{"id":160,"date":"2026-06-20T05:00:29","date_gmt":"2026-06-20T05:00:29","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/20\/lei-cibercrime-portugal-decreto-lei-125-2025-hacking-etico\/"},"modified":"2026-06-20T05:00:29","modified_gmt":"2026-06-20T05:00:29","slug":"lei-cibercrime-portugal-decreto-lei-125-2025-hacking-etico","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/20\/lei-cibercrime-portugal-decreto-lei-125-2025-hacking-etico\/","title":{"rendered":"Decreto-Lei 125\/2025: Portugal Protege Hackers \u00c9ticos com 8 Regras [2025]"},"content":{"rendered":"\n

Em 4 de dezembro de 2025, Portugal publicou no Di\u00e1rio da Rep\u00fablica o Decreto-Lei n.\u00ba 125\/2025<\/strong>, alterando a Lei n.\u00ba 109\/2009 (Lei do Cibercrime) com um novo artigo que protege investigadores de seguran\u00e7a de processos criminais. Pela primeira vez na hist\u00f3ria do ordenamento jur\u00eddico portugu\u00eas, atos que anteriormente configuravam crimes de acesso ileg\u00edtimo ou interce\u00e7\u00e3o ileg\u00edtima podem ficar isentos de puni\u00e7\u00e3o quando praticados por profissionais de ciberseguran\u00e7a a agir de boa-f\u00e9. A medida, identificada pelo especialista Daniel Cuthbert<\/strong> antes de qualquer comunicado oficial, posiciona Portugal entre os primeiros pa\u00edses da Uni\u00e3o Europeia a concretizar uma prote\u00e7\u00e3o criminal expl\u00edcita para investigadores \u00e9ticos, e cria um regime com oito condi\u00e7\u00f5es cumulativas obrigat\u00f3rias.<\/p>\n\n\n\n

O decreto transp\u00f5e simultaneamente a Diretiva (UE) 2022\/2555<\/strong> (NIS2) para o ordenamento jur\u00eddico nacional, tornando-o o ve\u00edculo legislativo mais relevante para a ciberseguran\u00e7a portuguesa em mais de uma d\u00e9cada. A lei do cibercrime em Portugal fica assim com uma nova camada de prote\u00e7\u00e3o, mas tamb\u00e9m com uma lista de condi\u00e7\u00f5es que os investigadores t\u00eam de cumprir para beneficiar da isen\u00e7\u00e3o, incluindo um prazo m\u00e1ximo de 10 dias<\/strong> para elimina\u00e7\u00e3o dos dados recolhidos ap\u00f3s a corre\u00e7\u00e3o da vulnerabilidade.<\/p>\n\n\n\n

O que muda com o Decreto-Lei n.\u00ba 125\/2025 na lei do cibercrime em Portugal<\/h2>\n\n\n\n

O Decreto-Lei n.\u00ba 125\/2025, publicado no Di\u00e1rio da Rep\u00fablica<\/a> n.\u00ba 234, S\u00e9rie I, de 4 de dezembro de 2025, altera a Lei n.\u00ba 109\/2009 atrav\u00e9s do seu Artigo 7.\u00ba. Essa altera\u00e7\u00e3o introduz o novo Artigo 8.\u00ba-A<\/strong>, com a ep\u00edgrafe “Factos n\u00e3o pun\u00edveis por raz\u00f5es de interesse p\u00fablico em mat\u00e9ria de ciberseguran\u00e7a”. Trata-se de uma exce\u00e7\u00e3o criminal que blinda investigadores de seguran\u00e7a contra processos por dois dos crimes mais frequentes na lei do cibercrime portuguesa: acesso ileg\u00edtimo (Artigo 6.\u00ba) e interce\u00e7\u00e3o ileg\u00edtima (Artigo 7.\u00ba).<\/p>\n\n\n\n

At\u00e9 \u00e0 publica\u00e7\u00e3o deste decreto, qualquer investigador que testasse um sistema inform\u00e1tico sem autoriza\u00e7\u00e3o expressa ficava sujeito a penas de pris\u00e3o at\u00e9 1 ano ou multa, mesmo que o objetivo fosse exclusivamente identificar e reportar vulnerabilidades. A nova disposi\u00e7\u00e3o cria uma zona de n\u00e3o punibilidade desde que se verifiquem, em simult\u00e2neo, todos os requisitos listados no artigo. A falha num \u00fanico desses requisitos retira a prote\u00e7\u00e3o legal e o investigador pode voltar a ser responsabilizado criminalmente.<\/p>\n\n\n\n

A firma de direito Cuatrecasas, numa an\u00e1lise publicada em maio de 2026, destaca que o mesmo decreto introduz ainda um regime de responsabilidade pessoal para \u00f3rg\u00e3os de gest\u00e3o de entidades essenciais e importantes no \u00e2mbito da NIS2, com deveres documentados de dilig\u00eancia e supervis\u00e3o. O hacking \u00e9tico com autoriza\u00e7\u00e3o do propriet\u00e1rio fica igualmente coberto, com a condi\u00e7\u00e3o de que as vulnerabilidades encontradas sejam sempre comunicadas ao CNCS (Centro Nacional de Ciberseguran\u00e7a).<\/p>\n\n\n\n

Os 8 requisitos cumulativos do Artigo 8.\u00ba-A da lei do cibercrime<\/h2>\n\n\n\n

O Artigo 8.\u00ba-A da lei do cibercrime de Portugal estabelece que a isen\u00e7\u00e3o de punibilidade s\u00f3 se aplica quando se verificam, em simult\u00e2neo, oito condi\u00e7\u00f5es. Basta falhar uma para que o investigador perca a prote\u00e7\u00e3o legal. A lista completa, retirada do Di\u00e1rio da Rep\u00fablica, \u00e9 a seguinte:<\/p>\n\n\n\n

