Nos últimos meses, o setor aéreo global tem sido palco de incidentes de cibersegurança que ultrapassam o âmbito técnico e afetam diretamente a experiência de viagem e a confiança do passageiro. Em setembro, por exemplo, um ataque de ransomware direcionado à plataforma de check-in/embarque do fornecedor Collins Aerospace, usada por diversos aeroportos europeus, causou paralisações em hubs como Heathrow Airport (Londres), Brussels Airport (Bruxelas) e Berlin Brandenburg Airport (Berlim). Como resultado, passageiros foram obrigados ao check-in manual, filas cresceram, voos foram atrasados ou cancelados e a infraestrutura digital mostrou-se vulnerável à “falha herdada” de um fornecedor.
Em outro caso relevante, a Qantas Airways, da Austrália, confirmou que um ataque a um provedor terceirizado expôs dados de até 5,7 milhões de clientes, vazando informações sensíveis como nomes, e-mails, datas de nascimento e números de fidelidade, embora cartões de pagamento e passaportes não tenham sido comprometidos. Em março de 2025, o Aeroporto Internacional de Guarulhos (GRU) teve seu site oficial instável/offline por algumas horas em razão de um incidente cibernético. O ataque não comprometeu a operação de voo, mas evidenciou fragilidades de sistemas de interface ao passageiro.
Esses acontecimentos ilustram duas faces do risco: de um lado, a disponibilidade dos sistemas operacionais (quando check-in, despacho e controle de bagagem são afetados) e, de outro, a confidencialidade e integridade dos dados de passageiros e programas de fidelidade. A interdependência entre operadores, fornecedores e plataformas torna o ranking de exposições mais amplo, já que um fornecedor pode comprometer múltiplas companhias ou aeródromos.
No entanto, a magnitude desses eventos não se limita a horas de interrupção. O setor teme que essas falhas possam evoluir para cenários em que operações de solo, sistemas de navegação ou manutenção sejam atingidos, gerando impacto real em segurança de voo ou logística crítica. O número global de ataques cibernéticos cresceu 44%, conforme aponta o relatório anual The State of Global Cyber Security 2025, elaborado pela Check Point Research.
Para os agentes de viagens, a crise significa mais do que remarcações: envolve comunicação complicada com clientes, reacomodações e custo de imagem para companhias, com reflexo na escolha de parceiros e na confiança do passageiro. Por isso, entender como está estruturada a abordagem regulatória no Brasil e o que as empresas aéreas brasileiras estão fazendo tornou-se prioridade.
Nesse pano de fundo, a Agência Nacional de Aviação Civil (Anac) vem organizando um arcabouço normativo e de governança digital para garantir que o setor nacional não fique à mercê de vulnerabilidades globais e que a proteção dos ativos físicos e digitais seja tratada de forma integrada.
A ação segue parâmetros da Organização da Aviação Civil Internacional (Oaci) e das políticas nacionais de cibersegurança, com o objetivo de reduzir vulnerabilidades e padronizar respostas. O primeiro passo foi a criação, em 2023, do Comitê de Segurança Cibernética, formalizado pela Portaria nº 11.126, que passou a coordenar notificações de incidentes, harmonizar normas com o Gabinete de Segurança Institucional da Presidência da República e elaborar o Plano Setorial de Gestão de Incidentes Cibernéticos (PSGIC). Esse plano, em desenvolvimento, busca criar uma estrutura unificada de prevenção e resposta a ataques digitais no transporte aéreo.
Na prática, a Anac incorporou a cibersegurança ao Programa Nacional de Segurança da Aviação Civil (PNAVSEC) e aos Regulamentos Brasileiros da Aviação Civil (RBAC) nº 107 e 108, que regem operadores de aeroportos e companhias aéreas. Esses regulamentos determinam que cada empresa avalie riscos cibernéticos que possam afetar sistemas críticos de tecnologia da informação e adote medidas compatíveis com o nível de exposição. A mesma diretriz se aplica à aeronavegabilidade, incluindo a proteção de sistemas embarcados e a integridade dos dados operacionais em aeronaves altamente automatizadas.
Para orientar o setor, a agência elaborou uma série de manuais públicos, entre eles o Manual de Conscientização em Segurança Cibernética na Aviação Civil, o Manual de Avaliação de Segurança Cibernética e o Manual de Compartilhamento de Informações. Os documentos explicam conceitos essenciais, como o modelo CIA (sigla para Confidencialidade, Integridade e Disponibilidade), e trazem instruções práticas para identificar ativos críticos, proteger sistemas, detectar e responder a incidentes e estabelecer fluxos de comunicação em momentos de crise. O conteúdo é inspirado em guias internacionais da Oaci, como o Doc 10213 – ICAO Global Cyber Risk Considerations e o Cybersecurity Culture in Civil Aviation, que orientam os Estados-membros sobre boas práticas e cultura de segurança digital.
