A União Europeia despeja mais de €2 bilhões em infraestrutura de nuvem soberana para escapar da jurisdição dos EUA, mas certifica apenas o software — ignorando que Intel ME e AMD PSP rodam abaixo do sistema operacional, fora do alcance de auditoria, e agora podem estar sob escopo legal americano ampliado pela RISAA.

Europa investiu €2 bi em nuvens soberanas, mas esqueceu dos processadores americanos

A União Europeia está investindo mais de €2 bilhões em iniciativas de nuvem soberana — infraestruturas de computação em nuvem projetadas para reduzir a exposição à jurisdição legal dos Estados Unidos. O programa IPCEI-CIS financia o desenvolvimento dessa infraestrutura. A França, por exemplo, qualifica operadores sob o framework SecNumCloud, uma certificação rigorosa de segurança e conformidade.

O problema? Os frameworks europeus certificam as nuvens. Não avaliam o silício.

O computador que seu sistema operacional não enxerga

Abaixo do sistema operacional, invisível para a maioria dos administradores e auditores, roda outro computador. Na Intel, ele se chama Management Engine (ME), ou mais precisamente Converged Security and Management Engine (CSME). Na AMD, é o Platform Security Processor (PSP). Ambos operam em um nível que pesquisadores de segurança chamam de Ring -3 — mais privilegiado que o kernel, mais profundo que o hypervisor.

Essas camadas de firmware têm acesso total ao hardware: memória, rede, armazenamento. E ninguém as certifica nos processos de conformidade europeus.

Firmware adulterado na cadeia de suprimentos

Um relatório de avaliação de risco citado na reportagem, assinado por Goodacre, documenta a vulnerabilidade: "Se o rádio está em estado de escuta Wake-on-Wireless-LAN é uma política de firmware. Em um dispositivo cujo firmware foi adulterado durante o trânsito na cadeia de suprimentos, a resposta não pode ser inferida a partir do estado de energia visível."

Em outras palavras: um servidor pode parecer desligado, mas continuar escutando a rede — se o firmware foi comprometido antes de chegar ao data center europeu.

RISAA amplia o alcance legal dos EUA até o hardware

A situação se agravou com a RISAA, que alterou a definição de "provedor de serviço de comunicação eletrônica" na lei FISA (Foreign Intelligence Surveillance Act). A mudança vai além de operadores de nuvem e empresas de plataforma, ultrapassando os acordos bilaterais que formuladores de política europeus usaram como base de defesa legal.

Fabricantes de hardware agora entram no escopo. Intel e AMD, empresas americanas, podem estar sujeitas a ordens de vigilância que obriguem cooperação em nível de firmware — exatamente a camada que a Europa não audita.

Soberania digital sem soberania de silício?

A questão central levantada pela reportagem é direta: pode existir soberania digital sobre silício americano?

Enquanto a Europa certifica operadores de nuvem, valida políticas de acesso e audita conformidade de software, a camada de processamento — o substrato físico onde tudo roda — permanece uma caixa-preta controlada por empresas sujeitas à legislação dos EUA.

Sem alternativas viáveis de processadores europeus em escala (projetos como o European Processor Initiative ainda estão em estágio inicial), a soberania digital europeia pode ser, na prática, uma ilusão construída sobre fundações que ela não controla.