Em 4 de dezembro de 2025, Portugal publicou no Diário da República o Decreto-Lei n.º 125/2025, alterando a Lei n.º 109/2009 (Lei do Cibercrime) com um novo artigo que protege investigadores de segurança de processos criminais. Pela primeira vez na história do ordenamento jurídico português, atos que anteriormente configuravam crimes de acesso ilegítimo ou interceção ilegítima podem ficar isentos de punição quando praticados por profissionais de cibersegurança a agir de boa-fé. A medida, identificada pelo especialista Daniel Cuthbert antes de qualquer comunicado oficial, posiciona Portugal entre os primeiros países da União Europeia a concretizar uma proteção criminal explícita para investigadores éticos, e cria um regime com oito condições cumulativas obrigatórias.
O decreto transpõe simultaneamente a Diretiva (UE) 2022/2555 (NIS2) para o ordenamento jurídico nacional, tornando-o o veículo legislativo mais relevante para a cibersegurança portuguesa em mais de uma década. A lei do cibercrime em Portugal fica assim com uma nova camada de proteção, mas também com uma lista de condições que os investigadores têm de cumprir para beneficiar da isenção, incluindo um prazo máximo de 10 dias para eliminação dos dados recolhidos após a correção da vulnerabilidade.
O que muda com o Decreto-Lei n.º 125/2025 na lei do cibercrime em Portugal
O Decreto-Lei n.º 125/2025, publicado no Diário da República n.º 234, Série I, de 4 de dezembro de 2025, altera a Lei n.º 109/2009 através do seu Artigo 7.º. Essa alteração introduz o novo Artigo 8.º-A, com a epígrafe “Factos não puníveis por razões de interesse público em matéria de cibersegurança”. Trata-se de uma exceção criminal que blinda investigadores de segurança contra processos por dois dos crimes mais frequentes na lei do cibercrime portuguesa: acesso ilegítimo (Artigo 6.º) e interceção ilegítima (Artigo 7.º).
Até à publicação deste decreto, qualquer investigador que testasse um sistema informático sem autorização expressa ficava sujeito a penas de prisão até 1 ano ou multa, mesmo que o objetivo fosse exclusivamente identificar e reportar vulnerabilidades. A nova disposição cria uma zona de não punibilidade desde que se verifiquem, em simultâneo, todos os requisitos listados no artigo. A falha num único desses requisitos retira a proteção legal e o investigador pode voltar a ser responsabilizado criminalmente.
A firma de direito Cuatrecasas, numa análise publicada em maio de 2026, destaca que o mesmo decreto introduz ainda um regime de responsabilidade pessoal para órgãos de gestão de entidades essenciais e importantes no âmbito da NIS2, com deveres documentados de diligência e supervisão. O hacking ético com autorização do proprietário fica igualmente coberto, com a condição de que as vulnerabilidades encontradas sejam sempre comunicadas ao CNCS (Centro Nacional de Cibersegurança).
Os 8 requisitos cumulativos do Artigo 8.º-A da lei do cibercrime
O Artigo 8.º-A da lei do cibercrime de Portugal estabelece que a isenção de punibilidade só se aplica quando se verificam, em simultâneo, oito condições. Basta falhar uma para que o investigador perca a proteção legal. A lista completa, retirada do Diário da República, é a seguinte:
- Intenção exclusiva de identificar vulnerabilidades em sistemas de informação, produtos ou serviços de tecnologias de informação e comunicação que não tenham sido criadas pelo próprio investigador ou por terceiro de quem dependa.
- Objetivo de contribuir para a segurança do ciberespaço através da divulgação responsável da vulnerabilidade encontrada.
- Ausência de vantagem económica indevida: o investigador não pode procurar ou receber benefício económico além da remuneração profissional normal.
- Respeito pela proteção de dados pessoais aplicável nos termos da legislação de proteção de dados vigente, incluindo o RGPD.
- Proibição de técnicas prejudiciais: ficam vedados ataques de negação de serviço (DoS/DDoS), engenharia social, phishing, roubo de credenciais, instalação ou distribuição de malware, e alteração intencional de dados.
- Proporcionalidade e limitação estrita: as ações devem ser proporcionadas e limitadas ao estritamente necessário para confirmar a existência da vulnerabilidade.
- Ausência de efeitos prejudiciais: a conduta não pode causar perturbação ou interrupção do sistema ou serviço, eliminação, deterioração ou cópia não autorizada de dados, nem efeitos prejudiciais para pessoas ou organizações.
