O GSI (Gabinete de Segurança Institucional) elaborou uma proposta de Política Nacional de Segurança Cibernética, que prevê a criação de uma agência para melhorar a governança da atividade. Para financiar o projeto, com custo anual de quase R$ 600 milhões quando plenamente implementado, o órgão, tradicionalmente comandado por militares e ligado à Presidência, quer cobrar dos usuários uma taxa pelo uso da internet.
“Esta política já vem sendo estudada há algum tempo. Estamos, logicamente, refinando. Esperamos que, neste ano, ainda seja apresentado ao Congresso”, disse à Folha o ministro do GSI, general Marco Antonio Amaro dos Santos.
“Quando se apresenta um projeto de lei que gera despesa, tem de apresentar uma fonte para cobertura dessa despesa. Razão pela qual também estão sendo indicadas algumas possibilidades que o Congresso terá de estudar, avaliar se é conveniente, se existem outras fontes para serem utilizadas para sustentar a criação dessa agência”, acrescentou.
Ataque hacker
Estimativas de consultorias internacionais apontam que as perdas financeiras com ciberataques no Brasil podem ultrapassar 100 bilhões de dólares em 2023 – Unsplash
O texto já foi apresentado aos ministérios da Justiça, da Fazenda, do Planejamento, de Ciência e Tecnologia e de Gestão. Agora, passará pelo crivo jurídico da Casa Civil e, depois, do presidente Lula (PT).
Depois da publicação da reportagem, a Secom (Secretaria de Comunicação da Social da Presidência) divulgou uma nota dizendo que “não há nenhuma possibilidade de taxação de usuário de internet para financiar uma agência de cibersegurança ou qualquer iniciativa desse tipo”.
A nota foi divulgada após integrantes da oposição explorarem o tema, como o deputado Eduardo Bolsonaro (PL-SP), e a repercussão negativa nas redes sociais.
Por se tratar da criação de uma política nacional, a taxa teria de ser aprovada pelo Congresso, por meio de um projeto de lei. Há ainda o prazo de um ano para ser instalada a agência, após a nova regra entrar em vigor.
De acordo com a proposta, a taxa de cibersegurança –chamada de TCiber no projeto em estudo– corresponderá a 1,5% do valor pago pelos internautas para ter acesso à rede, em conceito similar à taxa de iluminação pública, cobrada diretamente na fatura da conta de luz.
Segundo os cálculos do órgão, no caso de um usuário que gasta R$ 70 por mês com internet, por exemplo, a taxa sairia ao custo de R$ 1,05.
O GSI argumenta que o percentual corresponde à soma do que é arrecadado com o Fust (Fundo de Universalização dos Serviços de Telecomunicações) –1%– e com o Funttel (Fundo para o Desenvolvimento Tecnológico das Telecomunicações) –0,5%. Nesse novo desenho, contudo, não está prevista a criação de um fundo.
A cobrança da tarifa renderia R$ 581,9 milhões por ano aos cofres públicos, segundo estimativa do órgão. Para chegar a esse montante, o GSI considera que o Brasil conta hoje com 157,7 milhões de usuários da internet, que gastam em média R$ 25 por mês com o serviço.
Além de taxar o acesso à internet, a proposta também inclui uma cobrança de 10% sobre o registro de domínios, ou seja, o nome que será registrado para que um site possa ser encontrado na internet. O pagamento seria feito no momento de renovação desses registros, que têm custo médio anual de R$ 35.
Nessa modalidade, o governo prevê arrecadar aproximadamente R$ 12,6 milhões, que também seriam destinados para bancar o funcionamento da agência.
Em ambos os casos, não haverá distinção entre pessoas físicas e jurídicas. “Nós teríamos alguma dificuldade para calcular isso. O Congresso talvez tenha mecanismos e interesse em debater coisas diferentes”, diz o assessor especial do GSI, Marcelo Malagutti.
Há também, segundo ele, o temor de perder já neste momento o apoio de entidades como, por exemplo, a Fiesp (Federação das Indústrias do Estados de São Paulo).
“Infelizmente, tudo que o governo faz, o cidadão tem que pagar. Nesse caso, a nossa percepção é de que nós estamos cobrando relativamente pouco por um serviço relevante para os usuários da internet”, diz Malagutti.
Segundo os membros do GSI, apesar da impopularidade da medida, a recepção ao projeto tem sido positiva entre os parlamentares. Já foi realizada uma audiência no Senado Federal, assim como uma outra audiência pública para tratar do tema.
