Há uma tradição muito portuguesa que resiste bravamente à modernidade: a gestão da culpa. Sempre que acontece algo grave, seja num hospital, num sistema informático ou numa repartição, há um reflexo quase automático: abre-se um inquérito. Não resolve, mas acalma.
Digo isto a propósito da notícia que dá conta de que mais de 100 mil pessoas tiveram os seus dados do SNS acedidos indevidamente. Um “incidente grave”, dizem as autoridades, com recurso a inteligência artificial e técnicas avançadas de intrusão.
Nada a dizer. O mundo é hoje complexo, os ataques são cada vez mais sofisticados e ninguém está totalmente a salvo.
Mas depois há a outra parte da história. A menos glamorosa. Credenciais comprometidas, ou em linguagem corrente, alguém entrou porque tinha a chave.
E é aqui que a narrativa começa a perder algum encanto tecnológico e a ganhar contornos muito mais humanos. Porque, sejamos honestos, a cibersegurança em Portugal também se faz com passwords reaproveitadas, nomes de filhos, datas de nascimento e aquele clássico intemporal: “12345678 depois mudo”, mas não mudamos.
Vivemos uma espécie de ilusão confortável. Acreditamos que os grandes problemas vêm sempre de grandes ataques. Mas, frequentemente, começam em pequenas distrações. Numa password partilhada, num acesso aberto “só por hoje”, num clique sem pensar. E, claro, no inevitável post-it amarelo colado ao monitor, esse verdadeiro monumento nacional da cibersegurança.
Entretanto, do outro lado, há quem não durma. Há quem teste, experimente, automatize, escale. Há quem consiga, em dias, extrair volumes de informação que antes levariam meses. Não é magia, é engenharia social.
A questão é que os dados de mais de 100 mil pessoas não são um detalhe administrativo. São informação sensível, potencialmente valiosa para fraude, negócios obscuros ou simples exploração indevida. Não são ficheiros. São vidas organizadas em campos de texto.
O problema é que continuamos a tratar a segurança digital como um assunto técnico, quando ela é, antes de mais, uma questão de cultura, de hábitos, de disciplina quotidiana. De pequenas decisões que ninguém vê, até ao dia em que toda a gente descobre.
E por isso, lá voltamos ao início. Vai ser aberto um inquérito. Vão ser apuradas responsabilidades. Serão reforçados procedimentos. Provavelmente haverá novas palavras-passe, alguns manuais atualizados e uma ou outra formação.
E tudo isto é importante. Mas talvez não seja suficiente.
Porque, no fundo, a maior vulnerabilidade não está nos sistemas, mas na convicção de que “isto só acontece aos outros”.
E essa, infelizmente, não se resolve com encriptação. Resolve-se com memória, e com coragem para admitir uma coisa simples, ou seja: Nem sempre somos vítimas de ataques altamente sofisticados. Às vezes somos vítimas de coisas demasiado básicas para admitir em público.
