Há ética na intrusão?

Num mundo cada vez mais digital, 2025 antecipa-se um ano de grandes alterações no enquadramento jurídico do setor da tecnologia e da cibersegurança, aguardando-se, desde logo, a transposição da Diretiva NIS 2, cujo prazo de consulta pública terminou no final de 2024.

Seria de esperar que o crescente sentimento de insegurança digital, com o aumento do número de ataques informáticos e dos fenómenos de phishing, associado à perceção generalizada de impunidade dos infratores, decorrente das dificuldades de investigação e repressão eficazes daqueles crimes, conduzisse ao fortalecimento dos instrumentos de combate e dissuasão a todas as intrusões não autorizadas em sistemas informáticos.

Porém, a proposta de transposição da Diretiva NIS 2 pelo Estado Português apresentou a oportunidade para introduzir uma norma de exclusiva invocação nacional que prevê uma alteração da Lei do Cibercrime, que vai precisamente no sentido contrário, ao legitimar atos que até agora correspondiam aos crimes de acesso indevido e de interceção ilegítima. Ou seja, torna lícitos atos que correspondem ao acesso a um sistema informático ou à interceção de dados informáticos, sem permissão legal ou sem autorização do proprietário do sistema informático em causa ou de onde provêm ou se destinam os dados, cumpridos determinados requisitos previstos na lei.

Deixa de ser crime a intrusão em sistemas informáticos, desde que, sumariamente, o hacker (i) alegue ter como intenção principal a identificação de vulnerabilidades e o propósito de proceder à sua divulgação responsável, sem ter o propósito de obter vantagem económica, (ii) atue de forma proporcional, visando evitar danos decorrentes da sua atividade e (iii) cumpra obrigações de comunicação (designadamente, comunique as vulnerabilidades por si detetadas nessa intrusão ao proprietário do sistema, ao titular dos dados pessoais protegidos a que tenha tido acesso no âmbito dessa intrusão e à autoridade nacional de cibersegurança).

A intenção do Legislador é clara: evitar a punição dos white hat hackers (ou hackers éticos). Não se vislumbra, porém, que interesse público pretende ver-se prosseguido, nem a necessidade (muito menos a adequação e proporcionalidade) da prossecução nestes termos.

A alteração legislativa neste domínio era desnecessária, por dois motivos essenciais.

Em primeiro lugar, e não se desvalorizando a importância da função quando devidamente autorizada, porque o comportamento realizado com permissão do proprietário do sistema não era punido.

Em segundo lugar, porque a alteração proposta pode, na verdade, ter um efeito perverso de conferir um sentimento de “justicialismo” ou justiça pelas próprias mãos. A permissão legal de intrusões não autorizadas e não pretendidas em sistema informático de outrem é uma ideia que causa calafrios, independentemente de as intenções ou propósitos subjacentes a essa intrusão serem mais ou menos éticos.

Não é suposto tentar abrir portas de casas de terceiros para ver se estão bem trancadas. E, depois, caso não estejam, não é por isso que a pessoa passa a poder introduzir-se nessas casas, mexer nos pertences que aí existem e levar consigo cópias do que viu. Também não é por isso que a pessoa passa a poder quebrar, ainda que inadvertidamente, objetos de valor que possam aí existir, mesmo que, em seguida, reporte ao proprietário e às autoridades que encontrou uma porta mal fechada.

Pois é isto que, com maior ou menor detalhe, vai passar a ser legalmente permitido fazer nos sistemas informáticos, caso a proposta de transposição da NIS 2 seja aprovada sem alterações.

Mais. Passando a constituir uma causa de exclusão da ilicitude penal, passará a ser muito discutível a possibilidade de, sendo causados danos por este tipo de intrusões, o lesado vir a ser ressarcido civilmente,

A previsão de uma causa de exclusão da ilicitude como esta aumenta a insegurança jurídica e, consequentemente, o sentimento de insegurança no ambiente digital, assim como poderá incentivar práticas de intrusão ou interceção que, ainda que não preencham todos os critérios para alcançar a exclusão da ilicitude, possam ser entendidas como tendo sido realizadas com a convicção de que eram permitidas, evitando-se a sua punição.

Como não cremos que tenha sido essa intenção do Legislador, a solução legal, tal como foi proposta, poderá ter o efeito oposto ao pretendido se não for realizado um debate sério sobre este tema e um amadurecimento deste tema, numa revisão autónoma da disciplina da Lei do Cibercrime.