A digitalização do Estado avança, mas os riscos crescem na mesma velocidade. Nesta entrevista, José Ricardo Maia Moraes, CTO da Neotel, analisa os principais desafios de cibersegurança que governos brasileiros enfrentarão em 2026. Ele fala sobre a ilusão de controle, a evolução do ransomware, o papel estratégico da identidade digital, o impacto da inteligência artificial nos ataques e na defesa, além da importância da soberania de dados e da resiliência institucional. Uma conversa direta e profunda sobre por que cibersegurança deixou de ser apenas tecnologia e passou a ser um ativo estratégico do Estado.
IT Section: Olhando para 2026, quais serão os principais riscos cibernéticos que devem preocupar os órgãos governamentais no Brasil?
José Ricardo: O maior risco para 2026 não é um novo malware nem uma técnica mais sofisticada de ataque. É a ilusão de controle. Os governos estão digitalizando serviços muito mais rápido do que conseguem amadurecer governança, identidade, proteção de dados e gestão de terceiros. Cada novo serviço público nasce conectado a uma extensa cadeia de dependências que envolve nuvem, APIs, integradores, SaaS e identidades externas, fazendo com que o risco se torne sistêmico, e não mais pontual. Ao mesmo tempo, o Estado concentra volumes gigantescos de dados sensíveis, o que transforma o ciberataque em um problema econômico, geopolítico e reputacional, não apenas técnico. O ransomware também muda de natureza e deixa de ser oportunista para se tornar um instrumento de coerção institucional, capaz de paralisar serviços essenciais e pressionar decisões. Tudo isso ainda convive com ambientes híbridos e legados, que criam zonas cegas difíceis de monitorar e proteger. Enquanto a segurança continuar sendo tratada como proteção de infraestrutura, e não como proteção da continuidade institucional e da soberania digital, o risco real permanecerá invisível até o dia em que o incidente acontece.
IT Section: A digitalização de serviços públicos avança rapidamente. Na sua avaliação, onde estão hoje as maiores fragilidades de segurança no setor governamental e como elas tendem a evoluir no próximo ano?
José Ricardo: A fragilidade hoje não está na tecnologia, mas no modelo mental. Ainda se trata identidade como cadastro, e não como um ativo crítico de controle e risco. Gestão de privilégios, autenticação forte, segregação de funções e rastreabilidade seguem inconsistentes. Os dados também são protegidos de forma genérica, e não estratégica, e muitos órgãos simplesmente não sabem exatamente onde estão seus dados sensíveis, quem os acessa, por quanto tempo e com qual finalidade. Soma-se a isso uma governança fragmentada, na qual projetos digitais avançam sem uma arquitetura de segurança integrada, criando verdadeiras ilhas de risco. Em 2026, tudo isso tende a escalar com mais automação, maior integração entre órgãos, mais exposição por meio de APIs públicas e maior dependência de nuvem e serviços externos. Sem uma abordagem sistêmica, o risco deixa de crescer de forma linear e passa a se propagar em efeito cascata.
IT Section: Ataques direcionados a infraestruturas críticas têm ganhado escala globalmente. O que muda no nível de preparo que os governos precisarão ter a partir de 2026?
José Ricardo: O conceito de infraestrutura crítica deixou de ser apenas físico. Hoje, identidade, dados, software e conectividade são tão estratégicos quanto energia e água. Isso muda completamente o nível de preparo exigido. Planos de recuperação são importantes, mas não são suficientes. É necessário desenvolver resiliência operacional real, assumir que o ambiente será comprometido em algum momento e saber como continuar operando mesmo sob ataque. A resposta a incidentes deixa de ser um tema puramente técnico e passa a envolver governança, comunicação pública e decisão política, porque o impacto é institucional. Além disso, compliance por si só não resolve. É preciso investir em simulações mais realistas, inteligência ativa e testes com cenários complexos, incluindo ataques híbridos e campanhas de desinformação. Quem continua treinando apenas para falhas técnicas simples está, na prática, preparando o exército para a guerra errada.
IT Section: Como o uso de inteligência artificial, tanto por defensores quanto por atacantes, deve impactar a cibersegurança no setor público nos próximos meses?
José Ricardo: A IA, além de acelerar ataques, comprime o tempo de decisão e reação. Do lado dos atacantes, isso se traduz em phishing hiperpersonalizado, exploração automática de vulnerabilidades, engenharia social em escala industrial e deepfakes operacionais e institucionais. Do lado dos defensores, surgem capacidades como detecção comportamental avançada, automação de resposta, correlação inteligente de eventos e simulação de cenários. O risco é o governo utilizar IA apenas como uma “ferramenta operacional”, quando deveria tratá-la como uma infraestrutura estratégica de defesa digital, com governança, rastreabilidade e controle ético. Quem não dominar IA defensiva ficará permanentemente em desvantagem.
IT Section: Regulamentações, soberania de dados e exigências de conformidade seguem no centro da agenda governamental. Como esses fatores devem influenciar as decisões de investimento em cibersegurança em 2026?
José Ricardo: A pergunta já não é mais “quanto investir em segurança”, mas onde investir para proteger soberania, continuidade e confiança institucional. A soberania de dados passa a exigir clareza sobre onde os dados residem, quem controla a criptografia e quem pode acessá-los. A responsabilização regulatória baseada na LGPD torna auditorias, rastreabilidade e prestação de contas fatores de risco político. Transparência operacional deixa de ser discurso e passa a exigir comprovação prática de que os dados estão protegidos. Nesse cenário, os investimentos tendem a migrar de ferramentas isoladas para plataformas integradas de governança, proteção de dados e identidade. Quem insistir em adquirir apenas tecnologia, sem uma arquitetura consistente, gastará muito e continuará vulnerável.
IT Section: A Neotel atua fortemente junto a governos e tem parcerias estratégicas, como com a Thales. De que forma esse ecossistema de alianças contribui para elevar o nível de maturidade em segurança dos projetos públicos?
José Ricardo: Um erro comum no setor público é acreditar que maturidade vem da escolha de um fornecedor, quando, na realidade, ela vem da orquestração inteligente de capacidades. O modelo de ecossistema adotado pela Neotel permite estabelecer uma arquitetura desacoplada de fabricantes, com evolução tecnológica contínua, redução de dependência estratégica e integração de melhores práticas globais. Parcerias estratégicas como a Thales não entregam apenas tecnologia, mas governança criptográfica, proteção de dados estruturada e padrões internacionais de segurança integrados à realidade brasileira. Maturidade, novamente, não é comprar mais ferramentas, e sim construir um sistema de proteção sustentável, auditável e resiliente.
IT Section: Para líderes de TI e segurança no setor governamental, qual deve ser a principal prioridade estratégica em cibersegurança ao longo de 2026?
José Ricardo: A prioridade deve migrar da tecnologia para a governança do risco digital como ativo de Estado. Na prática, isso significa tratar identidade como perímetro, dados como patrimônio estratégico, cibersegurança como continuidade institucional, arquitetura como política pública e fornecedores como extensão da superfície de risco. Quem continuar delegando cibersegurança apenas à TI estará governando olhando para o passado. A verdadeira vantagem do setor público em 2026 será a capacidade de operar com confiança em ambientes hostis e imprevisíveis, apoiado por tecnologias e parceiros comprovadamente experientes nesse contexto.
