Lei da cibersegurança. Especialistas pedem “cautela” na proteção dos hackers éticos

Portugal seguiu as pisadas da Bélgica e vai ter, pela primeira vez, um regime jurídico que protege os chamados hackers éticos: quem age de boa fé e testa os sistemas informáticos para evitar ciberataques. A próxima lei portuguesa da cibersegurança, aprovada pelo Governo no início do verão, traz esta mudança inovadora, que está a gerar apreensão entre os especialistas em proteção de dados e interesse das tecnológicas.

Ao excluir de responsabilidade criminal o ethical hacking, caso sejam cumpridas as obrigações, o quadro legal português acompanha o belga e caminha ao lado do alemão na Europa, o que é particularmente progressista. No entanto, há detalhes que ainda devem ser apurados no debate parlamentar.

A advogada Inês Antas de Barros, sócia da Vieira de Almeida (VdA), considera que é “essencial” debater o tema a fundo para que o objetivo deste instrumento – dar resiliência às organizações – não seja interpretado no mau sentido. A proposta “levanta diversas questões” e pode até trazer problemas para os donos dos sistemas informáticos. Porquê? Mesmo que o hacker cumpra as regras, se houver algum erro, as empresas ficam com dificuldade em receber compensação pelos danos, dado que a ação inicial não é considerada ilegal. Logo, complica o uso da responsabilidade civil para pedir indemnização.

“Ainda que se entenda a intenção do legislador nacional em potenciar a resiliência das organizações, podendo estas beneficiar da identificação e reporte de vulnerabilidades por parte de terceiros (os ethical hackers), esta previsão deve ser interpretada com cautela, de forma a garantir que a sua aplicação prática não desvirtua a intenção”, diz Inês Antas de Barros, do departamento de Comunicações, Proteção de Dados & Tecnologia da VdA.

“Não salvaguarda dados em sigilo profissional ou segredo de justiça”

Os advogados Gonçalo Cerejeira Namora e Rafaela Pinheiro Fernandes, dedicados a Privacidade, Digital e Tecnologia, também pedem “maior reflexão” para evitar riscos de a cura ser pior que a doença. “Embora se preveja expressamente que, para beneficiar da exclusão da ilicitude penal, a atuação do agente não pode violar a legislação de proteção de dados pessoais, o diploma não salvaguarda as situações que envolvam o acesso ou interceção de comunicações ou dados protegidos por sigilo profissional ou segredo de justiça”, esclarecem.

“É fundamental que estes aspetos sejam devidamente ponderados no debate parlamentar, por forma a garantir que a nova legislação promove a cibersegurança sem comprometer outros bens jurídicos especialmente protegidos no nosso ordenamento”, apelam o sócio e a associada principal da Cerejeira Namora Marinho Falcão. Ainda assim, ambos veem esta atualização como positiva para o país, por trazer segurança jurídica a quem tem realmente lealdade e comportamentos éticos e por dar ao Estado a hipótese de recorrer a especialistas externos com esta missão de cibersegurança.

A dupla de juristas explica ainda que o diploma não legaliza o ethical hacking. O que acontece é que ações que normalmente seriam crime (como acesso ou interceção ilegítima a programas online) podem deixar de ser punidas se forem cumpridos determinados requisitos – o que em ‘legalês’ significa um aditamento da definição de “vulnerabilidades” e um novo artigo na Lei do Cibercrime para que uma “conduta suscetível de integrar o ilícito penal de acesso ilegítimo e/ou de interceção ilegítima” deixe de significar censura penal sob aquelas condições.

Portugal “na linha da frente” europeia

Já para o diretor de segurança da Claranet Portugal, esta é “uma das melhores decisões do diploma” porque coloca Portugal na “linha da frente” da cibersegurança na Europa. “Finalmente, reconhece-se que quem encontra vulnerabilidades de forma ética e responsável é parte da solução — não do problema. Esta medida aproxima os setores público e privado da comunidade de especialistas e hackers éticos, fomentando uma cultura de transparência, confiança e melhoria contínua”, argumenta David Grave.

As tecnológicas são parte interessada neste processo, uma vez que têm o conhecimento técnico e podem ganhar oportunidades de trabalhar com o Estado na caça às vulnerabilidades informáticas. “Agora é necessário criar rapidamente um quadro legal claro para a divulgação de vulnerabilidades e lançar programas nacionais de bug bounty [programa de recompensas por relato de erros]. Sem isso, esta disposição corre o risco de ser letra morta”, solicita David Grave.

A Claranet Portugal dá nota positiva à proposta de lei e classifica como “interessante” a referência do ministro da Presidência, António Leitão Amaro, ao mercado dos certificados de cibersegurança. “A ideia de criar um ecossistema onde as certificações validam competências, promovem boas práticas e funcionam como um catalisador para a inovação é economicamente inteligente. Transforma a cibersegurança num investimento com retorno visível, em vez de um mero centro de custos”, defende.

Lei introduz instrumentos importantes: reforça o papel do CNCS, define claramente as obrigações para entidades essenciais e digitais e conceitos modernos como o ethical hacking, a responsabilidade direta da gestão e uma abordagem baseada no risco. Contudo, não tenhamos ilusões: grande parte do tecido organizacional português ainda está longe do nível de maturidade necessário para cumprir estas obrigações.

Segundo o diretor de Segurança da Claranet Portugal, ao abranger entidades que podem comprovar, de forma independente, que cumprem boas práticas reconhecidas, como ISO 27001 ou o quadro europeu EUCC, gera mais confiança, negócio e proteção jurídica. Todavia, alerta que o potencial desta indústria só existirá se a certificação “for mais do que um selo bonito”.

Uma visão partilhada pelo CEO da empresa de cibersegurança portuense Adyta, que criou uma aplicação para comunicações encriptadas, como a WhatsApp, Signal ou Telegram, que está a ser utilizada pela Marinha Portuguesa entre outras entidades.

“Este mercado tem um enorme potencial porque permitirá distinguir soluções que efetivamente cumprem os requisitos de segurança e privacidade, reforçando a confiança nas decisões de aquisição — sobretudo nas entidades públicas e operadores de serviços essenciais. Será importante garantir que seja acessível a empresas tecnológicas nacionais, e que exista transparência nos processos de certificação”, diz Carlos Carvalho, que é também presidente da Associação Nacional de Jovens Empresários (ANJE).

O CEO da tecnológica Adyta afirma que Portugal “deu um passo relevante, mas há espaço para mais ambição”, nomeadamente avançar no reforço dos mecanismos de capacitação técnica das entidades e criar incentivos à adoção de tecnologia nacional certificável para reduzir a dependência externa. “Outros países têm apostado em centros de ciberdefesa interministeriais, sandboxes regulatórios e parcerias entre Governo e empresas tecnológicas para promover a soberania digital”, exemplifica.

Quando deixa de ser crime?

Na prática, deixa de ser crime entrar em sistemas informáticos quando o ethical hacker:

• Alegue ter como intenção principal a identificação de vulnerabilidades e o propósito de proceder à sua divulgação responsável, sem ter o propósito de obter vantagem económica,
• Atue de forma proporcional, visando evitar danos decorrentes da sua atividade
• Cumpra obrigações de comunicação (designadamente, comunique as vulnerabilidades por si detetadas nessa intrusão ao proprietário do sistema e à autoridade nacional de cibersegurança), conforme expõe Inês Antas de Barros, sócia da VdA.