Quando Serviços Críticos Ficam às Escuras:
Auditoria de Risco e Planeamento de Contingência
Um juiz francês no Tribunal Penal Internacional tenta reservar um quarto de hotel. Entrega o seu cartão de crédito. Recusado. O segundo cartão. Recusado. Ambos os cartões de bancos europeus, ambas as contas com fundos — mas o processamento de pagamentos passa pela Visa e a Mastercard. Redes americanas. Regras americanas.
O juiz aparece numa lista de sanções dos EUA. Não por ter cometido um crime. Porque trabalha para um tribunal que Washington considera uma ameaça.
Não pode alugar um carro. Não pode fazer compras online. Vive e trabalha na Europa, mas a sua vida económica parou da noite para o dia — porque a infraestrutura que a sustém é americana.
Ele é um juiz, não um empresário. Mas a infraestrutura que o deixou ficar é a mesma infraestrutura sobre a qual as empresas europeias gerem todas as suas operações.
O que mudou
Até recentemente, a dependência da tecnologia dos EUA era um risco teórico. Isso mudou — não através de uma única decisão, mas através de uma alteração nas regras do jogo.
Três instrumentos legais tornam a dependência operacionalmente relevante agora:
O CLOUD Act dá às autoridades dos EUA acesso a dados armazenados por empresas norte-americanas — em qualquer parte do mundo. O Defense Production Act permite ao presidente obrigar empresas a entregar tecnologia. E uma designação de risco para a cadeia de fornecimento pode cortar uma empresa de todo o ecossistema dos EUA da noite para o dia.
A consequência já é visível: segundo um inquérito da Gartner, 61 % dos CIOs da Europa Ocidental planeiam reduzir a sua dependência de fornecedores cloud norte-americanos.
A cadeia que ninguém vê
A maioria das empresas não tem ideia de quão profunda é a sua dependência. Veem o Microsoft 365 e pensam: email. Mas a dependência é uma cadeia — e quando um elo se parte, tudo se parte.
Identidade — o interruptor principal. Entra ID (anteriormente Azure AD) gere todas as contas de utilizadores e direitos de acesso na maioria das organizações. Este único serviço decide quem pode fazer login e onde.
Sistemas operativos. O Windows funciona na maioria dos desktops empresariais.
Produtividade. O Microsoft 365 agrupa email, calendário, ficheiros, intranet e chat.
Cloud e backups. Infraestrutura em AWS, Azure ou GCP. Backups no S3, Glacier ou OneDrive.
Processamento de pagamentos. Visa e Mastercard processam a maioria das transações com cartão europeias.
E aqui está o ponto crucial: estas dependências não são isoladas. Estão encadeadas. Uma única revogação de licença, uma única decisão de sanção pode partir toda esta cadeia.
O plano de contingência
| Dependência | Risco em caso de falha | Pilot Light (mínimo) |
|---|---|---|
| Entra ID | Sem logins possíveis | Fornecedor de identidade soberano (Keycloak/LDAP) configurado |
| Windows | Desktops inutilizáveis | Imagens Linux criadas, implementação testada |
| Microsoft 365 (email) | Sem tráfego de email | Servidor de email soberano configurado, mudança de DNS preparada |
| Microsoft 365 (documentos) | Acesso a ficheiros perdido | LibreOffice / Collabora instalados |
| Teams / Zoom | Falha de comunicações | Servidor Matrix/Element implementado |
| AWS / Azure / GCP | Infraestrutura perdida | Conta com fornecedor cloud europeu, configuração base em funcionamento |
| Backups (S3/Glacier) | Perda de dados | Exportação regular de backup para armazenamento soberano testada |
| Processamento de pagamentos | Transações bloqueadas | Débito direto SEPA ativo |
As alternativas existem. Funcionam. Em governos e forças armadas cujos requisitos de segurança excedem os da maioria das empresas. A questão não é se funcionam. A questão é se estarão prontas na sua organização a tempo.
O que fazer
Cinco passos. Nenhum deles requer substituir a tecnologia dos EUA. Cada um deles garante que poderia fazê-lo, se tivesse de o fazer.
1. Mapeie as suas dependências. Não apenas as óbvias — Microsoft, Google, Amazon. Também as camadas por baixo: fornecedores de DNS, autoridades de certificação, fornecedores de CDN, processadores de pagamentos.
2. Priorize os riscos. O que leva à paragem imediata das operações? O que é sobrevivível?
3. Documente alternativas. Para cada dependência crítica: qual é a alternativa? Como se ativa? Quem é responsável?
4. Lance projetos-piloto. As três dependências mais críticas. Condições reais, utilizadores reais, não papel.
5. Teste anualmente. Um plano de contingência que nunca é testado não é um plano de contingência.
As ferramentas — open source, infraestrutura cloud soberana, padrões abertos — são maduras e disponíveis. O que falta à maioria das empresas não é a tecnologia. O que lhes falta é a decisão.
As empresas europeias ainda têm uma escolha hoje. A questão é: por quanto tempo.
Fontes
- Ordem Executiva: Imposição de Sanções ao Tribunal Penal Internacional (Federal Register, fev. 2025)
- Microsoft suspende novas vendas na Rússia (Microsoft, março de 2022)
- Euro cloud body says Broadcom licensing unfair (The Register, maio de 2025)
- Killed by Google: Diretório de serviços descontinuados da Google
- Trump’s sacking of PCLOB members threatens data privacy (Lawfare, jan. 2025)
- Europa vota para enfrentar a profunda dependência da tecnologia dos EUA (Computerworld, jan. 2026)
- LaSuite: A suite de produtividade soberana do governo francês
- Pentágono vs. Anthropic: Uma análise estratégica (digital-independence.org, fev. 2026)
Visão geral temática: Cloud e Infraestrutura