Num contexto em que o Estado gere um dos ativos mais sensíveis de qualquer sociedade, a informação dos cidadãos, a confiança no digital deixou de ser uma abstração. É hoje um requisito estrutural do funcionamento das instituições. O cidadão não interage com sistemas ou infraestruturas; interage com serviços. É nessa experiência que se constrói, ou se perde, a perceção de fiabilidade do Estado.

A digitalização trouxe ganhos claros em acessibilidade, eficiência e proximidade. Introduziu também uma realidade menos visível: uma interdependência crescente entre sistemas, entidades e processos, onde uma falha isolada pode ter impacto alargado. Quando um serviço digital falha, raramente é percebido como um problema técnico. É entendido como uma falha do próprio Estado.

Neste contexto, a questão deixou de ser apenas prevenir incidentes. O foco passou a estar na capacidade de manter o serviço a funcionar quando algo corre mal. A resiliência deixa, assim, de ser um tema técnico e passa a ser um indicador direto de maturidade operacional.

Mas essa maturidade enfrenta limitações concretas. O setor público opera sobre décadas de evolução tecnológica acumulada, onde sistemas legados coexistem com novas plataformas. O risco não está apenas nos sistemas em si, mas nas ligações entre eles, nas zonas de transição onde a complexidade aumenta e a visibilidade diminui. A isto soma-se a interoperabilidade entre entidades e a necessidade de manter controlo efetivo sobre dados e acessos num ecossistema cada vez mais distribuído.

Perante este cenário, investir em tecnologia não é suficiente. Muitas organizações estão bem equipadas, mas continuam com lacunas na execução. Falta clareza sobre quem decide, como se responde e com que prioridades quando ocorre um incidente crítico. Num cenário real, às cinco da manhã, essa ausência de decisão não é teórica. Traduz-se em serviços indisponíveis, atrasos e impacto direto no cidadão.

O enquadramento regulatório recente reforça esta mudança de paradigma. A NIS2 retira a cibersegurança do domínio exclusivamente técnico e coloca-a no centro da responsabilidade da gestão. O seu impacto mais relevante não está na conformidade formal. Está na exigência de demonstrar capacidade real, incluindo sob pressão temporal.

Mais do que cumprir requisitos, é necessário operacionalizá-los. Isso traduz-se em cinco capacidades fundamentais: conhecer o que existe, proteger o que é crítico, detetar desvios e ameaças, responder com rapidez e recuperar com eficácia. Não como conceitos teóricos, mas como práticas testadas em contexto real, com impacto direto na continuidade dos serviços.

Na prática, isto exige mudanças estruturais. Desde a visibilidade sobre ativos, dados e dependências, incluindo fornecedores, até à gestão rigorosa de identidades e acessos, que passam a ser um dos principais pontos onde o risco se manifesta e se amplifica. Exige também monitorização contínua, capaz de correlacionar sinais dispersos, e mecanismos de resposta que combinem automação com decisão informada.

A inteligência artificial acrescenta uma nova variável a esta equação. Por um lado, aumenta a capacidade de deteção e resposta, permitindo identificar padrões que escapam à análise tradicional e agir em tempos compatíveis com ataques automatizados. Por outro, introduz novos riscos, desde decisões opacas até à amplificação de erros à escala. Num contexto em que existem janelas de reporte e resposta cada vez mais exigentes, a velocidade deixa de ser apenas uma vantagem. Torna-se um requisito.

A automação pode conter um incidente em segundos. Mas é a governação que determina se essa contenção é a decisão certa. A fronteira não está entre humano e máquina. Está entre controlo e ausência dele.

A verdadeira prova está na continuidade. Garantir que os serviços persistem durante uma crise exige mais do que redundância técnica. Exige definição prévia de prioridades, compreensão do impacto e preparação de alternativas viáveis, incluindo fora do digital. A recuperação técnica, por si só, não garante a continuidade do serviço público.

A confiança digital constrói-se ao longo do tempo, mas pode perder-se num único momento. Num contexto onde decisões podem ser aceleradas por sistemas autónomos, essa fragilidade torna-se ainda mais evidente. Num ambiente em que os dados pessoais são centrais na relação com o cidadão, a segurança não pode ser acrescentada no fim. Tem de estar presente desde o início.

A confiança e a resiliência não se declaram, constroem-se. Em última análise, a resiliência não é apenas uma capacidade técnica. É um fator de estabilidade institucional. Serviços públicos resilientes não são os que nunca falham, mas os que preservam a sua função quando são postos à prova.

Reforçar a robustez digital é, por isso, mais do que uma prioridade tecnológica. É uma condição essencial para garantir a continuidade do Estado, proteger os direitos dos cidadãos e sustentar a confiança pública num mundo cada vez mais dependente do digital.

Hugo Mestre,
Executive Director & Head of Cyber Trust Devoteam