    \n
  1. Inten\u00e7\u00e3o exclusiva de identificar vulnerabilidades<\/strong> em sistemas de informa\u00e7\u00e3o, produtos ou servi\u00e7os de tecnologias de informa\u00e7\u00e3o e comunica\u00e7\u00e3o que n\u00e3o tenham sido criadas pelo pr\u00f3prio investigador ou por terceiro de quem dependa.<\/li>\n
  2. Objetivo de contribuir para a seguran\u00e7a do ciberespa\u00e7o<\/strong> atrav\u00e9s da divulga\u00e7\u00e3o respons\u00e1vel da vulnerabilidade encontrada.<\/li>\n
  3. Aus\u00eancia de vantagem econ\u00f3mica indevida<\/strong>: o investigador n\u00e3o pode procurar ou receber benef\u00edcio econ\u00f3mico al\u00e9m da remunera\u00e7\u00e3o profissional normal.<\/li>\n
  4. Respeito pela prote\u00e7\u00e3o de dados pessoais<\/strong> aplic\u00e1vel nos termos da legisla\u00e7\u00e3o de prote\u00e7\u00e3o de dados vigente, incluindo o RGPD.<\/li>\n
  5. Proibi\u00e7\u00e3o de t\u00e9cnicas prejudiciais<\/strong>: ficam vedados ataques de nega\u00e7\u00e3o de servi\u00e7o (DoS\/DDoS), engenharia social, phishing, roubo de credenciais, instala\u00e7\u00e3o ou distribui\u00e7\u00e3o de malware, e altera\u00e7\u00e3o intencional de dados.<\/li>\n
  6. Proporcionalidade e limita\u00e7\u00e3o estrita<\/strong>: as a\u00e7\u00f5es devem ser proporcionadas e limitadas ao estritamente necess\u00e1rio para confirmar a exist\u00eancia da vulnerabilidade.<\/li>\n
  7. Aus\u00eancia de efeitos prejudiciais<\/strong>: a conduta n\u00e3o pode causar perturba\u00e7\u00e3o ou interrup\u00e7\u00e3o do sistema ou servi\u00e7o, elimina\u00e7\u00e3o, deteriora\u00e7\u00e3o ou c\u00f3pia n\u00e3o autorizada de dados, nem efeitos prejudiciais para pessoas ou organiza\u00e7\u00f5es.<\/li>\n
  8. Notifica\u00e7\u00e3o imediata e sigilo<\/strong>: o investigador deve reportar a vulnerabilidade ao propriet\u00e1rio ou gestor do sistema, ao respons\u00e1vel pelo tratamento de dados quando aplic\u00e1vel, e ao CNCS. Os dados obtidos durante a investiga\u00e7\u00e3o devem ser mantidos confidenciais e eliminados no prazo de 10 dias<\/strong> ap\u00f3s a corre\u00e7\u00e3o da vulnerabilidade.<\/li>\n<\/ol>\n\n\n\n

    O car\u00e1ter cumulativo destes requisitos \u00e9 um ponto que a comunidade de seguran\u00e7a tem debatido. Qualquer desvio, ainda que involunt\u00e1rio, elimina a prote\u00e7\u00e3o. Um investigador que use uma ferramenta de fuzzing muito agressiva que cause, mesmo que por breves momentos, perturba\u00e7\u00e3o num servi\u00e7o pode perder a cobertura do Artigo 8.\u00ba-A.<\/p>\n\n\n\n
    #<\/th>Requisito do Artigo 8.\u00ba-A<\/th>Risco se violado<\/th><\/tr><\/thead>
    1<\/td>Inten\u00e7\u00e3o exclusiva de identificar vulnerabilidades n\u00e3o criadas pelo investigador<\/td>Crime de acesso ileg\u00edtimo (Art. 6.\u00ba, Lei 109\/2009)<\/td><\/tr>
    2<\/td>Objetivo de divulgar para melhorar a seguran\u00e7a do ciberespa\u00e7o<\/td>Crime de acesso ileg\u00edtimo (Art. 6.\u00ba)<\/td><\/tr>
    3<\/td>Sem vantagem econ\u00f3mica al\u00e9m de remunera\u00e7\u00e3o profissional normal<\/td>Agravante penal e perda da isen\u00e7\u00e3o<\/td><\/tr>
    4<\/td>Respeito pelo RGPD e prote\u00e7\u00e3o de dados pessoais<\/td>Infra\u00e7\u00e3o RGPD e perda da isen\u00e7\u00e3o<\/td><\/tr>
    5<\/td>Proibi\u00e7\u00e3o de DoS, phishing, malware, roubo de credenciais<\/td>Crime de interce\u00e7\u00e3o ileg\u00edtima (Art. 7.\u00ba)<\/td><\/tr>
    6<\/td>Proporcionalidade e limita\u00e7\u00e3o ao estritamente necess\u00e1rio<\/td>Crime de dano inform\u00e1tico (Art. 4.\u00ba)<\/td><\/tr>
    7<\/td>Sem perturba\u00e7\u00e3o, elimina\u00e7\u00e3o ou c\u00f3pia n\u00e3o autorizada de dados<\/td>Crime de dano inform\u00e1tico e sabotagem inform\u00e1tica<\/td><\/tr>
    8<\/td>Notifica\u00e7\u00e3o imediata a propriet\u00e1rio, controlador de dados e CNCS; elimina\u00e7\u00e3o em 10 dias ap\u00f3s corre\u00e7\u00e3o<\/td>Perda total da isen\u00e7\u00e3o criminal<\/td><\/tr><\/tbody><\/table>\n\n\n\n

    Quais crimes da lei do cibercrime portuguesa ficam agora potencialmente isentos<\/h2>\n\n\n\n

    O texto do Artigo 8.\u00ba-A da lei do cibercrime de Portugal \u00e9 expl\u00edcito: a isen\u00e7\u00e3o abrange especificamente os crimes de acesso ileg\u00edtimo<\/strong> (Artigo 6.\u00ba da Lei n.\u00ba 109\/2009) e interce\u00e7\u00e3o ileg\u00edtima<\/strong> (Artigo 7.\u00ba da mesma lei). S\u00e3o os dois il\u00edcitos mais frequentemente invocados contra investigadores de seguran\u00e7a que detetam falhas sem autoriza\u00e7\u00e3o pr\u00e9via.<\/p>\n\n\n\n