- Notificação imediata e sigilo: o investigador deve reportar a vulnerabilidade ao proprietário ou gestor do sistema, ao responsável pelo tratamento de dados quando aplicável, e ao CNCS. Os dados obtidos durante a investigação devem ser mantidos confidenciais e eliminados no prazo de 10 dias após a correção da vulnerabilidade.
O caráter cumulativo destes requisitos é um ponto que a comunidade de segurança tem debatido. Qualquer desvio, ainda que involuntário, elimina a proteção. Um investigador que use uma ferramenta de fuzzing muito agressiva que cause, mesmo que por breves momentos, perturbação num serviço pode perder a cobertura do Artigo 8.º-A.
| # | Requisito do Artigo 8.º-A | Risco se violado |
|---|---|---|
| 1 | Intenção exclusiva de identificar vulnerabilidades não criadas pelo investigador | Crime de acesso ilegítimo (Art. 6.º, Lei 109/2009) |
| 2 | Objetivo de divulgar para melhorar a segurança do ciberespaço | Crime de acesso ilegítimo (Art. 6.º) |
| 3 | Sem vantagem económica além de remuneração profissional normal | Agravante penal e perda da isenção |
| 4 | Respeito pelo RGPD e proteção de dados pessoais | Infração RGPD e perda da isenção |
| 5 | Proibição de DoS, phishing, malware, roubo de credenciais | Crime de interceção ilegítima (Art. 7.º) |
| 6 | Proporcionalidade e limitação ao estritamente necessário | Crime de dano informático (Art. 4.º) |
| 7 | Sem perturbação, eliminação ou cópia não autorizada de dados | Crime de dano informático e sabotagem informática |
| 8 | Notificação imediata a proprietário, controlador de dados e CNCS; eliminação em 10 dias após correção | Perda total da isenção criminal |
Quais crimes da lei do cibercrime portuguesa ficam agora potencialmente isentos
O texto do Artigo 8.º-A da lei do cibercrime de Portugal é explícito: a isenção abrange especificamente os crimes de acesso ilegítimo (Artigo 6.º da Lei n.º 109/2009) e interceção ilegítima (Artigo 7.º da mesma lei). São os dois ilícitos mais frequentemente invocados contra investigadores de segurança que detetam falhas sem autorização prévia.
O acesso ilegítimo pune quem “aceder a sistema informático ou tecnológico de informação sem autorização ou excedendo a autorização que lhe foi concedida”. A interceção ilegítima pune quem “intercecione, sem autorização, transmissões de dados informáticos” destinadas a sistemas informáticos. Em conjunto, estes dois artigos cobriam a maior parte das atividades de teste de penetração e investigação de vulnerabilidades realizadas sem contrato formal.
Importa notar que crimes como sabotagem informática (Artigo 4.º) e dano relativo a dados ou programas informáticos (Artigo 3.º) ficam fora da isenção. Isso significa que um investigador que, mesmo acidentalmente, cause danos a dados ou sistemas pode ainda enfrentar responsabilidade criminal. A isenção é cirúrgica, não genérica, e exige que os investigadores calibrem as suas ferramentas e métodos com precisão.
O papel do CNCS na nova lei de cibercrime: notificação obrigatória em três vias
O Centro Nacional de Cibersegurança (CNCS) surge como ator central no novo regime. O investigador que descubra uma vulnerabilidade ao abrigo do Artigo 8.º-A tem de notificá-la ao CNCS de forma imediata, além de notificar o proprietário ou gestor do sistema e, quando aplicável, o responsável pelo tratamento de dados. Esta tripla obrigação de notificação distingue o modelo português de outros regimes internacionais onde o reporte ao regulador nacional é opcional ou facultativo.
O CNCS funciona aqui como recetora oficial da divulgação responsável (coordinated vulnerability disclosure, CVD), o que aproxima Portugal do modelo que a própria Diretiva NIS2 promove para as entidades essenciais e importantes. O mesmo Decreto-Lei n.º 125/2025 que cria esta obrigação de notificação ao CNCS também introduz, no contexto da NIS2, obrigações de notificação de incidentes significativos com prazos muito apertados: aviso precoce ao CNCS/CERT.PT em 24 horas após verificação, e relatório final em 30 dias úteis após o fim do impacto.
