Na era digital, os dados e a infraestrutura que os abrigam já não são apenas ativos econômicos; são alavancas de poder geopolítico. As recentes acusações no Reino Unido sobre uma falha em sistemas de transferência de dados e a implicação de uma empresa sob controle chinês colocaram em foco como a propriedade e o controle de centros de dados podem se tornar vetores de risco para a segurança nacional. Este artigo reúne o que se sabe e o que não está confirmado.

Resumo do que é conhecido (o confirmado e o alegado)

Em outubro de 2025, o ex-assessor Dominic Cummings afirmou que a China havia obtido “grandes quantidades” de informação classificada do governo britânico por meio de uma falha em um sistema de transferência de dados de Whitehall (na linguagem comum utilizado como sinônimo do próprio governo britânico e de seus sistemas internos de comunicação); Cummings relacionou o incidente à intervenção de uma empresa de propriedade chinesa em infraestrutura crítica. Essas alegações reacenderam o debate político e de segurança.

O MI5 advertiu recentemente parlamentares sobre tentativas de espionagem e campanhas de influência provenientes da China, Rússia e Irã, situando o episódio em um contexto mais amplo de ameaças híbridas. (notícia da euronews)

Importante: Não existe confirmação pública que prove de forma inequívoca que “um centro de dados específico foi comprado pela China para espionar” e que explique, com evidência pública, o percurso exato da exfiltração (roubo ou extração não autorizada de informação). Muitas declarações públicas misturam risco de acesso, propriedade acionária e casos de intrusão, e é necessário distingui-los com rigor.

O exemplo mais citado: Global Switch 

A Global Switch é um operador global de colocation com campus em Londres (Docklands) e em outras grandes cidades. Em 2016 houve um investimento chinês significativo e, em 2019, o grupo Jiangsu Shagang adquiriu a participação restante que o tornou o maior acionista/controlador. Isso gerou alarme em governos e clientes sensíveis e levou alguns atores públicos a reconsiderarem sua presença física nessas instalações por motivos de segurança. 

Ainda assim, a existência de controle acionário por parte de investidores chineses criou risco e precaução, mas não equivale automaticamente à prova de intrusão nem ao detalhe de «quais dados foram roubados e como». Essa distinção é crítica para um tratamento responsável do tema. (notícia do data center dynamics)

Outras potências fazem o mesmo?

O fenômeno não é exclusivo da China: existem exemplos e capacidades de espionagem digital atribuíveis ou relacionadas a várias potências.

China: além de compras/participações acionárias, investigações históricas (p. ex. GhostNet) mostraram operações de ciberespionagem com infraestrutura de comando e controle ligada a servidores localizados na China; vazamentos como o da Zhenhua Data (2020) evidenciam projetos de coleta massiva de perfis de pessoas em todo o mundo. Esses casos mostram tanto operações técnicas (malware, APTs) como atividades de inteligência baseadas em big data e OSINT. (notícia da ora)

Estados Unidos: empresas e operadores norte-americanos gerenciam uma parte muito relevante da infraestrutura global (serviços de nuvem, operadores de data centers, serviços de CDN e peering). O domínio técnico e o acesso operacional que essas empresas têm sobre infraestruturas críticas conferem capacidades distintas e também riscos no plano da influência e, em cenários extremos, da inteligência. (notícia da nartv)

Rússia: sua capacidade de ciberofensiva (campanhas de espionagem, intrusões dirigidas, operações de desinformação) está bem documentada em múltiplos relatórios e avisos técnicos; seu modus operandi tem sido historicamente o ciberataque direto e as operações encobertas, mais do que aquisições corporativas internacionais de centros de dados.. (notícia da euronews)

Em suma: há dois tipos de riscos que convém separar: 

Controle físico/operacional da infraestrutura (propriedade, administração, pessoal de operação)
Capacidade ofensiva ou cibernética (hacking, APTs, campanhas de phishing).