    O acesso ileg\u00edtimo pune quem “aceder a sistema inform\u00e1tico ou tecnol\u00f3gico de informa\u00e7\u00e3o sem autoriza\u00e7\u00e3o ou excedendo a autoriza\u00e7\u00e3o que lhe foi concedida”. A interce\u00e7\u00e3o ileg\u00edtima pune quem “intercecione, sem autoriza\u00e7\u00e3o, transmiss\u00f5es de dados inform\u00e1ticos” destinadas a sistemas inform\u00e1ticos. Em conjunto, estes dois artigos cobriam a maior parte das atividades de teste de penetra\u00e7\u00e3o e investiga\u00e7\u00e3o de vulnerabilidades realizadas sem contrato formal.<\/p>\n\n\n\n

    Importa notar que crimes como sabotagem inform\u00e1tica (Artigo 4.\u00ba) e dano relativo a dados ou programas inform\u00e1ticos (Artigo 3.\u00ba) ficam fora da isen\u00e7\u00e3o. Isso significa que um investigador que, mesmo acidentalmente, cause danos a dados ou sistemas pode ainda enfrentar responsabilidade criminal. A isen\u00e7\u00e3o \u00e9 cir\u00fargica, n\u00e3o gen\u00e9rica, e exige que os investigadores calibrem as suas ferramentas e m\u00e9todos com precis\u00e3o.<\/p>\n\n\n\n

    O papel do CNCS na nova lei de cibercrime: notifica\u00e7\u00e3o obrigat\u00f3ria em tr\u00eas vias<\/h2>\n\n\n\n

    O Centro Nacional de Ciberseguran\u00e7a (CNCS)<\/strong> surge como ator central no novo regime. O investigador que descubra uma vulnerabilidade ao abrigo do Artigo 8.\u00ba-A tem de notific\u00e1-la ao CNCS de forma imediata, al\u00e9m de notificar o propriet\u00e1rio ou gestor do sistema e, quando aplic\u00e1vel, o respons\u00e1vel pelo tratamento de dados. Esta tripla obriga\u00e7\u00e3o de notifica\u00e7\u00e3o distingue o modelo portugu\u00eas de outros regimes internacionais onde o reporte ao regulador nacional \u00e9 opcional ou facultativo.<\/p>\n\n\n\n

    O CNCS funciona aqui como recetora oficial da divulga\u00e7\u00e3o respons\u00e1vel (coordinated vulnerability disclosure, CVD), o que aproxima Portugal do modelo que a pr\u00f3pria Diretiva NIS2 promove para as entidades essenciais e importantes. O mesmo Decreto-Lei n.\u00ba 125\/2025 que cria esta obriga\u00e7\u00e3o de notifica\u00e7\u00e3o ao CNCS tamb\u00e9m introduz, no contexto da NIS2, obriga\u00e7\u00f5es de notifica\u00e7\u00e3o de incidentes significativos com prazos muito apertados: aviso precoce ao CNCS\/CERT.PT em 24 horas ap\u00f3s verifica\u00e7\u00e3o, e relat\u00f3rio final em 30 dias \u00fateis ap\u00f3s o fim do impacto.<\/p>\n\n\n\n

    O investigador deve ainda manter os dados obtidos durante a investiga\u00e7\u00e3o em regime de confidencialidade, partilhando-os apenas com as partes notificadas, e elimin\u00e1-los no prazo m\u00e1ximo de 10 dias<\/strong> ap\u00f3s a corre\u00e7\u00e3o da vulnerabilidade. Este prazo de 10 dias \u00e9 um dos aspetos mais operacionais do novo regime, e exige que os investigadores tenham processos documentados de gest\u00e3o e elimina\u00e7\u00e3o de dados de investiga\u00e7\u00e3o. A lei n\u00e3o especifica o m\u00e9todo de elimina\u00e7\u00e3o, mas pr\u00e1ticas de elimina\u00e7\u00e3o segura (sobrescrita m\u00faltipla, destrui\u00e7\u00e3o de suporte f\u00edsico) s\u00e3o recomendadas para garantir conformidade com o RGPD.<\/p>\n\n\n\n

    Hacking \u00e9tico com autoriza\u00e7\u00e3o: a segunda prote\u00e7\u00e3o do Decreto-Lei 125\/2025<\/h2>\n\n\n\n

    O Decreto-Lei n.\u00ba 125\/2025 vai al\u00e9m da isen\u00e7\u00e3o para investiga\u00e7\u00e3o n\u00e3o autorizada. O Artigo 8.\u00ba-A tamb\u00e9m protege expressamente o hacking \u00e9tico realizado com autoriza\u00e7\u00e3o do propriet\u00e1rio ou gestor<\/strong> do sistema ou produto. Neste caso, as condi\u00e7\u00f5es s\u00e3o menos restritivas, mas a notifica\u00e7\u00e3o ao CNCS mant\u00e9m-se obrigat\u00f3ria.<\/p>\n\n\n\n

    A Cuatrecasas sintetizou esta segunda modalidade na sua an\u00e1lise de maio de 2026: “\u00f3rg\u00e3os de gest\u00e3o e de administra\u00e7\u00e3o podem autorizar testes de seguran\u00e7a intrusivos para identificar vulnerabilidades. Estas a\u00e7\u00f5es beneficiam de um enquadramento legal que isenta auditores e hackers \u00e9ticos de responsabilidade criminal, desde que satisfeitos os requisitos legais, refor\u00e7ando assim a demonstra\u00e7\u00e3o de dilig\u00eancia organizacional.”<\/p>\n\n\n\n

    Esta segunda via \u00e9 especialmente relevante para programas de bug bounty internos, pentests contratados e auditorias de seguran\u00e7a realizadas por terceiros a pedido das organiza\u00e7\u00f5es. Antes do decreto, mesmo contratos formais de pentest podiam deixar os testadores em zona cinzenta legal face \u00e0 lei do cibercrime portuguesa. Agora, existe uma base legal clara para estas atividades. Para entidades que operam no \u00e2mbito da NIS2 (setor financeiro, telecomunica\u00e7\u00f5es, infraestruturas cr\u00edticas), a possibilidade de autorizar formalmente estes testes e beneficiar de prote\u00e7\u00e3o legal adiciona uma camada de governa\u00e7\u00e3o de ciberseguran\u00e7a que a Diretiva incentiva explicitamente.<\/p>\n\n\n\n