O investigador deve ainda manter os dados obtidos durante a investigação em regime de confidencialidade, partilhando-os apenas com as partes notificadas, e eliminá-los no prazo máximo de 10 dias após a correção da vulnerabilidade. Este prazo de 10 dias é um dos aspetos mais operacionais do novo regime, e exige que os investigadores tenham processos documentados de gestão e eliminação de dados de investigação. A lei não especifica o método de eliminação, mas práticas de eliminação segura (sobrescrita múltipla, destruição de suporte físico) são recomendadas para garantir conformidade com o RGPD.
Hacking ético com autorização: a segunda proteção do Decreto-Lei 125/2025
O Decreto-Lei n.º 125/2025 vai além da isenção para investigação não autorizada. O Artigo 8.º-A também protege expressamente o hacking ético realizado com autorização do proprietário ou gestor do sistema ou produto. Neste caso, as condições são menos restritivas, mas a notificação ao CNCS mantém-se obrigatória.
A Cuatrecasas sintetizou esta segunda modalidade na sua análise de maio de 2026: “órgãos de gestão e de administração podem autorizar testes de segurança intrusivos para identificar vulnerabilidades. Estas ações beneficiam de um enquadramento legal que isenta auditores e hackers éticos de responsabilidade criminal, desde que satisfeitos os requisitos legais, reforçando assim a demonstração de diligência organizacional.”
Esta segunda via é especialmente relevante para programas de bug bounty internos, pentests contratados e auditorias de segurança realizadas por terceiros a pedido das organizações. Antes do decreto, mesmo contratos formais de pentest podiam deixar os testadores em zona cinzenta legal face à lei do cibercrime portuguesa. Agora, existe uma base legal clara para estas atividades. Para entidades que operam no âmbito da NIS2 (setor financeiro, telecomunicações, infraestruturas críticas), a possibilidade de autorizar formalmente estes testes e beneficiar de proteção legal adiciona uma camada de governação de cibersegurança que a Diretiva incentiva explicitamente.
NIS2 e lei do cibercrime: como o Decreto-Lei 125/2025 une dois objetivos num só diploma
O Decreto-Lei n.º 125/2025 tem um duplo propósito raramente visto numa única peça legislativa. Por um lado, transpõe a Diretiva (UE) 2022/2555 (NIS2) para o direito português, estabelecendo o Regime Jurídico da Cibersegurança (RJC) que obriga entidades essenciais e importantes a implementar medidas de gestão de risco, a notificar incidentes significativos ao CNCS/CERT.PT em prazos estritos, e a cumprir requisitos de governação de cibersegurança a nível de órgão de gestão. As coimas por incumprimento chegam a €10 milhões ou 2% do volume de negócios global para entidades essenciais.
Por outro lado, o mesmo diploma alterou a lei do cibercrime e adicionou o Artigo 8.º-A. Esta técnica legislativa, que combina a transposição de diretiva europeia com uma reforma do direito penal interno, foi deliberada. A própria Diretiva NIS2 incentiva os Estados-Membros a criarem políticas de divulgação coordenada de vulnerabilidades (CVD), e a isenção criminal para investigadores de boa-fé é um complemento natural a esse objetivo. Daniel Cuthbert descreveu assim a importância desta combinação: “A grande alteração é a inclusão e reconhecimento de atividades de prevenção ao nível da cibersegurança, conhecidas como white hacking ou ethical hacking, que protegem os profissionais desta área de atuação.”
O Artigo 7.º do Decreto-Lei n.º 125/2025 é o veículo específico que altera a lei do cibercrime (Lei n.º 109/2009) para introduzir o Artigo 8.º-A. Esta estrutura é relevante porque confirma que a proteção dos investigadores de segurança foi uma adição deliberada ao processo de transposição da NIS2, e não uma medida autónoma aprovada noutro contexto legislativo.
Comparação internacional: lei cibercrime Portugal vs Alemanha, Reino Unido e EUA
Portugal não age no vácuo. Vários países desenvolvidos têm debatido e implementado proteções semelhantes para investigadores de segurança. A comparação revela que Portugal é, neste momento, um dos países com a proteção mais formalizada e operacionalmente detalhada da Europa.
