“Alto risco”. Foi com estas palavras, escritas numa deliberação do Conselho Superior de Segurança do Ciberespaço (CSSC) sobre a segurança das redes de 5G em Portugal, que se gerou agitação e dúvidas no setor das telecomunicações em Portugal. Em apenas quatro páginas, assinadas por António Gameiro Marques, que preside à Comissão de Avaliação de Segurança, ficaram inscritos os critérios que podem levar à cessação do uso de equipamentos de alguns fornecedores na infraestrutura da quinta geração de redes móveis em Portugal.
A deliberação refere que o uso de componentes de fornecedores que sejam de fora da UE ou que não pertençam à NATO ou à OCDE nas redes 5G representa um “alto risco” de segurança. Não são mencionadas empresas ou sequer países, mas era fácil perceber quem poderia ser um dos destinatários – a chinesa Huawei, que não está pela primeira vez na berlinda nestes assuntos. Em 2019, foi uma das protagonistas de uma guerra comercial entre os Estados Unidos e a China, que teve reflexos no negócio de smartphones da empresa.
Passados quatro anos e já com o 5G a mexer em Portugal, a Huawei volta a estar no centro das atenções. A deliberação explica que, tendo em conta o relatório da avaliação de segurança e dado “a superior criticidade de exposição ao risco”, fica aberta a porta à “exclusão, aplicação de restrições à utilização ou a cessação de utilização de equipamentos” nas redes de fabricantes que se enquadrem nos critérios.
A deliberação é “vinculativa”, garantiu a entidade responsável por esta avaliação. O Governo frisou que se trata de uma salvaguarda da segurança nacional e que foi uma decisão “exclusivamente técnica”. Pelo meio, a Comissão Europeia deu legitimidade à posição portuguesa e de outros Estados-Membros da União Europeia, argumentando não só que as decisões eram “justificadas” e nomeando diretamente a Huawei e a ZTE como fornecedores com “riscos substancialmente mais elevados” do que outras empresas.
Até aqui, a Huawei tem argumentado que “não teve conhecimento prévio” da deliberação feita pelo Governo português, realçando até que “aparenta ser mais restritiva do que as medidas tomadas” por outros países europeus. Na resposta à Comissão Europeia, foi mais assertiva, falando numa análise que “claramente não se baseia numa avaliação verificada, transparente, objetiva e técnica das redes 5G”.
Os operadores de telecomunicações em Portugal não comentam o assunto. Já os especialistas do setor levantam dúvidas sobre o que poderá seguir-se e com que custos.
O que diz a deliberação?
A deliberação, que data de 23 de maio, foi feita pela Comissão de Avaliação de Segurança e resulta de uma avaliação de segurança que teve em conta outras avaliações feitas a nível nacional e também europeu, seguindo recomendações das instituições europeias – com destaque para a Toolbox do 5G. A “caixa de ferramentas”, que se tornou conhecida em janeiro de 2020, contém um conjunto de recomendações do executivo comunitário para mitigar riscos nas redes 5G.
O ponto-chave da deliberação é que é considerado de “alto risco para a segurança das redes e serviços nacionais” do 5G o uso de equipamentos e serviços que tenham origem num fornecedor que cumpra vários critérios, principalmente que seja ou esteja vinculado a um país que não seja membro da União Europeia (UE), da Organização do Tratado do Atlântico Norte (NATO) ou da Organização para a Cooperação e Desenvolvimento Económico (OCDE).
Há mais critérios, nomeadamente aquele que afasta um fornecedor que seja de um país em que o “Governo exerça controlo, interferência ou pressão sobre as suas atividades a operar em países terceiros” ou de um país que “não disponha de legislação ou de acordos diplomáticos, com Portugal ou com a UE, em matéria de proteção de dados, ou de cibersegurança ou de proteção de propriedade intelectual”.
Também são excluídos fornecedores que estejam domiciliados ou vinculados a um país que seja “reconhecido por Portugal, pela UE ou pela NATO como responsável por ações hostis à Segurança e Defesa Nacional de Portugal ou dos seus aliados”. Nesta área, são mencionados como exemplos “atos de espionagem ou de sabotagem”.
