A cibersegurança deixou de ser uma preocupação exclusiva do setor corporativo. Hoje, ela representa um dos maiores desafios sociais do século XXI, com governos, serviços públicos e infraestruturas críticas cada vez mais expostos a ameaças digitais que apagam a linha entre paz e conflito armado.
No primeiro episódio da segunda temporada do Brass Tacks: Talking Cybersecurity, Joe Robertson recebe Annita Sciacovelli — professora de Direito Internacional na Universidade de Bari, ex-membro do conselho consultivo da ENISA (Agência Europeia para a Cibersegurança) e atual assessora jurídica do Ministério da Defesa italiano em matérias de cibersegurança e ciberguerra. Juntos, exploram como Estados utilizam operações digitais, pressão econômica, desinformação e disrupção de infraestrutura de forma coordenada para exercer coerção sobre sociedades inteiras — muitas vezes sem jamais declarar guerra formalmente.
A sociedade como alvo principal dos ciberconflitos modernos
Um dos pontos mais relevantes levantados por Sciacovelli é que os cidadãos não são meros danos colaterais nos conflitos cibernéticos contemporâneos — eles são, frequentemente, o alvo intencional. Ataques direcionados a serviços essenciais como energia, transporte, finanças e administração pública são concebidos estrategicamente para erosionar a confiança nas instituições e fragilizar a resiliência social.
Ao comprometer a rotina cotidiana da população, essas operações geram pressão psicológica e alavancagem estratégica, tornando as ciberoperações um instrumento eficaz de coerção — mesmo sem o uso de violência física direta. Esse entendimento reposiciona a cibersegurança como uma questão de interesse público de primeira ordem.
Por que a infraestrutura crítica está sempre na mira
Redes de energia, sistemas hídricos, redes financeiras, transporte e serviços governamentais formam a espinha dorsal operacional dos Estados modernos — e é exatamente por isso que representam alvos prioritários em operações de ciberguerra.
A Ucrânia é citada como exemplo emblemático dessa dinâmica. Desde 2014, o país tem enfrentado operações cibernéticas persistentes direcionadas à sua geração de energia, agências nacionais e sistemas financeiros. Robertson relembrou um caso amplamente documentado em que um ciberataque fez turbinas de uma usina elétrica ucraniana girarem fora de controle — evidenciando como ações digitais se traduzem rapidamente em consequências físicas concretas.
Esses incidentes não são eventos técnicos isolados. São instrumentos de guerra psicológica destinados a demonstrar vulnerabilidade em escala nacional e minar a confiança pública nas instituições.
Do domínio digital ao impacto físico: uma fronteira cada vez mais tênue
As ciberoperações modernas avançaram muito além do roubo de dados ou da interrupção de websites. Ataques contra sistemas de controle industrial, cabos submarinos e oleodutos demonstram como ações no espaço digital podem causar danos materiais significativos.
Sciacovelli destaca ainda que a inteligência artificial acelerou essa evolução, ampliando a velocidade, escala e sofisticação das operações cibernéticas. Como resultado, incidentes cibernéticos contemporâneos têm maior probabilidade de se propagar entre setores, impactando tanto a infraestrutura física quanto a confiança pública de forma simultânea.
O marco jurídico internacional e a resposta proporcional
Do ponto de vista legal, Sciacovelli estabelece uma distinção fundamental: embora operações cibernéticas patrocinadas por Estados possam ser percebidas como atos terroristas, elas são avaliadas juridicamente sob o framework que regula o uso da força entre Estados no direito internacional. Essa diferenciação é determinante para definir as opções legítimas de resposta — diplomacia, sanções, contramedidas cibernéticas ou, em casos extremos, ação militar.
O caso da Albânia em 2022 ilustra bem esse princípio. Após sofrer operações cibernéticas significativas atribuídas a atores vinculados ao Irã, o país optou por uma resposta proporcional e não cinética, expulsando o pessoal diplomático iraniano em vez de recorrer à força. Um exemplo que reforça a importância da maturidade estratégica na gestão de incidentes cibernéticos atribuídos a Estados.
Regulação, resiliência e os limites dos ciclos de política
Na Europa, marcos regulatórios como a NIS2, o Digital Operational Resilience Act (DORA) e o Cyber Resilience Act buscam melhorar a gestão de riscos, impor segurança por design e integrar a resiliência cibernética e física para serviços essenciais. A ENISA desempenha papel central nesse ecossistema, especialmente na proteção da rede elétrica.
No entanto, Sciacovelli aponta um desafio crítico compartilhado por profissionais do setor: os ciclos de políticas são frequentemente lentos demais. Avaliações de risco realizadas a cada quatro anos podem ser ultrapassadas pela velocidade de evolução das ameaças cibernéticas, tornando a reavaliação contínua uma necessidade estratégica — não uma opção.
Ciberdiplomacia e inteligência compartilhada: pilares da resiliência coletiva
Para evitar que incidentes cibernéticos escalem para conflitos físicos, Sciacovelli enfatiza o papel crescente da ciberdiplomacia. Operações de bandeira falsa, agentes intermediários, VPNs e financiamento em criptomoedas dificultam a atribuição — o que torna os mecanismos de coordenação da ONU e da UE, como pontos de contato entre Estados e toolkits de ciberdiplomacia, ainda mais estratégicos.
Igualmente central é o compartilhamento de inteligência entre setor público, iniciativa privada e parceiros internacionais. A resiliência real exige colaboração ativa — e é precisamente nesse ponto que organizações especializadas em capacitação e treinamento em cibersegurança têm papel decisivo: preparar profissionais para atuar nesse novo cenário de ameaças híbridas com competência técnica e visão estratégica.
Segurança cibernética como processo coletivo e contínuo
A conclusão de Sciacovelli é direta e poderosa: cibersegurança não é um produto. É um processo contínuo. Defender sociedades dos ciberconflitos modernos exige parcerias público-privadas sustentadas, responsabilidade compartilhada e uma cultura de segurança que envolva governos, setor privado e cidadãos em igual medida.
À medida que as ameaças cibernéticas atacam os fundamentos da vida cotidiana, desenvolver resiliência torna-se não apenas um objetivo técnico, mas um imperativo social — e estar preparado para enfrentá-las começa pela educação e pelo treinamento especializado dos profissionais que atuam nessa linha de frente.
Este artigo foi elaborado com base no episódio 1 da temporada 2 do podcast Brass Tacks: Talking Cybersecurity, gravado em novembro de 2025. Desde janeiro de 2026, alguns elementos do contexto jurídico e geopolítico internacional analisado continuam em evolução.