Na Alemanha, o Ministério Federal da Justiça anunciou em novembro de 2024 uma proposta de alteração ao §202a do Código Penal (Strafgesetzbuch) para criar uma isenção explícita para investigadores de boa-fé. O ministro Marco Buschmann declarou publicamente: “Aqueles que trabalham para colmatar lacunas de segurança informática merecem reconhecimento, não uma carta do procurador.” A proposta alemã cobriria também os §202b (interceção de dados) e §303a (alteração de dados), e os investigadores teriam de reportar as vulnerabilidades ao operador do sistema e ao BSI (Federal Office for Information Security). No entanto, e ao contrário de Portugal, a reforma alemã permanece em fase de proposta legislativa, sem projeto de lei formalmente apresentado no Bundestag.
No Reino Unido, o ministro de Segurança Dan Jarvis anunciou a intenção do governo de alterar o Computer Misuse Act (CMA) para adicionar uma defesa estatutária para investigação de segurança de boa-fé. O novo regime “protegeria investigadores de segurança contra processos desde que cumpram certas salvaguardas”. A reforma britânica, ainda em consulta pública em 2026, não tem data de entrada em vigor confirmada. A HackerOne publicou uma análise em dezembro de 2025, intitulada “A Safer Future for Security Research in Portugal and the UK”, que acompanha os progressos nos dois países e destaca o modelo português como mais avançado do que o britânico neste momento.
Nos EUA, o Departamento de Justiça (DOJ) anunciou em maio de 2022 uma política de não acusação de investigadores de boa-fé ao abrigo do Computer Fraud and Abuse Act (CFAA). Ao contrário dos modelos europeus, trata-se de uma política de discricionariedade processual, não de uma alteração legislativa. Um investigador americano continua tecnicamente exposto a responsabilidade criminal, dependendo da interpretação judicial do CFAA, algo que a política do DOJ não elimina por completo.
| País | Instrumento | Data | Tipo | Entidade de notificação | Prazo eliminação dados |
|---|---|---|---|---|---|
| Portugal | Decreto-Lei 125/2025, Artigo 8.º-A | Dez 2025 (em vigor) | Isenção criminal estatutária | CNCS + proprietário + controlador dados | 10 dias após correção |
| Alemanha | Proposta alteração §202a StGB | Nov 2024 (proposta) | Proposta legislativa, não aprovada | BSI + operador do sistema | Não definido |
| Reino Unido | Reforma Computer Misuse Act | 2026 (em consulta) | Proposta de defesa estatutória | A definir | Não definido |
| EUA | Política DOJ sobre CFAA | Mai 2022 (em vigor) | Política de discricionariedade processual | Entidade afetada | Não definido |
| Bélgica | Framework CVD nacional | 2023 (em vigor) | Isenção civil e penal limitada | CCB (Centre for Cybersecurity Belgium) | Não definido |
O caso alemão que demonstra por que estas proteções na lei cibercrime são urgentes
A reforma portuguesa da lei do cibercrime torna-se mais compreensível quando confrontada com casos reais de investigadores que, ao agirem de boa-fé, enfrentaram processos criminais. O caso mais citado na literatura académica europeia é o do consultor alemão de TI que encontrou uma vulnerabilidade crítica no software da Modern Solution, uma empresa de infraestruturas para lojas online alemãs.
O consultor descobriu que a falha permitia aceder aos dados pessoais de quase 700.000 utilizadores. Reportou a vulnerabilidade de forma responsável à empresa, que a corrigiu. Quando o investigador publicou os detalhes técnicos da falha no seu blog profissional, a Modern Solution apresentou queixa-crime. O resultado foi uma busca policial à residência do investigador e apreensão de equipamento informático. Em 2024, o Tribunal Regional de Aachen confirmou a condenação ao abrigo do §202a do Código Penal alemão, mesmo tratando-se de divulgação responsável e sem qualquer ganho indevido.
Este caso, analisado numa publicação científica da Oxford University Press em janeiro de 2026, é frequentemente citado como ilustração do paradoxo que as novas leis pretendem resolver: um investigador que contribuiu para a segurança de dados de centenas de milhares de pessoas foi tratado como criminoso. A ausência de uma proteção legal clara, mesmo para quem reporta responsavelmente, cria um desincentivo estrutural à investigação de vulnerabilidades. Em Portugal, com o Artigo 8.º-A da lei do cibercrime, a conduta deste investigador teria provavelmente sido classificada como não punível, desde que tivesse respeitado o prazo de 10 dias para eliminação de dados e notificado o CNCS antes de publicar no blog.