É feita menção ainda a fornecedores que estejam domiciliados em países com “ações contrárias ao direito internacional” ou casos em que a “imprecisão ou falta de transparência na sua governança corporativa” não permita a aferição do “respetivo modelo de governação ou do respetivo processo decisório e de gestão”.
Por fim, apontam-se ainda os fornecedores cujas “cadeias de produção e de fornecimento evidenciam relações de dependência ou de subsidiaridade face a terceiras partes” que se enquadrem nos restantes critérios.
A partir deste enquadramento,“por apresentarem superior criticidade de exposição ao risco”, a Comissão de Avaliação de Segurança fala em “exclusão, aplicação de restrições à utilização ou cessação de utilização de equipamentos ou serviços” em ativos como a rede principal, sistemas de gestão de rede, rede de acesso via rádio, rede de transmissão e de transporte ou sistemas de interligações entre redes.
A comissão, que foi constituída no âmbito do Conselho Superior de Segurança do Ciberespaço, fez esta avaliação de segurança de acordo com os termos que constam na Lei das Comunicações Eletrónicas, legislação publicada em agosto de 2022. Foi também tida em consideração a informação recolhida junto “dos operadores nacionais de telecomunicações e dos principais fornecedores de equipamentos de rede em Portugal”, bem “como normas legais e políticas públicas de Estados-membros da União Europeia e de países terceiros com experiência relevante e atual” na segurança de redes públicas do 5G.
É conhecida toda a informação?
Nem por isso. As quatro páginas que vieram a público dão principalmente a conhecer os critérios para enquadrar os tais fornecedores de “alto risco”. A deliberação teve como base um relatório, que fica fora dos olhares do público, já que foi classificado como contendo informação reservada. Foi explicado na deliberação que o relatório tem informação que “pode ser desfavorável para os interesses do país ou dos seus aliados ou de organizações de que Portugal faz parte”.
O relatório “contém ainda os critérios objetivos de avaliação dos riscos para a segurança das redes e serviços nacionais decorrentes da implementação, ainda em curso, e uso da tecnologia 5G, bem como as medidas necessárias” para mitigar esse risco.
Os especialistas consultados pelo Observador referem que o facto de não ser conhecido o relatório traz complexidade a um tema que, por si só, já é sensível. “Eventualmente, o que está no relatório podem ser alguns factos, mas como não sabemos também é um pouco estar a especular”, reconhece Paulo da Fonseca Pinto, professor da FCT Nova. “Pode ter alguns factos que substanciam aquelas quatro páginas públicas”. Mas, a existir, “podem ser coisas — de que toda a gente suspeita — de reunir informação [através de redes] e de a fazer movimentar de um lado para o outro”, elabora. “Percebe-se que estas medidas sejam um bocadinho de retaliação comercial relativamente aos produtos chineses.”
Não são mencionadas marcas, mas quem é que pode ser afetado?
A informação disponibilizada ao público não menciona marcas, mas a Huawei, que está presente há vários anos no mercado português, tanto na área de consumo como nas telecomunicações, enquadra-se nos critérios enumerados.
A Huawei é uma empresa de origem chinesa e, ao longo dos últimos anos, chegou inclusive a assinar memorandos de entendimento com algumas entidades. Em 2018, quando o Presidente chinês Xi Jinping veio a Portugal, foi assinado um memorando de entendimento com a Altice Portugal para trabalhar no desenvolvimento de redes 5G.
É uma recomendação ou tem um carácter vinculativo?
É ponto assente que o que consta na deliberação é para cumprir. No final de maio, em declarações ao Dinheiro Vivo, António Gameiro Marques, diretor-geral do Gabinete Nacional de Segurança, frisou que a deliberação é vinculativa. “Em resultado da referida avaliação de segurança, a Comissão [de Avaliação de Segurança] pode determinar a exclusão, a aplicação de restrições à utilização ou a cessação de utilização de equipamentos ou serviços, devendo estabelecer, sempre que adequado, um prazo razoável para o respetivo cumprimento, o que significa que a deliberação tem caráter vinculativo.”
Esta sexta-feira, o ministro dos Negócios Estrangeiros, João Gomes Cravinho, defendeu que a restrição ou proibição de fornecedores chineses das redes móveis 5G é importante para a salvaguarda da segurança nacional.
