Por Que a Saúde Precisa de Uma Nova Camada de Confiança

Existe um experimento de pensamento em filosofia chamado o Navio de Teseu. Se você substituir cada tábua de um navio de madeira, uma de cada vez, ele ainda é o mesmo navio? A TI em Saúde tem realizado sua própria versão deste experimento há três décadas — substituindo componentes analógicos por digitais, peça por peça, enquanto assumia que o modelo de confiança subjacente se manteria.

Não manteve.

As tábuas foram substituídas, mas o casco nunca foi redesenhado para as novas condições do mar. E as condições do mar mudaram dramaticamente. Os dados clínicos agora cruzam limites institucionais por padrão. Um GP em Zurique encaminha um paciente a um especialista em Berna. Um laboratório transmite resultados de volta à clínica solicitante. Uma farmácia verifica uma prescrição de um médico com quem nunca interagiu antes. Estes não são casos extremos. São operações ordinárias de um sistema de saúde moderno.

A infraestrutura de confiança subjacente à maioria dessas interações foi projetada para um mundo onde as instituições operavam principalmente dentro de seus próprios perímetros. Esse mundo não existe mais.

O Problema Não É Controle de Acesso

A segurança de perímetro funciona bem quando a ameaça é externa e os atores são internos. Um firewall hospitalar mantém os outsiders afastados. A autenticação baseada em certificados confirma que um servidor é o que afirma ser. Essas ferramentas continuam essenciais.

Mas aqui está a lacuna estrutural: a infraestrutura existente pode verificar que uma mensagem chegou de um servidor conhecido. Ela não pode verificar de forma confiável que a mensagem foi autorizada por um profissional humano específico e identificado — e que a autorização ainda é válida no momento em que a instituição receptora a verifica.

As autoridades de certificação que sustentam este sistema criam seus próprios problemas. Toda CA é um terceiro que mantém a confiança refém — uma entidade que pode ser comprometida, coagida por governos, ou falhar operacionalmente. Só Let’s Encrypt detém aproximadamente 60% de participação de mercado para certificados TLS. Uma única instituição dos EUA como o ponto único de falha estrutural para a maioria da segurança de transporte da internet.

Esse é um preço alto a pagar por “confiança”.

Trinta Anos de E-mail Criptografado — e Seus Limites

O Health Info Net AG da Suíça — HIN — vem executando infraestrutura de mensagens médicas seguras por trinta anos. Hoje, SEAL processa mais de 800.000 interações criptografadas por mês em toda essa rede, conectando mais de 30.000 consultórios de GP com hospitais, especialistas, farmácias e laboratórios.

Essa é uma realização operacional significativa. O Mail Gateway que precedeu SEAL manteve as comunicações de saúde sensíveis privadas e autenticadas desde meados dos anos 1990. Fez o que foi projetado para fazer.

Mas foi projetado para uma era de e-mail. Opera na camada de mensagem. Pode confirmar que uma mensagem está criptografada e que chegou através da infraestrutura HIN. O que não pode fazer é incorporar afirmações verificáveis sobre as credenciais profissionais do remetente, sua afiliação institucional atual ou as permissões específicas que detém — de uma forma que a parte receptora possa verificar independentemente, sem consultar um registro central.

Conforme os sistemas de saúde avançam para troca de dados estruturados — pense em fluxos de trabalho de ordens clínicas baseados em FHIR, encaminhamentos entre instituições com autorização vinculada a consentimento, roteamento de resultados de laboratório em tempo real — o modelo de camada de mensagem atinge seus limites arquitetônicos. Não porque está quebrado. Porque os requisitos cresceram além do que foi construído para lidar.

O Que Substitui a Segurança de Perímetro

A resposta não é um perímetro maior. É uma primitiva de confiança fundamentalmente diferente: credenciais verificáveis criptograficamente mantidas pelos próprios atores, não apenas pelos sistemas que usam.

