Confidential computing: entre a pressão regulatória e a maturidade operacional

A cifragem de dados em repouso e em trânsito já é prática universal nas organizações. Mas há um momento em que os dados ficam expostos: quando estão a ser processados. É precisamente nessa janela que o modelo de confidential computing, ou computação confidencial, atua, isolando workloads dentro de ambientes de execução protegidos por hardware, os Trusted Execution Environments (TEE), que mantêm conteúdo e processos privados mesmo para administradores de infraestrutura, fornecedores de cloud ou qualquer entidade com acesso físico ao hardware.~

De acordo com dados da Gartner, até 2029, mais de 75% das operações processadas em infraestruturas não confiáveis serão protegidas durante o uso através de confidential computing. A consultora identifica a tecnologia como uma das suas dez tendências estratégicas para 2026, destacando o seu valor para indústrias reguladas e operações globais sujeitas a riscos geopolíticos e de compliance. Paralelamente, um estudo da IDC divulgado em dezembro de 2025 revela que 75% das organizações estão a adotar confidential computing, sendo que 57% iniciaram pr ojetos piloto e 18% já têm a tecnologia em produção.

	“O risco associado ao processamento de dados em infraestruturas partilhadas – onde o controlo direto é limitado – torna-se mais difícil de justificar à luz de requisitos de gestão de risco ICT” Manuel Ferreira, Consulting Lead na Claranet Portugal

Os números sinalizam uma transição; o confidential computing deixou de ser um nicho para se tornar uma camada estratégica de proteção de dados. Mas o ritmo de adoção em Portugal não espelha uma corrida generalizada à inovação. Segundo Manuel Ferreira, Consulting Lead na Claranet Portugal, o principal catalisador para a adoção no país não é a evolução tecnológica, mas sim a resposta a requisitos regulatórios cada vez mais exigentes. “Em Portugal, a pressão de compliance – mais do que a procura por eficiência ou diferenciação – está no centro da maioria das iniciativas já em curso”, explica.

DORA e NIS2 aceleram decisões

No setor financeiro, o Regulamento DORA (Digital Operational Resilience Act), em vigor desde janeiro de 2025, assume um papel determinante. A exigência de garantir resiliência operacional digital, incluindo a proteção de dados sensíveis em ambientes de terceiros, levou as instituições a reavaliar o modelo tradicional de segurança na cloud. “O risco associado ao processamento de dados em infraestruturas partilhadas – onde o controlo direto é limitado – torna-se mais difícil de justificar à luz de requisitos de gestão de risco ICT”, refere Manuel Ferreira. O estudo da IDC confirma esta tendência, indicando que 77% das organizações afirmam estar mais propensas a considerar confidential computing devido aos requisitos específicos do DORA para proteção de dados em uso.

Paralelamente, a antecipação da transposição da Diretiva NIS2 tem acelerado decisões em setores para além do financeiro, nomeadamente energia, saúde, transportes e administração pública. Embora a NIS2 não imponha explicitamente o uso de confidential computing, reforça significativamente as obrigações em matéria de gestão de risco, segurança da cadeia de fornecimento e proteção de ativos críticos. Pedro Soares, National Security Officer da Microsoft Portugal, contextualiza que, em Portugal, “os dados mostram um contexto de aceleração, com 63% das organizações a esperarem alcançar conformidade com a NIS2 nos próximos 12 meses, segundo um estudo da IDC, o que evidencia a prioridade atribuída a este tema”.

Onde faz sentido

A adoção de confidential computing em Portugal está concentrada em cenários específicos. Manuel Ferreira identifica dois casos de uso principais: o processamento de dados pessoais sensíveis em cloud pública, quando o cliente pretende garantir soberania criptográfica e reduzir a dependência de confiança no fornecedor; e cenários de multi-party computation, em que diferentes entidades precisam de processar dados conjuntos sem os revelar entre si, como em iniciativas de deteção de fraude ou análise de risco partilhada.

	“Antes de pensar na tecnologia, é importante que as organizações consigam identificar onde está o risco real e em que cenários os modelos tradicionais de proteção podem não ser suficientes” Pedro Soares, National Security Officer da Microsoft Portugal

Pedro Soares, da Microsoft, partilha que “os casos de uso mais comuns estão ligados a dados particularmente sensíveis e a contextos onde o modelo tradicional de confiança já não é suficiente”. E enumera: processamento de dados financeiros ou pessoais críticos em ambientes de cloud partilhada, cenários de colaboração entre entidades diferentes, e, cada vez mais, workloads associados a inteligência artificial, onde existe preocupação com a exposição de dados e modelos durante o processamento.