“Ninguém em sã consciência pode ser contra a cibersegurança, contra uma iniciativa que visa a dar segurança no ambiente digital para todo o cidadão e para toda empresa”, diz o secretário de Segurança da Informação e Cibernética do GSI, brigadeiro Luiz Fernando Moraes da Silva.
“O que cria resistência é criar uma estrutura com cargos e não ter arrecadação. O Congresso não vai dar carta branca para ninguém sem que tenhamos uma fórmula, sem que mostremos de onde que os recursos vão sair”, acrescenta.
De acordo com o relato dos integrantes do governo, os ministros Fernando Haddad (Fazenda) e Simone Tebet (Planejamento e Orçamento) também não mostraram resistência ao tema. A equipe econômica apenas ponderou a necessidade de apontar uma fonte de receita para a sustentação do projeto.
A verba cobrada de cidadãos e empresas será usada para financiar o custo estimado em R$ 594,1 milhões da agência quando ela estiver plenamente instalada (em seu quinto ano de existência). O orçamento será destinado para gastos com pessoal e custeio.
Agência seria uma autarquia como o BC
Inspirada em um modelo de uma agência reguladora, a ANCiber (Agência Nacional de Cibersegurança) foi desenhada para contar com 800 servidores, ao final de cinco anos. Para cada ano de implantação, uma parcela do efetivo será incorporada ao quadro funcional da instituição, sendo 81 funcionários no primeiro ano de atuação.
A primeira leva integraria a agência por requisição, que é quando o órgão de origem não pode negar ceder o funcionário à Presidência, e por contratação de temporários. De acordo com estimativas do Ministério da Gestão e da Inovação em Serviços Públicos, o tempo médio para realização de um concurso e chamamento de aprovados é de, no mínimo, dois anos.
Apesar de estar sob o guarda-chuva do GSI, a agência seria uma autarquia de regime especial, assim como do Banco Central. Ou seja, uma vez que os nomes dos diretores e do presidente tenham sido aprovados pelo Senado e depois nomeados, eles têm mandatos a serem cumpridos e estariam blindados de eventuais alterações políticas.
A agência é uma peça dentro de um plano mais abrangente. O principal objetivo da política é dar um norte preventivo no caso de ciberataques e criar instrumentos práticos para isso. Hoje, de acordo com integrantes do GSI, tanto órgãos do Estado quanto privados têm seus departamentos e suas regras para segurança, mas não há um protocolo comum a todos.
De acordo com o secretário de cibernética do GSI, a agência não atuaria de forma hierarquizada, mas como um ponto focal para padronizar e compartilhar as melhores práticas.
“Não basta haver atividade institucionalizada, é preciso que seja coordenada, porque as ameaças são parecidas e aparecem de todo lado. Um ente detecta alguma coisa e o quanto mais rápido ele passar isso através de uma rede colaborativa, vai prevenir que aquilo se alastre. A palavra-chave para a agência é governança”, disse Silva.
O que motivou a apresentação do projeto de lei neste ano –e com pedido de urgência, segundo o GSI– é o aumento vertiginoso de ciberataques no Brasil, com prejuízos financeiros que podem chegar a US$ 100 bilhões no país em 2023, segundo a consultoria especializada Accenture. Essa cifra tem sido usada como um dos principais argumentos para o estabelecimento da agência.
Malagutti lembra ainda do ciberataque ao sistema do STJ (Superior Tribunal de Justiça) em 2020, que é considerado por especialistas o pior já ocorrido em um sistema público do país. Na ocasião, o diretor do departamento de tecnologia da informação do tribunal acionou o comando de defesa cibernética, ligado ao Ministério da Defesa, e o departamento da Polícia Federal (PF) para crimes desta ordem.
“Preventivamente, não tem ninguém atuando. Essa é uma das situações que levou a aumentar a percepção de urgência na sociedade para criação dessa agência”, disse.
Se a agência já existisse à época, haveria primeiro um nível mínimo de exigência de segurança para sistemas como o do STJ, além de um protocolo e uma cadeia de comando para serem seguidos em casos como esse. A política nacional prevê ainda criação de um gabinete de crise para atuar nessas situações.
Além disso, também há a previsão de um comitê, comandado pelo presidente da agência. Inicialmente, a previsão era de 27 membros. Mas, após audiência pública, outros órgãos manifestaram interesse em ter assento próprio, como a diretoria de combate a crimes cibernéticos da PF, e a previsão passou para 55.
A proposta de criação de uma Política Nacional de Segurança Cibernética existe desde 2014, quando o Senado instaurou CPI para acompanhar espionagem eletrônica, após revelações do caso Snowden –que revelou detalhes de espionagem dos Estados Unidos sobre o Brasil.