    NIS2 e lei do cibercrime: como o Decreto-Lei 125\/2025 une dois objetivos num s\u00f3 diploma<\/h2>\n\n\n\n

    O Decreto-Lei n.\u00ba 125\/2025 tem um duplo prop\u00f3sito raramente visto numa \u00fanica pe\u00e7a legislativa. Por um lado, transp\u00f5e a Diretiva (UE) 2022\/2555<\/strong> (NIS2) para o direito portugu\u00eas, estabelecendo o Regime Jur\u00eddico da Ciberseguran\u00e7a (RJC) que obriga entidades essenciais e importantes a implementar medidas de gest\u00e3o de risco, a notificar incidentes significativos ao CNCS\/CERT.PT em prazos estritos, e a cumprir requisitos de governa\u00e7\u00e3o de ciberseguran\u00e7a a n\u00edvel de \u00f3rg\u00e3o de gest\u00e3o. As coimas por incumprimento chegam a \u20ac10 milh\u00f5es ou 2% do volume de neg\u00f3cios global<\/strong> para entidades essenciais.<\/p>\n\n\n\n

    Por outro lado, o mesmo diploma alterou a lei do cibercrime e adicionou o Artigo 8.\u00ba-A. Esta t\u00e9cnica legislativa, que combina a transposi\u00e7\u00e3o de diretiva europeia com uma reforma do direito penal interno, foi deliberada. A pr\u00f3pria Diretiva NIS2 incentiva os Estados-Membros a criarem pol\u00edticas de divulga\u00e7\u00e3o coordenada de vulnerabilidades (CVD), e a isen\u00e7\u00e3o criminal para investigadores de boa-f\u00e9 \u00e9 um complemento natural a esse objetivo. Daniel Cuthbert descreveu assim a import\u00e2ncia desta combina\u00e7\u00e3o: “A grande altera\u00e7\u00e3o \u00e9 a inclus\u00e3o e reconhecimento de atividades de preven\u00e7\u00e3o ao n\u00edvel da ciberseguran\u00e7a, conhecidas como white hacking ou ethical hacking, que protegem os profissionais desta \u00e1rea de atua\u00e7\u00e3o.”<\/p>\n\n\n\n

    O Artigo 7.\u00ba do Decreto-Lei n.\u00ba 125\/2025 \u00e9 o ve\u00edculo espec\u00edfico que altera a lei do cibercrime (Lei n.\u00ba 109\/2009) para introduzir o Artigo 8.\u00ba-A. Esta estrutura \u00e9 relevante porque confirma que a prote\u00e7\u00e3o dos investigadores de seguran\u00e7a foi uma adi\u00e7\u00e3o deliberada ao processo de transposi\u00e7\u00e3o da NIS2, e n\u00e3o uma medida aut\u00f3noma aprovada noutro contexto legislativo.<\/p>\n\n\n\n

    Compara\u00e7\u00e3o internacional: lei cibercrime Portugal vs Alemanha, Reino Unido e EUA<\/h2>\n\n\n\n

    Portugal n\u00e3o age no v\u00e1cuo. V\u00e1rios pa\u00edses desenvolvidos t\u00eam debatido e implementado prote\u00e7\u00f5es semelhantes para investigadores de seguran\u00e7a. A compara\u00e7\u00e3o revela que Portugal \u00e9, neste momento, um dos pa\u00edses com a prote\u00e7\u00e3o mais formalizada e operacionalmente detalhada da Europa.<\/p>\n\n\n\n

    Na Alemanha<\/strong>, o Minist\u00e9rio Federal da Justi\u00e7a anunciou em novembro de 2024 uma proposta de altera\u00e7\u00e3o ao \u00a7202a do C\u00f3digo Penal (Strafgesetzbuch) para criar uma isen\u00e7\u00e3o expl\u00edcita para investigadores de boa-f\u00e9. O ministro Marco Buschmann declarou publicamente: “Aqueles que trabalham para colmatar lacunas de seguran\u00e7a inform\u00e1tica merecem reconhecimento, n\u00e3o uma carta do procurador.” A proposta alem\u00e3 cobriria tamb\u00e9m os \u00a7202b (interce\u00e7\u00e3o de dados) e \u00a7303a (altera\u00e7\u00e3o de dados), e os investigadores teriam de reportar as vulnerabilidades ao operador do sistema e ao BSI (Federal Office for Information Security). No entanto, e ao contr\u00e1rio de Portugal, a reforma alem\u00e3 permanece em fase de proposta legislativa, sem projeto de lei formalmente apresentado no Bundestag.<\/p>\n\n\n\n

    No Reino Unido<\/strong>, o ministro de Seguran\u00e7a Dan Jarvis anunciou a inten\u00e7\u00e3o do governo de alterar o Computer Misuse Act (CMA) para adicionar uma defesa estatut\u00e1ria para investiga\u00e7\u00e3o de seguran\u00e7a de boa-f\u00e9. O novo regime “protegeria investigadores de seguran\u00e7a contra processos desde que cumpram certas salvaguardas”. A reforma brit\u00e2nica, ainda em consulta p\u00fablica em 2026, n\u00e3o tem data de entrada em vigor confirmada. A HackerOne publicou uma an\u00e1lise em dezembro de 2025, intitulada “A Safer Future for Security Research in Portugal and the UK”, que acompanha os progressos nos dois pa\u00edses e destaca o modelo portugu\u00eas como mais avan\u00e7ado do que o brit\u00e2nico neste momento.<\/p>\n\n\n\n

