Ato ANATEL 2436/2023: Os Requisitos de Cibersegurança Obrigatórios para Homologação de Roteadores, Modems e CPEs
HOMOLOGAÇÃO ANATEL Guia prático para entender a homologação ANATEL, organizar documentos e reduzir riscos antes da importação, venda ou regularização do produto no Brasil.
Resumo para importadores
HOMOLOGAÇÃO ANATEL Guia prático para entender a homologação ANATEL, organizar documentos e reduzir riscos antes da importação, venda ou regularização do produto no Brasil.
Guia prático para entender a homologação ANATEL, organizar documentos e reduzir riscos antes da importação, venda ou regularização do produto no Brasil.
O conteúdo foi estruturado para leitura clara por importadores, fabricantes e equipes comerciais que precisam tomar decisões regulatórias sem depender de improviso.
O que é CPE e por que a ANATEL regula sua cibersegurança
CPE (Customer Premises Equipment, ou Equipamento na Instalação do Assinante) é a categoria de produto que conecta o cliente final à rede pública de telecomunicações. Em uma residência típica, o CPE é o roteador Wi-Fi entregue pelo provedor de Internet, o modem cable ou o ONT que recebe a fibra óptica. Em pequenos escritórios, é o gateway que termina o link de banda larga e distribui a conexão.
Diferente de um equipamento puramente interno (como um switch ethernet de mesa ou um access point empresarial isolado), o CPE tem uma característica decisiva para a regulação da ANATEL: ele é o ponto de fronteira entre a rede do consumidor e a rede pública . Um CPE comprometido pode servir como porta de entrada para ataques contra a infraestrutura da operadora, contra outros assinantes, e contra serviços críticos. Por isso a homologação ANATEL desses produtos passou a incluir, desde 2023, requisitos explícitos de cibersegurança.
Ato 2436/2023: o que mudou na homologação de roteadores e modems
Antes do Ato 2436/2023, a homologação ANATEL de CPEs cobria principalmente requisitos de radiofrequência (Wi-Fi, Bluetooth) e de compatibilidade eletromagnética: assegurando que o equipamento operasse dentro das faixas autorizadas e sem causar interferência. A segurança cibernética era tratada de forma fragmentada por outros instrumentos (notadamente o Ato ANATEL 77/2021, mais geral).
O Ato 2436/2023 , publicado em 07/03/2023, consolidou em um único documento os requisitos mínimos mandatórios de cibersegurança aplicáveis especificamente a CPEs . Fonte oficial: gov.br/anatel: publicação Ato 2436/2023 . Esses requisitos passaram a integrar o processo de avaliação da conformidade junto com os requisitos técnicos tradicionais.
Fonte / Referência
Publicação do Ato 2436/2023
DOU / gov.br/anatel
Entrada em vigor (geral)
Ato 2436, Art. 3º
Aplicação mandatória do Anexo (cibersegurança)
Ato complementar 16417/2024 (auditoria de fornecedores)
gov.br/anatel: segurança cibernética
Alerta ANATEL “Bad Box 2.0” sobre TV Boxes piratas
gov.br/anatel: notícias
Importante: o Ato 16417/2024 , publicado em novembro de 2024, não revoga os requisitos do Ato 2436/2023: ele os complementa . Enquanto o Ato 2436 estabelece o que o produto CPE precisa fazer (em termos de segurança), o Ato 16417 aprova o procedimento de auditoria da política de segurança cibernética dos fornecedores que vendem equipamentos para prestadoras de telecomunicações. A base CPE residencial segue sendo o Ato 2436/2023.
Quais equipamentos são obrigatoriamente cobertos pelo Ato 2436
O escopo do Ato 2436/2023 está definido em texto literal na fonte oficial gov.br/anatel: aprovam-se “os requisitos mínimos mandatórios de segurança cibernética para avaliação da conformidade de equipamentos CPE (Customer Premises Equipment), abrangendo os seguintes equipamentos CPE de uso do público em geral empregados para conectar assinantes à rede do provedor de serviços de Internet”. A lista é fechada e específica.
Coberto pelo Ato 2436?
