Mário Tavares da Silva, Jornal SOL
«Incorporar o risco quântico nos sistemas de controlo interno é, em última análise, um exercício de maturidade institucional, exigindo à organização que seja capaz de reconhecer que nem todos os riscos se manifestam de imediato e que, muitas vezes, os mais críticos são precisamente aqueles que se acumulam silenciosamente, fora do alcance dos modelos tradicionais de controlo»
É hoje incontornável o papel relevante que a computação quântica poderá, num muito curto espaço de tempo, vir a assumir nas nossas vidas e, em particular, na forma como governamos e gerimos o risco nas nossas organizações. Este enorme potencial que a computação quântica encerra para a robustez e confiabilidade dos sistemas de controlo interno das organizações deve-se, em nosso entender, não tanto ao facto de ela representar em si uma ameaça imediata ou isolada, mas porque efetivamente procede a uma alteração dos pressupostos estruturais sobre os quais esses sistemas foram historicamente construídos.
Na realidade, e como é sabido, os modelos de controlo interno assentam, na sua grande maioria, de forma implícita, na ideia de que certos mecanismos tecnológicos — em especial os mecanismos criptográficos — se apresentam como fiáveis e estáveis no tempo. Ora a computação quântica irá obrigar as entidades a abandonar essa premissa, desafiando-as a introduzir uma nova forma de pensar o risco, impelindo-as a percecioná-lo não apenas como algo que se manifesta no presente, mas sobretudo como algo que se acumula, silenciosamente, no futuro, a partir de decisões hoje tomadas. No limite, será potencialmente capaz de colocar em causa a confiança depositada nos atuais sistemas de criptografia assimétrica que sustentam funções essenciais ao controlo interno, como sucede, a título meramente exemplificativo, com a autenticação de utilizadores, a assinatura digital de documentos, o carimbo temporal e a certificação de identidade. Assim, algoritmos como aquele em que assenta a proposta de Peter Shor, datada de 1994, permitirão a um computador quântico resolver, de forma extremamente eficiente, problemas matemáticos que, em computadores clássicos, se teriam como praticamente intratáveis. Ora tudo isto, torna plausível que, num horizonte temporal não muito distante, esses mecanismos deixem de oferecer as garantias de confidencialidade, integridade, não repúdio e preservação da cadeia de custódia, que hoje lhes reconhecemos. Serão esses os pressupostos que a evolução da computação quântica virá colocar em causa, introduzindo a possibilidade de quebra futura desses mecanismos, com impacto não apenas na proteção da informação sensível como, em especial, na capacidade das organizações demonstrarem, de forma sólida e inequívoca, a regularidade dos seus atos, decisões e operações ao longo do tempo. Este risco é particularmente sensível porque não se manifesta de forma imediata nem visível. A evidência que hoje pode parecer íntegra e válida, cumprindo todos os requisitos formais e resistindo aos múltiplos testes a que possa ser sujeita, tornar-se-á tecnicamente mais vulnerável e contestável no futuro.
Nesse cenário, o problema não é apenas a eventual exposição da informação, mas a erosão da força probatória da evidência, com efeitos diretos sobre processos de auditoria, de fiscalização, de investigação e de responsabilização. A integridade da evidência deixa, assim, de ser um atributo estático garantido no momento da sua produção para passar a reclamar uma abordagem dinâmica e prospetiva, integrada na governação e gestão do risco e nos próprios sistemas de controlo interno.
Com a computação quântica, surge o risco de que dados recolhidos e armazenados hoje possam ser decifrados, manipulados ou contestados no futuro, num fenómeno frequentemente descrito como “harvest now, decrypt later”. Esta possibilidade fragiliza a validade probatória de registos antigos e introduz incerteza em auditorias, investigações internas, processos disciplinares e procedimentos judiciais que dependem da robustez desses elementos.Parte superior do formulário
A referida lógica “recolher agora, desencriptar mais tarde” é, neste contexto, particularmente reveladora, demonstrando que o risco quântico não é um risco meramente futuro, mas um risco presente com efeitos diferidos.
Informação sensível capturada hoje — ainda que protegida por algoritmos atualmente considerados seguros — pode tornar-se explorável daqui a uma ou duas décadas, quando a capacidade computacional o permitir. Esta deslocação temporal tem implicações profundas para os sistemas de controlo interno, que tradicionalmente avaliam riscos com base em probabilidades e impactos relativamente próximos no tempo, frequentemente associados a ciclos orçamentais, mandatos de governação ou períodos de auditoria, e não a horizontes intergeracionais de risco. A computação quântica desafia então o horizonte temporal do risco, tal como tradicionalmente ele se encontra concebido pelos sistemas de controlo interno, introduzindo um risco de natureza intertemporal, de tal forma que as decisões tecnológicas tomadas hoje podem criar vulnerabilidades que apenas se materializam daqui a uma ou duas décadas, afetando dados com ciclos de vida longos, como contratos, processos administrativos, decisões regulatórias, dados pessoais sensíveis ou informação estratégica. O controlo interno passa, assim, a ter de lidar com o risco, não negligenciável refira-se, de que o passado venha a ser tecnicamente reaberto no futuro.
