceção é na área das Enterprise Resource Planning Tools (ERP), onde a SAP alemã é uma referência mundial. De resto, não temos nada.

Ora, se usamos os nossos dados - através dos quais se gera informação e se tomam decisões - em tecnologia que não é concebida, nem produzida em solo europeu, então a nossa soberania digital é, no mínimo, pobre.

Como é que a Europa mitiga isto? Através da regulação. É aí que a Europa é forte - para o bem e para o mal. Exigirá que quem fabrica equipamentos ou oferece serviços fora do espaço europeu cumpra as normas europeias. É isto que, para mim, deve ser um dos focos da discussão pública sobre o digital e a soberania digital.

Veja e ouça o podcast na íntegra:

Na sua opinião a soberania digital europeia não está perdida, mas está debilitada. Qual considera o fator mais crítico dessa fragilidade?

Com a descrição que já fiz, os pontos de fragilidade estão evidentes. Mas se tiver de escolher, diria que os mais críticos são o local onde guardamos os dados - e os metadados, que são os dados sobre os dados. Esses locais devem, na minha opinião, estar em solo europeu, sob leis europeias. A soberania também é isso.

Existem países muito poderosos no mundo que têm leis que não se importam com a legislação europeia. Quer a leste, quer a oeste. Foi precisamente essa a motivação fundamental da Comissão de Avaliação de Segurança que propôs as medidas adotadas em relação ao 5G.

Não foi por causa da tecnologia - que até cumpre os mais exigentes requisitos técnicos de segurança -, mas por causa da legislação dos países onde os fornecedores estavam estabelecidos. A tecnologia, em si, é excelente. O problema é legal: se a lei de origem pode exigir acesso aos dados recolhidos por essa tecnologia, então há um risco alto.

E esse risco foi reconhecido pela Comissão?

Esse foi o nosso farol, desde o início, da Comissão, em agosto de 2022. Entendemos que não devemos permitir que os dados dos cidadãos europeus, neste caso os dos cidadãos que estão em Portugal, possam ser acedidos por autoridades de países terceiros com base nas suas próprias leis. Mesmo que já aconteça - como muitos dizem - isso não justifica a omissão.

O Estado tem uma responsabilidade, tem funções que não podem ser externalizadas, e uma delas é a segurança e os direitos, liberdades e garantias dos seus cidadãos. Se o Estado aliena essa parte, está a alienar uma função fundamental do Estado, independentemente da doutrina política que enforma esse Estado.

Há Estados-membros que tomaram medidas semelhantes às de Portugal?

Sim, vários Estados-membros adotaram medidas muito parecidas com as nossas. No processo, a Comissão de Avaliação de Segurança interagiu com um número muito significativo de países, incluindo o Reino Unido - que, apesar de já não ser Estado-membro, continua a ser uma referência nestes temas.

Naturalmente, houve abordagens diferentes. Alguns países foram muito dissimulados. Há uns que dizem uma coisa e, na prática, fazem outra. Mas a verdade é que essa partilha existiu e nós, em Portugal, tínhamos uma exposição significativa àquelas tecnologias. Por isso, fizemos o nosso trabalho: identificámos tudo o que existia e os riscos associados.

E quanto à diretiva NIS 2 (novo regime jurídico) de cibersegurança? Portugal está pronto para aplicar as novas e exigentes regras?

Começámos a trabalhar na transposição da NIS 2 em maio de 2023. O plano era que o projeto de legislação entrasse no Parlamento logo após a aprovação do Orçamento do Estado para 2024, para que, na pior das hipóteses, em junho já tivéssemos a legislação publicada - cumprindo confortavelmente a meta europeia de 17 de outubro de 2024.

Infelizmente, ocorreram situações que são do conhecimento público, completamente fora do nosso controlo. O projeto de lei foi entregue no Parlamento a 14 de fevereiro deste ano, após uma conferência organizada no dia 9 de dezembro de 2024 pelo DN, pela SEDES e pela Ordem dos Economistas. Houve depois uma grande participação na consulta pública: recebemos 149 contributos da sociedade civil, que foram analisados e integrados no projeto final.

Todavia, a diretiva que trata da resiliência das infraestruturas críticas foi aprovada e promulgada a 19 de março, por decreto-lei 22/2025, e a nossa, não. Estava agendada para debate no dia 20, mas a última sessão parlamentar foi a 19. Ficou por discutir.

E o que fizeram entretanto?