Em declarações aos jornalistas, citadas pela agência Lusa, afirmou que a “matéria relacionada com a segurança das nossas redes não é negociável e é uma decisão exclusivamente técnica e uma decisão baseada em critérios técnicos que utilizam elementos vindos da União Europeia”, referindo-se à Toolbox do 5G. “Tomaremos sempre as decisões que são importantes para salvaguarda da nossa segurança e da nossa soberania e nessa matéria não há negociação possível.”
Que informações adicionais vieram do Governo sobre o assunto?
O Observador tentou perceber junto do Governo mais detalhes sobre esta deliberação e as respetivas consequências para o setor no 5G. A informação está a ser centralizada no gabinete de Mário Campolargo, secretário de Estado da Modernização Administrativa e Digitalização. É explicado que “o Conselho Superior de Segurança do Ciberespaço, no âmbito do qual foi constituída a Comissão de Avaliação de Segurança, é presidido, nos termos da Lei n.º 46/2018, de 13 de agosto (que aprova o regime jurídico da segurança do ciberespaço), pelo membro do Governo responsável pela Cibersegurança” – ou seja, Campolargo.
Foi detalhado que, com base no que consta na Lei das Comunicações Eletrónicas, que transpôs o Código Europeu das Comunicações Eletrónicas, foi iniciado em agosto de 2022 um “processo com vista à realização da avaliação de segurança aí prevista, que resultou na deliberação agora publicada no sítio da internet do Gabinete Nacional de Segurança.”
Foi feita a ressalva de que a deliberação “é o culminar de um processo iniciado em 2019 com as avaliações de risco nacionais e europeias” feitas no âmbito da recomendação da União Europeia.
“As medidas a adotar na sequência da avaliação de risco foram já comunicadas aos operadores de redes públicas de comunicações eletrónicas”, disse o gabinete de Mário Campolargo, mas sem explicitar se existe um prazo definido para a retirada desses componentes. Fontes do setor transmitiram ao jornal Eco que terá sido dado um prazo de até cinco anos aos operadores de telecomunicações para fazerem a retirada de componentes da Huawei da infraestrutura 5G.
Pedro Vilarinho Pires, advogado da Gómez-Acebo & Pombo, nota que na Lei das Comunicações Eletrónicas é mencionado que, num cenário “em que a CAS [Comissão de Avaliação de Segurança] imponha restrições ou cessação da utilização de equipamentos ou serviços, deverá estabelecer, sempre que adequado, um prazo razoável para o cumprimento dessas obrigações.”
Ainda segundo a lei, cabe à Anacom fazer uma “fiscalização” do cumprimento da deliberação. Contactada pelo Observador, o regulador das comunicações em Portugal opta por não tecer comentários, remetendo mais esclarecimentos para António Gameiro Marques.
Como é que os especialistas interpretam a deliberação?
Sem relatório completo, não é fácil obter comentários concretos. Luís Correia, do Instituto Superior Técnico, refere que, com um conhecimento genérico, “sem conhecer os detalhes, nomeadamente os técnicos”, os “equipamentos de uma rede de telecomunicações (incluindo o 5G) não possuem todos o mesmo grau de criticidade relativamente a aspetos de segurança, pelo que uma exclusão global de todos os equipamentos de uma rede não faz sentido.”
O professor universitário refere ainda que não tem memória de “ter existido anteriormente qualquer exclusão de fornecedores de equipamentos para as redes de telecomunicações. Penso que nunca existiu até agora.”
Rui Aguiar, do Instituto de Telecomunicações, reconhece, em conversa com o Observador, que a deliberação “tem uma componente geoestratégica muito elevada”. “Não tenho competências para comentar aspetos de segurança geoestratégica, mas tenho competências para dizer que, em última instância, aquele documento, aplicado à letra, impede todo e qualquer equipamento de telecomunicações que tenha componentes chineses. O que é um absurdo, é impossível neste momento.”
Os componentes são muito complexos hoje em dia, explica. “Basta um estar comprometido que potencialmente todo o sistema fica comprometido. Em segurança, agora não a geopolítica, mas na técnica, costumamos dizer que a segurança do sistema é tanta quanto a do elo mais fraco.”