Esta evolução terá ainda impacto sobre princípios clássicos do controlo interno, como a segregação de funções. Se os mecanismos de identificação digital e de assinatura eletrónica forem fragilizados, torna-se mais difícil garantir, de forma inequívoca, quem autorizou, quem executou e quem validou uma determinada operação. A possibilidade de usurpação de identidade institucional, de falsificação de ordens ou de alteração retroativa de decisões poderá então corroer um dos pilares fundamentais da responsabilização organizacional, aumentando o risco de fraude, exceções, erros não detetados e, sobretudo, perda de confiança nos sistemas, com o inevitável risco reputacional que por regra se associa a quadros de maior vulnerabilidade dos sistemas de controlo interno. Perante este cenário, a computação quântica obriga também a uma reconfiguração das linhas de defesa, deixando de ser um tema exclusivamente técnico ou reservado às áreas de sistemas de informação. As decisões sobre criptografia, preservação da evidência digital e migração para soluções resistentes ao quantum passam a ter natureza estratégica e devem envolver a governação e gestão de risco da entidade. As funções de risco, compliance e controlo interno devem então ser chamadas a integrar este novo tipo de risco nas suas matrizes, políticas e avaliações prospetivas, enquanto a auditoria interna terá de adaptar os seus critérios de fiabilidade da evidência e de avaliação dos controlos tecnológicos ao novo contexto.
Esta problemática assume especial relevância em setores altamente regulados, como a administração pública, a gestão de fundos europeus, a saúde, a defesa ou o setor financeiro, onde existem exigências reforçadas de integridade da informação, não repúdio, rastreabilidade e responsabilização pessoal ao longo de muitos anos. Nestes contextos, a computação quântica não ameaça apenas sistemas informáticos, mas a própria durabilidade jurídica e institucional das decisões, dos atos administrativos e dos mecanismos de controlo.
É, pois, para nós evidente que a importância da computação quântica para os sistemas de controlo interno veio para ficar, expondo e fragilizando os pressupostos tecnológicos invisíveis, afetando a integridade e a validade da evidência e, em particular, alongando o horizonte temporal do risco e, sobretudo, obrigando a uma integração mais profunda entre tecnologia, governação, direito e gestão do risco. Não se trata, portanto, de um problema de TI, mas de um desafio estrutural à confiança, à responsabilização e à legitimidade dos sistemas de controlo interno, tal como hoje os conhecemos.
Perante este cenário, a resposta adequada não passa, em nosso entender, por soluções pontuais ou exclusivamente técnicas, mas por uma reconfiguração da forma como o risco tecnológico de longo prazo é integrado nos atuais sistemas de controlo interno.
Assim, uma primeira mudança fundamental que as organizações terão de equacionar é a de reconhecer o risco quântico como um risco estratégico e de transição e que, como tal, deve constar explicitamente dos mapas de risco, dos referenciais de controlo e das estruturas de gestão e governação da entidade. Tal implicará abandonar a perceção de que se trata de um tema reservado a especialistas em cibersegurança e assumir que a sua abordagem e tratamento exigem envolvimento ao nível da gestão de topo, da auditoria interna e das funções de controlo, com responsabilidade claramente atribuída e supervisão efetiva. Também será importante adotar uma abordagem estruturante que passe pela identificação e classificação dos ativos mais críticos sob a perspetiva do tempo, pois se é verdade que nem toda a informação exige o mesmo nível de proteção ao longo dos anos, alguma informação exigi-lo-á. A triagem de dados de longa duração — aqueles cuja confidencialidade, integridade ou valor probatório se estende por 10, 20 ou 50 anos — torna-se, assim, um instrumento central de mitigação. Este exercício deve, em nosso entender, ser integrado nos processos de controlo interno existentes, articulando-se com políticas de retenção, minimização de dados e gestão documental, reforçando simultaneamente os princípios da necessidade, da proporcionalidade e da responsabilidade no tratamento da informação. Em paralelo, os sistemas de controlo interno devem evoluir para uma lógica de mitigação progressiva e antecipatória. Em vez de esperar por um ponto de rutura tecnológico, importa planear desde já trajetórias de migração, estabelecendo princípios claros: novos sistemas e aquisições devem ser concebidos com compatibilidade futura; dependências críticas devem ser mapeadas e monitorizadas; e a substituição de algoritmos vulneráveis deve ser planeada de forma faseada, realista e auditável. Este planeamento não elimina o risco, mas reduz significativamente a probabilidade de decisões apressadas, dispendiosas ou mal controladas quando a pressão regulatória, tecnológica ou reputacional se intensificar.
Por fim, importa sublinhar que o risco quântico coloca um desafio cultural e organizacional aos sistemas de controlo interno. A sua gestão exige visão de longo prazo, continuidade estratégica e disciplina institucional — qualidades que nem sempre são naturais em organizações pressionadas por ciclos curtos de decisão, execução e reporte.
Incorporar o risco quântico nos sistemas de controlo interno é, em última análise, um exercício de maturidade institucional, exigindo à organização que seja capaz de reconhecer que nem todos os riscos se manifestam de imediato e que, muitas vezes, os mais críticos são precisamente aqueles que se acumulam silenciosamente, fora do alcance dos modelos tradicionais de controlo.
A computação quântica não impõe, portanto, uma rutura súbita, mas uma escolha ponderada. As organizações podem tratá-la como uma curiosidade futura e herdar um passivo invisível, ou podem integrá-la desde já nos seus sistemas de controlo interno, transformando um risco inevitável num processo governado, proporcional e estrategicamente gerido. Nesse sentido, o verdadeiro desafio não é tecnológico, mas institucional: assegurar que os sistemas de controlo interno continuam a cumprir a sua função essencial — proteger a confiança, a integridade e a responsabilidade — mesmo num horizonte tecnológico radicalmente transformado.
A computação quântica não ameaça pois pela rutura mas sim pela omissão. De tal sorte que as organizações que não forem capazes de a integrar hoje no controlo interno, estarão a construir, sem o saber, o passivo institucional de amanhã.