Proponha uma correção, faça uma sugestão
Alteração à Lei do Cibercrime: “hackers éticos” passam a estar protegidos
A "nova" Lei da Cibersegurança foi publicada através do Decreto-Lei n.º 125/2025, transpondo a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, destinada a garantir um elevado nível comum de cibersegurança em toda a União Europeia. Já conhece o artigo 8ºA?
O artigo 8.º-A (aditado à Lei do Cibercrime – Lei n.º 109/2009 pelo Decreto-Lei n.º 125/2025) consagra, pela primeira vez em Portugal, um regime de não punibilidade para atos de cibersegurança de interesse público, enquadrando legalmente a atuação de hackers éticos ("investigadores" de cibersegurança).
Ou seja, se até agora, a identificação de vulnerabilidades através de testes não autorizados podia enquadrar-se em crimes como o acesso ilegítimo a sistemas informáticos, com o novo diploma, passa a existir uma “proteção” legal para atividades realizadas de boa-fé e de interesse público.
Artigo 8.º-A — Atos não puníveis por interesse público de cibersegurança
Segundo o Artigo 8.º-A do Decreto-Lei n.º 125/2025, não são puníveis os crimes de acesso ilegítimo e interceção ilegítima quando a atuação cumpre todos os requisitos legais.
Condições cumulativas de não punibilidade
O agente deve:
- 1) Atuar apenas para identificar vulnerabilidades (não criadas por si), com o objetivo de contribuir para a segurança do ciberespaço;
- 2) Não procurar vantagem económica, salvo remuneração normal da sua atividade profissional;
- 3) Comunicar imediatamente as vulnerabilidades:
- ao proprietário ou gestor do sistema,
- ao titular dos dados eventualmente obtidos,
- e à autoridade nacional de cibersegurança (CNCS), que encaminha para a PJ se houver relevância criminal;
- 4) Agir de forma proporcional e estritamente necessária, sem causar:
- interrupções de serviço,
- eliminação, deterioração ou cópia não autorizada de dados,
- danos a pessoas, entidades ou terceiros;
- 5) Não violar a legislação de proteção de dados pessoais (RGPD e leis nacionais).
Mesmo com fins de segurança, não são permitidos, entre outros:
- Ataques DoS/DDoS;
- Engenharia social;
- Phishing e variantes;
- Roubo de passwords;
- Alteração ou destruição dolosa de dados;
- Instalação de malware.
No que diz respeito ao tratamento de dados, os dados comunicados devem ser eliminados até 10 dias após a correção da vulnerabilidade. Deve ser garantida a confidencialidade durante todo o processo.
Também não são puníveis atos realizados com consentimento do proprietário/administrador do sistema, mantendo-se o dever de notificação ao CNCS.
Loading ...
Lá vão usar esta lei para safar o Rui Pinto da choldra.
Altos crimes … mas o que está generalizado é a pequena vigarice/burla. Vou contar uma que não lembra ao diabo a quem nunca tenha ouvido falar. Creio que vale a pena conhecer:
1) Por lei, as operadoras (MEO, Vodafone, NOS), anualmente, têm que contactar o cliente para propor as condições de renovação. Toda a gente já recebeu chamadas dessas de operadores, não desconfia de nada.
2) Telefonou-me há dias um sujeito fazendo-se passar por funcionário do meu atual operador perguntando se queria saber as condições que tinha para oferecer para a renovação. Disse-lhe que sim, fingiu que esteve a ver o meu contrato e disse-me que eu atualmente tinha um desconto, muito bom, de 15€, que já não podia manter – pelo que ficaria a pagar mais 15 € e oferecia-me mais 4 GB de dados para os telemóveis. Disse-lhe que não estava interessado, que era uma vergonha de proposta.
3) No mesmo dia, telefona-me alguém dizendo ser de outra operadora e fez-me uma proposta bastante melhor. Se era dessa operadora ou de um call-center não sei dizer, a proposta correspondia à oferta desse operador disponível na net para novos clientes.
Estive a pesquisar e tem havido muitíssimos casos destes – em que o primeiro telefona é péssimo relativamente à operadora que se tem, diz que vão trocar o router e se vai ficar sem serviço, ou outra coisa qualquer – no meu caso, que ficaria a pagar mais. E a seguir ligam de (ou como s fosse) de outra operadora. Há avisos das mais variadas entidades, da ANACOM às operadoras – convém estar prevenido.
Não caí no golpe da mudança de operador, mas entre as duas chamadas, em que pensava estar a falar efetivamente com representantes legítimos das duas operadoras, hei de ter facultado dados pessoais, mesmo dos mais habituais como nº de contribuinte (habitual em contactos telefónicos para autenticação de que somos a pessoa com querem falar), morada (para saber se tinha fibra disponível) e o endereço de e-mail (para enviarem a proposta de contrato).
Cuidado com as “chamadas de operadores” – a vigarice anda por aí. Se querem contactar com o operador – liguem vocês para os números da assistência da operadora; se vos ligarem peçam a identificação – e liguem vocês para o número de assistência da operadora, pedindo para ligarem para esse tal contacto.
As vigarices/burlas andam por aí, por todo o lado. Relativamente a uma está-se avisado, outras não.
Ora o acesso ilegitimo, e o interceção ilegítima, são o grande problema aqui.
É crime, mas estão a dizer-nos que não vai ser punido, é isso???
Se alguém acede de forma Ilegitima a casa de outro, ou viola o espaço de outro, do meu ponto de vista e tendo em, conta que é ILEGITIMO, terá que ser punido claro!
Há uma clara violação da privacidade, e da segurança da pessoa…. está a ser invadida!!
É que a Vitima pode até perceber umas coisas e ir atrás desse fulano, e como a justiça, não funciona, e não o criminaliza, então ele próprio vai ter que aplicar justiça Social ao criminoso.
A Justiça Social é implacavél.
Não deviamos ter que voltar ao periodo da idade média.
Aquilo que parece aqui é de que ha vontade para criar uma zona cinzenta, onde alguns vão puder tirar partido de segredos comerciais,politicos,etc sem haver presos.
O Rui Pinto é um caso craço de um traidor á Patria, e a trabalhar como agente externo para outros Países.