“O que estamos a discutir é um compromisso entre aspetos, diria, de segurança geopolíticos e aspetos económicos”, resume. Também numa interpretação mais direta, ressalva, seria necessário fazer auditorias ou ainda que, mesmo os fornecedores que não são chineses, “as Nokia, Ericsson, Cisco, redesenhassem os circuitos de forma a garantirem que não têm componentes críticos vindos da China”, exemplifica. “Mais uma vez, é um absurdo.”
O que tem dito a Huawei sobre o tema?
Numa primeira fase, a Huawei disse que “não teve conhecimento prévio” antes de a deliberação se tornar pública. “Sabemos que o Governo português publicou informação relativa à avaliação de risco das redes de telecomunicações.” A companhia disse também que estava a tentar “reunir mais informação junto das autoridades competentes, relativamente à natureza desta avaliação.”
Deixou, ainda, a mensagem de que, “ao longo de duas décadas, a Huawei tem trabalhado com os operadores portugueses para desenvolver as redes de comunicações e prestar serviços de alta qualidade que servem milhões de pessoas” e que “foi diversas vezes reconhecida pelo Governo, bem como por entidades públicas e privadas, pelo seu papel na criação de emprego qualificado, capacidade de inovação e contributo para a inovação e transição digital, tendo investido mais de um milhão de euros na capacitação de talento digital.”
No final, garantiu que quer continuar “a cumprir com as leis e regulamentação em vigor, com vista a servir os consumidores e as empresas portuguesas, que se suportam nos nossos produtos e serviços.”
Na quinta-feira, 15 de junho, voltou a comentar o tema. Primeiro, realçou que a deliberação de excluir fornecedores como a Huawei da rede 5G em Portugal parecia ser “mais restritiva do que as medidas tomadas por qualquer outro país europeu”, sugeriu Colm Murphy, conselheiro sénior de cibersegurança da Huawei, num encontro em Bruxelas. Em declarações citadas pelo Eco, este responsável reconheceu que existia “uma grande incerteza” sobre os impactos da decisão do Governo português.
Na mesma tarde, a Comissão Europeia divulgou o segundo relatório sobre o progresso dos Estados-Membros na Toolbox do 5G, garantindo que as decisões dos países da UE de excluir fornecedores como a Huawei e a ZTE das suas redes 5G são “justificadas”, já que as duas empresas, ambas chinesas, “representam de facto riscos materiais mais elevados do que outros fornecedores de 5G”.
Além de se pedir rapidez aos Estados-Membros para implementarem regras de mitigação de risco nas suas infraestruturas 5G, também a própria Comissão anunciou que vai “tomar medidas para evitar a exposição das suas comunicações corporativas a redes móveis que usem a Huawei e a ZTE como fornecedores”.
Foram estas declarações de Bruxelas que levaram a nova reação da Huawei, que acusou o executivo comunitário de “juízos discriminatórios”. “A Huawei opõe-se firmemente e discorda dos comentários feitos pelos representantes da Comissão Europeia. É evidente que tal não se baseia numa avaliação verificada, transparente, objetiva e técnica das redes 5G.” A empresa considerou ainda que “a identificação pública de uma entidade individual como HRV [fornecedor de alto risco] sem base legal é contra os princípios do livre comércio.”
O que é que dizem os operadores sobre este tema?
A Altice, a Nos e a Vodafone têm-se fechado em copas sobre este tema. Aos pedidos do Observador, só a Nos remeteu para uma declaração que já tinha feito sobre o assunto, na qual explicou que a “segurança e resiliência das redes de comunicações é uma prioridade” para a empresa. “A Nos define elevados padrões de seleção de parceiros, tendo em conta a garantia de segurança e qualidade, críticas na implementação de infraestruturas estratégicas para o país.”
Poucos dias depois de ser conhecida a deliberação, Ana Figueiredo, diretora executiva da Altice Portugal, disse à margem do evento de aniversário da Altice Labs, em Aveiro, que era preciso “uma clarificação” sobre o assunto. “Recebemos essa comunicação, estamos a analisar, e estamos numa fase de entendimento do âmbito e do alcance dessa decisão. Quando tudo estiver clarificado faremos a nossa análise relativamente aos impactos.”
