Departamento de Comércio dos EUA baniu produtos e serviços da empresa com base em risco à segurança nacional.
No Brasil, a companhia tem mais de 12 mil clientes, 2 milhões de usuários ativos e mais de 300 mil licenças ativas nas Forças Armadas, segundo dados da própria empresa.
Especialistas alertam que softwares de segurança têm acesso privilegiado a sistemas e dados, enquanto advogados apontam que a LGPD exige avaliação diligente de fornecedores em ambientes sensíveis.
Arte - Times Brasil
O BIS também afirma que o software poderia ser explorado para tornar dados sensíveis acessíveis ao governo russo ou para manipular atualizações
O governo americano fez algo que nunca havia feito antes. O Departamento de Comércio dos EUA usou pela primeira vez uma autoridade especial — criada para proteger a cadeia de fornecimento de tecnologia — para banir uma empresa de cibersegurança do mercado americano. A empresa era a Kaspersky Lab, fundada em Moscou em 1997 por Eugene Kaspersky, formado em criptografia em uma instituição ligada à estrutura da KGB soviética e que depois trabalhou em um instituto de pesquisa ligado à defesa.
A decisão não precisou de uma prova técnica de espionagem para ser tomada. O Bureau of Industry and Security (BIS) deixou isso claro na decisão publicada no Federal Register americano: o problema não é o que a Kaspersky fez, mas o que pode ser obrigada a fazer.
Segundo a decisão, a Kaspersky está sujeita à jurisdição russa e pode ser obrigada, pela legislação local, a cooperar com pedidos de inteligência e autoridades policiais, incluindo o Serviço Federal de Segurança (FSB). O BIS também afirma que o software poderia ser explorado para tornar dados sensíveis acessíveis ao governo russo ou para manipular atualizações.
Para entender o peso dessa acusação, é preciso saber o que um software de cibersegurança faz dentro de um computador. Diferentemente de um aplicativo comum, um antivírus opera nas camadas mais profundas do sistema: ele lê arquivos, monitora o tráfego de rede, recebe atualizações automáticas e tem acesso a praticamente tudo que acontece na máquina. É como contratar um segurança que tem a chave de todos os cômodos da casa.
“Quando surge uma acusação desse tipo, muitos clientes deixam de avaliar só detecção e preço, e passam a perguntar: posso confiar no fornecedor em um cenário de crise internacional?”, explicou Vinícius Ferreira, CEO da T2Sec, especialista em cibersegurança.
Para Rafael Franco, CEO da Alphacode, a acusação não precisa ser comprovada para causar dano. “A percepção de risco pode ser tão relevante quanto o risco efetivamente comprovado”, disse ele. É o paradoxo de uma empresa cujo produto é a confiança ser colocada sob suspeita.
O perigo mais concreto identificado pelos especialistas não é necessariamente uma porta dos fundos já instalada no código, afinal, até agora nenhuma agência governamental divulgou prova técnica disso. O risco está em outro lugar: na legislação russa, que permite ao governo exigir a cooperação de empresas privadas com seus serviços de inteligência. Isso significa que uma simples atualização automática do software — legítima, silenciosa, indistinguível de qualquer outra — poderia transformar o antivírus em uma ferramenta de coleta de dados ou, em um cenário extremo, desativar sistemas críticos. “O risco é estrutural, não factual. É inerente ao modelo jurídico russo e não há como mitigar completamente sem mudar a lei russa”, afirmou Ferreira.
Uma história de suspeitas
As acusações contra a Kaspersky não surgiram em 2024. Em 2015, a Bloomberg publicou uma investigação apontando funcionários da empresa com ligações ao FSB. Em 2017, o Departamento de Segurança Interna dos EUA determinou que órgãos federais identificassem e removessem produtos Kaspersky de seus sistemas. Naquele mesmo ano, reportagens também apontaram que um relatório do Conselho Nacional de Inteligência dos EUA teria concluído que o FSB tinha “acesso provável” à base de clientes da Kaspersky e ao código-fonte de seus programas.
