O novo regime jurídico para a cibersegurança está em vias de entrar em vigor, depois de ter sido aprovada, na Assembleia da República, a autorização para o governo poder legislar sobre esta matéria , uma vez que implica alterações de leis que teriam de passar pelo parlamento: a de Segurança Interna (criação de um gabinete de crise); a de Comunicações Eletrónicas e a do Cibercrime, que será alterada para despenalizar o crime de acesso ilegítimo e de interceção quando se tratar dos chamados “hackers éticos” ou “caçadores de vulnerabilidades” nos sistemas informáticos das diversas entidades.Por outro lado, pela primeira vez, é dada força de lei ao âmbito da recomendação que em 2023 afastou a tecnológica chinesa Huawei das redes 5G em território nacional, podendo o Governo passar a banir todos os investidores e fornecedores estrangeiros que ofereçam risco elevado de cibersegurança em áreas estratégicas da economia portuguesa ou que coloquem em causa a integridade do sistema democrático..A verdade é que este novo regime traz grandes desafios para a investigação criminal, na aplicação da lei, em geral, mas também para as empresas - não só o número de setores abrangidos pelo novo regime praticamente duplicou, passando para 18, como está prevista a responsabilização dos titulares dos órgãos de gestão, direção e administração, que podem ter de responder por ação ou omissão, com dolo ou culpa grave.Tudo isto num momento em que os ciberataques estão em crescendo. Segundo o último relatório do Centro Nacional de Cibersegurança o ano de 2024 ficou marcado por uma escalada significativa de incidentes de cibersegurança em Portugal: um total de 2758 ataques, mais 36% do que em 2023, o que traduz uma pressão crescente sobre empresas, organismos públicos e cidadãos..Neste episódio do Podcast Soberania, uma parceria do Diário de Notícias com a SEDES e com o Observatório de Segurança, Criminalidade Organizada e Terrorismo (OSCOT), tivermos como convidados o diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) da PJ, Carlos Cabreiro; o bastonário da Ordem dos Advogados, João Massano; e em representação da Confederação Empresarial de Portugal (CIP), o presidente do Conselho Estratégico para a Economia Digital da CIP , Alexandre Fonseca.Mais incentivos aos cumpridoresPela SEDES, que foi autora de um exaustivo contributo durante a consulta pública para este diploma, João Annes, um dos participantes residentes, tal como o presidente do OSCOT, Francisco Rodrigues, destacou algumas preocupações que ainda subsistem. Uma é o “impacto económico” nas organizações. “Não vemos ainda mecanismos nesta legislação que permitam incentivar aqueles que cumprem melhor. Só vemos sobretudo o sancionar aqueles que não cumprem ou que pretendem cumprir e falham nesse cumprimento. Do nosso ponto de vista, a legislação precisava de ser equilibrada com outras medidas de caráter económico”, sublinhou. .Realçou também “incertezas jurídicas” como a execução prática do artigo que responsabiliza os órgãos de gestão” por falhas no cumprimento das normas de cibersegurança, mas também em relação à despenalização da atividade dos designados “caçadores de vulnerabilidades”. Interroga-se se, “um hacker ético que, no decurso das suas investigações, explora uma vulnerabilidade no sistema de um operador de um serviço essencial do Estado português - que opera serviços que, se falharem, provocam estragos com efeitos em cadeia para toda a sociedade” - provocando a sua disrupção, será considerado “acidental ou um crime”. “E se for um acidente, quem é que paga?”