A Agência Nacional de Telecomunicações (Anatel) instaurou três processos administrativos para saber se as operadoras de telefonia Tim, Vivo e Claro estavam cientes dos ataques pelo software espião FirstMile, usado no suposto esquema de espionagem ilegal de autoridades por meio da Agência Brasileira de Inteligência (Abin) durante o governo de Jair Bolsonaro.
Em nota enviada ao Portal iG , o órgão informou que as apurações priorizaram, no início, "esclarecer se houve conhecimento e colaboração das prestadoras para com a Agência Brasileira de Inteligência (Abin), e apurar sobre eventuais falhas que pudessem permitir tais acessos indevidos."
A Agência também informou ter identificado, por parte das operadoras, a implementação de soluções de bloqueio para esse tipo de atividade, mas apura "se as prestadoras perceberam eventuais tentativas de acesso indevido as informações à época em que ocorreram, e se deveriam ter notificado a Agência, ou se somente tomaram ciência posteriormente, pelas notícias de imprensa."
A Agência não confirmou, no entanto, se as empresas de fato não comunicaram sobre os ataques - postura que lhes renderia uma punição administrativa, mas informou ter requerido informações à Polícia Federal que possam contribuir para a continuidade das apurações.
Confira na íntegra as duas notas enviadas ao iG pela Anatel:
"A Anatel instaurou Processos Administrativos para apurar os fatos narrados em notícias dos principais jornais do país sobre o monitoramento de cidadãos brasileiros feito pela Abin, a partir de software espião nas redes das prestadoras brasileiras de telefonia móvel.
O software espião explorou característica histórica de protocolo padronizado para interconexão internacional entre as prestadoras nos serviços de telecomunicações.
As apurações apontaram:
1) Que a Abin não fez contatos ou acordos com as prestadoras para tal campanha;
2) Que as prestadoras implementaram soluções nas redes com função de bloquear possíveis explorações desse protocolo. Essa implantação de solução de bloqueio decorreu do processo de gestão de riscos de segurança cibernética, e não em resposta ao caso específico que era até então desconhecido.
A atuação prática se deu pela empresa contratada pela Abin, via software espião. Da apuração não se constatou contato ou contrato das prestadoras com a empresa Cognyte.
Pelas informações já coletadas ainda não é possível dizer sobre dados explorados.
As prestadoras informam terem adotado soluções de bloqueio desse tipo de acesso indevido, bem como realizado testes bem sucedidos.
A Agência determinou que novos testes sejam realizados por empresa especializada e independente.
Por fim, informamos que a apuração da Agência ainda está em andamento."
"A Agência Nacional de Telecomunicações (Anatel) informa ter instaurado três processos administrativos a partir dos fatos noticiados pela imprensa em 14 de março de 2023, quanto ao possível monitoramento de cidadãos por meio de software espião, nas redes de empresas de telefonia móvel. Tais procedimentos priorizaram, no início, esclarecer se houve conhecimento e colaboração das prestadoras para com a Agência Brasileira de Inteligência (Abin), e apurar sobre eventuais falhas que pudessem permitir tais acessos indevidos.
As prestadoras informaram não terem conhecimento prévio ou comunicação com a Abin em relação aos fatos noticiados. Também informaram terem implementado soluções de bloqueio quanto a possíveis acessos indevidos por meio dos protocolos de interconexão internacional. Além disso, informaram terem realizado testes para confirmar a suficiência da solução.
A Anatel apura se as prestadoras perceberam eventuais tentativas de acesso indevido as informações à época em que ocorreram, e se deveriam ter notificado a Agência, ou se somente tomaram ciência posteriormente, pelas notícias de imprensa.
A adoção de soluções de segurança não necessariamente se dá por reação a incidentes ocorridos, mas também pode decorrer de medida preventiva e gestão de riscos, que é obrigação decorrente da regulamentação setorial.
As prestadoras têm fornecido informações à Agência sobre o tema e foi acordada nova rodada de testes sobre a suficiência das soluções de bloqueio implementadas.
Eventual constatação de indícios de descumprimento de obrigações ensejam a abertura de processos sancionadores, que respeitam o devido processo legal de defesa e contraditório.
A Agência informa ter requerido informações à Polícia Federal que possam contribuir para a continuidade das apurações."
O Portal iG entrou em contato com as operadoras, mas ainda não obteve resposta.
*Reportagem em atualização.