Portugal acaba de dar um passo significativo na modernização da sua legislação tecnológica, modificando a Lei do Cibercrime para estabelecer um regime de proteção legal destinado a investigadores de segurança e "hackers éticos". A nova medida visa permitir que profissionais identifiquem falhas de segurança de boa-fé sem o receio de serem alvo de processos criminais, desde que cumpram um conjunto estrito de regras.
Esta alteração legislativa, que introduz uma disposição inovadora no Artigo 8.º-A intitulada "Atos não puníveis por interesse público na cibersegurança", foi oficializada através do Decreto-Lei n.º 125/2025. Até agora, o acesso a sistemas sem autorização, mesmo que para reportar falhas, encontrava-se numa área legal cinzenta que muitas vezes desincentivava a comunicação de vulnerabilidades críticas.
Condições rigorosas para a isenção de responsabilidade
A nova lei não é, contudo, um "passe livre" para qualquer tipo de intrusão informática. A isenção de responsabilidade criminal aplica-se exclusivamente quando a atuação do investigador tem como único objetivo a identificação de vulnerabilidades e o contributo para a melhoria da cibersegurança.
Para beneficiarem desta proteção, os investigadores têm de respeitar critérios muito específicos e rigorosos:
Ausência de Lucro: O investigador não pode solicitar nem receber qualquer vantagem económica pela descoberta, além da sua remuneração profissional normal (o que exclui esquemas de extorsão, mas levanta questões sobre programas de recompensas externos não oficiais).
Comunicação Imediata: A vulnerabilidade descoberta deve ser reportada de imediato ao proprietário do sistema, ao responsável pelo tratamento dos dados e, crucialmente, ao Centro Nacional de Cibersegurança (CNCS).
Danos Zero: As ações devem limitar-se estritamente ao necessário para detetar a falha, não podendo causar perturbação nos serviços, alteração ou eliminação de dados.
Proibição de Técnicas Agressivas: O uso de métodos como ataques de Negação de Serviço (DoS ou DDoS), engenharia social, roubo de palavras-passe, disseminação de malware ou phishing continua estritamente proibido.
Proteção de Dados: Qualquer dado obtido durante a investigação deve permanecer confidencial e ser obrigatoriamente eliminado no prazo de 10 dias após a correção da vulnerabilidade.
Alinhamento com a tendência global
A introdução destas salvaguardas coloca Portugal na linha da frente da legislação europeia sobre segurança informática, reconhecendo o papel vital que a comunidade de segurança desempenha na proteção de infraestruturas digitais.
A alteração foi destacada por especialistas da indústria, como Daniel Cuthbert, que notou a criação desta provisão legal. Este movimento segue uma tendência internacional crescente: em novembro de 2024, a Alemanha apresentou um projeto de lei com proteções semelhantes, e já em maio de 2022, o Departamento de Justiça dos Estados Unidos tinha revisto as suas políticas para incluir isenções para a investigação de boa-fé.
Com este enquadramento, a lei portuguesa define claramente as fronteiras: quem agir com o consentimento do proprietário do sistema também está isento, mas mantém-se a obrigação de reportar as falhas ao CNCS, garantindo que o Estado mantém uma visão clara sobre o panorama de ameaças nacionais.
Nenhum comentário
Seja o primeiro!