Os “hackers éticos” passam a ter proteção legal em Portugal com as alterações introduzidas pelo Decreto-Lei n.º 125/2025, que revê a Lei do Cibercrime e transpõe a diretiva europeia sobre cibersegurança. Pela primeira vez, a lei prevê a não punibilidade de atos de cibersegurança realizados no interesse público.
O novo artigo 8.º-A enquadra a atuação de investigadores que identifiquem vulnerabilidades em sistemas informáticos de boa-fé, algo que até agora podia ser considerado crime de acesso ilegítimo, mesmo quando tinha como objetivo reforçar a segurança digital.
Para beneficiar desta proteção, os investigadores têm de cumprir várias condições: atuar apenas para identificar falhas que não tenham criado, não obter vantagens económicas indevidas e comunicar rapidamente as vulnerabilidades ao responsável do sistema, aos titulares dos dados e ao Centro Nacional de Cibersegurança.
A lei exige ainda que a intervenção seja proporcional e não cause danos, interrupções de serviço ou violações da proteção de dados. Ataques como phishing, engenharia social, negação de serviço, roubo de credenciais ou instalação de malware continuam proibidos, mesmo quando alegadamente feitos por razões de segurança.
Os dados recolhidos devem ser eliminados até 10 dias após a correção das falhas, sendo obrigatória a confidencialidade durante todo o processo.