.. A terceira preocupação da SEDES, destacada aqui por João Annes, tem a ver com a cadeia de fornecimento. “Cada vez mais as organizações procuram proteger-se dentro do perímetro daquilo que conseguem controlar. Mas cada vez mais os modelos de negócio dependem de processos que estão completamente terceirizados” o que faz com que deixe de haver “controlo absoluto” na prevenção de riscos sobre a operação.PJ defende um registo nacional de “hackers éticos”Carlos Cabreiro ajudou a clarificar alguns pontos, relacionados com a sua área de ação. Quanto aos “hackers éticos”, o diretor da UNC3T “ assinala que, apesar da despenalização, estes ficam, no novo regime, com uma “atuação bastante limitada”. . Para estar abrangido, o “hacker” terá de preencher os seguintes requisitos: - Atuar com a intenção única de identificar a existência de vulnerabilidades em sistema de informação, produtos e serviços de tecnologias de informação e comunicação (…) com propósito de, através da sua divulgação, contribuir para a segurança do ciberespaço; - Não atuar com o propósito de obter vantagem económica ou promessa de vantagem económica; comunicar, imediatamente após a sua ação, as eventuais vulnerabilidades identificadas; - A sua atuação ser proporcional aos seus propósitos (…) não provocando perturbação ou interrupção do funcionamento do sistema ou serviço em causa, a eliminação ou deterioração de dados informáticos ou a sua cópia não autorizada, qualquer efeito prejudicial, danoso ou nocivo sobre a pessoa ou entidade afetada, direta ou indiretamente, ou sobre quaisquer terceiros, excluindo os efeitos correspondentes ao próprio acesso ilegítimo ou interceção ilegítima (…) e ainda os que resultariam já, com elevada probabilidade, da própria vulnerabilidade detetada ou da sua exploração. Cabreiro lembra que, atualmente, era em tribunal que era escrutinada a atuação, no sentido de saber qual tinha sido a intenção. “O que podemos ter é pessoas que, no âmbito da investigação que fazemos, assumem ou não assumem uma atividade de colaboração. Porque o instituto da exclusão da ilicitude pode já favorecer quem atua neste âmbito. Com o novo regime, essa avaliação será feita logo de início, antes de se prosseguir a investigação. Mas terá de haver também aqui uma intervenção da das autoridades judiciárias”, frisou. . O diretor da UNC3T defende, para o efeito, que seja criado um registo nacional de “caçadores de vulnerabilidades”, tal como já tinha proposto na Grande Conferência do Diário de Notícias sobre o novo regime jurídico para a cibersegurança, realizada em dezembro de 2024. “Quero aqui reforçar a necessidade que este tipo de actuação e autores possam ter num mercado regulado, não participando ou estando dentro de empresas que podem fornecer este tipo de serviços, que pode invocar a qualquer tempo que estava a praticar atos a favor da cibersegurança”.Incentivo à criminalidade?A despenalização prevista para os “caçadores de vulnerabilidades”, que o novo regime prevê , é fortemente criticada pelo bastonário da Ordem dos Advogados, João Massano. “Se eu contratar uma pessoa para verificar a vulnerabilidade da sua casa e essa pessoa conseguir entrar em sua casa, o que é que acha? Como é que se sentiria?”, questionou o painel. .“Nós queremos que entrem desta forma em nossa casa? Porque é a própria lei que diz ‘vão verificar a vulnerabilidade, podem tentar ver o que é que acontece e depois vamos ver se essa pessoa esteve ou não éticamente bem comportada. Isto é um risco. Estamos a incentivar pessoas a cometer crimes. Isto é um incentivo à criminalidade. É a própria lei que diz que vais fazer algo que até é um crime, mas como quero saber se há uma vulnerabilidade nos sistemas de segurança e informação, seja do que for, do país em geral, qualquer pessoa vai sentir-se legitimada para andar a fazer testes e a brincar aos hackers”, alerta João Massano.. No entender do bastonário, esta nova regra tem “um nome: Rui Pinto” - criador do Football Leaks, que responde em julgamento por um total de 241 crimes - 201 de acesso ilegítimo qualificado, 22 de violação de correspondência agravados e 18 de dano informático - e “serve para proteger futuros Rui Pinto”. João Massano defende que, “independentemente de se vir a verifica um valor ético, porque não se deixa os tribunais decidirem, como até aqui?”, lembrando que “a lei tem formas de, se se vier a verificar que há uma valoração positiva na conduta, ou diminuir a pena, ou até dizer que não há sequer pena efetiva de prisão”. “Porque é que vamos dar um incentivo claro a qualquer miúdo que tenha capacidade na área, podendo entrar em qualquer sistema de segurança? Não vejo a necessidade disto”, assinala.Neste