No mesmo ano, veio a público o caso de um contratado da Agência de Segurança Nacional (NSA) que levou ferramentas sigilosas para um computador pessoal com Kaspersky instalado. A empresa reconheceu que o antivírus copiou os arquivos para seus servidores durante uma análise automática, mas negou ter buscado deliberadamente material sigiloso e afirmou que os arquivos foram apagados.
Eugene Kaspersky sempre negou as acusações. “Por quase cinco anos, a Kaspersky esteve na linha de fogo de algumas fontes que falsamente relatam que temos laços secretos e antiéticos com organizações governamentais. Quantas provas e fatos concretos eles conseguiram? None. Nada. Zero. Zilch!”, escreveu ele em artigo para a Forbes em 2017. A empresa chegou a propor medidas de transparência, incluindo a abertura do código-fonte para auditoria independente. Não foi suficiente.
O desfecho em setembro de 2024 foi ainda mais polêmico. Dias antes de a restrição final entrar em vigor, usuários americanos relataram que o Kaspersky havia desaparecido de seus computadores e sido substituído automaticamente por um software chamado UltraAV.
“Acordei com o Kaspersky completamente desaparecido do meu sistema com o UltraAV recém-instalado, não por mim, apenas automaticamente enquanto eu dormia”, relatou um usuário no Reddit. A Kaspersky defendeu a troca dizendo que queria evitar que usuários ficassem desprotegidos.
Banida nos EUA, empresa acelerou no Brasil
Enquanto encerrava operações nos Estados Unidos, a Kaspersky movia suas fichas para o Hemisfério Sul. O Brasil, que responde por cerca de 40% do faturamento da empresa na América Latina, passou a ser também a sede das operações para as Américas. A empresa anunciou planos de mais que dobrar sua operação local nos próximos quatro anos, com contratação de dezenas de profissionais e aumento das verbas de marketing.
Os números são expressivos: mais de 12 mil clientes no Brasil, com mais de 2 milhões de usuários ativos. Entre eles, as Forças Armadas brasileiras, com mais de 300 mil licenças ativas, segundo dados da própria empresa.
É justamente esse ponto que concentra as maiores preocupações dos especialistas ouvidos pelo Times Brasil — Licenciado Exclusivo CNBC. “Um antivírus escaneia redes inteiras. Se houver uma requisição legal ou técnica para coletar um arquivo classificado como suspeito — que pode ser um plano militar ou um software de criptografia própria — esse arquivo pode acabar saindo do país para análise externa”, disse Ferreira. Ele vai além: “Em um cenário hipotético de alinhamento geopolítico adverso, o fornecedor poderia desativar as atualizações do software ou gerar falsos positivos em massa, paralisando sistemas operacionais críticos da defesa nacional.”
O vazio regulatório brasileiro
Do ponto de vista jurídico, o Brasil opera em terreno incerto. “Atualmente, o Brasil não possui uma legislação que proíba ou restrinja de forma geral o uso de softwares estrangeiros em órgãos públicos ou infraestruturas críticas apenas em razão do país de origem do fornecedor”, explicou Alexander Coelho, sócio do Godke Advogados e especialista em Direito Digital e Cibersegurança.
Mas isso não significa ausência de responsabilidade. A Lei Geral de Proteção de Dados (LGPD) exige que controladores e operadores adotem medidas para proteger os dados pessoais sob sua responsabilidade, o que inclui avaliar os fornecedores. “Se uma organização utiliza uma ferramenta que possui acesso privilegiado a sistemas críticos ou dados sensíveis, espera-se que seja capaz de demonstrar que realizou uma avaliação diligente dos riscos envolvidos, inclusive aqueles relacionados ao fornecedor”, disse Coelho.
Siga o Times Brasil no Google e receba as principais notícias do Brasil e do Mundo.