Tínhamos duas opções: a daquele aluno cujo exame foi adiado e vai fazer outra coisa qualquer, ou continuar a trabalhar afincadamente no assunto. Escolhemos a segunda. Mesmo que não haja alteração ao prazo que a legislação dá, dois anos, para as entidades se adaptarem. Desejaria que esse prazo real fosse mais curto, descontando o tempo que já passou. Algo como 18 meses seria razoável.

Enquanto isso, temos avançado. Primeiro, a produção de conteúdos formativos, que está numa fase muito avançada. Essa formação será dada através da Cy Academy, uma rede de 21 universidades e politécnicos em todo o país, incluindo as regiões autónomas, que já está em pleno a dar formação em cibersegurança. Queremos dar oportunidade às entidades saibam o que têm de cumprir. Não se pode exigir sem dar oportunidade para aprender.

Há mais iniciativas?

Sim. Estou muito empenhado, antes do fim do meu mandato como diretor-geral, a 31 de maio, em lançar o processo aquisitivo para que o CNCS seja dotado de uma ferramenta interativa que é inspirada em experiências belgas. A ideia é que as entidades possam identificar a sua matriz de risco, perceber os requisitos que têm de cumprir e fazer uma espécie de viagem guiada pelos meandros NIS2, que não são propriamente triviais.

O objetivo é ajudar as organizações a prepararem-se com antecedência, a planear bem, a integrar este esforço nos seus orçamentos. Temos insistido muito: não deixem para amanhã o que podem fazer hoje. Vejam onde estão, percebam o que precisam de alcançar nos próximos dois anos e planeiem com tempo, inscrevendo o que têm de executar nos respetivos orçamentos.

As entidades privadas estão convencidas de que isto é um investimento e não uma despesa?

Dividiria as empresas em dois grandes grupos. Primeiro, as que já cumprem normas da NIS1 - essas estão mais bem preparadas, sobretudo as que têm mais de 250 trabalhadores, uma vez que, de uma forma geral, já têm de cumprir uma série de normas. Finalmente, temos as PME com entre 50 e 249 trabalhadores - essas sim, são o nosso maior foco, sobretudo se pertencem a setores que não foram contemplados na NIS1. Muitas vão ser abrangidas pela diretiva pela primeira vez.

Para estas empresas, temos três recomendações: primeira, que mandem alguém frequentar a formação, que há pouco mencionei. Ela será acessível, espalhada pelo país e bastante prática. Segunda, já criámos uma rede de sete centros de competências - cinco no continente, um em cada região autónoma - para apoiar tecnicamente o setor público e privado, e indicar também fontes de financiamento europeu.

E a terceira?

Uma que gosto muito de repetir: “Juntos vamos mais devagar, mas vamos mais longe.” As PME devem associar-se - com outras empresas congéneres ou mesmo concorrentes - e procurar serviços partilhados. Podem usar as suas associações setoriais ou os centros de competências para aceder a serviços de cibersegurança.

Não há volta a dar, e o que recomendamos é que vejam a conformidade não como um fim, mas como um caminho para se tornarem mais resilientes, e assim dar mais confiança aos clientes. É como os rótulos de eficiência energética: pode custar um pouco mais, mas transmite confiança. A cibersegurança seguirá o mesmo caminho, até por causa dos sistemas de certificação.

Estas entidades que estamos a referir são de setores vitais para o país - energia, saúde, setor financeiro, transportes - tanto públicas como privadas, certo?

Exatamente. E já fizemos a projeção do impacto: o número de entidades abrangidas vai aumentar de cerca de 400 para 4000. É um salto enorme. O setor público, que na NIS1 não era incluído, passou agora a estar. E ainda bem que conseguimos que isso fosse contemplado, logo na transposição desta diretiva já em 2018.

Foi criada uma classificação específica para entidades da Administração Pública, com uma regulamentação particular. Isso levanta dúvidas. Já aconteceu noutras legislações termos dois regimes: um para o público e outro para o privado. Estamos a responsabilizar as administrações das empresas, até criminalmente. Não é essencial que fique claro que o que se aplica ao setor privado também se aplica ao público?

E essa incerteza pode influenciar a motivação das empresas?

Pode, sim. E acho que não deveria ser esse o caminho. O Estado não pode exigir mais à entidade privada do que exige a si próprio, pelo menos nesta área. O que exijo aos que trabalham comigo, exijo ainda mais a mim próprio. E o que peço às empresas privadas, o Estado deve também cumprir.