Modem que conecta à rede HFC (cabo coaxial)
Modem xDSL (ADSL, VDSL, G.fast)
Modem para banda larga em par de cobre
ONU / ONT (terminais de fibra óptica)
Equipamentos GPON/EPON na ponta do assinante
Roteador ou modem para acesso fixo sem fio (FWA)
Inclui CPEs 4G/5G fixos para banda larga residencial
Roteador ou modem para acesso fixo à banda larga via satélite
Aplicações tipo Starlink, ViaSat, Hughesnet residencial
Roteador ou ponto de acesso sem fio
Roteadores Wi-Fi residenciais e mesh consumer
Switch ethernet sem interface wireless e sem função CPE
Fora do escopo: não conecta assinante à rede pública
Roteadores enterprise / core network
Outras famílias regulatórias; não são CPE residencial
Access points corporativos standalone
Quando não exercem função de CPE de assinante
Equipamentos de backbone de operadoras
Infraestrutura de núcleo de rede; outra cadeia regulatória
O critério orientador do escopo está na expressão “empregados para conectar assinantes à rede do provedor de serviços de Internet”. Se o produto é vendido como CPE residencial / SOHO (small office, home office) e exerce a função de fronteira entre o cliente e a rede pública, ele está dentro do Ato 2436. Se o produto é puramente corporativo (sem função de terminação de link de assinante), ele segue requisitos das famílias específicas: incluindo o Ato 14448/2017 para a parte de RF, quando aplicável.
As 3 categorias de requisitos técnicos mandatórios
O Anexo do Ato 2436/2023 organiza os requisitos em três grandes categorias. A página oficial gov.br/anatel descreve cada uma de forma sumária. Importante: o texto do Anexo não está integralmente reproduzido nas páginas públicas: recomendamos não citar numeração de subitens (ex.: “item 3.2.1”) sem acesso direto ao texto consolidado, pois detalhes podem variar entre versões. As três categorias confirmadas em fonte oficial são:
O que o Ato 2436 exige
1. Senhas providas de fábrica e senhas definidas pelo usuário
Proibição de senhas fracas e padrão iguais entre unidades (como “admin”, “12345”, “password”); cada unidade deve ter senha única ou o produto deve forçar troca de senha na primeira configuração.
2. Outros requisitos de segurança cibernética do equipamento
Inclui aspectos como restrição de portas e serviços abertos por padrão, controle de superfície de ataque, integridade de firmware e mecanismos de atualização segura.
3. Requisitos atendidos pelos fornecedores
Política clara de suporte ao produto; disponibilização gratuita de atualizações de segurança para o software dos equipamentos; canal público para notificação de vulnerabilidades descobertas por usuários ou pesquisadores.
O efeito prático para o fabricante / importador é direto: não basta o produto ser tecnicamente seguro . A própria empresa precisa demonstrar capacidade de manter o produto seguro ao longo do tempo: o que envolve infraestrutura de release de firmware, processo de tratamento de vulnerabilidades reportadas, e canal acessível para o público comunicar problemas.
Processo de homologação CPE passo a passo
O Ato 2436/2023 não cria um processo paralelo de homologação: ele integra requisitos de cibersegurança ao procedimento geral de Avaliação da Conformidade da ANATEL, conduzido por Organismo de Certificação Designado (OCD). Para CPE, o fluxo prático é o seguinte:
Classificação do produto: confirmar que o equipamento é CPE conforme a lista do Ato 2436 e identificar todas as funcionalidades (RF, ethernet, USB, gerenciamento remoto).
Escolha do OCD designado: selecionar Organismo de Certificação Designado pela ANATEL com escopo para CPE e cibersegurança.
Documentação técnica: preparar memorial descritivo, datasheet, esquema de blocos, especificações de RF (Ato 14448/2017 e correlatos), evidências da política de senhas, procedimento de atualização de firmware e canal de notificação de vulnerabilidades.
Ensaios em laboratório: envio de amostra para os ensaios aplicáveis: RF, EMC e os requisitos do Anexo de cibersegurança do Ato 2436. Os ensaios são realizados em laboratório acreditado pela CGCRE (INMETRO) e designado pela ANATEL.
Análise dos relatórios: o OCD avalia conformidade técnica e documental.
Emissão do certificado: documento emitido pelo OCD atestando a conformidade do produto.
Homologação ANATEL: o produto recebe número de homologação e passa a poder ser comercializado no Brasil.
A regra substantiva é clara: a emissão do documento de homologação é pré-requisito obrigatório para a comercialização e a utilização, no Brasil, de produtos para telecomunicações classificáveis nas categorias I, II e III da Resolução ANATEL 715/2019 (RACHP). Sem homologação, o produto não pode ser legalmente colocado no mercado.
