O custo invisível da burocracia digital

A segurança está a ser vista como um imperativo e como argumento absoluto. No entanto, há uma linha ténue entre reforçar a segurança e comprometer a funcionalidade. Quando essa linha é ultrapassada, o resultado não é um sistema mais robusto, mas sim um sistema mais pesado, mais burocrático e, paradoxalmente, menos eficaz. É neste contexto que a velha expressão — “começar a casa pelo telhado” — ganha particular atualidade na análise da transformação digital da Administração Pública portuguesa.

A crescente sofisticação das ameaças digitais justifica, sem margem para dúvida, a adoção de mecanismos de autenticação forte. A introdução de dupla autenticação (2FA) enquadra-se nas melhores práticas internacionais e está alinhada com diretivas europeias, como a diretiva NIS2. Contudo, a invocação da segurança não pode funcionar como argumento absoluto e incontestável, imune a avaliação crítica. A segurança é um meio — não um fim em si mesmo. E, como qualquer medida técnica, deve ser proporcional, contextualizada e integrada na realidade operacional dos sistemas onde é aplicada.

Já aqui falei que para Portugal possa dispor de um Estado moderno, é necessário investir mais na digitalização real dos serviços, mas também numa cultura organizacional mais aberta, eficiente e centrada no cidadão. A administração pública deve ser vista como um facilitador — não como um obstáculo.

Vamos à prática: o período da entrega do IRS está prestes a iniciar – 1 de abril – e não vale pena pressas na entrega, durante pelo menos nos primeiros 15 dias do mês, porque a “máquina” ainda está nas afinações. Todos os anos emitimos este alerta, mas a realidade revela que os portugueses, na esperança de um reembolso mais rápido, gostam de entregar nos primeiros dias. Por alguma razão o prazo de entrega vai de 1 de abril a 30 de junho.

Acrescento que, para os mais distraídos, que clicam nos botões sem perceberem o alcance dos “consentimentos”, e que aderiam à dupla autenticação no Portal das Finanças, mas que delegam em terceiros a entrega da modelo 3 do IRS, este ano vai ser uma montanha-russa, sobretudo em termos de fuso horário de desimpedimento do acesso ao portal – por tradição, fora de horas – como todos nós, que trabalhamos nesta área, bem sabemos. O problema central não reside na introdução da dupla autenticação, mas na forma como foi implementada, sobre processos que não foram redesenhados para o ambiente digital.

Os constrangimentos do Portal das Finanças não são um caso isolado: a Segurança Social Direta (SSD), – não obstante as boas vontades – também acarreta problemas de arquitetura que pouco ou nada facilitam a vida do cidadão comum e dos profissionais. Isto para não falar da morosidade das respostas e dos milhares de contactos através do e-clic que ficam “em análise” meses.

Um caso concreto da nossa SSD: operações em lote na Segurança Social. Durante vários anos existiram modelos operacionais que permitiam a agentes autorizados processar pagamentos agregados das contribuições de trabalhadores independentes. O procedimento era relativamente simples, cinco passos: preparação de um ficheiro estruturado (exemplo: CSV) com vários beneficiários; envio para os serviços competentes; importação direta no sistema da Segurança Social; pagamento único agregado; e por fim, a emissão automática de recibos digitais.

Um modelo simples, com vantagens claras: redução de erros humanos, rapidez de processamento, simplificação administrativa, menor carga nos sistemas informáticos e – aquilo que todo o cidadão que paga impostos aprecia – redução de custos operacionais.

Trata-se de um modelo comum em muitos sistemas financeiros, incluindo pagamentos bancários em lote. Com o reforço dos mecanismos de autenticação individual no portal Segurança Social Direta, muitos destes procedimentos foram substituídos por interações centradas no utilizador individual, significando na prática que cada operação passa a exigir a autenticação individual, o gerar uma guia individual e um pagamento individual.

Para os profissionais que gerem dezenas ou centenas de contribuintes, esta alteração transforma um processo de minutos num processo potencialmente demorado e sujeito a erro. Este é só um exemplo das muitas situações que suscitam preocupação e merecem um renovado olhar.

A cibersegurança moderna assenta num princípio essencial: a segurança eficaz deve coexistir com a usabilidade operacional. Os sistemas digitais maduros normalmente incluem três componentes essenciais: perfis profissionais delegados – que permitem que determinados profissionais autorizados atuem em nome de múltiplos utilizadores, com auditoria e controlo; processamento em lote – upload de ficheiros estruturados para operações massivas; e autenticação forte do agente – o agente profissional autentica-se com MFA, mas pode executar operações agregadas. Este é um modelo que mantém segurança, rastreabilidade e eficiência.

Quando a digitalização não respeita os fluxos reais de trabalho, surgem efeitos perversos. Estamos perante o custo invisível da burocracia digital. A imposição de autenticação individual em processos que envolvem dezenas ou centenas de operações gera um efeito cumulativo significativo: multiplicação exponencial do tempo necessário para cumprir obrigações, aumento do risco de erro humano, perda de produtividade em atividades económicas essenciais e desvio de recursos qualificados para tarefas repetitivas e de baixo valor acrescentado.

Este custo não aparece em relatórios financeiros nem em indicadores de cibersegurança, mas é suportado diariamente pelas empresas, pelos profissionais liberais, pelos gabinetes de contabilidade e intermediários autorizados. Neste cenário, a tecnologia deixa de ser uma ferramenta de simplificação e passa a funcionar como um novo nível de complexidade administrativa. Trata-se de um imposto indireto sobre a eficiência, criado por decisões tecnológicas descontextualizadas.

Ao recentrar todos os processos na autenticação individual, a Administração Pública parece assumir que está a reforçar o controlo. Na realidade, pode estar a produzir o efeito inverso, pois os sistemas que ignoram o comportamento real dos utilizadores tornam-se, inevitavelmente, sistemas contornados.

Uma das lacunas mais evidentes é a inexistência de um verdadeiro modelo de identidade e atuação profissional nos sistemas públicos. Nos ecossistemas digitais maduros, coexistem: autenticação forte, perfis delegados, operações em lote e rastreabilidade completa.

A Administração Pública portuguesa, em vários domínios, continua a operar com uma lógica binária: ou o utilizador individual, ou o acesso institucional rígido. Falta um nível intermédio essencial para o profissional autorizado que atua em nome de múltiplos sujeitos, de forma segura e eficiente.

Quando sistemas digitais dificultam o cumprimento de obrigações, aumentam a carga administrativa e penalizam quem atua de forma organizada e legal, o resultado é uma erosão silenciosa de confiança institucional.

A diretiva NIS2 não exige soluções rígidas nem uniformes. Exige, sim, gestão de risco; proporcionalidade e adequação das medidas de segurança ao contexto. Interpretar estas exigências como justificação para soluções tecnicamente corretas, mas operacionalmente inviáveis, é uma leitura redutora — e potencialmente contraproducente.

Num momento em que a Administração Pública investe fortemente na transição digital, impõe-se uma reflexão crítica: não basta tornar os sistemas mais seguros — é necessário torná-los melhores.