    Nos EUA<\/strong>, o Departamento de Justi\u00e7a (DOJ) anunciou em maio de 2022 uma pol\u00edtica de n\u00e3o acusa\u00e7\u00e3o de investigadores de boa-f\u00e9 ao abrigo do Computer Fraud and Abuse Act (CFAA). Ao contr\u00e1rio dos modelos europeus, trata-se de uma pol\u00edtica de discricionariedade processual, n\u00e3o de uma altera\u00e7\u00e3o legislativa. Um investigador americano continua tecnicamente exposto a responsabilidade criminal, dependendo da interpreta\u00e7\u00e3o judicial do CFAA, algo que a pol\u00edtica do DOJ n\u00e3o elimina por completo.<\/p>\n\n\n\n
    Pa\u00eds<\/th>Instrumento<\/th>Data<\/th>Tipo<\/th>Entidade de notifica\u00e7\u00e3o<\/th>Prazo elimina\u00e7\u00e3o dados<\/th><\/tr><\/thead>
    Portugal<\/td>Decreto-Lei 125\/2025, Artigo 8.\u00ba-A<\/td>Dez 2025 (em vigor)<\/td>Isen\u00e7\u00e3o criminal estatut\u00e1ria<\/td>CNCS + propriet\u00e1rio + controlador dados<\/td>10 dias ap\u00f3s corre\u00e7\u00e3o<\/td><\/tr>
    Alemanha<\/td>Proposta altera\u00e7\u00e3o \u00a7202a StGB<\/td>Nov 2024 (proposta)<\/td>Proposta legislativa, n\u00e3o aprovada<\/td>BSI + operador do sistema<\/td>N\u00e3o definido<\/td><\/tr>
    Reino Unido<\/td>Reforma Computer Misuse Act<\/td>2026 (em consulta)<\/td>Proposta de defesa estatut\u00f3ria<\/td>A definir<\/td>N\u00e3o definido<\/td><\/tr>
    EUA<\/td>Pol\u00edtica DOJ sobre CFAA<\/td>Mai 2022 (em vigor)<\/td>Pol\u00edtica de discricionariedade processual<\/td>Entidade afetada<\/td>N\u00e3o definido<\/td><\/tr>
    B\u00e9lgica<\/td>Framework CVD nacional<\/td>2023 (em vigor)<\/td>Isen\u00e7\u00e3o civil e penal limitada<\/td>CCB (Centre for Cybersecurity Belgium)<\/td>N\u00e3o definido<\/td><\/tr><\/tbody><\/table>\n\n\n\n

    O caso alem\u00e3o que demonstra por que estas prote\u00e7\u00f5es na lei cibercrime s\u00e3o urgentes<\/h2>\n\n\n\n

    A reforma portuguesa da lei do cibercrime torna-se mais compreens\u00edvel quando confrontada com casos reais de investigadores que, ao agirem de boa-f\u00e9, enfrentaram processos criminais. O caso mais citado na literatura acad\u00e9mica europeia \u00e9 o do consultor alem\u00e3o de TI que encontrou uma vulnerabilidade cr\u00edtica no software da Modern Solution<\/strong>, uma empresa de infraestruturas para lojas online alem\u00e3s.<\/p>\n\n\n\n

    O consultor descobriu que a falha permitia aceder aos dados pessoais de quase 700.000 utilizadores<\/strong>. Reportou a vulnerabilidade de forma respons\u00e1vel \u00e0 empresa, que a corrigiu. Quando o investigador publicou os detalhes t\u00e9cnicos da falha no seu blog profissional, a Modern Solution apresentou queixa-crime. O resultado foi uma busca policial \u00e0 resid\u00eancia do investigador e apreens\u00e3o de equipamento inform\u00e1tico. Em 2024, o Tribunal Regional de Aachen confirmou a condena\u00e7\u00e3o ao abrigo do \u00a7202a do C\u00f3digo Penal alem\u00e3o, mesmo tratando-se de divulga\u00e7\u00e3o respons\u00e1vel e sem qualquer ganho indevido.<\/p>\n\n\n\n

    Este caso, analisado numa publica\u00e7\u00e3o cient\u00edfica da Oxford University Press em janeiro de 2026, \u00e9 frequentemente citado como ilustra\u00e7\u00e3o do paradoxo que as novas leis pretendem resolver: um investigador que contribuiu para a seguran\u00e7a de dados de centenas de milhares de pessoas foi tratado como criminoso. A aus\u00eancia de uma prote\u00e7\u00e3o legal clara, mesmo para quem reporta responsavelmente, cria um desincentivo estrutural \u00e0 investiga\u00e7\u00e3o de vulnerabilidades. Em Portugal, com o Artigo 8.\u00ba-A da lei do cibercrime, a conduta deste investigador teria provavelmente sido classificada como n\u00e3o pun\u00edvel, desde que tivesse respeitado o prazo de 10 dias para elimina\u00e7\u00e3o de dados e notificado o CNCS antes de publicar no blog.<\/p>\n\n\n\n

    A Infosecurity Magazine destacou o contraste na sua cobertura de dezembro de 2025<\/a>: enquanto a Alemanha ainda debatia uma proposta legislativa, Portugal j\u00e1 tinha publicado no Di\u00e1rio da Rep\u00fablica a prote\u00e7\u00e3o formal. A reforma portuguesa foi descrita como “um passo significativo \u00e0 frente” num setor onde a maioria dos pa\u00edses europeus ainda opera em zona cinzenta legal para investigadores de seguran\u00e7a independentes.<\/p>\n\n\n\n

    Rea\u00e7\u00f5es da comunidade de ciberseguran\u00e7a \u00e0 atualiza\u00e7\u00e3o da lei cibercrime de Portugal<\/h2>\n\n\n\n

    A reforma da lei do cibercrime em Portugal foi coberta pela BleepingComputer<\/a> e recebida com entusiasmo pela comunidade internacional de seguran\u00e7a. Daniel Cuthbert<\/strong>, investigador de seguran\u00e7a e membro do conselho da OWASP, foi o primeiro a identificar publicamente a altera\u00e7\u00e3o ap\u00f3s a publica\u00e7\u00e3o no Di\u00e1rio da Rep\u00fablica. Na sua publica\u00e7\u00e3o no LinkedIn, Cuthbert escreveu: “Pela primeira vez, investiga\u00e7\u00e3o de seguran\u00e7a realizada no interesse p\u00fablico pode ficar isenta de puni\u00e7\u00e3o quando de outra forma configuraria acesso ileg\u00edtimo ou interce\u00e7\u00e3o ileg\u00edtima.” Acrescentou ainda: “A grande altera\u00e7\u00e3o \u00e9 a inclus\u00e3o e reconhecimento de atividades de preven\u00e7\u00e3o ao n\u00edvel da ciberseguran\u00e7a, conhecidas como white hacking ou ethical hacking, que protegem os profissionais desta \u00e1rea de atua\u00e7\u00e3o.”<\/p>\n\n\n\n