Em vez de perguntar “essa mensagem chegou através de um canal autorizado?”, a pergunta se torna: “essa mensagem carrega prova criptográfica de que o remetente detém credenciais atuais e válidas emitidas por uma autoridade em que a parte receptora já confia?”

Isso muda a confiança da camada de infraestrutura para a camada de identidade. Uma mensagem carrega consigo prova de quem a enviou, sob que autoridade profissional, e se essa autoridade é atual — sem exigir que a parte receptora consulte um registro central no momento da verificação.

Os sistemas OAuth e de certificados em que a maioria das organizações confia hoje não foram projetados para isso. Eles se destacam no gerenciamento de sessão dentro de um único domínio. Mas confiança entre instituições? OAuth assume que a parte que emite o token é a parte que o usa. Quando a Instituição A emite um token, ele funciona dentro da Instituição A. A Instituição B não tem razão para confiar nele. Não há mecanismo nativo para essa verificação entre limites.

Assim, as organizações convergem para um provedor de identidade central — Google, Microsoft, Okta — recriando o problema de centralização em uma nova forma.

Uma arquitetura de confiança distribuída — onde cada entidade mantém sua própria identidade criptográfica ancorada em um identificador auto-certificável, verificável por qualquer contraparte sem um intermediário central — aborda essa limitação estrutural. Isso é gerenciamento descentralizado de chaves. E essa é a arquitetura por trás do Stargate, a infraestrutura de confiança que está transformando a rede HIN.

A Transformação Contínua

A implementação HIN não é uma prova de conceito. SEAL, o sistema de entrega de enxame criptografado que lida com comunicação externa para destinatários fora da rede HIN, processa essas 800.000+ interações por mês em produção. Os destinatários — predominantemente pacientes — acessam suas mensagens em qualquer navegador em qualquer dispositivo. Sem downloads de aplicativos. Sem contas. Sem certificados.

Mas SEAL é o ponto de partida, não o destino. Stargate é a plataforma completa agora sendo implementada — substituindo o gateway de e-mail legado da HIN por infraestrutura que adiciona identidade descentralizada, credenciais verificáveis, troca de dados estruturados e trilhas de auditoria criptográficas no topo da comunicação criptografada.

O lançamento faseado multi-anual continua. 2026 traz gateways para hospitais e instituições. 2027 orienta HIN Clients em consultórios de GP. HIN está empreendendo essa transformação com o apoio da Vereign — não como uma migração de rip-and-replace, mas como uma evolução orgânica onde Stargate mantém compatibilidade total com versões anteriores com sistemas existentes.

De uma perspectiva de engenharia, a coisa mais importante sobre esta implementação é o que ela não requer: ela não requer que cada instituição participante confie em uma única autoridade central. Cada entidade mantém seu próprio log de eventos de chave. Qualquer contraparte verifica a confiança lendo esse log diretamente — sem negociação bilateral, sem CA compartilhada, sem acordo de confiança intermediário.

Além da Saúde

O padrão que descrevi aqui não é específico da Suíça ou de mensagens médicas. Todo setor regulado — finanças, direito, governo, farmácia, energia — enfrenta o mesmo desafio estrutural: atores que precisam interagir através de limites institucionais, com credenciais que devem ser verificáveis sem dependência central, em ambientes onde a trilha de auditoria é inegociável.

A saúde provou que funciona em escala. 800.000+ interações verificáveis por mês, dezenas de milhares de profissionais médicos, centenas de participantes institucionais. As credenciais são verificáveis. O sistema é resiliente. A história de conformidade é clara, porque cada afirmação sobre identidade profissional carrega sua própria prova criptográfica.

O problema de confiança não é um bug de software a ser corrigido. É uma lacuna estrutural que requer nova infraestrutura.

Então voltando ao Navio de Teseu. A saúde vem substituindo tábuas por trinta anos. O que ela precisa agora não é outra tábua. É um casco projetado para as águas em que realmente navega — um em que a confiança não depende de uma única autoridade permanecendo honesta, financiada e íntegra.

Isso é o que significa uma camada de confiança. Não um novo perímetro. Uma nova fundação.