ponto, Alexandre Fonseca recordou que os referidos “hackers éticos” não é “algo de novo”, pois “existe há décadas e, de alguma forma, regulado na perspetiva em que existem empresas credíveis, reconhecidas com âmbito internacional, que têm um serviço específico que as empresas contratam e, muitas vezes, os órgãos de gestão, nomeadamente as pessoas responsáveis pela segurança e pela cibersegurança dentro da organização, nem sequer divulgam dentro da própria organização, para tirarem o máximo partido possível desse serviço”.Responsabilizar altos dirigentesQuestionado sobre se a responsabilização dos altos dirigentes das empresas por infrações a este novo regime, poderia atingir uma dimensão criminal, Carlos Cabreiro assumiu que, mesmo tratando-se de “sanções de natureza contraordenacional, porque são as únicas que estão previstas neste regime, não devemos afastar a possibilidade de em determinados atos praticados por um gestor ou por um administrador, poderemos ser remetidos para uma avaliação de factos que constituem o crime de gestão danosa”. No seu entender, “a atuação negligente e dolosa sobre um aspeto particular, uma obrigação, que tenha neste momento uma exigência rigorosa e bem vincada neste regime, poderá ser objeto de avaliação de um crime, que nos remete para o regime geral”.Sobre este tema, Alexandre Fonseca sublinhou que, sendo “a responsabilização dos órgãos de gestão um conceito que faz todo o sentido num tema tão estratégico” é preciso que “haja uma consciencialização e uma literacia por parte desse órgão de gestão. Na minha opinião, isso compete a um conjunto de entidades, mas especialmente ao Estado garantir essa literacia”. Isto porque “o tema da cibersegurança e o da segurança, de forma genérica, passa a fazer parte da agenda de governo e de gestão da organização”. . E reforça: “Se o responsável de segurança chegasse a uma organização e dissesse eu quero gastar 100 mil euros a fazer um testes de ethical hacking, provavelmente iria para o fim da fila dos projetos, porque haveria a estratégia comercial, de marketing, de otimização de custos, etc., e lá no fim, ficaria o ethical hacking.A partir do momento em que existe esta responsabilização dos órgãos de gestão, a lógica da segurança passar a fazer parte da estratégia e da organização”.Alexandre Fonseca advoga que a segurança passe a fazer parte da estratégia de uma organização “desde a sua raiz”, tal como “a área financeira, o marketing, ou a área comercial” para que os gestores estejam preocupados “em garantir” que a sua organização “está protegida”. O conselheiro da CIP sublinha que não deve haver apenas uma lógica de mudar “porque a lei obriga”, mas porque “hoje vivemos num mundo cada vez mais global e as empresas que cumprem este tipo de normativos e que têm este tipo de preocupações, têm maior valorização bolsista, são empresas que são mais bem reconhecidas por parte dos seus clientes, ganham a confiança dos seus clientes”. PPortanto, acrescenta, “estas preocupações têm de ser, de uma vez por todas, retiradas do foro do tem que ser, porque a lei obriga e é uma chatice”.O antigo CEO da Altice revelou que a CIP “vai apresentar um conjunto de propostas, em sede do Orçamento do Estado, na área das competências e literacia na economia digital”. Questionado sobre se os empresários têm partilhado com a CIP apreensões sobre a aplicação do novo regime, confirmou que estes têm várias dúvidas, sendo a principal preocupação a do conhecimento exato da nova lei. “Quando sabemos que mais 99% do tecido empresarial português é constituído por pequenas, micro e nano empresas, estas temáticas, quando ainda para mais tomam forma de lei, são altamente preocupantes. Não podemos querer que pequenos empresários que criaram com muito mérito e esforço as suas empresas e que estão a crescer, mas que são ainda pequenas e médias empresas, tenham a capacidade, sozinhos, de ter este conhecimento todo. Portanto é necessário transmitir-lhes estes conhecimentos”.Propõe “um plano em que o Gabinete Nacional de Segurança, e outras entidades que estão envolvidas nesta temática, sejam capazes de, proativamente, transmitir