Nos últimos anos, o empresário Alberto Leite aumentou seu perfil tanto na Faria Lima quanto em Brasília.
Apaixonado por tecnologia desde a adolescência como ‘micreiro’ em sua São Luís natal, Alberto é o dono da FS Security – uma das principais companhias brasileiras de cibersegurança, que faturou R$ 1,2 bilhão ano passado.
Em 2016, o Carlyle comprou 40% da FS; mas se desfez da posição um ano e meio depois, quando o mercado de ‘value added services’ em que a FS operava sofreu mudanças dramáticas.
Ainda pouco conhecida fora do mundo das grandes teles, a FS é uma holding com quatro negócios: a FS, que vende soluções de cibersegurança para PMEs; a EXA, que vende soluções de antivírus e de nuvem para usuários de celular; uma fábrica de softwares que opera num modelo de revenue share; e um negócio incipiente de advertising focado em tecnologia para o mobile.
No ano passado, Alberto criou um atrito com outras operadoras depois de se associar à TIM, de quem hoje é muito próximo. (No ano passado, a TIM Brasil comprou uma participação na EXA, o negócio B2C da FS, que pode chegar a 35% dependendo do cumprimento de certas metas.)
Adepto de vinhos exuberantes e carros possantes, Alberto ajudou a organizar a visita de Elon Musk ao Brasil ano passado, e hoje frequenta empresários como André Esteves e Jorge Moll.
Na política, foi um dos empresários mais próximos da família Bolsonaro – mas já construiu muitas pontes com o Governo Lula, onde tem boa interlocução.
Agora, com a disrupção constante trazida pela tecnologia – agravada pelo advento da inteligência artificial – Alberto alerta que o Brasil está atrasado em ter uma política pública para segurança digital.
O empresário defende a criação de uma Política Nacional de Cibersegurança que foque na educação, na formação e no fomento de mão de obra, e na isonomia regulatória e tributária — além da criação de uma Agência Nacional de Cibersegurança nos moldes do que países da Europa já fizeram.
Nessa conversa com o Brazil Journal, ele explicou sua visão para a regulação do setor.
Você acha que existe um vácuo regulatório sobre a cibersegurança no Brasil?
A disputa tecnológica que acontece hoje em algumas partes do mundo — e a mais evidente é a entre os Estados Unidos e a China — está provocando o mundo inteiro a olhar para as empresas de tecnologia, como as de IA e de cibersegurança, e pensar: ‘será que a empresa que controla minha ciberdefesa e a ciberdefesa dos meus cidadãos, e o armazenamento de dados do meu Governo e das minhas empresas, deveria estar fora do Brasil do ponto de vista jurisdicional, do ponto de vista de arrecadação de impostos, e até estratégico para a ciberdefesa? Isso faz sentido?’
Os países do mundo inteiro estão repensando isso. A União Europeia, por exemplo, exigiu que os data centers do TikTok tivessem na Europa e com um código que eles pudessem enxergar o que estava acontecendo. O Departamento de Comércio dos EUA também descobriu um problema no chipset da Huawei que poderia abrir espaço para espionagem.
Quando você vê todos esses problemas no mundo e olha a realidade brasileira, você começa a se preocupar um pouco com isso. Por isso achamos que o Brasil precisa pensar mais na sua soberania digital. Hoje, as empresas de cibersegurança de origem brasileira são um espectro muito pequeno do mercado. Somos o quinto país em número de downloads de lojas de aplicativo. Somos o terceiro maior em consumo de horas totais na internet, e o quarto maior em tráfego da internet. Mas não temos nenhuma empresa brasileira entre as 20 maiores empresas de cibersegurança do mundo.
E as empresas internacionais estão aqui no Brasil, mas muitas delas virtualmente. Não têm CNPJ aqui, e muitas vezes não estão aqui fiscalmente. O que acontece com o software é o mesmo que acontece com o varejo. O varejo reclama que entram muitas mercadorias sem nota, e os varejistas locais enfrentam uma pressão muito grande com impostos. Com software é a mesma coisa. Você se cadastra na internet, manda um link, o sujeito aperta lá, paga e funciona. É muito baixa a arrecadação de impostos.