A diretora executiva da Altice Portugal ainda levantou outra questão. “Essa deliberação também refere parceiros e fabricantes e parceiros tecnológicos que podem estar sediados em países da UE e da NATO, mas podem depender de cadeias de fornecimento de países que dependam dessas geografias.”
Com que fornecedores é que trabalharam os operadores na infraestrutura 5G?
Os operadores portugueses assumem que não têm recorrido aos componentes da Huawei para a infraestrutura core do 5G. Ainda estávamos em 2020, antes do leilão das faixas de espectro terem sequer sido atribuídas, quando os porta-vozes da Altice, da Nos e da Vodafone transmitiram à Reuters que não tinham intenções de recorrer a material da Huawei para as redes core, uma parte central da infraestrutura do 5G.
Nessa altura, Pedro Nuno Santos, então ministro das Infraestruturas, com a tutela das comunicações e, consequentemente do 5G, disse que o executivo “não tinha questões a priori com qualquer fabricante”, assumindo que o tema não estava ligado a “opções ou imposições do Governo português”, mas salientou que o Executivo estava “absolutamente alinhado com a orientação europeia”.
A Altice anunciou em abril que escolheu a Nokia (finlandesa) para fornecedor do core 5G Stand Alone (ou seja unicamente de 5G, que não utiliza infraestrutura de sistemas anteriores). Noutras vertentes, a empresa tem trabalhado com a Cisco. Já a Nos recorre à “tecnologia de core da Nokia e de rádio da Nokia e Ericsson”, segundo fonte da empresa. A Vodafone trabalha com a Ericsson (sueca) em partes da rede e no core do 5G recorre a equipamentos da Mavenir (dos Estados Unidos da América).
Que comentários fazem os restantes fornecedores europeus sobre a deliberação?
O Observador contactou a Ericsson e a Nokia, duas das empresas que têm estado a trabalhar com os operadores na infraestrutura do 5G em Portugal, para avaliar as respetivas análises em relação a esta deliberação em Portugal. A finlandesa Nokia foi parca na reação: “Não somos um ‘player’ político, portanto não estamos em posição de comentar esta situação.”
Já a Ericsson, em declarações enviadas ao Observador, destacou que está “em constante contacto com decisores políticos e reguladores”, contactos que se focam nas “condições do quadro regulamentar e requisitos técnicos quanto às redes de banda larga móvel de alto desempenho”. “Decisões de segurança nacional são da responsabilidade do Governo e das autoridades portuguesas, e, quando interagimos com órgãos governamentais, as conversas dizem respeito, por princípio, aos nossos próprios produtos e tecnologia”, acrescentou, salientando que “as decisões de segurança nacional de governos e autoridades, tomadas em devido tempo, também retiram a incerteza do mercado e permitem que as partes interessadas avancem com o 5G”.
Deixou ainda uma nota em relação ao mencionado na deliberação sobre as cadeias de fornecimento. “Enquanto líder em infraestruturas 5G, a Ericsson cumpre todas as condições legais e regulamentares sem exceção nos países onde opera e dispõe de uma cadeia de abastecimento global regionalizada, que pode ser adaptada às necessidades dos diferentes mercados europeus, incluindo, claro, Portugal.”
Quais podem ser os próximos passos neste processo? E a que custo?
O tema do afastamento de fornecedores das redes 5G é complexo, reconhecem os especialistas. Rui Aguiar, do Instituto de Telecomunicações, realça o ponto da deliberação que fala sobre “exclusão, aplicação de restrições à utilização ou cessação de utilização de equipamentos ou serviços”.
E explica: “A exclusão é o que daqui para o futuro não pode ser feito; a remoção significa que ‘tudo o que está para trás tem de ser alterado’; e a limitação determina que ‘só pode ser usado com estas condições'”. Mas, acrescenta: “Não sei o que é que foi proposto.”
Também não é fácil perceber o que pode acontecer num cenário de substituição de componentes das redes. Luís Correia, do Instituto Superior Técnico, explica que “a rede de 5G tem alguns componentes que são de facto apenas uma evolução da rede de 4G”. E, embora seja preciso atualizá-los, “não é necessário fazer qualquer substituição, porque não são suscetíveis de colocar qualquer problema relativamente à segurança de informação.” Mas admite que existem outros componentes “que são específicos da rede de 5G, e que podem ser objeto de preocupações de segurança, numa perspetiva alargada, isto é, não apenas relativamente aos fornecedores dos equipamentos, mas também a quem tem acesso, a como o acesso é feito, e ao controlo da informação que entra e sai, entre outros aspetos.”
Apesar da incerteza, os especialistas apontam pelo menos um fator provável: os custos de fazer substituição de equipamentos. Luís Correia diz que, neste momento, não pode fazer mais do que imaginar, mas estima que “poderão atingir as centenas de milhares de euros”, mas que “isso vai depender muito dos equipamentos que os operadores forem obrigados a substituir.”
Rui Aguiar faz um “exercício puramente académico” sobre os custos, mas estima que possa ter uma escala de grandeza diferente, na ordem “dos milhões de euros”.
Quem poderá pagar os custos de substituição?
No conjunto de questões enviadas ao gabinete de Mário Campolargo sobre esta deliberação de excluir fornecedores de “alto risco” das redes de 5G em Portugal, o Observador perguntava se está previsto um cenário de compensações aos operadores por causa da substituição de componentes. A única resposta dada, por fonte oficial, foi a de que os operadores já tinham sido avisados sobre as medidas a adotar.
Pedro Vilarinho Pires, advogado da Gómez-Acebo & Pombo, reconhece que a hipótese de haver compensações para mitigar as consequências desta deliberação “não pode ser excluída”, mas “exigirá uma análise mais aprofundada, tendo em conta a forma como a deliberação vier a ser concretizada.” E, nesse cenário, “seria o Estado a entidade, à partida, responsabilizada pelos danos que possam ser reclamáveis.”
Já Luís Couto, sócio da Lopes Cardoso & Associados, explica que “qualquer compensação do Estado português pela necessidade de terminar o fornecimento de bens e serviços que sirvam as redes 5G importaria, em princípio, a prova de que foram alterados pressupostos ou criadas expectativas legítimas nos operadores sobre a possibilidade de contratarem com empresas sediadas em países que não cumprem os requisitos impostos pela União Europeia e o Estado português.” Mas, “tendo em conta a forma como o processo tem vindo a decorrer”, não será uma questão “fácil”.
Rui Aguiar, do Instituto de Telecomunicações, deixa várias hipóteses para as consequência desse sobrecusto. “A primeira hipótese é que os custos das telecomunicações vão aumentar. A segunda é que o Governo assume o custo. A terceira é que o desenvolvimento do país e todos os serviços do país vão ser mais lentos, pela forma como o processo vai decorrer.”
“O 5G em Portugal não foi dos mais rápidos a ser implementado na Europa. E quando digo isso, fomos o penúltimo”, continua Rui Aguiar. “Estávamos, até recentemente, habituados a estar no pelotão da frente – isso desapareceu. Se alguém sugere que o que quer que venha a ser decidido não vai ter custos… então, digo que isso é um absurdo”, remata.
A expansão do 5G em Portugal pode ser penalizada?
Sem certezas sobre o que poderá acontecer nos próximos passos, há quem admita a hipótese de haver consequências para a expansão da rede 5G em Portugal.
“A Huawei é talvez a empresa que está mais avançada tecnologicamente no 5G, fruto de todos os investimentos e de a Europa também não ter acompanhado”, considera Paulo da Fonseca Pinto, professor catedrático da Nova FCT e especialista na área das telecomunicações. “Ao proibir um bocadinho isso, do ponto de vista tecnológico, vai haver um marcar passo relativamente à rede 5G”, acredita.
“Não sendo uma questão de ordem jurídica, o atraso na implementação do 5G é uma possibilidade que não pode ser excluída, nomeadamente se a restrição imposta implicar a procura de equipamentos de substituição e a reconfiguração das redes”, equaciona Pedro Vilarinho Pires, advogado da Gómez-Acebo & Pombo.
Luís Correia, do IST, tem uma visão ligeiramente diferente. “Não me parece que, do ponto de vista tecnológico, vá atrasar a expansão da rede, mas poderá ter consequências do ponto de vista económico, designadamente para os operadores que tenham que substituir equipamentos.”