Isso foi considerado na proposta de lei?

Foi ponderado, por exemplo, no caso das freguesias. Há freguesias muito pequenas, sobretudo no interior do país, mas também há freguesias em grandes cidades com mais dimensão do que algumas câmaras municipais. Definiu-se uma classificação - A, B, C - para distinguir a aplicação dos requisitos. Mas espero, sinceramente, que não haja essa diferenciação.

Está confiante de que essa diferenciação será evitada?

Espero que sim. Se não, é dizer: “Façam o que eu digo, não façam o que eu faço.” O Estado presta hoje imensos serviços digitais. O e-government é uma realidade. Não vai exigir, pelo menos, a mesma coisa a si próprio?

Uma vez que ainda há trabalhos em curso, acredito que essa situação possa ser esclarecida.

Entretanto, outros países já avançaram com a transposição?

Quando começámos este processo, eram poucos os países que já tinham transposto a diretiva. Agora já são 16 os que transpuseram, e 11 que ainda não o fizeram - pelo menos até à última sexta-feira, quando consultei.

A ausência de aprovação até pode ter um lado positivo: podemos aprender com quem já foi à frente. Podemos aproveitar os erros, as boas-práticas e os exemplos dos outros. Quando elaborámos os contributos para a consulta pública - com mais de 40 ou 50 empresas envolvidas - houve um esforço muito significativo. E foi um mês adicional de trabalho que valeu a pena, porque reforçou o conteúdo da proposta e abriu margem para este ciclo de aprendizagem coletiva.

O anteprojeto espanhol cria condições mais favoráveis ao investimento em cibersegurança e à criação de valor. A estratégia portuguesa, tal como está, não contém referências, nem objetivos nesse sentido. Já a espanhola obriga o governo a desenvolver políticas económicas que favoreçam esse ambiente...

A Estratégia Nacional de Cibersegurança 3.0 já está escrita, mas aguarda a publicação da nova legislação para ser alinhada com ela. Será um dos instrumentos para concretizar a NIS 2.

Ainda pode haver margem para ajustar a proposta?

Acredito que sim. Como a lei ainda não foi aprovada e há uma continuidade governativa, essa é uma oportunidade real. Aliás, li com atenção os contributos da Ordem dos Economistas e da SEDES à consulta pública - foram cerca de 25 páginas. Uma das ideias era haver incentivos fiscais para as empresas mais cumpridoras. Achei excelente. Não ficou na proposta de lei, mas poderá integrar o Plano de Ação da Estratégia e da NIS 2. Vou estar atento.

Voltando ao tema das infraestruturas críticas - tivemos recentemente um apagão. O Gabinete Nacional de Segurança e o Centro Nacional de Cibersegurança tiveram um papel central na resposta. Como correu esse processo?

Em contexto de crise, não somos duas entidades - somos uma só. Formalmente já somos uma, embora com duas marcas. E nesse dia funcionámos como tal.

A primeira decisão foi libertar todos os que não estavam diretamente envolvidos na resolução tática do problema. Estávamos a operar com energia assistida, por isso era necessário reduzir consumos. Foi uma medida óbvia, mas importante.

Mas o maior desafio não foi técnico. Foi combater a desinformação - para mim, a maior ameaça que enfrentamos no ciberespaço. Meia hora após o apagão, já circulavam notícias falsas. Uma delas era tão grave que poderia ser interpretada quase como uma declaração de guerra. E ninguém confirmou antes de difundir.

E como responderam?

Mobilizámos todas as nossas fontes: estamos ligados à rede europeia de equipas de resposta a incidentes (CSIRT), à rede Cyclone - a rede europeia de gestão de crises de cibersegurança - e temos acesso a fontes pagas em várias geografias. Com base nisso, conseguimos verificar factos e alimentar, com dados credíveis, a nossa tutela - o ministro da Presidência. Outros agentes, como os serviços de informações e a Polícia Judiciária, também estiveram envolvidos.

Mas, para mim, este é um enorme flagelo. Hoje, muitas pessoas só leem aquilo que aparece nas redes sociais - e a maior parte dessa informação só por acaso é que é verdadeira. É desenhada para ser consumida rapidamente, sem filtro e feita à medida para quem se destina.

Isso, para mim, é um enorme problema, muito maior do que os rasomwares e os phishings da vida. Porque isso mitiga-se, técnica e processualmente. Isto não.

