A crescente dependência de tecnologias estrangeiras na gestão de dados e operações críticas compromete a soberania digital dos governos. Um exemplo recente é o bloqueio do e-mail do procurador-chefe do Tribunal Penal Internacional (TPI) pela Microsoft, evidenciando os riscos de centralizar serviços em nuvens controladas por empresas estrangeiras.

No Brasil, o Tribunal de Contas da União (TCU), em relatório divulgado em 2024, identificou desafios significativos na segurança cibernética do setor público¹. Esses eventos ressaltam a urgência de implementar estratégias robustas para proteger a infraestrutura de TI governamental.

Neste contexto, é crucial compreender como decisões políticas externas podem impactar diretamente a infraestrutura tecnológica governamental, comprometendo a soberania digital e a continuidade no setor público.

Quando a Política Externa Compromete a Soberania Tecnológica

Em maio de 2025, a Microsoft bloqueou a conta de e-mail de Karim Khan, procurador-chefe do TPI — sediado em Haia. A ação foi uma resposta às sanções impostas pelo governo dos Estados Unidos após o TPI emitir mandados de prisão contra líderes políticos.

Como empresa americana, a Microsoft cumpriu a política federal, efetivamente bloqueando o acesso de Khan às comunicações oficiais. Este incidente destacou a vulnerabilidade de instituições governamentais que dependem de serviços de nuvem fornecidos por empresas estrangeiras.

A concentração de 75% da computação em nuvem global em oito corporações — sendo seis americanas² — levanta preocupações sobre a soberania dos dados e a continuidade operacional em face de decisões políticas externas.

Repercussões na Europa e Lições para o Brasil

A decisão da Microsoft gerou alarme em diversos níveis do governo holandês. Instituições públicas começaram a reavaliar suas dependências tecnológicas e a buscar alternativas locais para garantir maior controle sobre seus dados e operações.

Ludo Baauw, diretor do provedor de nuvem holandês Intermax Group, relatou que pelo menos dez serviços governamentais vitais procuraram sua empresa em busca de soluções para reduzir a dependência de plataformas americanas.

No Brasil, a situação não é diferente. A dependência de tecnologias estrangeiras para serviços críticos é uma realidade em muitos órgãos públicos. A falta de alternativas nacionais robustas e a ausência de uma estratégia unificada de soberania digital aumentam os riscos de interrupções e comprometimento de dados sensíveis.

A Lei da Nuvem dos EUA e Seus Impactos

O Cloud Act (EUA) — Lei de Uso Legal de Dados, promulgada em 2018 — autoriza autoridades americanas a acessar dados armazenados por empresas sediadas no país, independentemente da localização física desses dados.

Isso significa que informações armazenadas em servidores fora dos EUA, mas gerenciadas por empresas americanas, podem ser acessadas pelo governo dos EUA sem necessidade de autorização das autoridades locais.

Essa legislação cria conflitos diretos com regulamentações de proteção de dados de outros países, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, e levanta preocupações sobre a privacidade, a segurança e a soberania dos dados governamentais.

TCU e Brasil em Alerta: Infraestrutura de TI Governamental sob Ameaça

O Tribunal de Contas da União (TCU) incluiu, pela primeira vez, a cibersegurança na Lista de Itens de Alto Risco da administração pública¹. O Relatório de Controle Externo de 2024 aponta riscos críticos e falhas estruturais severas, sobretudo em estados e municípios, que carecem de governança adequada sobre seus sistemas e dados.

As principais vulnerabilidades apontadas incluem:

• Ausência de uma entidade nacional com autoridade normativa e operacional em cibersegurança;
• Gestão de riscos digitais ainda incipiente nas esferas subnacionais;
• Falta de inventário de ativos críticos e dados sensíveis;
• Baixa articulação federativa na resposta a incidentes;
• Pouca adesão a padrões internacionais (como NIST, OTAN e ENISA).

Esse vácuo institucional aumenta o risco de ataques sofisticados como ransomware, expondo órgãos públicos a paralisações, perdas de dados e violações à LGPD — além de comprometer a prestação de serviços à população.

Disaster Recovery: Pilar Estratégico para a Continuidade dos Serviços Públicos

A realização de backups, por si só, já não é suficiente. Garantir a continuidade dos serviços públicos requer um plano estruturado de Disaster Recovery (DR), com ações proativas de prevenção e respostas automatizadas a incidentes.

Um DR eficaz deve incluir:

• Backups imutáveis (WORM), protegidos contra ataques de ransomware;
• Recuperação granular e em larga escala de sistemas e arquivos;
• Ambientes de contingência com validação periódica;
• Integração ao Plano de Continuidade de Negócios (PCN).

Ao implementar essas medidas, a resiliência cibernética torna-se parte integrante da infraestrutura de TI governamental, assegurando a continuidade dos serviços públicos e a proteção da soberania digital.

A Solução da Penso para Governos que Buscam Autonomia e Segurança

A Penso oferece soluções especializadas para o setor público com foco em soberania digital, resiliência operacional e conformidade regulatória. Somos a primeira parceira Veeam certificada no Brasil, premiada como “Impact VCSP Partner of the Year” em 2024, entre centenas de provedores da América Latina.

Nosso portfólio para o setor público inclui:

• DRaaS (Disaster Recovery como Serviço) com cloud dedicada e ambientes isolados;
• Backups imutáveis e replicação geográfica distribuída;
• Testes semestrais documentados e validados por auditoria;
• Suporte técnico com equipe brasileira certificada e monitoramento contínuo.

A estrutura da Penso se apoia em:

• Consultorias especializadas (Risk Assessment, Business Impact Analysis, Plano de Continuidade de Negócios, LGPD, ISO 27001);
• Infraestrutura auditável e de alta disponibilidade;
• Validação contínua de processos e prontidão para auditorias públicas;
• Atendimento personalizado para as demandas do setor público.

Caminho Sem Volta: A Hora de Reagir é Agora

O bloqueio do e-mail do procurador-chefe do Tribunal Penal Internacional (TPI) pela Microsoft, em maio de 2025, evidenciou como decisões políticas externas podem impactar diretamente a operação de instituições críticas. Esse episódio ressalta os riscos de centralizar serviços em nuvens controladas por empresas estrangeiras.

No Brasil, a inclusão da segurança cibernética na Lista de Itens de Alto Risco do Tribunal de Contas da União (TCU) serve como um alerta direto aos gestores públicos. Não se trata apenas de proteger dados; é fundamental preservar a soberania digital, assegurar a continuidade dos serviços essenciais e manter a confiança da sociedade nas instituições governamentais.

Garantir Resiliência Tornou-se Urgência Estratégica

Governos que ainda dependem exclusivamente de tecnologias de terceiros, sem controle jurisdicional, enfrentam riscos significativos. A soberania digital tornou-se uma urgência estratégica, exigindo ações imediatas para fortalecer a infraestrutura de TI e garantir a resiliência diante de ameaças cibernéticas crescentes.

Fale conosco e descubra como implementar um plano de continuidade digital sob medida para sua instituição. Com soluções seguras, compatíveis com a legislação nacional e desenvolvidas especialmente para o setor público, a Penso ajuda governos a proteger dados, assegurar operações e manter a confiança da sociedade.

¹ Tribunal de Contas da União. Relatório de Controle Externo – 2024.

² Dados baseados em levantamento da De Volkskrant, Intermax e CIS Oadvisor.