De quais empresas você está falando especificamente?
São empresas que estão de forma muito tímida no Brasil, às vezes só com um escritório de representação comercial. Vou te dar um exemplo recente. Quando o Ministro Alexandre de Moraes tentou bloquear o Instagram, ele não sabia a quem notificar. Porque não tem um representante legal do Instagram com poder de assinatura. E aí se recorreu às empresas de VPN, que são as empresas de cibersegurança, para bloquearem. E não tinha quase nenhuma. A nossa foi uma das poucas que agiu para cumprir a Constituição, mas outras tantas não… E isso aconteceu porque muitas vezes elas nem foram notificadas, porque não tem escritórios aqui no Brasil.
E por que você acredita que isso é um problema para o País?
Ninguém acredita que a próxima grande guerra vai ser um tanque de um lado, um tanque de outro, um fuzil de um lado, um fuzil de outro. Todo mundo sabe que você vai ter ataques cibernéticos nas infraestruturas físicas dos países. Cortar água, gás, telefonia, metrô, energia. Tirar os sites de serviços básicos do ar.
Agora, se todo mundo que te protege é de outro país e não há uma representação legal, você adiciona uma camada muito complexa e com muitas implicações que dificultam que os agentes públicos e reguladores possam agir.
Acho que esse é o problema hoje, embora a gente tenha evoluído muito nos últimos anos. Teve a Lei Carolina Dieckmann, que tornou o processo de invasão crime. Depois teve o Marco Civil da Internet, que foi outro grande avanço. E, mais recentemente, teve a LGPD. Mas essa corrida tecnológica do mundo requer de nós um processo de regulação mais rápido. Estou extremamente preocupado com as empresas de cibersegurança que fornecem soluções para diversas empresas e não tem nem CNPJ no Brasil.
Você é dono de uma empresa de cibersegurança no Brasil e está dizendo que tem muitos gringos operando aqui e que não pagam imposto. Até aqui parece que é um empresário local reclamando da concorrência internacional. Qual sua visão para uma Política Nacional de Cibersegurança?
Temos uma minuta para um projeto de lei na Câmara. Mas até aqui o que eu dei foi um contexto global do que os outros países estão fazendo. Eu não estou reclamando dos gringos. Até porque eu comecei minha empresa do zero em 2009 e estou onde estou — mesmo com esse ambiente regulatório como está. Então não há reclamação e nem acho que tem que impedir o gringo aqui. Eu acho que o Brasil tem que olhar para esses problemas, porque todos os nossos dados estão nas mãos de empresas de fora. Estou falando de uma preocupação sobre isso. E obviamente se as coisas tiverem uma regulação que faça as empresas gringas terem um pé aqui, isso é bom, porque traz investimento, traz emprego, desenvolve o País. Mas não temos a menor dificuldade com empresas estrangeiras.
Mas achamos que a primeira medida está no processo de educação. Inserir essas atividades no ensino fundamental e médio. Porque muitas vezes o que acontece é um problema também de cunho educacional.
A formação de engenheiros de cibersegurança é muito baixa no Brasil. A formação de engenheiros é baixa, a de engenheiros de tecnologia é mais baixa ainda, e a de engenheiro de cibersegurança é ainda pior. Então é importante despertar esses jovens para essa carreira.
Mas o mais importante é conhecer os problemas de privacidade e segurança no mundo da internet. Ter uma grade curricular que englobe isso. Temos conversado com alguns governadores que já estão inserindo esses temas na grade, como o do Piauí.
A segunda medida é criar uma estrutura de fomento de longo prazo no Brasil para capex de mão de obra. Hoje o capex tradicional na estrutura de fomento brasileiro é muito voltado para equipamentos, que hoje são basicamente em nuvem, então não tem muita compra de equipamentos.
