Nos últimos anos, o cibercrime tem-se tornado uma das principais ameaças à segurança económica, social e institucional. Portugal não é exceção. O crescimento dos ataques ransomware, das intrusões em sistemas críticos e das fraudes digitais trouxe à tona um tema que começa a ganhar relevância no panorama jurídico-penal: o papel dos chamados hackers éticos e os limites legais da sua atuação.
No seguimento das diretivas europeias em matéria de cibersegurança (com especial relevo para a Diretiva NIS-2) e dos recentes alertas do Centro Nacional de Cibersegurança (CNCS), tem vindo a ser discutida a possibilidade de institucionalizar, com maior clareza e segurança jurídica, a colaboração de especialistas em segurança informática – vulgarmente designados por “white hat hackers” – no reforço da proteção de infraestruturas críticas e sistemas públicos.
Prova disso mesmo foi a aprovação, no passado dia 03 de julho de 2025, em Conselho de Ministros, da Proposta de Lei de autorização legislativa que estabelece o regime jurídico da cibersegurança.
O que são hackers éticos?
Os hackers éticos são profissionais que, com autorização das entidades visadas, testam as vulnerabilidades dos sistemas informáticos, identificando potenciais falhas que possam ser exploradas por infratores. A sua atividade é, hoje, largamente aceite no setor privado, em moldes contratuais claros e dentro de limites previamente definidos. Contudo, quando se trata de sistemas públicos ou de setores sensíveis – justiça, saúde, banca, defesa, energia – a ausência de um regime jurídico claro levanta questões várias.
Qual o problema jurídico-penal?
Atualmente, qualquer acesso não autorizado a sistemas é passível de consubstanciar, em abstrato, a prática do crime de acesso ilegítimo, previsto e punido pelo artigo 6.º da Lei n.º 109/2009, de 15 de setembro (Lei do Cibercrime).
Ora, o problema surge quando se pretende atribuir a estes profissionais uma missão de interesse público, permitindo-lhes testar limites de segurança sem, necessariamente, uma autorização judicial expressa.
Estará o legislador disposto a criar exceções ao princípio da reserva do juiz em matéria de direitos fundamentais, nomeadamente quanto ao sigilo das comunicações e à privacidade dos dados?
A nova tendência: colaboração com o Estado
Em maio de 2025, surgiram informações de que o Governo, em articulação com o CNCS e com a Polícia Judiciária, estaria a preparar um projeto-piloto que prevê a contratação ou colaboração regular de hackers éticos para reforço das defesas do Estado e da prevenção de ataques. Esta colaboração poderia incluir testes de penetração a redes críticas e, em certos casos, acessos “invasivos” mas previamente autorizados por entidades administrativas.
Embora esta solução possa revelar-se eficaz na prevenção, coloca desafios sérios à legalidade da intervenção penal e à proteção dos direitos fundamentais, uma vez que:
- Inexiste atualmente base legal que legitime acessos proativos sem controlo judicial.
- A atividade dos hackers éticos pode colidir com dados protegidos pelo segredo profissional (advogados, médicos, jornalistas).
- A linha entre prevenção e violação de direitos torna-se ténue.
Que respostas pode dar o Direito Penal?
A doutrina penal começa a questionar se será necessário criar um estatuto jurídico próprio para o hacker ético, que o distinga claramente do agente criminoso, e defina:
-
- Quem pode ser hacker ético (certificação, idoneidade, registo oficial)?
- Quais os limites da sua atuação?
- Que garantias existem para os titulares dos sistemas e dos dados?
- Que responsabilidade assume o Estado pelos danos causados?
É igualmente debatido se não deveria ser reforçado o quadro penal contra quem atue fora desses limites, para evitar abusos sob o pretexto de proteção preventiva.
Perspetiva comparada
Países como a Alemanha e França admitem a colaboração de hackers éticos, mas sempre com supervisão judicial ou administrativa clara e sem dispensa dos requisitos legais de proteção de dados e privacidade. Nos EUA, os programas de “bug bounty” são comuns, mas não se confundem com permissões para ações invasivas não autorizadas.
Portugal parece inclinar-se para um modelo misto, com recurso controlado a estes profissionais, mas ainda sem um regime claro.
Um debate que não pode ser evitado
À semelhança do que acontece com a videovigilância, o recurso a hackers éticos no combate ao cibercrime impõe uma reflexão séria sobre os limites do Direito Penal preventivo e a tutela dos direitos fundamentais. A ausência de um enquadramento legal robusto cria um risco de insegurança jurídica, tanto para os operadores públicos como para os próprios profissionais.
Será o momento de o legislador criar normas claras, que equilibrem segurança e liberdades, prevenindo que, em nome da proteção, sejam abertos precedentes perigosos para o Estado de Direito.
Entre a necessidade de proteger infraestruturas críticas e a salvaguarda dos direitos fundamentais, o debate sobre os hackers éticos revela-se uma nova fronteira no Direito Penal português. Resta saber se o legislador estará preparado para traçar essa linha com a precisão que a Constituição exige.
por Alexandra Mota Gomes e Rui Ferreira Antunes, Área de Prática – Criminal, Contraordenacional e Compliance
