Resumo: 2026 será um ano de decisões estruturantes para privacidade, criptografia e arquitetura da Internet. Enquanto o Marco de Cibersegurança brasileiro ganha forma, o Poder Judiciário segue sem definir quais serão os limites de responsabilização de plataformas. Além disso, a União Europeia discute medidas que podem atingir a criptografia, o Reino Unido executa um regime extraterritorial de segurança online e a comunidade técnica acelera a transição para criptografia pós-quântica. Este texto sintetiza o que cada tendência significa na prática, como monitorar os pontos de pressão e quais estratégias de advocacy e técnica valem investir para proteger direitos digitais e a resistência da criptografia.
#1 — Marco Legal de Cibersegurança (tramitação e riscos centrais; Senado Federal)
O PL 4752/2025 pretende criar um Marco Legal de Cibersegurança com programa nacional, definição de infraestrutura crítica e obrigações de reporte que podem conferir poderes de fiscalização e coordenação centralizada. Isso muda o arcabouço institucional e cria janelas para exigências de acesso a dados e padrões técnicos sem salvaguardas.
Atualmente ele encontra-se em discussão na Comissão de Ciência, Tecnologia, Inovação e Comunicação (CCT) do Senado Federal. O PL adota conscientemente um desenho aberto, concentrando na lei objetivos, diretrizes e deveres estruturantes, e deslocando a definição operacional para atos posteriores. Esse modelo carrega riscos significativos caso não sejam estabelecidas balizas normativas claras sobre arquitetura de segurança, proporcionalidade e proteção de direitos fundamentais.
No campo institucional, a discussão na CCT se articula diretamente com um debate paralelo no Poder Executivo sobre o modelo da autoridade responsável pela Política Nacional de Cibersegurança, atualmente em análise na Casa Civil.
O que acompanhar
- Tramitação na Comissão de Ciência, Tecnologia, Inovação e Comunicação (CCT): parecer do relator, votos em separado e eventuais emendas que fixem (ou deixem em aberto) balizas técnicas e institucionais.
- Definição do modelo de autoridade nacional de cibersegurança: alinhamento (ou desalinhamento) entre o PL e as discussões em curso no Poder Executivo, especialmente quanto à centralização de competências e coordenação interinstitucional.
- Tratamento da regulação infralegal: quais temas ficam expressamente remetidos a atos posteriores e se o texto estabelece limites materiais claros para esses regulamentos.
- Ênfase em conformidade vs. capacidade operacional: presença (ou ausência) de instrumentos de mensuração de resiliência real, como testes, métricas de resposta e simulações.
- Salvaguardas para privacidade, criptografia e pesquisa em segurança: menções explícitas (ou omissões) sobre minimização de dados, arquitetura de segurança e reporte responsável de vulnerabilidades.
#2 — Julgamento da ADPF 403 e casos correlatos sobre responsabilização de plataformas (Supremo Tribunal Federal)
A ADPF 403 e a ADI 5527, em trâmite no STF, compõem o núcleo do debate constitucional sobre os limites do Estado frente à criptografia e às comunicações privadas na Internet. As ações decorrem de decisões judiciais que determinaram o bloqueio de aplicações de mensageria, como o WhatsApp, em razão da impossibilidade técnica de acesso a conteúdos protegidos por criptografia ponta-a-ponta.
A ADI 5527, sob relatoria da Ministra Rosa Weber (posteriormente sucedida), questiona a constitucionalidade de dispositivos do Marco Civil da Internet (Lei nº 12.965/2014) que permitiam esse tipo de bloqueio como forma de coerção ao cumprimento de ordens judiciais, sustentando que tais medidas violam a liberdade de comunicação, a privacidade e a própria lógica da criptografia robusta. Já a ADPF 403 enfrenta o mesmo problema sob a ótica da quebra de sigilo e da proporcionalidade das medidas estatais diante de limitações técnicas intrínsecas aos sistemas criptografados.
As duas ações são tratadas de forma articulada pelo Tribunal e buscam definir até que ponto o ordenamento jurídico brasileiro admite a existência de comunicações tecnicamente inacessíveis ao Estado, mesmo em contextos investigativos. O resultado desse julgamento tem potencial de funcionar como precedente estrutural, com impactos diretos sobre serviços de mensageria, desenho de sistemas criptográficos e incentivos regulatórios futuros.