O que poderiam ter acessado, possíveis vetores e limites

Sistemas de transferência interministerial ou compartilhados: se um serviço ou integrador tem acesso a rotas de dados entre ministérios e essas rotas não estão devidamente segmentadas ou criptografadas, um ator que comprometer esse ponto pode ver tráfego ou arquivos em trânsito. Essa foi exatamente a preocupação central das afirmações que surgiram no Reino Unido.

Acesso físico e operação do colocation: se um operador controla a sala (racks, switches de camada física, PDUs, KVM), possui capacidades para manipular hardware ou instalar sniffers em caso de intrusão interna. O simples controle acionário não implica intrusão, mas sim influencia o modelo de risco.

Sistemas de gestão e telemetria: plataformas de gestão remota (DCIM, BMS) ou de manutenção remota podem ser vetores se não estiverem devidamente segregadas.

Marco legal e de controle (o que um governo pode fazer)

O Reino Unido conta com a National Security and Investment Act (NSIA) e um regime de revisão de investimentos que permite ao governo “call in” aquisições em setores sensíveis (incluindo infraestrutura digital). Recentemente, houve atualizações e debates sobre sua aplicação a data centres. Além disso, o governo vem avançando na classificação de certos data centres como infraestrutura crítica e no reforço de guias para notificações e revisões. 

Como evitar que nossos dados acabem nas mãos de outros?

No fim, para além de leis e siglas, a grande pergunta é simples: como protegemos o que tem mais valor para que não termine em mãos erradas? Aqui estão algumas chaves:

1. Saber quem está por trás da infraestrutura
   Assim como você não deixaria as chaves da sua casa com qualquer pessoa, países e empresas devem verificar com muito cuidado quem é o verdadeiro dono dos centros de dados onde guardam suas informações. A transparência na propriedade é fundamental.
   

1. Não colocar todos os ovos na mesma cesta:
   Se toda a informação crítica for armazenada em um único centro de dados ou fornecedor, o risco dispara. A solução é fácil de entender: dividir e distribuir. Usar vários provedores e diferentes localizações reduz as chances de que um problema termine em catástrofe.
   
2. Blindar la información desde el origen:
   Imagine que seus dados são cartas confidenciais: mesmo que alguém intercepte o envelope, não poderia lê-lo se estivesse em um idioma secreto. Esse “idioma secreto” é a criptografia: transformar a informação em algo ilegível, exceto para o destinatário autorizado.
3. Auditorias e revisões constantes:
   Não basta confiar. É como verificar se a fechadura da sua porta continua funcionando. Revisões periódicas, auditorias e testes de segurança permitem detectar problemas antes que sejam explorados por alguém de fora.
   
4. Colaboração entre países e empresas:
   A segurança digital não se defende de forma isolada. Assim como existem pactos militares ou acordos de cooperação, também deve haver alianças para compartilhar alertas e boas práticas sobre centros de dados e provedores.
   
5. Formar e conscientizar as pessoas:
   Às vezes, o ponto fraco não são as máquinas, mas as pessoas que trabalham com elas. Com formação e cultura de segurança, evita-se que um descuido ou uma manipulação social abra a porta ao espionagem.
   

As afirmações sobre uma «compra de um data centre pela China para espionar» colocaram novamente na mesa uma lição simples, mas decisiva: risco não é igual a prova, mas ambos merecem atenção e mitigação urgente. O caso britânico (as alegações de Cummings, os alertas do MI5) sublinha vulnerabilidades em como dados e provedores são geridos; o exemplo da Global Switch mostra que a propriedade e o controle acionário de operadores globais podem gerar decisões políticas e migrações de clientes por motivos de segurança.

A resposta não é proibir o investimento estrangeiro per se, mas sim desenhar um marco misto de regras claras (legais), controles técnicos (arquitetura e criptografia) e governança corporativa (contratos e auditorias) que impeçam que a soberania sobre a informação seja meramente nominal. Adotar listas de verificação, revisões legais prévias a transações, cláusulas contratuais fortes e medidas técnicas como criptografia com chaves do cliente e segmentação são passos concretos e já aplicáveis.