e clarificar as dúvidas destes pequenos e médios empresários”..Inconstitucionalidade à vista?No parecer que entregou à Assembleia da República, a Ordem dos Advogados questionou a constitucionalidade do artigo 18º do novo regime, sobre o poder atribuído à nova Comissão de Avaliação de Segurança do Ciberespaço, de realizar “avaliações de segurança de equipamentos, componentes ou serviços de tecnologias de informação e comunicação, utilizados em redes e sistemas de informação públicos ou privados, de fabricantes ou fornecedores que possam ser considerados de elevado risco para a segurança do ciberespaço de interesse nacional, designadamente nos contextos da segurança interna e externa, da defesa nacional, da integridade do processo democrático e de outras funções de soberania, e ainda da operação de infraestruturas críticas e da prestação de serviços essenciais”. Entre outras competências terá a de impor restrições provisórias, cessar a utilização ou excluir equipamentos, componentes ou serviços de Tecnologias da Informação e Comunicação (TIC) de fornecedores de elevado risco.Esta Comissão de Avaliação é constituída pelo diretor-geral do Gabinete Nacional de Segurança, que preside; pelo coordenador do Centro Nacional de Cibersegurança; pelo embaixador para a ciberdiplomacia; e representantes da ANACOM, do Sistema de Segurança Interna; do Sistema de Informações da República Portuguesa; da Polícia Judiciária; do Serviço de Informações de Segurança, do Serviço de Informações Estratégicas de Defesa; o Comando de Operações de Ciberdefesa; da Direção-Geral de Política Externa; da Direção-Geral da Política de Defesa Nacional; e da Autoridade da Concorrência.. Segundo a proposta de lei, “a avaliação de segurança deve ser devidamente fundamentada, tendo em conta os riscos técnicos dos equipamentos, componentes ou serviços, o seu contexto de utilização ou e a exposição dos seus fabricantes ou fornecedores à influência indevida de países estrangeiros, para tal considerando, designadamente, informação relevante emitida pelas entidades competentes nacionais e da União Europeia (UE) ou constante das avaliações nacionais ou europeias de risco para a segurança das redes e sistemas de informação, bem como outros riscos securitários relevantes”. Para avaliar o nível de exposição dos fabricantes ou fornecedores à influência indevida de um país estrangeiro, podem ser considerados os seguintes elementos: - Estarem sujeitos, direta ou indiretamente, à interferência do governo ou administração de um país estrangeiro; - Estarem domiciliado em, ou de qualquer forma relevantemente vinculado a países reconhecidos por Portugal, pela UE, pela Organização para a Cooperação e Desenvolvimento Económico (OCDE) ou pela NATO, como responsáveis ou envolvidos em ações hostis à segurança interna e defesa nacional de Portugal ou dos seus aliados, designadamente atos de espionagem ou de sabotagem; - Estarem domiciliados em, ou de qualquer forma relevantemente vinculado a países que não dispõem de legislação ou acordos diplomáticos com Portugal ou com a UE em matéria de proteção de dados, de cibersegurança e de proteção de propriedade intelectual; - Estarem associados a práticas de introdução de vulnerabilidades ou acessos ocultos; adotarem modelos de governação corporativa que não esclareçam sobre o grau de influência ou vinculação a países estrangeiros nas condições referidas anteriormente.. Para a Ordem, “os critérios para aferir do risco elevado dos fornecedores têm uma índole marcadamente política, recorrendo nomeadamente à influência indevida de países terceiros”, numa “lógica” que “parece contrariar o espírito legislativo da Diretiva, a qual consagra, no seu artigo 21.