O que é o capex de uma empresa de cibersegurança P&D? É puramente a folha de pagamento. Então acho que as regulações dos fundos de fomento no Brasil tem que mudar. Estruturalmente, a regulação fala de investir em compra de equipamento e tem pouco espaço para investimento em mão de obra.
O terceiro problema é o seguinte. As empresas têm que ter assimetria regulatória no sentido tanto de obedecer a constituição quanto tributária. Então nossa proposta é que em compra de cartão de crédito de software já fosse retido o IR e todos os impostos no momento da transação. Você aumenta a base arrecadatória sem onerar todo mundo e coloca as empresas em pé de igualdade. Hoje, é fato que concorremos em desigualdade de condições em relação a quem vem de fora e vende o software com um link na internet.
Nossa proposta é criar esse primeiro Marco de Cibersegurança e junto sugerimos também uma Agência Nacional de Cibersegurança. Essas nossas ideias estão vindo de exemplos da Europa e dos Estados Unidos.
Os EUA e Europa já criaram suas Agências Nacionais de Cibersegurança?
Eles já criaram e atuam fortemente. Inclusive banindo empresas que eles acham que não são idôneas. Claro que há uma forma de acomodação com tudo isso.
Mas isso que você está narrando da Europa, é uma agência de cybersecurity da UE ou tem uma agência, uma autarquia por país?
Tem as duas coisas. Há a agência de cibersegurança da UE. E os países também adotam medidas que vão além. A Itália tem regulações específicas que reforçam os macro-regulamentos da UE.
Temos uma situação no Brasil em que esse assunto é uma ponta solta. Temos que entender quem vai estar no front brasileiro. Vamos ter empresas que nem vão ter CNPJ, e nem conseguem criar uma aplicação? Ou vamos ter empresas estruturadas com presença no Brasil?
Existe alguma política Nacional de Cibersegurança no Brasil?
Existem muitas iniciativas. No Governo passado, nesse Governo. O exército brasileiro também impõe algumas regras. Mas ainda não existe um Marco Regulatório, uma lei, um ordenamento que tem que seguir.
Existe a Lei Carolina Dieckmann, o Marco da Internet e LGPD, que visita muito o tema da privacidade. Que é um tema muito bem estudado e debatido. Mas na questão de cibersegurança ela pega um pouquinho, mas não trata de forma aprofundada.
Quais subitens esse plano nacional deveria ter?
É mais ou menos aqueles três pontos que falei antes. E ela tem elementos que sugerem atualizações de alta tecnologia para órgãos do Governo. Às vezes você tem órgãos ultra sensíveis no Brasil com tecnologias antigas. E vou dar um exemplo: na época da covid o site do Ministério da Saúde ficou fora do ar porque teve um ataque. E você não conseguia emitir carteira de vacinação, agendar, naquele momento horroroso da pandemia.
Lá, os equipamentos não estão exatamente adequados. Claro, tem lei de licitação, tem isso, tem aquilo. Mas mandatar essa obrigatoriedade aos órgãos brasileiros de ter os melhores softwares, e mais bem atualizados. Porque essa briga tecnológica é imensa.
A computação quântica, que estamos muito perto dela, não saberia dizer quando, ela tem potencial de derrubar toda a nossa infraestrutura de segurança do planeta. Porque se você ataca com inteligência quântica e se defende com tecnologia binária, que é a de todo mundo hoje, provavelmente as criptografias não vão suportar. Então você vai ter que desenvolver tecnologias em quântica também para se defender. Aí a necessidade desses órgãos brasileiros estarem atualizados.
Por que o Brasil está atrasado neste tema?
Os mesmos problemas que pedimos na regulação são os problemas que nos atrasam. Temos um problema de geração de novos engenheiros de cibersegurança, que hoje é muito baixo. Não temos uma educação de base que ensine os alunos da importância de conhecer esse tema. E falta uma estrutura de fomento de capital. Quando você seca as fontes de financiamento no mundo, e o custo de capital aumenta, você quer fazer tecnologia de longo prazo e investir no longo, os órgãos de fomento como o FINEP, BNDES, BNB, tem que ter linhas que permitam isso.