Os dados da IDC apontam que 88% dos inquiridos reportam melhorias na integridade dos dados como benefício primário do confidential computing, seguido de confidencialidade com garantias técnicas comprovadas (73%) e melhor conformidade regulatória (68%). Os setores com maior tração, segundo Pedro Soares, são os serviços financeiros, saúde e setor público, contextos onde a combinação entre sensibilidade dos dados, pressão regulatória e impacto reputacional é mais evidente.

Custos e barreiras operacionais

Para uma empresa média de um setor regulado, o custo adicional de infraestrutura associado a confidential computing tende a situar-se entre 20% e 40% face a configurações standard, dependendo do hyperscaler e do tipo de workload, segundo Manuel Ferreira. Ainda assim, alerta, “o maior impacto não reside no custo direto, mas na componente operacional”. A necessidade de gerir ambientes mais complexos, incluindo monitorização, gestão do ciclo de vida e diagnóstico e resolução de problemas, introduz um esforço adicional relevante, exigindo competências específicas e maturidade operacional que nem sempre estão presentes nas organizações.

A lacuna de competências é, de facto, um dos principais obstáculos. “A adoção de confidential computing expõe lacunas claras ao nível das competências disponíveis”, confirma Manuel Ferreira, destacando a gestão do ciclo de vida criptográfico e a capacidade de realizar threat modeling adaptado a arquiteturas confidenciais, onde o modelo de ameaça é substancialmente diferente dos ambientes tradicionais. Pedro Soares reforça que, “na maioria dos casos, o obstáculo não é tecnológico, mas sim a maturidade operacional das organizações”.

O estudo da IDC identifica como principais desafios a validação de attestation (84%), a perceção de confidential computing como tecnologia de nicho (77%) e a lacuna de competências (75%). Estes números explicam porque é que, mesmo com momentum regulatório, muitas organizações optam por adiar a adoção até consolidarem bases operacionais mais sólidas.

Conselhos práticos

Ambos os entrevistados convergem numa mensagem clara: a de que o confidential computing deve ser aplicado de forma cirúrgica, em workloads específicos onde o risco e os requisitos de compliance o justificam. “Reservar confidential computing para casos de uso realmente críticos e específicos: processamento de dados altamente sensíveis em cloud pública, colaboração segura entre entidades distintas ou workloads sujeitos a requisitos elevados de soberania e confidencialidade”, recomenda Manuel Ferreira. “Fora destes cenários, o risco de introduzir complexidade excessiva é elevado”.

Pedro Soares alinha na mesma direção. “Antes de pensar na tecnologia, é importante que as organizações consigam identificar onde está o risco real e em que cenários os modelos tradicionais de proteção podem não ser suficientes”. O representante da Microsoft Portugal acrescenta que “é fundamental integrá-lo numa estratégia mais ampla de segurança. Isto implica processos claros, governação adequada e equipas preparadas para operar este tipo de tecnologia de forma consistente”.

A questão do momento certo é igualmente relevante. Manuel Ferreira sugere que organizações com processamento de dados altamente sensíveis em cloud pública, colaboração multi-entidade ou workloads sujeitos a requisitos de soberania devem considerar a adoção este ano. Contudo, para a maioria das organizações, o conselho é investir primeiro em competências internas. “A principal limitação atual é operacional: falta capacidade para avaliar modelos de ameaça específicos, gerir ciclos de vida criptográficos e integrar estas arquiteturas sem impacto significativo na operação”, diz.

O ecossistema está a amadurecer rapidamente. A Gartner prevê que, até 2029, mais de 75% das operações processadas em infraestruturas não confiáveis serão protegidas durante o uso através de confidential computing. Mas essa projeção não elimina a necessidade de cautela. O confidential computing não substitui o governance nem compensa fragilidades estruturais em gestão de identidades, acessos ou resposta a incidentes. É, isso sim, uma camada adicional de proteção que, quando bem aplicada, fecha uma lacuna crítica no ciclo de vida dos dados.

O desafio para os CISO portugueses está em equilibrar evangelização com pragmatismo: reconhecer o valor estratégico da tecnologia sem cair na tentação de transformá-la numa resposta genérica para problemas que tecnologias já maduras resolvem de forma mais eficiente. Como sintetiza Manuel Ferreira, “adotar de forma seletiva, guiada por risco real e exigência regulatória concreta, e evitar transformar confidential computing numa resposta genérica para problemas que tecnologias e práticas já maduras resolvem de forma mais eficiente”.