Wi-Fi 6 e Wi-Fi 6E: novos requisitos de RF que afetam o roteador moderno
Em paralelo aos requisitos de cibersegurança do Ato 2436, os roteadores Wi-Fi modernos precisam atender requisitos de RF do Ato ANATEL 14448/2017: base normativa para Equipamentos de Radiocomunicação de Radiação Restrita (Wi-Fi, Bluetooth, Zigbee). O Ato 14448 foi atualizado para incluir o Wi-Fi 6E após decisão do Conselho Diretor da ANATEL em 25/02/2022, passando a contemplar equipamentos que operam na faixa de 5.925 MHz a 7.125 MHz .
Faixa de Frequência
Status Regulatório
Wi-Fi 4 (802.11n)
2.4 GHz e 5 GHz
Coberto pelo Ato 14448/2017 (versão original)
Wi-Fi 5 (802.11ac)
Wi-Fi 6 (802.11ax)
Coberto pelo Ato 14448/2017
Wi-Fi 6E (802.11ax)
+ 5.925 a 7.125 MHz
Aprovado pelo Conselho Diretor em 25/02/2022; incluído na atualização do Ato 14448/2017
Wi-Fi 7 (802.11be)
2.4 / 5 / 6 GHz
Em desenvolvimento: verificar atualizações no gov.br/anatel
Para o fabricante, a consequência prática é que um roteador Wi-Fi 6E precisa atender ao mesmo tempo:
Os requisitos de RF do Ato 14448/2017 atualizado (faixas de 2.4, 5 e 6 GHz, com restrições específicas para a banda de 6 GHz).
Os requisitos de cibersegurança do Ato 2436/2023 (porque é CPE de assinante).
O processo geral de homologação ANATEL via OCD designado.
Bad Box 2.0: o que o alerta ANATEL de agosto/2025 revela sobre os riscos de CPE não homologado
Em 12 de agosto de 2025 , a ANATEL emitiu alerta oficial sobre o malware “Bad Box 2.0”: uma campanha global de infecção de equipamentos não homologados, com forte impacto no Brasil. Fonte oficial: gov.br/anatel: alerta Bad Box 2.0 .
Os números do alerta são duros: cerca de 1,8 milhão de dispositivos infectados no Brasil: o país mais afetado do mundo pela campanha. Os equipamentos comprometidos eram majoritariamente TV Boxes piratas e CPEs sem homologação, vendidos a preços baixos sem certificado ANATEL. Após infectados, esses dispositivos eram usados para:
Roubo de credenciais bancárias e de redes sociais.
Fraude publicitária em larga escala (cliques fantasmas em anúncios online).
Ataques DDoS contra alvos arbitrários.
Composição de redes ilegais para encaminhamento de tráfego anônimo.
O alerta foi reconhecido pelo FBI nos Estados Unidos e pelos centros nacionais de cibersegurança da Irlanda e de Portugal. O Google chegou a ingressar com ação judicial em Nova York contra os operadores da rede Bad Box 2.0.
Penalidades: Lei 9.472/1997 (Arts. 173 e 179) + apreensão e interdição
Comercializar ou utilizar CPE sem homologação ANATEL é infração administrativa direta da Lei Geral de Telecomunicações (LGT), Lei nº 9.472/1997 . O texto literal do Art. 162, §2° (Planalto): “É vedada a utilização de equipamentos emissores de radiofrequência sem certificação expedida ou aceita pela Agência.” Os tipos de sanção estão tipificados no Art. 173 ; o limite máximo da multa está fixado no Art. 179 da mesma Lei, em até R$ 50.000.000,00 (cinquenta milhões de reais) por infração .
Tipo de Sanção (Art. 173)
Aplicação Típica
Primeira infração de menor potencial; obrigação de regularizar
Multa (limite no Art. 179)
Até R$ 50 milhões por infração, dosada conforme gravidade, vantagem econômica auferida e capacidade econômica do infrator
Suspensão temporária
Suspensão de comercialização do produto não homologado
Caducidade / apreensão / interdição
Recolhimento de produto em estoque ou em fiscalização aduaneira; interdição da atividade
Declaração de inidoneidade
Em casos extremos, perda de habilitação para operar como fornecedor ANATEL
Importante destacar a cadeia de responsabilidades : o importador é o responsável legal pela homologação do produto importado para o mercado brasileiro; o fabricante nacional responde diretamente pelo produto fabricado no Brasil; e a operadora ou ISP que distribui CPE sem homologação aos seus assinantes pode ser corresponsabilizada na fiscalização. Por isso, contratos de fornecimento entre operadoras e fornecedores de CPE costumam exigir cópia do certificado de homologação ANATEL antes da entrega física dos lotes.
Precisa avaliar seu produto antes da importação?
A Yes ajuda a entender o enquadramento regulatório, organizar documentos e conduzir o processo com mais previsibilidade.