    A HackerOne<\/strong><\/a>, plataforma l\u00edder de bug bounty com mais de 580.000 vulnerabilidades validadas<\/strong> e 81 milh\u00f5es de d\u00f3lares em recompensas pagas em 2025<\/strong>, publicou uma an\u00e1lise espec\u00edfica sobre Portugal e o Reino Unido intitulada “A Safer Future for Security Research”. A empresa sintetizou as tr\u00eas condi\u00e7\u00f5es-chave para os investigadores ao abrigo do regime portugu\u00eas: vulnerabilidades reportadas de imediato \u00e0s partes relevantes; a\u00e7\u00f5es n\u00e3o disruptivas que n\u00e3o causem dano nem alterem ou eliminem dados; e quaisquer dados obtidos mantidos confidenciais e eliminados 10 dias ap\u00f3s a remedia\u00e7\u00e3o. A HackerOne destacou ainda que, com esta prote\u00e7\u00e3o, Portugal cria um ambiente mais prop\u00edcio ao crescimento de programas de divulga\u00e7\u00e3o respons\u00e1vel de vulnerabilidades por parte de entidades p\u00fablicas e privadas.<\/p>\n\n\n\n

    A plataforma europeia de bug bounty Yes We Hack<\/strong> divulgou a reforma portuguesa nas suas redes, enquadrando-a como parte de uma tend\u00eancia europeia de legitima\u00e7\u00e3o do hacking \u00e9tico que segue os passos dos EUA (2022) e da Alemanha (proposta 2024). A rea\u00e7\u00e3o geral da comunidade de seguran\u00e7a foi de aprova\u00e7\u00e3o, com nuances sobre a exig\u00eancia cumulativa dos oito requisitos, que alguns investigadores consideraram demasiado restritiva para a realidade pr\u00e1tica da investiga\u00e7\u00e3o de vulnerabilidades.<\/p>\n\n\n\n

    Impacto no mercado de bug bounty e na ciberseguran\u00e7a portuguesa<\/h2>\n\n\n\n

    A reforma da lei do cibercrime em Portugal chega num momento em que o mercado global de bug bounty cresce a ritmo acelerado. Segundo o relat\u00f3rio anual da HackerOne de 2025, as plataformas de bug bounty geraram 3 mil milh\u00f5es de d\u00f3lares em perdas evitadas<\/strong> estimadas nas empresas participantes, um retorno de seguran\u00e7a 15 vezes superior ao investimento. As vulnerabilidades de intelig\u00eancia artificial cresceram 210%<\/strong>, com prompt injection a subir 540%<\/strong>, confirmando a intelig\u00eancia artificial como a superf\u00edcie de ataque de crescimento mais r\u00e1pido. O n\u00famero de programas de bug bounty empresariais ativos na plataforma atingiu quase 2.000<\/strong>.<\/p>\n\n\n\n

    Para Portugal, a isen\u00e7\u00e3o criminal do Artigo 8.\u00ba-A remove a principal barreira ao crescimento dos programas de bug bounty e divulga\u00e7\u00e3o coordenada de vulnerabilidades (CVD). Anteriormente, um investigador portugu\u00eas que descobrisse uma falha num sistema de uma empresa nacional sem contrato formal enfrentava risco penal real. Agora, desde que respeite os oito requisitos cumulativos, pode reportar sem receio de processos por acesso ileg\u00edtimo ou interce\u00e7\u00e3o ileg\u00edtima.<\/p>\n\n\n\n

    O setor financeiro, as telecomunica\u00e7\u00f5es e as infraestruturas cr\u00edticas, todos classificados como entidades essenciais ao abrigo da NIS2 transposta pelo mesmo Decreto-Lei n.\u00ba 125\/2025, s\u00e3o os que mais beneficiam. Estas entidades j\u00e1 s\u00e3o obrigadas a implementar pol\u00edticas de gest\u00e3o de vulnerabilidades, e com a prote\u00e7\u00e3o legal agora existente, podem formalizar programas de divulga\u00e7\u00e3o respons\u00e1vel sem expor os investigadores que participam a riscos legais desproporcionais.<\/p>\n\n\n\n

    A BSides Porto 2026, confer\u00eancia de ciberseguran\u00e7a com cerca de 800 participantes esperados<\/strong> nos dias 26 e 27 de junho de 2026, \u00e9 um indicador do crescimento da comunidade de seguran\u00e7a em Portugal. O evento, com bilhetes a partir de 12 euros, reflete um ecossistema local que ganha peso e que a nova lei do cibercrime pretende formalizar e proteger. A confer\u00eancia inclui workshops pr\u00e1ticos de seguran\u00e7a e trilhas de investiga\u00e7\u00e3o, \u00e1reas diretamente abrangidas pelo novo regime de prote\u00e7\u00e3o.<\/p>\n\n\n\n

    O que os investigadores precisam de saber para operar ao abrigo do Artigo 8.\u00ba-A<\/h2>\n\n\n\n

    A isen\u00e7\u00e3o do Artigo 8.\u00ba-A da lei do cibercrime de Portugal n\u00e3o \u00e9 autom\u00e1tica. Exige que os investigadores adotem pr\u00e1ticas operacionais espec\u00edficas para documentar o cumprimento de cada um dos oito requisitos. Estas s\u00e3o as pr\u00e1ticas recomendadas para quem pretende beneficiar da prote\u00e7\u00e3o legal:<\/p>\n\n\n\n