A Infosecurity Magazine destacou o contraste na sua cobertura de dezembro de 2025: enquanto a Alemanha ainda debatia uma proposta legislativa, Portugal já tinha publicado no Diário da República a proteção formal. A reforma portuguesa foi descrita como “um passo significativo à frente” num setor onde a maioria dos países europeus ainda opera em zona cinzenta legal para investigadores de segurança independentes.
Reações da comunidade de cibersegurança à atualização da lei cibercrime de Portugal
A reforma da lei do cibercrime em Portugal foi coberta pela BleepingComputer e recebida com entusiasmo pela comunidade internacional de segurança. Daniel Cuthbert, investigador de segurança e membro do conselho da OWASP, foi o primeiro a identificar publicamente a alteração após a publicação no Diário da República. Na sua publicação no LinkedIn, Cuthbert escreveu: “Pela primeira vez, investigação de segurança realizada no interesse público pode ficar isenta de punição quando de outra forma configuraria acesso ilegítimo ou interceção ilegítima.” Acrescentou ainda: “A grande alteração é a inclusão e reconhecimento de atividades de prevenção ao nível da cibersegurança, conhecidas como white hacking ou ethical hacking, que protegem os profissionais desta área de atuação.”
A HackerOne, plataforma líder de bug bounty com mais de 580.000 vulnerabilidades validadas e 81 milhões de dólares em recompensas pagas em 2025, publicou uma análise específica sobre Portugal e o Reino Unido intitulada “A Safer Future for Security Research”. A empresa sintetizou as três condições-chave para os investigadores ao abrigo do regime português: vulnerabilidades reportadas de imediato às partes relevantes; ações não disruptivas que não causem dano nem alterem ou eliminem dados; e quaisquer dados obtidos mantidos confidenciais e eliminados 10 dias após a remediação. A HackerOne destacou ainda que, com esta proteção, Portugal cria um ambiente mais propício ao crescimento de programas de divulgação responsável de vulnerabilidades por parte de entidades públicas e privadas.
A plataforma europeia de bug bounty Yes We Hack divulgou a reforma portuguesa nas suas redes, enquadrando-a como parte de uma tendência europeia de legitimação do hacking ético que segue os passos dos EUA (2022) e da Alemanha (proposta 2024). A reação geral da comunidade de segurança foi de aprovação, com nuances sobre a exigência cumulativa dos oito requisitos, que alguns investigadores consideraram demasiado restritiva para a realidade prática da investigação de vulnerabilidades.
Impacto no mercado de bug bounty e na cibersegurança portuguesa
A reforma da lei do cibercrime em Portugal chega num momento em que o mercado global de bug bounty cresce a ritmo acelerado. Segundo o relatório anual da HackerOne de 2025, as plataformas de bug bounty geraram 3 mil milhões de dólares em perdas evitadas estimadas nas empresas participantes, um retorno de segurança 15 vezes superior ao investimento. As vulnerabilidades de inteligência artificial cresceram 210%, com prompt injection a subir 540%, confirmando a inteligência artificial como a superfície de ataque de crescimento mais rápido. O número de programas de bug bounty empresariais ativos na plataforma atingiu quase 2.000.
Para Portugal, a isenção criminal do Artigo 8.º-A remove a principal barreira ao crescimento dos programas de bug bounty e divulgação coordenada de vulnerabilidades (CVD). Anteriormente, um investigador português que descobrisse uma falha num sistema de uma empresa nacional sem contrato formal enfrentava risco penal real. Agora, desde que respeite os oito requisitos cumulativos, pode reportar sem receio de processos por acesso ilegítimo ou interceção ilegítima.
O setor financeiro, as telecomunicações e as infraestruturas críticas, todos classificados como entidades essenciais ao abrigo da NIS2 transposta pelo mesmo Decreto-Lei n.º 125/2025, são os que mais beneficiam. Estas entidades já são obrigadas a implementar políticas de gestão de vulnerabilidades, e com a proteção legal agora existente, podem formalizar programas de divulgação responsável sem expor os investigadores que participam a riscos legais desproporcionais.
A BSides Porto 2026, conferência de cibersegurança com cerca de 800 participantes esperados nos dias 26 e 27 de junho de 2026, é um indicador do crescimento da comunidade de segurança em Portugal. O evento, com bilhetes a partir de 12 euros, reflete um ecossistema local que ganha peso e que a nova lei do cibercrime pretende formalizar e proteger. A conferência inclui workshops práticos de segurança e trilhas de investigação, áreas diretamente abrangidas pelo novo regime de proteção.