Do ponto de vista processual, os processos já foram devolvidos de vista e aguardam inclusão em pauta, sem previsão definida para retomada do julgamento.
O que acompanhar
- Tese conjunta firmada na ADPF 403 e na ADI 5527: reconhecimento (ou não) de limites materiais à quebra de sigilo frente à criptografia.
- Posicionamento do STF sobre bloqueio de aplicações como medida coercitiva.
- Referências técnicas nos votos: menções a criptografia ponta-a-ponta, impossibilidade técnica e proporcionalidade.
- Efeito irradiador do precedente sobre políticas públicas, regulação administrativa e novos projetos de lei.
- Status de pauta: eventual retomada do julgamento após a devolução dos autos.
#3 — Debate europeu sobre o “Chat Control” (CSAR) na União Europeia
Em 2026, o debate sobre o Regulamento de Abuso Sexual Infantil (CSAR) na União Europeia entra numa fase de “estagnação estratégica”. Diante da incapacidade das instituições europeias de chegarem a um consenso sobre um texto permanente que equilibre proteção infantil e criptografia, o Parlamento Europeu optou por planejar uma nova extensão para a derrogação da Diretiva de ePrivacy.
Esta medida prolonga a autorização para que provedores de serviços realizem o escaneamento voluntário de comunicações, evitando um vácuo jurídico, mas transformando o que deveria ser temporário numa norma de facto que já dura anos.
Este cenário de “extensões infinitas” reflete a profunda divisão política: enquanto alguns Estados-membros pressionam por mandatos de detecção obrigatórios e indiscriminados, o Parlamento e o novo Comissário Europeu, Michael McGrath, tentam redirecionar o foco para o monitoramento direcionado.
O apoio de McGrath a uma abordagem baseada em alvos específicos e ordens judiciais, em vez de uma vigilância generalizada, representa uma vitória tática para os defensores da criptografia, mas mantém o setor em suspense.
No entanto, a transição para o “monitoramento direcionado” não é isenta de riscos, afinal o grande desafio técnico e político reside em definir o que constitui um “alvo” ou “grupo de risco” sem transformar essa seletividade em uma vigilância em massa por procuração, ou exigir a implementação de Client-Side Scanning (CSS) que comprometa a integridade da criptografia ponta-a-ponta (E2EE).
A grande questão de 2026 é se este “pivot” para o monitoramento direcionado conseguirá finalmente destravar a legislação permanente ou se a Europa continuará dependente de extensões de última hora que mantêm a segurança jurídica das plataformas e a privacidade dos utilizadores num estado de incerteza perpétua.
O que acompanhar
- A Nova Data-Limite da Extensão: O prazo exato da nova prorrogação e as condições impostas pelo Parlamento para concedê-la.
- A “Linha McGrath” nos Trílogos: Como o Comissário traduzirá o conceito de “monitoramento direcionado” em linguagem técnica legal, especialmente no que toca à proteção da criptografia ponta-a-ponta (E2EE).
- Pressão dos Provedores: Se grandes empresas que hoje realizam o escaneamento voluntário começarão a recuar devido à pressão de utilizadores e defensores da privacidade, forçando uma decisão final.
- O Equilíbrio no Conselho: Se a coalizão de países pró-escaneamento obrigatório (liderada por França e Espanha) aceitará o monitoramento direcionado ou se continuará a bloquear um acordo final, prolongando o regime provisório.
#4 — Implementação do Online Safety Act no Reino Unido sob a Ofcom
Em 2026 o Reino Unido se tornará um dos principais campos de batalha entre segurança e liberdade. A Ofcom (Office of Communications) opera agora em plena capacidade executiva e enfrenta uma resistência coordenada que vai muito além das grandes empresas de tecnologia. O cenário atual é marcado por desafios legais significativos que questionam a viabilidade de exigir sistemas de monitoramento proativo e verificações de idade invasivas. Especialistas e organizações de direitos digitais argumentam que o regime britânico ameaça a existência de plataformas de interesse público que não possuem a arquitetura técnica para policiar comunicações privadas sem destruir o anonimato e a segurança fundamental de seus usuários.