Atualmente, a Anac mantém um canal específico para notificação de incidentes, operado pela Equipe de Coordenação Setorial (ETIR Setorial), que recebe relatórios técnicos e classifica os eventos com base no Traffic Light Protocol (TLP) – sistema que define o nível de confidencialidade e de compartilhamento das informações. Embora ainda não exista obrigatoriedade formal de notificação, a agência prepara um projeto normativo que deve tornar o reporte compulsório e padronizado. Além disso, incidentes físicos ou digitais que possam afetar a segurança da aviação também podem ser registrados no Portal Único de Notificações da Anac ou no Sistema DSAC, que concentram registros voluntários e obrigatórios de segurança operacional.
Em 2024, a Anac deu mais um passo com um projeto piloto que avaliou o nível de maturidade digital de três aeroportos e três companhias aéreas, com base no modelo internacional CIS Controls v8. As visitas técnicas analisaram governança, gestão de riscos e controles técnicos, fornecendo um panorama sobre a resiliência digital do setor. A agência concluiu que o Brasil já avança na consolidação de uma cultura de segurança, mas ainda enfrenta quatro desafios principais: fortalecer a conscientização e a prevenção, capacitar continuamente as equipes, proteger dados sensíveis diante do uso crescente de biometria e inteligência artificial e garantir a resiliência das infraestruturas críticas, como aeroportos e sistemas de navegação aérea.
O roteiro de próximos passos inclui ampliar o compartilhamento de informações entre operadores e reguladores, buscar maior harmonia internacional de normas e publicar instrumentos adicionais, como guias técnicos e o plano setorial de incidentes.
A avaliação da Anac é clara: a cibersegurança deixou de ser um tema restrito à área técnica e passou a ser elemento estratégico da aviação civil. A integridade dos sistemas digitais é, hoje, tão essencial à segurança do voo quanto a manutenção das aeronaves e compreender isso é o primeiro passo para manter o setor brasileiro em sintonia com os padrões internacionais de proteção.
Companhias reforçam escudos
A Azul define a cibersegurança como um pilar central da sua resiliência operacional. Segundo a companhia, sua arquitetura segue o modelo de confiança zero (“Zero Trust”), com validação contínua de equipamentos até infraestrutura em nuvem. Os investimentos atingem múltiplas camadas: tecnicamente, a Azul usa inteligência artificial e dados globais de ameaças para defesa preditiva, incorpora segurança já “no design” de novos sistemas, e emprega criptografia de ponta a ponta para dados sensíveis.
Administrativamente, a empresa aplica rigoroso controle de acesso com base no princípio do menor privilégio, promove treinamento contínuo para toda equipe e garante que a segurança seja responsabilidade compartilhada. A governança aponta para um plano de resposta a incidentes testado e uma equipe especializada em cibersegurança, proteção de dados e privacidade.
A Latam afirma que suas prioridades em cibersegurança decorrem da avaliação de risco, da proteção de ativos críticos e do cumprimento regulatório, com suporte de consultoria internacional para elevar o nível de maturidade. A companhia mantém um sistema de monitoramento contínuo de segurança da informação (ISCM) que integra processos, tecnologias e controles preventivos e detectivos, com visibilidade em tempo real e aprimoramentos constantes. Além disso, está em processo de certificação ISO 27001.
Em termos de pessoas, a Latam desenvolve capacitações periódicas em cibersegurança, proteção de dados, privacidade e desenvolvimento seguro, complementadas por comunicações regulares e simulações práticas de phishing e gestão de incidentes. A área de dados dos clientes é tratada com uma estrutura robusta em conformidade com a LGPD e normas internacionais, e a estratégia para programas de fidelidade e transações financeiras se baseia em criptografia, anonimização, monitoramento 24×7 e aderência a PCI DSS e SOX.
A companhia informa ainda exigir de suas agências e operadoras cumprirem leis de privacidade, melhores práticas de cibersegurança e certificação PCI DSS; e que todos os contratos com parceiros críticos contêm cláusulas obrigatórias de notificação de incidentes.
Apesar de procurada pelo Brasilturis para detalhar suas políticas e práticas em cibersegurança, a Gol não enviou posicionamento até o fechamento desta matéria.