Só se reduz o impacto com mudanças comportamentais profundas, com campanhas de informação, para as pessoas tentarem ler de outras fontes.

Ou então levam a que os governos tenham de estar permanentemente a por informação.

No caso do apagão, a certa altura não conseguiram comunicar para fora, pelo menos nós, no jornal, não conseguíamos fazer contacto por causa da falha das comunicações. Houve lições aprendidas?

Não existe no Estado um centro dedicado às lições aprendidas. Ao contrário, por exemplo, da Marinha - a minha casa-mãe -, que tem um Centro de Lições Aprendidas, onde tudo é escalpelizado: o que correu bem, o que correu mal, o que não pode voltar a acontecer. Também a NATO tem um centro desses, em Lisboa. Mas o Estado civil, até hoje, não tem nada semelhante. Já repararam que nós vivemos uma pandemia, viveram-se situações muito críticas, fizeram-se coisas boas, menos boas, mas não há um local onde isso hoje, que eu saiba, esteja analisado, com vista a não voltar a repetir os mesmos erros?

O conhecimento tácito - aquele que não conseguimos passar facilmente - perde-se. Nós não somos eternos. Por isso, aquilo que aprendemos devia ficar sistematizado. Sem isso, repetimos os mesmos erros e criamos ineficiência. Precisamos de cenários de risco bem definidos e de comunicações resistentes. Existem países que já desenvolveram soluções robustas - com comunicações por satélite, por exemplo. Só temos de aprender com eles.

Porque, numa crise, o indivíduo só decide com base em informação. Se não, é por intuição. E a intuição, muitas vezes, leva a decisões erradas. É por isso que precisamos de dados fiáveis e de canais de comunicação seguros.

Mas também temos, culturalmente, uma grande capacidade de improvisar, o que por vezes substitui uma gestão de risco estruturada...

Somos muito bons a reagir. Mas isso não substitui um sistema. E quando falamos em gestão de risco, estamos a falar precisamente em criar condições para que “nada aconteça”. No apagão, a maior crise não foi a da energia - foi a das comunicações. E em alguns casos, também da água. A falha energética levou à falha de comunicações, e isso impediu a resposta. Foi um efeito em cadeia. E sem comunicações, não há comando, nem controlo. Isso é algo que aprendemos muito cedo na carreira militar: não há comando sem comunicações. Ponto. Ou as pessoas têm a informação mínima para tomar decisões, ou é um desastre.

A propósito de comunicações - o governo está a implementar um sistema de comunicações seguras. Estão envolvidos nesse processo?

Já estivemos envolvidos, sim. A certificação já está feita. Foi concluída no início deste ano. Está certificada até ao nível “nacional reservado” e é válida por dois anos. O certificado está disponível publicamente no site do Gabinete Nacional de Segurança. O sistema está instalado e pode funcionar.

E está a ser usado?

Isso já não sei. A nossa função é certificar, não monitorizar o uso. O sistema está disponível, pode ser instalado e está amplamente testado. Mas se está a ser utilizado ou não, isso não me compete saber.

Isso levanta mais uma questão cultural, não é? Porque se acreditam numa aplicação que é a aplicação Signal ou WhatsApp, que nem sabem quem é que a construiu, nem onde funciona, e acreditam nela e usam, mas não acreditam numa que foi feita por entidades que conhecemos e foi certificada por uma autoridade portuguesa, é uma questão cultural. Podíamos era fazer como alguns estados democráticos, que é: se está a usar um dispositivo pago pelo dinheiro público, tem de ter regras e só pode ter determinadas aplicações . Mas isso iam logo dizer que isto aqui não é tropa.

E quanto custou esse sistema de comunicações seguras?

Foi um investimento feito pelo Ceger (Centro de Gestão da Rede Informática do Governo). Julgo que estamos a falar de algumas centenas de milhares de euros. Nada de extraordinário, tendo em conta o número de licenças adquiridas - ministros, membros dos gabinetes, e por aí fora.

A sua liderança no Gabinete Nacional de Segurança termina no final de maio. Olhando para os próximos anos, quais são as ameaças emergentes que mais o preocupam? E, numa lógica construtiva, o que é que Portugal pode fazer melhor para se preparar e responder a esses desafios?

Há pouco referi que é, precisamente a explosão da desinformação que amplificada no ciberespaço. Essa é, para mim, a principal ameaça emergente. Há relatórios internacionais que sigo de perto, como os da Freedom House, que mostra que desde 2006, o número de países classificados como democracias tem vindo a diminuir continuamente.

