Ato ANATEL 2436/2023: Os Requisitos de Cibersegurança Obrigatórios para Homologação de Roteadores, Modems e CPEs

O que é CPE e por que a ANATEL regula sua cibersegurança

CPE (Customer Premises Equipment, ou Equipamento na Instalação do Assinante) é a categoria de produto que conecta o cliente final à rede pública de telecomunicações. Em uma residência típica, o CPE é o roteador Wi-Fi entregue pelo provedor de Internet, o modem cable ou o ONT que recebe a fibra óptica. Em pequenos escritórios, é o gateway que termina o link de banda larga e distribui a conexão.

Diferente de um equipamento puramente interno (como um switch ethernet de mesa ou um access point empresarial isolado), o CPE tem uma característica decisiva para a regulação da ANATEL: ele é o ponto de fronteira entre a rede do consumidor e a rede pública. Um CPE comprometido pode servir como porta de entrada para ataques contra a infraestrutura da operadora, contra outros assinantes, e contra serviços críticos. Por isso a homologação ANATEL desses produtos passou a incluir, desde 2023, requisitos explícitos de cibersegurança.

Ato 2436/2023: o que mudou na homologação de roteadores e modems

Antes do Ato 2436/2023, a homologação ANATEL de CPEs cobria principalmente requisitos de radiofrequência (Wi-Fi, Bluetooth) e de compatibilidade eletromagnética — assegurando que o equipamento operasse dentro das faixas autorizadas e sem causar interferência. A segurança cibernética era tratada de forma fragmentada por outros instrumentos (notadamente o Ato ANATEL 77/2021, mais geral).

O Ato 2436/2023, publicado em 07/03/2023, consolidou em um único documento os requisitos mínimos mandatórios de cibersegurança aplicáveis especificamente a CPEs. Fonte oficial: gov.br/anatel — publicação Ato 2436/2023. Esses requisitos passaram a integrar o processo de avaliação da conformidade junto com os requisitos técnicos tradicionais.

Importante: o Ato 16417/2024, publicado em novembro de 2024, não revoga os requisitos do Ato 2436/2023 — ele os complementa. Enquanto o Ato 2436 estabelece o que o produto CPE precisa fazer (em termos de segurança), o Ato 16417 aprova o procedimento de auditoria da política de segurança cibernética dos fornecedores que vendem equipamentos para prestadoras de telecomunicações. A base CPE residencial segue sendo o Ato 2436/2023.

Quais equipamentos são obrigatoriamente cobertos pelo Ato 2436

O escopo do Ato 2436/2023 está definido em texto literal na fonte oficial gov.br/anatel: aprovam-se “os requisitos mínimos mandatórios de segurança cibernética para avaliação da conformidade de equipamentos CPE (Customer Premises Equipment), abrangendo os seguintes equipamentos CPE de uso do público em geral empregados para conectar assinantes à rede do provedor de serviços de Internet”. A lista é fechada e específica.

O critério orientador do escopo está na expressão “empregados para conectar assinantes à rede do provedor de serviços de Internet”. Se o produto é vendido como CPE residencial / SOHO (small office, home office) e exerce a função de fronteira entre o cliente e a rede pública, ele está dentro do Ato 2436. Se o produto é puramente corporativo (sem função de terminação de link de assinante), ele segue requisitos das famílias específicas — incluindo o Ato 14448/2017 para a parte de RF, quando aplicável.

As 3 categorias de requisitos técnicos mandatórios

O Anexo do Ato 2436/2023 organiza os requisitos em três grandes categorias. A página oficial gov.br/anatel descreve cada uma de forma sumária. Importante: o texto do Anexo não está integralmente reproduzido nas páginas públicas — recomendamos não citar numeração de subitens (ex.: “item 3.2.1”) sem acesso direto ao texto consolidado, pois detalhes podem variar entre versões. As três categorias confirmadas em fonte oficial são:

O efeito prático para o fabricante / importador é direto: não basta o produto ser tecnicamente seguro. A própria empresa precisa demonstrar capacidade de manter o produto seguro ao longo do tempo — o que envolve infraestrutura de release de firmware, processo de tratamento de vulnerabilidades reportadas, e canal acessível para o público comunicar problemas.

Processo de homologação CPE passo a passo

O Ato 2436/2023 não cria um processo paralelo de homologação — ele integra requisitos de cibersegurança ao procedimento geral de Avaliação da Conformidade da ANATEL, conduzido por Organismo de Certificação Designado (OCD). Para CPE, o fluxo prático é o seguinte:

1. Classificação do produto: confirmar que o equipamento é CPE conforme a lista do Ato 2436 e identificar todas as funcionalidades (RF, ethernet, USB, gerenciamento remoto).
2. Escolha do OCD designado: selecionar Organismo de Certificação Designado pela ANATEL com escopo para CPE e cibersegurança.
3. Documentação técnica: preparar memorial descritivo, datasheet, esquema de blocos, especificações de RF (Ato 14448/2017 e correlatos), evidências da política de senhas, procedimento de atualização de firmware e canal de notificação de vulnerabilidades.
4. Ensaios em laboratório: envio de amostra para os ensaios aplicáveis — RF, EMC e os requisitos do Anexo de cibersegurança do Ato 2436. Os ensaios são realizados em laboratório acreditado pela CGCRE (INMETRO) e designado pela ANATEL.
5. Análise dos relatórios: o OCD avalia conformidade técnica e documental.
6. Emissão do certificado: documento emitido pelo OCD atestando a conformidade do produto.
7. Homologação ANATEL: o produto recebe número de homologação e passa a poder ser comercializado no Brasil.