º, a vulnerabilidade de produtos e serviços em concreto e não por referência ao país de origem do fornecedor”. No seu parecer escreve que “o conceito de ‘fornecedores de elevado risco’ poderá, assim, acarretar uma limitação inconstitucional à liberdade de iniciativa económica e liberdade de empresa, uma vez que introduz a possibilidade de o Governo decidir uma interdição de atividade em setores estratégicos, sem ter por base uma qualquer infração ou risco tecnicamente demonstrado”. Nesse sentido, adverte, “há que ter presente que uma restrição a um direito análogo aos direitos, liberdades e garantias deverá obedecer ao princípio da proporcionalidade e revestir uma natureza geral e abstrata”. Além disso, vinca, “a cessação forçada de utilização de equipamentos e serviços implica a provação de ativos”, sendo que o novo regime “não prevê a necessária indemnização nem os critérios da sua definição”. Por fim, realça que “na própria definição dos critérios qualificadores de um fornecedor de elevado risco, a utilização de expressões em si mesmo indeterminadas admite uma margem de discricionariedade e de livre decisão do órgão administrativo decisor que se afigura incompatível com o regime do artigo 18.º da Constituição da Républica Portuguesa no tocante à matéria de restrição dos direitos liberdades e garantias”. Diz este artigo que “os preceitos constitucionais respeitantes aos direitos, liberdades e garantias são diretamente aplicáveis e vinculam as entidades públicas e privadas” e que “a lei só pode restringir os direitos, liberdades e garantias nos casos expressamente previstos na Constituição, devendo as restrições limitar-se ao necessário para salvaguardar outros direitos ou interesses constitucionalmente protegidos”.Para João Massano está em causa “um conceito amplíssimo que não tem qualquer concretização, entrando numa apreciação política relativamente ao que é que é um fornecedor de alto risco.É a discricionariedade total. Não há, quanto a nós, a concretização que tem de haver para haver a restrição à liberdade de iniciativa. Isto não nos parece conforme a nossa Constituição, na medida em que estamos perante um direito constitucional, um direito fundamental que vai ser alvo de uma restrição sem qualquer concretização. Ora, todas as normas que pretendem restringir direitos constitucionais têm de ter a concretização necessária e têm que ser restritivas e proporcionais”.O advogado entender que, para cumprir esses requisitos, “o critério tem que ser o risco efectivo dos serviços e dos produtos” e não “os países de origem dos produtos”. E no caso dos países que não cumprem os critérios europeus de proteção de dados? Massano entende que “o país tem de ter outra forma de controlar este risco”. “Temos que ter muito cuidado relativamente ao que estamos a passar. Neste momento parece que, de repente, os direitos não interessam. O que interessa é a segurança, o que quer que ela seja. O que eu vejo é uma tentação de restringir direitos sem justificação e proporcionalidade. E isso é uma preocupação, obviamente, da Ordem dos Advogados”, sinaliza.João Annes considera as preocupações de Massano “muito importantes” e lembra que esta foi uma “decisão baseada em critérios discutidos e aprovados no âmbito de uma toolbox sobre a cibersegurança das redes de telecomunicação do 5G ao nível da União Europeia”, tendo sido esses critérios “discutidos e harmonizados entre todos os países membros”.O bastonário lembra que “a diretiva falou sempre em riscos concretos, produtos e serviços em concreto” e não de países. Por seu lado, Alexandre Fonseca, que estava, na altura dessa discussão na UE, no setor das telecomunicações (como CEO da Altice) recorda que se estava “num contexto em que existiam três grandes blocos económicos mundiais, os Estados Unidos, a Europa e a China”.Existia “uma proximidade estratégica entre os Estados Unidos e a Europa”. Hoje, “cinco anos depois, sabemos que estamos num momento completamente diferente”. . O conselheiro estratégico da CIP interroga-se se se deve alterar a lei “só porque, entretanto, o espaço entre os Estados Unidos e o bloco europeu, do ponto de vista económico e até político, se afastou”. Assinala que “quando criamos normativos em que o critério geográfico é central, estamos estamos a criar a incapacidade de ter uma estabilidade, que é aquilo que os empresários e gestores procuram. Estabilidade e previsibilidade são as duas palavras-chave para os empresários. Não podemos ter uma lei ou um normativo que flutue ao sabor das alterações geopolíticas”.