Perguntam: mas o que é que a tecnologia tem a ver com isso? Tem, porque ela é usada por pessoas que a usam para amplificar esta narrativa, que leva a que, depois, as pessoas sejam manipuladas ou coagidas, não votar em quem achavam que deviam votar e têm que votar no outro e assim sucessivamente.

E não é só a Freedom House que o diz, há outros relatórios desta natureza. Para mim, é a maior ameaça, porque se fizermos uma projeção e se nada for feito, lá para o fim da década de 30 não haverá países democráticos no mundo. Espero que não aconteça, mas temos de ter consciência disto.

Podem dizer que isto não é um problema de cibersegurança, mas é, porque a cibersegurança está intimamente ligada com uma coisa que é a segurança da informação. E a segurança da informação tem a ver com a confidencialidade da informação, a integridade e a disponibilidade. Ora, se se altera premeditadamente o teor da informação, então está-se a lesar a integridade dessa informação. Portanto, é o problema de segurança da informação.

Só que é um problema com impacto estratégico, porque pode mudar a forma como as pessoas percecionam a realidade que a rodeia. Então, se viverem só em casulo da tecnologia, não vamos alterar esses comportamentos assim de um dia para o outro. Temos é que pensar e olhar como é que outros países estão a fazer as coisas. Se calhar temos de começar a ensinar mais cedo, nas escolas, que isso não é a forma de se viver de forma saudável.

Do norte da Europa que já tem introduzidos nos seus curricula conteúdos que ajudam. Têm, por exemplo, nos planos de estudos para os jovens do 1.º e 2.º ciclos, que incluem a caça ao facto falso. Fazem exercícios justamente para criar uma mentalidade resiliente nos jovens…

E afastá-los um bocadinho do digital. Vejam as histórias giras e inspiradoras que se passaram no dia do apagão, em que as pessoas não tinham telemóvel.

Voltaram a conversar à volta da mesa, ao jantar, à luz de vela. Eu cheguei a casa à noite e os nossos vizinhos estavam na rua a conversar uns com os outros.

Comentei: “Foi preciso um apagão para nos encontrarmos e conversarmos.”

Há um artigo de que gosto muito, chamado A World Without Trust, que fala precisamente disso: que as pessoas têm de voltar a acarinhar as redes de pessoas, conversas, assim como a que estamos a ter.

Se pudesse decidir uma única medida para reforçar a soberania digital de Portugal, qual seria?

Não há uma “silver bullet”. Mas posso dar um exemplo concreto de algo que já fizemos numa área que temos de ter controlo, que é a forma como os dados são transmitidos ponto a ponto. Em 2021, iniciámos o desenvolvimento de uma máquina de encriptação nacional - feita em Portugal, por portugueses, com capacidade para distribuição de chaves quânticas e programável com algoritmos pós-quânticos. E no dia 24 de abril deste ano, essa tecnologia foi testada com sucesso numa rede em que os seus nós se encontravam na Universidade de Aveiro e um na Altice Labs.

Isto não é uma visão: é uma realidade. E o meu desejo é que avancemos agora para a industrialização dessa tecnologia e a sua disseminação no Estado, em áreas como a Defesa, os Negócios Estrangeiros, a Justiça, a Administração Interna, incluindo as nossas embaixadas e adidos de Defesa e, eventualmente nos centros de comando e controlo das infraestruturas críticas. Pode parecer uma ambição utópica, mas é exequível.

Se pudesse deixar uma única mensagem escrita ao seu sucessor no Gabinete Nacional de Segurança - uma lição aprendida ou uma ambição estratégica -, o que escreveria?

Escreveria algo muito simples, mas que carrego comigo todos os dias: tudo o que se constrói de valor é feito com as pessoas. Com dedicação, com integridade, com sentido de missão. Sempre a partir do “nós”, nunca do “eu”.

Desde que assumi a direção do Gabinete Nacional de Segurança, em setembro de 2016, procurei cultivar uma cultura organizacional baseada nestes princípios. Uma cultura em que cada um se sente responsável pelo todo. A mais importante lição é esta: tudo o que se constrói de bom é feito com as pessoas que connosco trabalham e que são nossos parceiros. Se eu desejasse uma só coisa para depois de 31 de maio, seria que essa cultura permanecesse na instituição que liderei durante quase 9 anos.

Veja e ouça o podcast na íntegra: