Código Penal clarifica condições para investigação de cibersegurança

Portugal introduziu no Código Penal uma cláusula que define quando a procura de vulnerabilidades realizada por profissionais passa a ser juridicamente protegida, desde que cumpridos critérios estritos e orientados para a melhoria da segurança dos sistemas.

A atualização ao regime de cibercrime introduz no Código Penal o Artigo 8.º-A, que delimita situações em que ações tradicionalmente enquadradas como acesso indevido ou interceção de dados deixam de ser puníveis. A norma aplica-se apenas quando a finalidade é identificar fragilidades existentes e apoiar o reforço da cibersegurança, afastando comportamentos que visem qualquer vantagem económica além da remuneração habitual pelo exercício profissional.

O legislador define que a análise deve incidir unicamente em vulnerabilidades que não tenham sido criadas pelo próprio investigador. A identificação de uma falha obriga à sua comunicação ao proprietário do sistema, aos responsáveis pelo tratamento de dados quando aplicável e ao Centro Nacional de Cibersegurança, reforçando a necessidade de uma cadeia formal de notificação. Esta comunicação deve ocorrer logo após a deteção, para permitir correções rápidas e reduzir riscos operacionais.

As ações realizadas não podem exceder o necessário para confirmar a existência da vulnerabilidade, nem originar interrupções de serviço, perdas de informação ou qualquer outro tipo de dano. O texto legal exclui práticas como ataques de negação de serviço, engenharia social, recolha de credenciais, alteração intencional de dados, manipulação de sistemas ou utilização de software malicioso. A investigação não pode ainda violar o Regulamento Geral sobre a Proteção de Dados, mantendo-se a exigência de confidencialidade relativamente à informação acedida. Todo o material obtido deve ser eliminado até dez dias após a correção da falha.

O artigo também prevê situações em que existe autorização explícita do proprietário do sistema para realizar testes. Nestes casos, as ações deixam de ser puníveis, mantendo-se, porém, o dever de comunicar vulnerabilidades ao CNCS, preservando o mesmo enquadramento de reporte definido para investigações sem autorização prévia.

A criação deste regime surge num momento em que vários países procuram clarificar o espaço legal para atividades de investigação de segurança.

Esta revisão legislativa vem dar resposta à necessidade de criar condições seguras para avaliar sistemas e reportar vulnerabilidades, num contexto em que a detecção precoce de falhas é cada vez mais relevante para empresas e entidades públicas que dependem de infraestruturas digitais críticas.