O governo britânico também lida com uma forte pressão política por proibições diretas de redes sociais para menores de dezesseis anos, mas vozes acadêmicas alertam que tais medidas são soluções superficiais que falham em construir resiliência digital e acabam empurrando jovens para espaços menos moderados e muito mais perigosos. Ao mesmo tempo, as análises técnicas mais contundentes sugerem que o uso da polêmica Seção 122 não resultou em crianças mais seguras, mas sim em uma infraestrutura de vigilância que força empresas a escolherem entre a conformidade legal local ou a integridade global de seus protocolos de segurança.
O resultado em 2026 é um impasse onde a segurança digital dos britânicos está ironicamente mais fragilizada devido à criação de vetores de ataque necessários para viabilizar o escaneamento de conteúdo exigido pelo regulador.
O que acompanhar
- Desdobramentos dos processos judiciais que questionam a constitucionalidade das ordens de monitoramento e a possibilidade de exceções para plataformas de conhecimento livre.
- Implementação de sistemas de identidade digital e verificação de idade obrigatória que podem comprometer definitivamente o anonimato dos usuários comuns.
- Decisões de empresas de mensageria sobre a permanência no mercado britânico frente às ameaças de multas pesadas ou ordens de alteração de código.
- Métricas de impacto real para verificar se as medidas de segurança aumentaram a proteção infantil ou se apenas resultaram em um aumento massivo na coleta de dados biométricos.
- Debates parlamentares sobre o banimento de redes sociais para menores e como essa política pode isolar jovens de ferramentas essenciais de educação e comunicação.
#5 — Transição para Criptografia Pós-Quântica e Padrões do NIST
Em 2026, a transição para a criptografia pós-quântica (PQC) transcendeu o status de “preocupação de nicho” para se tornar um imperativo operacional e regulatório em toda a infraestrutura crítica global. Com a publicação final dos padrões NIST (FIPS 203, 204 e 205) em agosto de 2024 e a seleção do HQC (Hamming Quasi-Cyclic) como mecanismo de encapsulamento de backup em março de 2025, a indústria tecnológica acelerou a substituição de protocolos vulneráveis.
A principal força motriz deste ano permanece a neutralização da estratégia “Harvest Now, Decrypt Later” (HNDL), onde adversários estatais coletam dados hoje para descriptografá-los no futuro. Isso obrigou governos e empresas a adotarem sistemas híbridos imediatamente. Até o final de 2025, a Cloudflare reportou que mais de 50% de todo o tráfego da web iniciado por humanos já estava protegido por troca de chaves pós-quântica (como X25519+ML-KEM), mitigando a ameaça de descriptografia retroativa em escala massiva.
Além disso, o risco de governos redefinirem padrões técnicos materializou-se em uma divergência geopolítica. Enquanto o ocidente se alinha aos padrões do NIST, a China lançou sua própria chamada global para algoritmos PQC em 2025, e a Coreia do Sul padronizou algoritmos locais (como HAETAE e SMAUG) em janeiro de 2026.
O que acompanhar
- Adoção massiva de protocolos híbridos em navegadores como Chrome e Firefox e em serviços de mensageria como Signal e WhatsApp, protegendo toda a conversa contra comprometimento futuro.
- Agilidade criptográfica das infraestruturas para permitir a substituição de algoritmos em tempo real caso os padrões FIPS 203, 204 ou 205 apresentem falhas teóricas.
- Cronogramas de conformidade governamental que tornam o uso de criptografia pós-quântica um pré-requisito para contratos públicos e operação de serviços essenciais e a aplicação das diretrizes da NSA (CNSA 2.0), que exige que novos sistemas de segurança nacional sejam resistentes a quantum até 2027, e os mandatos da União Europeia para proteger casos de uso de alto risco até 2030.
- Impacto na performance de redes e dispositivos antigos devido ao maior consumo de largura de banda e memória exigido pelos novos padrões pós-quânticos.
- Evolução da criptoanálise quântica com novas pesquisas acadêmicas que testam a resistência dos algoritmos do NIST frente a métodos de ataque cada vez mais sofisticados.
- O Brasil está se caminhando para a definição de sua estratégia de transição para a criptografia pós-quântica: na portaria n.º 6.618, do Ministério da Gestão e da Inovação em Serviços Públicos (MGI), o órgão estabelece o ano de 2027 como prazo para a transição, ação que integra as medidas de implementação do Governo Digital. Já o Instituto Nacional de Tecnologia da Informação (ITI), em janeiro deste ano, definiu novos algoritmos criptográficos resilientes à computação quântica a serem integrados na cadeia operacional da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