A regra substantiva é clara: a emissão do documento de homologação é pré-requisito obrigatório para a comercialização e a utilização, no Brasil, de produtos para telecomunicações classificáveis nas categorias I, II e III da Resolução ANATEL 715/2019 (RACHP). Sem homologação, o produto não pode ser legalmente colocado no mercado.

Wi-Fi 6 e Wi-Fi 6E: novos requisitos de RF que afetam o roteador moderno

Em paralelo aos requisitos de cibersegurança do Ato 2436, os roteadores Wi-Fi modernos precisam atender requisitos de RF do Ato ANATEL 14448/2017 — base normativa para Equipamentos de Radiocomunicação de Radiação Restrita (Wi-Fi, Bluetooth, Zigbee). O Ato 14448 foi atualizado para incluir o Wi-Fi 6E após decisão do Conselho Diretor da ANATEL em 25/02/2022, passando a contemplar equipamentos que operam na faixa de 5.925 MHz a 7.125 MHz.

Para o fabricante, a consequência prática é que um roteador Wi-Fi 6E precisa atender ao mesmo tempo:

• Os requisitos de RF do Ato 14448/2017 atualizado (faixas de 2.4, 5 e 6 GHz, com restrições específicas para a banda de 6 GHz).
• Os requisitos de cibersegurança do Ato 2436/2023 (porque é CPE de assinante).
• O processo geral de homologação ANATEL via OCD designado.

Bad Box 2.0: o que o alerta ANATEL de agosto/2025 revela sobre os riscos de CPE não homologado

Em 12 de agosto de 2025, a ANATEL emitiu alerta oficial sobre o malware “Bad Box 2.0” — uma campanha global de infecção de equipamentos não homologados, com forte impacto no Brasil. Fonte oficial: gov.br/anatel — alerta Bad Box 2.0.

Os números do alerta são duros: cerca de 1,8 milhão de dispositivos infectados no Brasil — o país mais afetado do mundo pela campanha. Os equipamentos comprometidos eram majoritariamente TV Boxes piratas e CPEs sem homologação, vendidos a preços baixos sem certificado ANATEL. Após infectados, esses dispositivos eram usados para:

• Roubo de credenciais bancárias e de redes sociais.
• Fraude publicitária em larga escala (cliques fantasmas em anúncios online).
• Ataques DDoS contra alvos arbitrários.
• Composição de redes ilegais para encaminhamento de tráfego anônimo.

O alerta foi reconhecido pelo FBI nos Estados Unidos e pelos centros nacionais de cibersegurança da Irlanda e de Portugal. O Google chegou a ingressar com ação judicial em Nova York contra os operadores da rede Bad Box 2.0.

Penalidades — Lei 9.472/1997 (Arts. 173 e 179) + apreensão e interdição

Comercializar ou utilizar CPE sem homologação ANATEL é infração administrativa direta da Lei Geral de Telecomunicações (LGT), Lei nº 9.472/1997. O texto literal do Art. 162, §2° (Planalto): “É vedada a utilização de equipamentos emissores de radiofrequência sem certificação expedida ou aceita pela Agência.” Os tipos de sanção estão tipificados no Art. 173; o limite máximo da multa está fixado no Art. 179 da mesma Lei, em até R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Importante destacar a cadeia de responsabilidades: o importador é o responsável legal pela homologação do produto importado para o mercado brasileiro; o fabricante nacional responde diretamente pelo produto fabricado no Brasil; e a operadora ou ISP que distribui CPE sem homologação aos seus assinantes pode ser corresponsabilizada na fiscalização. Por isso, contratos de fornecimento entre operadoras e fornecedores de CPE costumam exigir cópia do certificado de homologação ANATEL antes da entrega física dos lotes.

Perguntas Frequentes (FAQ)

Fontes consultadas: Ato ANATEL nº 2.436, de 07/03/2023 — Requisitos Mínimos Mandatórios de Segurança Cibernética para Avaliação da Conformidade de Equipamentos CPE — fonte oficial em gov.br/anatel; página de requisitos de segurança cibernética para equipamentos em gov.br/anatel/seguranca-cibernetica; Ato ANATEL nº 16.417, de 22/11/2024 (procedimento de auditoria de fornecedores — complementar ao 2436/2023); Ato ANATEL nº 14.448/2017 — Requisitos Técnicos para Equipamentos de Radiocomunicação de Radiação Restrita (atualizado para incluir Wi-Fi 6E após decisão do Conselho Diretor em 25/02/2022, faixa 5.925-7.125 MHz); Resolução ANATEL nº 715/2019 (RACHP) — base do procedimento de homologação; Lei nº 9.472/1997 (Lei Geral de Telecomunicações) — Art. 162 §2° (vedação de uso sem certificação), Art. 173 (tipos de sanção) e Art. 179 (limite de multa em R$ 50.000.000,00 por infração) — texto literal em planalto.gov.br/l9472; Alerta ANATEL “Bad Box 2.0” sobre TV Boxes piratas — publicado em 12/08/2025 em gov.br/anatel — notícias. Validação cruzada via loop iterativo Perplexity Deep Research em 2 rondas (45 fontes, todas gov.br) na thread 729c5b43, em 05/05/2026.