    Documentar a inten\u00e7\u00e3o antes de come\u00e7ar.<\/strong> O investigador deve registar, por escrito, o objetivo da investiga\u00e7\u00e3o e os sistemas-alvo antes de iniciar qualquer teste. Esta documenta\u00e7\u00e3o pr\u00e9via \u00e9 a prova mais direta de que a inten\u00e7\u00e3o era exclusivamente identificar vulnerabilidades n\u00e3o criadas pelo pr\u00f3prio investigador.<\/p>\n\n\n\n

    Usar ferramentas de baixo impacto.<\/strong> Ferramentas que possam causar nega\u00e7\u00e3o de servi\u00e7o, mesmo por acidente, est\u00e3o fora dos limites definidos pelo artigo. Um scanner de portas passivo e an\u00e1lise manual s\u00e3o prefer\u00edveis a ferramentas de fuzzing agressivo que possam perturbar servi\u00e7os, mesmo que a perturba\u00e7\u00e3o seja breve e tempor\u00e1ria.<\/p>\n\n\n\n

    Preparar um template de notifica\u00e7\u00e3o.<\/strong> A lei exige notifica\u00e7\u00e3o imediata ao propriet\u00e1rio do sistema, ao controlador de dados quando aplic\u00e1vel, e ao CNCS. Ter um template padronizado acelera este processo e documenta o cumprimento do requisito de notifica\u00e7\u00e3o imediata. O CNCS disponibiliza canais de contacto espec\u00edficos para este tipo de divulga\u00e7\u00e3o respons\u00e1vel.<\/p>\n\n\n\n

    Implementar um processo de elimina\u00e7\u00e3o de dados em 10 dias.<\/strong> Qualquer dado recolhido durante a investiga\u00e7\u00e3o deve ser eliminado em 10 dias ap\u00f3s a corre\u00e7\u00e3o da vulnerabilidade. Os investigadores devem manter um registo das datas de notifica\u00e7\u00e3o, de corre\u00e7\u00e3o comunicada pelo propriet\u00e1rio, e de elimina\u00e7\u00e3o de dados, para provar o cumprimento se forem questionados.<\/p>\n\n\n\n

    Ser cauteloso com remunera\u00e7\u00e3o de terceiros.<\/strong> Receber pagamentos de entidades que n\u00e3o sejam o propriet\u00e1rio do sistema ou o empregador direto pode configurar “vantagem econ\u00f3mica al\u00e9m da remunera\u00e7\u00e3o profissional normal” e retirar a prote\u00e7\u00e3o legal. Os programas de bug bounty pagos por plataformas externas t\u00eam uma rela\u00e7\u00e3o amb\u00edgua com este requisito, e recomendam-se a formaliza\u00e7\u00e3o contratual e, em caso de d\u00favida, aconselhamento jur\u00eddico especializado.<\/p>\n\n\n\n

    5 previs\u00f5es sobre a lei cibercrime de Portugal e o mercado de seguran\u00e7a em 2026<\/h2>\n\n\n\n

    Com base nas tend\u00eancias regulat\u00f3rias europeias e no impacto observado em pa\u00edses que j\u00e1 implementaram prote\u00e7\u00f5es semelhantes, estas s\u00e3o as cinco previs\u00f5es mais prov\u00e1veis para Portugal nos pr\u00f3ximos 12 meses:<\/p>\n\n\n\n

    1. Cria\u00e7\u00e3o de um programa nacional de CVD gerido pelo CNCS.<\/strong> O CNCS, agora com papel formal na rece\u00e7\u00e3o de reportes de vulnerabilidades ao abrigo do Artigo 8.\u00ba-A, tem todos os incentivos para lan\u00e7ar uma plataforma centralizada de divulga\u00e7\u00e3o coordenada de vulnerabilidades para entidades p\u00fablicas portuguesas. A B\u00e9lgica f\u00ea-lo com o Centre for Cybersecurity Belgium e registou um aumento significativo no volume de vulnerabilidades reportadas no setor p\u00fablico.<\/p>\n\n\n\n

    2. Primeiros programas de bug bounty de entidades p\u00fablicas portuguesas.<\/strong> A combina\u00e7\u00e3o da NIS2, que exige gest\u00e3o ativa de vulnerabilidades, com a prote\u00e7\u00e3o legal do Artigo 8.\u00ba-A cria as condi\u00e7\u00f5es para que munic\u00edpios, hospitais e infraestruturas cr\u00edticas lan\u00e7em programas formais de bug bounty. \u00c9 prov\u00e1vel que pelo menos uma entidade p\u00fablica portuguesa lance um programa piloto antes do final de 2026.<\/p>\n\n\n\n

    3. Primeiro teste judicial ao Artigo 8.\u00ba-A.<\/strong> A lei nova ainda n\u00e3o foi testada nos tribunais portugueses. Em 2026, \u00e9 previs\u00edvel que surja o primeiro caso em que um investigador invoque o Artigo 8.\u00ba-A como defesa. A decis\u00e3o estabelecer\u00e1 precedente sobre como os tribunais interpretam os oito requisitos cumulativos, em especial o crit\u00e9rio de “proporcionalidade” e o de “aus\u00eancia de perturba\u00e7\u00e3o”.<\/p>\n\n\n\n

    4. Press\u00e3o sobre Espanha, It\u00e1lia e Gr\u00e9cia para reformas semelhantes.<\/strong> Portugal junta-se \u00e0 B\u00e9lgica como refer\u00eancia europeia de boas pr\u00e1ticas em prote\u00e7\u00e3o de investigadores de seguran\u00e7a. Ao avaliar as transposi\u00e7\u00f5es nacionais da NIS2, a Comiss\u00e3o Europeia pode recomendar especificamente que pa\u00edses do sul da Europa que ainda n\u00e3o t\u00eam prote\u00e7\u00f5es equivalentes as adotem.<\/p>\n\n\n\n

    5. Crescimento do ecossistema de ciberseguran\u00e7a em Portugal.<\/strong> A prote\u00e7\u00e3o legal reduz o risco percebido pelos investigadores independentes. Em mercados onde reformas equivalentes foram implementadas, observou-se um aumento no n\u00famero de vulnerabilidades reportadas de forma respons\u00e1vel. Para Portugal, isso traduz-se em mais talento local de ciberseguran\u00e7a a trabalhar de forma formalizada, e em mais organiza\u00e7\u00f5es dispostas a criar programas internos de divulga\u00e7\u00e3o de vulnerabilidades.<\/p>\n\n\n\n