O que os investigadores precisam de saber para operar ao abrigo do Artigo 8.º-A
A isenção do Artigo 8.º-A da lei do cibercrime de Portugal não é automática. Exige que os investigadores adotem práticas operacionais específicas para documentar o cumprimento de cada um dos oito requisitos. Estas são as práticas recomendadas para quem pretende beneficiar da proteção legal:
Documentar a intenção antes de começar. O investigador deve registar, por escrito, o objetivo da investigação e os sistemas-alvo antes de iniciar qualquer teste. Esta documentação prévia é a prova mais direta de que a intenção era exclusivamente identificar vulnerabilidades não criadas pelo próprio investigador.
Usar ferramentas de baixo impacto. Ferramentas que possam causar negação de serviço, mesmo por acidente, estão fora dos limites definidos pelo artigo. Um scanner de portas passivo e análise manual são preferíveis a ferramentas de fuzzing agressivo que possam perturbar serviços, mesmo que a perturbação seja breve e temporária.
Preparar um template de notificação. A lei exige notificação imediata ao proprietário do sistema, ao controlador de dados quando aplicável, e ao CNCS. Ter um template padronizado acelera este processo e documenta o cumprimento do requisito de notificação imediata. O CNCS disponibiliza canais de contacto específicos para este tipo de divulgação responsável.
Implementar um processo de eliminação de dados em 10 dias. Qualquer dado recolhido durante a investigação deve ser eliminado em 10 dias após a correção da vulnerabilidade. Os investigadores devem manter um registo das datas de notificação, de correção comunicada pelo proprietário, e de eliminação de dados, para provar o cumprimento se forem questionados.
Ser cauteloso com remuneração de terceiros. Receber pagamentos de entidades que não sejam o proprietário do sistema ou o empregador direto pode configurar “vantagem económica além da remuneração profissional normal” e retirar a proteção legal. Os programas de bug bounty pagos por plataformas externas têm uma relação ambígua com este requisito, e recomendam-se a formalização contratual e, em caso de dúvida, aconselhamento jurídico especializado.
5 previsões sobre a lei cibercrime de Portugal e o mercado de segurança em 2026
Com base nas tendências regulatórias europeias e no impacto observado em países que já implementaram proteções semelhantes, estas são as cinco previsões mais prováveis para Portugal nos próximos 12 meses:
1. Criação de um programa nacional de CVD gerido pelo CNCS. O CNCS, agora com papel formal na receção de reportes de vulnerabilidades ao abrigo do Artigo 8.º-A, tem todos os incentivos para lançar uma plataforma centralizada de divulgação coordenada de vulnerabilidades para entidades públicas portuguesas. A Bélgica fê-lo com o Centre for Cybersecurity Belgium e registou um aumento significativo no volume de vulnerabilidades reportadas no setor público.
2. Primeiros programas de bug bounty de entidades públicas portuguesas. A combinação da NIS2, que exige gestão ativa de vulnerabilidades, com a proteção legal do Artigo 8.º-A cria as condições para que municípios, hospitais e infraestruturas críticas lançem programas formais de bug bounty. É provável que pelo menos uma entidade pública portuguesa lance um programa piloto antes do final de 2026.
3. Primeiro teste judicial ao Artigo 8.º-A. A lei nova ainda não foi testada nos tribunais portugueses. Em 2026, é previsível que surja o primeiro caso em que um investigador invoque o Artigo 8.º-A como defesa. A decisão estabelecerá precedente sobre como os tribunais interpretam os oito requisitos cumulativos, em especial o critério de “proporcionalidade” e o de “ausência de perturbação”.
4. Pressão sobre Espanha, Itália e Grécia para reformas semelhantes. Portugal junta-se à Bélgica como referência europeia de boas práticas em proteção de investigadores de segurança. Ao avaliar as transposições nacionais da NIS2, a Comissão Europeia pode recomendar especificamente que países do sul da Europa que ainda não têm proteções equivalentes as adotem.
5. Crescimento do ecossistema de cibersegurança em Portugal. A proteção legal reduz o risco percebido pelos investigadores independentes. Em mercados onde reformas equivalentes foram implementadas, observou-se um aumento no número de vulnerabilidades reportadas de forma responsável. Para Portugal, isso traduz-se em mais talento local de cibersegurança a trabalhar de forma formalizada, e em mais organizações dispostas a criar programas internos de divulgação de vulnerabilidades.
