Novas regras de cibersegurança da Anatel expandem obrigações para IA, data centers e nuvem no setor de telecom

A Resolução nº 740/2020 da Anatel, complementada pela Resolução nº 767/2024, redefine as normas de segurança cibernética para o setor de telecomunicações no Brasil, ampliando obrigações para todas as prestadoras de serviços, independentemente do porte. Essas medidas, que entraram em vigor em setembro de 2025, exigem notificações de incidentes à agência reguladora e à Autoridade Nacional de Proteção de Dados (ANPD), além de auditorias externas e políticas de segurança aprovadas em conselhos administrativos. Em paralelo, a Anatel prorrogou até 13 de novembro a Consulta Pública nº 32/2025, que discute atualizações específicas para inteligência artificial (IA), data centers e computação em nuvem, visando alinhar o Brasil a padrões internacionais e mitigar riscos crescentes em um ecossistema digital em expansão.

Obrigações ampliadas e o foco em incidentes críticos

As resoluções estabelecem condutas obrigatórias para promover a integridade das redes e serviços de telecomunicações, incluindo a mitigação de vulnerabilidades em equipamentos cedidos a consumidores e a avaliação de fornecedores. Todas as prestadoras devem notificar incidentes relevantes à Anatel quando envolverem dados pessoais, conforme exigido pela ANPD, fortalecendo a coordenação entre reguladores. Para grandes operadoras e infraestruturas críticas — como redes móveis, cabos submarinos e transporte de dados em atacado —, as demandas são mais rigorosas, abrangendo relatórios anuais de execução de políticas de segurança e hierarquia de infraestruturas críticas.

Para pequenas e médias empresas (PMEs), que representam 80% dos alvos de ataques cibernéticos no Brasil segundo o relatório Cost of a Data Breach 2025 da IBM, as obrigações são proporcionais, com ênfase em padrões mínimos de autenticação e ambientes seguros para usuários. No entanto, o custo médio de uma violação de dados no país atingiu R$ 7,19 milhões em 2025, um aumento de 6,5% em relação a 2024, com tempo de recuperação superior a 150 dias em 35% dos casos, destacando a urgência de conformidade para evitar sanções administrativas previstas na Lei Geral de Telecomunicações (Lei nº 9.472/1997).

Consulta pública: avanços para IA, data centers e nuvem

A Consulta Pública nº 32, prorrogada por 45 dias a pedido de entidades como o Facebook do Brasil, propõe revisões no Regulamento de Segurança Cibernética (R-Ciber) para incluir explicitamente serviços de IA, data centers e computação em nuvem. A proposta exige que prestadoras contratem fornecedores desses serviços com políticas de segurança compatíveis às diretrizes da Anatel, incluindo auditorias independentes periódicas. Para IA, a agência concluiu que a regulamentação atual já permite seu uso sem normas adicionais, mas reforça o acesso fiscalizatório a sistemas, dados de treinamento e ferramentas baseadas em IA, permitindo que a própria Anatel adote essas tecnologias em processos internos.

Essa iniciativa, prevista no item 19 da Agenda Regulatória 2025-2026, surge em meio à expansão do 5G e da Internet das Coisas (IoT), onde data centers — com mais de 100 instalações comerciais no Brasil e investimentos bilionários — tornam-se alvos estratégicos. A Anatel planeja publicar procedimentos operacionais em até 240 dias para certificação e monitoramento contínuo dessas infraestruturas, alinhando-se a benchmarks da União Europeia e diretrizes do Banco Central sobre segurança digital.

Desafios para o setor: custos e escassez de talentos

O advogado Celso Basílio, especialista em regulação de telecomunicações do escritório Silveiro Advogados, avalia que o maior obstáculo para as PMEs será o investimento em conformidade. “Para se adequar, as empresas precisam de equipes dedicadas, programas de conscientização e atualizações tecnológicas constantes. A escassez de profissionais qualificados em cibersegurança no Brasil eleva os custos, mas a regulação equilibra exigências ao porte, com isenções para startups sob responsabilidade das prestadoras contratantes”, explica Basílio.

Em entrevista, ele enfatiza que a resposta a incidentes — incluindo notificações ágeis — será crucial para evitar multas, contrastando com o ritmo lento do Congresso em debates sobre big techs. “A Anatel avança com diálogo direto ao mercado, buscando um equilíbrio entre inovação e proteção ao consumidor. O foco não é só técnico: é construir uma cultura de governança e compliance em toda a organização.”

Impactos na Paraíba: fortalecendo a resiliência regional

No Nordeste brasileiro, especialmente na Paraíba, essas normas ganham relevância com o crescimento de provedores regionais de Serviço de Comunicação Multimídia (SCM) e data centers locais, impulsionados pela expansão do 5G em João Pessoa e Campina Grande. O estado, que abriga iniciativas como o Data Center da Universidade Federal da Paraíba (UFPB) e projetos de nuvem para o setor público, beneficia-se de regras que mitigam riscos em infraestruturas críticas, como redes de banda larga rural que conectam comunidades remotas.

Dados do INCA e do Ministério da Ciência, Tecnologia e Inovações indicam que o Nordeste enfrenta 25% mais incidentes cibernéticos que a média nacional em PMEs, devido à dependência de telecom para agronegócio e serviços digitais. A conformidade com as resoluções pode reduzir esses riscos, estimulando investimentos em cibersegurança local — como treinamentos na Fundação de Apoio à Pesquisa do Estado da Paraíba (FAPESQ) — e protegendo dados de usuários em um ecossistema onde o e-commerce e a telemedicina crescem 15% ao ano. Políticas federais com impacto orçamentário direto, como incentivos fiscais para adequação tecnológica, beneficiam diretamente o estado, fomentando empregos qualificados e inovação sustentável.

Um marco para a governança digital no Brasil

As resoluções da Anatel representam um avanço concreto na proteção de infraestruturas digitais, integrando IA e nuvem a um framework robusto que prioriza a resiliência sem sufocar a inovação. Ao alinhar o setor de telecom às demandas globais, o Brasil se posiciona como líder em regulação equilibrada, onde o diálogo com stakeholders — como na consulta pública prorrogada — garante adaptações ágeis. Para empresas, o imperativo é claro: investir em cultura de segurança não é custo, mas investimento em confiança e continuidade, especialmente em regiões como a Paraíba, onde a conectividade impulsiona o desenvolvimento inclusivo e sustentável.

---

“Para estar em conformidade, as empresas precisam investir em equipes, conscientização interna e atualizações tecnológicas constantes. Há escassez de profissionais qualificados em segurança cibernética no Brasil, o que encarece a adequação”, avalia Celso Basílio, especialista em regulação de telecomunicações.

---

Da redação com informações de Telesíntese [GRK-XAI-01102025-1430-V1G]