Residência de dados já não basta. Governos europeus — liderados agora por um grupo de autoridades suíças — querem controle total das chaves de criptografia antes de autorizar o uso de serviços na nuvem, como o Microsoft 365, para informações sensíveis. A iniciativa promete mudar as regras do jogo para os chamados “hyperscalers” (Microsoft, AWS, Google) e abrir espaço para provedores locais ou ofertas de “nuvem soberana”.
Da residência de dados à posse da chave: o que mudou?
Até pouco tempo, armazenar informações em data centers localizados no mesmo país era considerado suficiente para atender às leis de soberania digital. O problema é que, mesmo hospedados em território nacional, os servidores continuam pertencendo a companhias sujeitas a leis de outros países, como o CLOUD Act, que permite ao governo dos EUA exigir acesso a dados de empresas americanas, onde quer que estejam.
Por isso, órgãos suíços reunidos no coletivo Privatim recomendaram na semana passada que dados “muito sensíveis” só sejam enviados à nuvem se o próprio órgão público aplicar criptografia ponta a ponta — ou seja, se apenas o cliente mantiver a chave. Na prática, o provedor não poderia descriptografar nada, mesmo sob ordem judicial.
Microsoft 365 na linha de fogo
O documento cita nominalmente o Microsoft 365 como exemplo de plataforma que ainda não oferece criptografia ponta a ponta completa. Hoje, o serviço protege os arquivos “em repouso” (no disco) e “em trânsito” (durante o envio), mas a Microsoft mantém mecanismos de descriptografia para suporte, compliance ou solicitações legais.
Para deixar tudo 100% fechado, o cliente teria de gerenciar suas próprias chaves — algo ainda incipiente no ecossistema do Microsoft 365. A companhia vem anunciando avanços, como Customer Key e funcionalidades de confidential computing, mas não cobre todos os cenários de colaboração e, principalmente, de recursos de IA (o “Copilot” depende de acesso ao conteúdo).
Quem mais está na mesma direção?
A Suíça não está sozinha. França, Alemanha, Dinamarca e a própria Comissão Europeia já publicaram alertas semelhantes, sinalizando desconfiança crescente em provedores estrangeiros. Analistas da Greyhound Research e da Everest Group apontam que estamos diante de um “pivô regulatório” em direção ao controle técnico, e não apenas contratual, da nuvem.
Quais os prós e contras da criptografia ponta a ponta?
Vantagens
- Soberania real: só o dono da chave acessa o dado.
- Redução de risco jurídico: menor exposição a leis extraterritoriais.
- Proteção contra vazamentos internos do provedor.
Desvantagens
Imagem: Gyana Swain
- Menos recursos de colaboração (busca, coedição em tempo real, IA generativa).
- Complexidade na gestão de chaves e HSMs (Hardware Security Modules).
- Custos maiores e possível impacto de desempenho (latência na descriptografia).
Impacto prático para empresas e usuários finais
Empresas que lidam com dados sensíveis — saúde, finanças, defesa — precisarão decidir quais workloads exigem blindagem máxima e quais podem permanecer em modelos tradicionais de cloud. É provável surgir um modelo híbrido: tenants soberanos para documentos ultra-confidenciais e serviços padrão para tarefas de escritório, videoconferência e, claro, jogatina na nuvem ou recursos de IA que exigem processamento do provedor.
Oportunidade para novos (e velhos) players
A tendência abre espaço para:
- Provedores europeus e locais que ofereçam infraestrutura 100% operada no país e com chave gerida pelo cliente;
- Soluções de key management terceirizado e HSM como serviço;
- Fabricantes de hardware de segurança (placas aceleradoras de criptografia, TPMs, módulos FIPS 140-3) — áreas quentes para quem monta ou atualiza data centers públicos e privados.
Próximos passos dos hyperscalers
Para não perder contratos públicos bilionários, Microsoft, AWS e Google já investem em confidential computing (processamento em enclaves seguros) e planos de “cloud soberana” em parceria com operadoras ou governos regionais. A exigir do cliente o controle exclusivo da chave, essas empresas precisaram repensar boa parte de seus serviços — desde a arquitetura dos data centers até modelos de licenciamento.
No fim das contas, a criptografia ponta a ponta deixa de ser diferencial e vira requisito mínimo em setores regulamentados. Se a recomendação suíça ganhar tração global, veremos dois mundos: nuvens globais com funcionalidades completas para negócios menos restritivos e “nuvens premium soberanas” para governos e indústrias de alta criticidade.
Para o usuário comum, a mudança pode parecer distante, mas ela define como serão os recursos de colaboração, IA e, até mesmo, os preços dos serviços que usamos no dia a dia. Fique de olho: as novidades de segurança que surgirem nos contratos governamentais de hoje podem chegar ao seu PC — ou ao seu setup gamer — amanhã.
Com informações de Computerworld