Perguntas frequentes sobre a lei do cibercrime e hacking ético em Portugal
O que é o Decreto-Lei n.º 125/2025 e o que muda na prática?
O Decreto-Lei n.º 125/2025, publicado no Diário da República em 4 de dezembro de 2025, alterou a Lei n.º 109/2009 (Lei do Cibercrime) e transpôs a Diretiva NIS2. Na prática, introduz o Artigo 8.º-A, que isenta investigadores de segurança de punição pelos crimes de acesso ilegítimo e interceção ilegítima, desde que cumpram oito requisitos cumulativos, incluindo notificação ao CNCS e eliminação de dados em 10 dias após a correção da vulnerabilidade.
Um investigador pode testar qualquer sistema informático sem autorização?
Não. O Artigo 8.º-A não é uma autorização geral para testar qualquer sistema. A isenção é muito restrita: exige intenção exclusiva de identificar vulnerabilidades, proibição de técnicas disruptivas como DoS e phishing, notificação imediata ao proprietário e ao CNCS, e eliminação dos dados em 10 dias. Testes agressivos que causem perturbação continuam a ser crimes, mesmo com boa-fé declarada.
Os programas de bug bounty pagos por plataformas externas estão protegidos?
Depende da estrutura. O requisito de “ausência de vantagem económica além da remuneração profissional normal” é ambíguo para bug bounties pagos por plataformas de terceiros. Investigadores profissionais que recebem recompensas como parte de uma atividade profissional reconhecida estão provavelmente protegidos, mas a formalização por contrato de prestação de serviços é recomendada para maximizar a proteção legal.
O que acontece se o investigador não notificar o CNCS?
A notificação ao CNCS é um dos oito requisitos cumulativos. Se o investigador omitir esta notificação, perde automaticamente a proteção do Artigo 8.º-A e pode ser responsabilizado pelos crimes de acesso ilegítimo e interceção ilegítima ao abrigo da Lei n.º 109/2009.
Portugal é o único país da UE com esta proteção explícita na lei do cibercrime?
Não. A Bélgica criou um regime de CVD com proteção legal em 2023. Contudo, Portugal destaca-se por ter uma isenção criminal explícita integrada diretamente na lei do cibercrime, com requisitos operacionais detalhados como o prazo de 10 dias para eliminação de dados. A Alemanha e o Reino Unido ainda estão em fase de proposta ou consulta.
A publicação de detalhes técnicos de uma vulnerabilidade é permitida?
O Artigo 8.º-A exige sigilo dos dados obtidos durante a investigação até 10 dias após a correção da vulnerabilidade. A publicação de detalhes técnicos antes da correção, ou de dados de utilizadores, viola o requisito de confidencialidade. Após a correção e cumprido o prazo de 10 dias, a publicação de informação técnica que não inclua dados pessoais está fora do âmbito dos crimes cobertos pelo artigo.
Qual é o papel do CNCS neste regime?
O CNCS (Centro Nacional de Cibersegurança) é um dos destinatários obrigatórios do reporte de vulnerabilidades ao abrigo do Artigo 8.º-A. Funciona como autoridade nacional de cibersegurança e recetora oficial da divulgação responsável, num modelo equivalente ao do Centre for Cybersecurity Belgium (CCB) no regime belga de CVD. A notificação ao CNCS é um dos oito requisitos cumulativos para acesso à isenção criminal.
Cobertura relacionada
Leitura recomendada em cibersegurança
- Cyber Resilience Act: Coima €15M e Prazo 11 Set [2026] – o outro grande diploma europeu de cibersegurança com impacto direto em Portugal e nas obrigações dos fabricantes de software
- Hackers Russos Atacam WhatsApp e Signal: SIS Alerta Oficiais [2026] – o alerta do SIS que contextualiza a urgência de reforçar a cibersegurança nacional portuguesa
- DBIR 2026: 31% das Fugas por Vulnerabilidades – o relatório que quantifica o custo das vulnerabilidades não detetadas e porque a investigação ética é essencial
- Oracle WebLogic: CISA Alerta, 1.592 Servidores Expostos [2026] – exemplo recente de vulnerabilidade que investigadores éticos poderiam reportar sob o novo regime da lei do cibercrime
- Holanda Apreende 800 Servidores Bulletproof [2026] – a fronteira entre cibercrime e ciberdefesa na Europa e como as autoridades distinguem investigadores de atacantes
