Alexandre Fonseca, antigo presidente da Altice Portugal, disse esta quarta-feira ver “ventos de mudança” na regulação nacional e europeia que tornam possível uma maior “parceria entre regulados e reguladores”, no sentido de “caminharem ambos no mesmo sentido”.

Numa conferência sobre o novo regime jurídico da cibersegurança, que decorreu esta quarta-feira de manhã no Estúdio ECO, o gestor, que abandonou a empresa depois de ter sido implicado na Operação Picoas no verão de 2023, defendeu que “a regulação também tem de contribuir para o crescimento do setor que regula”.

“A palavra pode ser mal interpretada, mas eu acredito na ‘parceria’ entre os regulados e os reguladores. Claro que o regulador não tem de ser um parceiro do regulado, não é essa a questão, mas parceria na perspetiva de caminharem ambos no mesmo sentido”, apontou.

Dito isso, salientou: “Tenho visto ventos de mudança e fico muito satisfeito por ver esses ventos de mudança em muitos setores na regulação nos últimos dois ou três anos. E acredito que esta parceria pode efetivamente existir”, afirmou, agora na qualidade de presidente do Conselho Estratégico para a Economia Digital da Confederação Empresarial de Portugal (CIP).

O gestor português falava sobre a escassez de recursos humanos e técnicos nas empresas para darem resposta às obrigações impostas pela NIS2, uma diretiva europeia que introduziu novas regras em matéria de cibersegurança, e cuja transposição para a lei portuguesa, já atrasada, está em vias de ser publicada no Diário da República.

“É preciso termos a noção de que só através de colaboração entre entidades do setor público e do setor privado, entre regulados e reguladores, se podem mitigar essas lacunas”, indicou Alexandre Fonseca, num painel dedicado à visão das empresas sobre o novo regime.

Uma das vozes mais críticas da regulação em Portugal quando estava em funções — principalmente da Anacom, quando esta era administrada por João Cadete de Matos, antes, durante e após o leilão do 5G, concluído em 2021 –, Alexandre Fonseca enalteceu esta quarta-feira a “lógica muito mais pedagógica e construtiva” da atual regulação das comunicações eletrónicas no país, que é presidida por Sandra Maximiano.

Todavia, o atual consultor da CIP repetiu uma crítica antiga, destacando que os reguladores continuam a não executar análises do impacto económico-financeiro das medidas que tomam. Salientando ser algo que “tem escasseado na Europa nos últimos anos”, Alexandre Fonseca indicou que tais ações, apesar de onerarem as empresas, “não estão pensadas numa perspetiva de business impact analysis”.

“Aliás, está previsto na lei. Qualquer ação regulatória tem que ter uma análise do ponto de vista económico-financeiro sobre o setor que regula”, indicou o gestor, que em maio deste ano foi constituído arguido no âmbito da investigação judicial portuguesa ao universo Altice.

Ethical hacking “poderá ser um dos temas mais perigosos da implementação” da NIS2

O presidente do Conselho Estratégico para Economia Digital da CIP deixou ainda uma nota de preocupação sobre um dos capítulos da transposição portuguesa da diretiva NIS2, referente ao ethical hacking — o ato de procurar ativamente vulnerabilidades de cibersegurança em empresas e organizações, e que passa a ser regulado.

“A questão do ethical hacking que se coloca a nível da NIS2, no meu entender, vai ter de ser muito bem regulada ainda, porque é extraordinariamente omisso e extraordinariamente perigoso. Eu arrisco-me a dizer mesmo: poderá ser um dos temas mais perigosos da implementação da normativa”, afirmou Alexandre Fonseca.

“Não basta dizermos que o tema do ethical hacking é fantástico na perspetiva em que agora vamos ter um conjunto de pessoas, e essa meia dúzia de pessoas que têm esse know-how podem agora, de forma benévola, de forma positiva, identifica vulnerabilidades em organizações e reportá-las”, afirmou. “Aqui é o síndrome do elefante na loja de cristais: para chegar ao fundo da loja de cristais e para ir buscar uma peça, partiu a loiça toda pelo caminho. E quem é que é responsável?”, questionou o antigo presidente da Altice Portugal.

Alexandre Fonseca terminou o raciocínio com um hipotético caso concreto: “Quero agora ir a uma entidade, por exemplo do setor energético, perceber se tem algum tipo de vulnerabilidade, de uma forma benévola. Mas, para chegar lá, deito abaixo dois ou três sistemas e provoco outra vez um apagão como o de 28 de abril. Quem é que é responsável? É a entidade que estava a ser ‘atacada’ do ponto de vista de ethical hacking? É o ethical hacker que estava a agir de uma forma perfeitamente positiva mas que causou todos estes impactos? Existe dolo ou não existe dolo?”

Alexandre Fonseca assumiu a presidência do Conselho Estratégico para a Economia Digital da CIP no início deste ano.