Em caso de vazamento comprovado, a responsabilização pode ser conjunta. Ou seja, tanto da Kaspersky quanto da empresa ou órgão brasileiro que a contratou.
“O ponto central não é afirmar a existência de uma ameaça concreta, mas reconhecer que a confiança em uma tecnologia também envolve confiança no ambiente jurídico, regulatório e político ao qual seu fornecedor está submetido. A discussão atual não se limita à eficiência técnica das soluções, mas também à proteção de ativos estratégicos e à preservação da autonomia digital dos Estados.”
Para empresas e órgãos públicos brasileiros que ainda usam o software, os especialistas apontam para a necessidade de uma avaliação imediata de risco, ainda que divirjam sobre o grau de urgência da substituição.
Para Ferreira, da T2Sec, o setor público não tem margem para hesitar. A recomendação é migração imediata para soluções sem vínculo com governos que possuem legislação de cooperação obrigatória com agências de inteligência, priorizando alternativas nacionais ou de países com marcos jurídicos robustos de proteção de dados, como a União Europeia.
O primeiro passo, segundo ele, é uma auditoria completa dos sistemas para mapear todas as dependências da Kaspersky, já que muitas organizações não sabem exatamente onde o software está instalado ou quais dados ele acessa. Para empresas privadas, o ponto de partida é avaliar se a permanência do software afeta contratos com parceiros internacionais, especialmente americanos ou europeus, que podem exigir a substituição como condição de negócio.
Coelho, do Godke Advogados, reforça que a decisão não deve ser tomada por pressão geopolítica, mas por gestão de risco estruturada. “A recomendação é realizar uma avaliação formal baseada em critérios técnicos, regulatórios e estratégicos. Isso inclui revisar contratos, verificar certificações, analisar mecanismos de auditoria e considerar o nível de criticidade dos sistemas protegidos”, disse o advogado. Para ele, organizações que conseguirem demonstrar que fizeram essa avaliação de forma diligente estarão em posição mais segura juridicamente, mesmo que, por ora, optem por permanecer com o software.
Franco, da Alphacode, lembra que a decisão final deve ser baseada em evidências, não em percepções. Mas pondera: em cibersegurança, percepção e realidade raramente se dissociam. “Em setores críticos, a percepção de risco pode ser tão relevante quanto o risco efetivamente comprovado”, disse ele.
Procurada pelo Times Brasil — Licenciado Exclusivo CNBC, a Kaspersky classificou a decisão americana como infundada, atribuindo-a a um cenário de “crescente protecionismo” e não a uma avaliação técnica de seus produtos. A empresa afirmou que havia sugerido que suas soluções fossem verificadas por um revisor independente — proposta que diz ter sido ignorada pelas autoridades dos EUA. A Kaspersky nega qualquer vínculo inadequado com governos e cita certificações como SOC 2 e ISO/IEC 27001:2022 como evidência da segurança de seus processos. A empresa afirma ainda manter Centros de Transparência ao redor do mundo, onde governos e parceiros podem auditar seu código-fonte e atualizações, além de uma instância de seu serviço de reputação de ameaças (KSN) hospedada em datacenter no Brasil. O ministério da Defesa do Brasil ainda não respondeu os nossos questionamentos.
📌 ONDE ASSISTIR AO MAIOR CANAL DE NEGÓCIOS DO MUNDO NO BRASIL:
🔷 Canal 562 ClaroTV+ | Canal 562 Sky | Canal 592 Vivo | Canal 187 Oi | Operadoras regionais
🔷 TV SINAL ABERTO: parabólicas canal 562
🔷 ONLINE: www.timesbrasil.com.br | YouTube
🔷 FAST Channels: Samsung TV Plus, LG Channels, TCL Channels, Pluto TV, Roku, Soul TV, Zapping | Novos Streamings
SpaceX sobe 6% no primeiro dia completo de negociações após estreia recorde 