    Perguntas frequentes sobre a lei do cibercrime e hacking \u00e9tico em Portugal<\/h2>\n\n\n\n

    O que \u00e9 o Decreto-Lei n.\u00ba 125\/2025 e o que muda na pr\u00e1tica?<\/h3>\n\n\n\n

    O Decreto-Lei n.\u00ba 125\/2025, publicado no Di\u00e1rio da Rep\u00fablica em 4 de dezembro de 2025, alterou a Lei n.\u00ba 109\/2009 (Lei do Cibercrime) e transp\u00f4s a Diretiva NIS2. Na pr\u00e1tica, introduz o Artigo 8.\u00ba-A, que isenta investigadores de seguran\u00e7a de puni\u00e7\u00e3o pelos crimes de acesso ileg\u00edtimo e interce\u00e7\u00e3o ileg\u00edtima, desde que cumpram oito requisitos cumulativos, incluindo notifica\u00e7\u00e3o ao CNCS e elimina\u00e7\u00e3o de dados em 10 dias ap\u00f3s a corre\u00e7\u00e3o da vulnerabilidade.<\/p>\n\n\n\n

    Um investigador pode testar qualquer sistema inform\u00e1tico sem autoriza\u00e7\u00e3o?<\/h3>\n\n\n\n

    N\u00e3o. O Artigo 8.\u00ba-A n\u00e3o \u00e9 uma autoriza\u00e7\u00e3o geral para testar qualquer sistema. A isen\u00e7\u00e3o \u00e9 muito restrita: exige inten\u00e7\u00e3o exclusiva de identificar vulnerabilidades, proibi\u00e7\u00e3o de t\u00e9cnicas disruptivas como DoS e phishing, notifica\u00e7\u00e3o imediata ao propriet\u00e1rio e ao CNCS, e elimina\u00e7\u00e3o dos dados em 10 dias. Testes agressivos que causem perturba\u00e7\u00e3o continuam a ser crimes, mesmo com boa-f\u00e9 declarada.<\/p>\n\n\n\n

    Os programas de bug bounty pagos por plataformas externas est\u00e3o protegidos?<\/h3>\n\n\n\n

    Depende da estrutura. O requisito de “aus\u00eancia de vantagem econ\u00f3mica al\u00e9m da remunera\u00e7\u00e3o profissional normal” \u00e9 amb\u00edguo para bug bounties pagos por plataformas de terceiros. Investigadores profissionais que recebem recompensas como parte de uma atividade profissional reconhecida est\u00e3o provavelmente protegidos, mas a formaliza\u00e7\u00e3o por contrato de presta\u00e7\u00e3o de servi\u00e7os \u00e9 recomendada para maximizar a prote\u00e7\u00e3o legal.<\/p>\n\n\n\n

    O que acontece se o investigador n\u00e3o notificar o CNCS?<\/h3>\n\n\n\n

    A notifica\u00e7\u00e3o ao CNCS \u00e9 um dos oito requisitos cumulativos. Se o investigador omitir esta notifica\u00e7\u00e3o, perde automaticamente a prote\u00e7\u00e3o do Artigo 8.\u00ba-A e pode ser responsabilizado pelos crimes de acesso ileg\u00edtimo e interce\u00e7\u00e3o ileg\u00edtima ao abrigo da Lei n.\u00ba 109\/2009.<\/p>\n\n\n\n

    Portugal \u00e9 o \u00fanico pa\u00eds da UE com esta prote\u00e7\u00e3o expl\u00edcita na lei do cibercrime?<\/h3>\n\n\n\n

    N\u00e3o. A B\u00e9lgica criou um regime de CVD com prote\u00e7\u00e3o legal em 2023. Contudo, Portugal destaca-se por ter uma isen\u00e7\u00e3o criminal expl\u00edcita integrada diretamente na lei do cibercrime, com requisitos operacionais detalhados como o prazo de 10 dias para elimina\u00e7\u00e3o de dados. A Alemanha e o Reino Unido ainda est\u00e3o em fase de proposta ou consulta.<\/p>\n\n\n\n

    A publica\u00e7\u00e3o de detalhes t\u00e9cnicos de uma vulnerabilidade \u00e9 permitida?<\/h3>\n\n\n\n

    O Artigo 8.\u00ba-A exige sigilo dos dados obtidos durante a investiga\u00e7\u00e3o at\u00e9 10 dias ap\u00f3s a corre\u00e7\u00e3o da vulnerabilidade. A publica\u00e7\u00e3o de detalhes t\u00e9cnicos antes da corre\u00e7\u00e3o, ou de dados de utilizadores, viola o requisito de confidencialidade. Ap\u00f3s a corre\u00e7\u00e3o e cumprido o prazo de 10 dias, a publica\u00e7\u00e3o de informa\u00e7\u00e3o t\u00e9cnica que n\u00e3o inclua dados pessoais est\u00e1 fora do \u00e2mbito dos crimes cobertos pelo artigo.<\/p>\n\n\n\n

    Qual \u00e9 o papel do CNCS neste regime?<\/h3>\n\n\n\n

    O CNCS (Centro Nacional de Ciberseguran\u00e7a) \u00e9 um dos destinat\u00e1rios obrigat\u00f3rios do reporte de vulnerabilidades ao abrigo do Artigo 8.\u00ba-A. Funciona como autoridade nacional de ciberseguran\u00e7a e recetora oficial da divulga\u00e7\u00e3o respons\u00e1vel, num modelo equivalente ao do Centre for Cybersecurity Belgium (CCB) no regime belga de CVD. A notifica\u00e7\u00e3o ao CNCS \u00e9 um dos oito requisitos cumulativos para acesso \u00e0 isen\u00e7\u00e3o criminal.<\/p>\n\n\n\n

    Cobertura relacionada<\/h2>\n\n\n\n

    Leitura recomendada em ciberseguran\u00e7a<\/h3>\n\n\n\n