Com a entrada em vigor da nova diretiva europeia para a cibersegurança, Portugal irá legalizar a espionagem informática, criando brigadas de hackers éticos que, com o objetivo de detetarem vulnerabilidades, poderão entrar nos sistemas das empresas e das instituições públicas sem pedir licença e sem dizerem nada a ninguém.
Para isso, a Lei do Cibercrime terá de ser alterada, no seu artigo 6.º, em que é criminalizado o acesso ilegítimo aos sistemas digitais. Essa proposta de despenalização surge no articulado da proposta de lei que visa autorizar o Governo a transpor para o direito interno a Diretiva 2022/2555 (NIS2). Este diploma destina-se a garantir um elevado nível comum de cibersegurança em toda a União Europeia (UE).
A proposta de lei para aprovação da transposição, com a inclusão da alteração à Lei do Cibercrime, já se encontra na Assembleia da República desde 14 de fevereiro e o seu conteúdo vai manter-se, embora a mudança de legislatura preveja a ‘morte’ dos projetos em carteira e obrigue à apresentação de nova proposta na legislatura seguinte. Mas, o articulado do novo documento vai ser o mesmo porque, por um lado, o novo Governo tem a mesma raiz partidária, e, por outro, a UE já ameaçou aplicar sanções a Portugal pelo atraso da transposição da NIS2, a qual deveria ter ocorrido em outubro do ano passado. Trata-se de um processo urgente. «Fosse quem fosse o vencedor das eleições, a proposta na nova legislatura nunca sofrerá alterações técnicas significativas», afirmou ao Nascer do SOL o diretor-geral do Gabinete Nacional de Segurança (GNS) , António Gameiro Marques, que no final do mês deverá abandonar o cargo. Questionado pelo Nascer do SOL sobre se o Governo pretende manter o projeto, o ministério da Presidência considerou ser «inoportuno estar a comentar iniciativas que só serão assumidas na próxima legislatura».
Transposta a diretiva, a mudança da Lei do Cibercrime irá permitir a criação de brigadas de ‘hackers éticos’, não polícias, que reportarão diretamente ao Centro Nacional de Cibersegurança (CNCS), entidade até agora dirigida por um subdiretor-geral do GNS, mas que, com a nova lei, reforçará a sua função de autoridade nacional no domínio da cibersegurança. O GNS, a par da Autoridade Nacional de Comunicações, passará a autoridade nacional setorial.
Alterar a Lei do Cibercrime, despenalizando o acesso ilegítimo aos sistemas informáticos, tem o propósito de «o Estado não penalizar quem, por motivos benignos, pretende assinalar às autoridades a existência de vulnerabilidades que, se exploradas por pessoas com maus intentos, podem impactar muito negativamente o funcionamento dos mesmos e assim a comunidade servida», explica António Gameiro Marques. E adianta: «O conceito que se pretende implementar, e essa parte da legislação foi amplamente discutida, nomeadamente com a Polícia Judiciária, é o da divulgação responsável de vulnerabilidades, também conhecida como divulgação coordenada de vulnerabilidades». Ou seja, adiantou: «É um processo em que investigadores de segurança, ou hackers éticos, descobrem vulnerabilidades, fraquezas ou falhas em software, hardware ou sistemas e as comunicam à organização ou ao fornecedor afetado».
Assim, com a aprovação da transposição, a Lei do Cibercrime passará a ter um aditamento ao artigo 8.º com o título ‘Atos não puníveis por interesse público de cibersegurança’, determinando-se, no n.º 1, que «não são puníveis factos suscetíveis de consubstanciar os crimes de acesso ilegítimo e de intercessão ilegítima previstos, respetivamente, nos artigos 6.º e 7.º se, verificadas, cumulativamente as seguintes circunstâncias». A primeira é a de que o «agente atue com a intenção única de identificar a existência de vulnerabilidades em sistema de informação, produtos e serviços de tecnologias de informação e comunicação (….) e com propósito de, através da sua divulgação, contribuir para a segurança do ciberespaço».
De acordo com a proposta, o hacker ético terá sempre de reportar a execução do ato de espionagem ao CNCS e este, por seu lado, deverá reportar à PJ caso haja indício de crime. Se o hacker detetar alguma anomalia no sistema, deverá reportá-la ao proprietário, para que a repare, assim como ao CNCS, para conhecimento, e apagar esse reporte no prazo de 10 dias.
Ir além da diretiva…
A questão é que em lado nenhum da diretiva europeia se atesta a obrigatoriedade de os estados membros da UE criarem os hackers éticos para fiscalização do cumprimento das normas europeias de cibersegurança.
«Na Diretiva 2022/2555 (NIS 2) nada consta sobre esta proposta de despenalização, tratando-se, portanto, de uma opção legislativa. Por outro lado, na exposição de motivos da Proposta de Lei nº 50/XVI/1ª também não há qualquer menção aos fundamentos ou motivos para esta opção, o que não permite apurar o que levou o Governo a propor esta exclusão da ilicitude no caso ali previsto», explica ao Nascer do SOL o advogado Ricardo Sardo.
Este causídico, especialista em cibercrime, assina o parecer da Ordem dos Advogados sobre a proposta de lei apresentada pelo anterior Governo e acredita que a proposta do futuro executivo terá o mesmo conteúdo técnico. O texto, refere, tal como está resultou de um amplo consenso. Também António Gameiro Marques lembrou que a proposta recebeu o contributo de mais de 120 entidades.
Não tão consensual será, para os advogados, a questão da despenalização do acesso ilegítimo aos sistemas informáticos, mesmo no caso concreto de o acesso ser realizado com fins legítimos, como verificar fragilidades do sistema para que sejam retificadas.
«Há questões maiores que se levantam», adverte Ricardo Sardo, sublinhando: «Desde logo, existe o risco, mesmo que reduzido, de hackers profissionais puderem aceder a um sistema, sob o manto ou justificação da ‘legitimidade’ e da ‘bondade’, de cumprir os requisitos e, de forma camuflada e não detetada, aceder a informação ou dados de forma ilegítima, ou para fins ilegítimos». Neste sentido, defende: «Esta concreta proposta exige ampla discussão e profunda análise, precisamente em virtude do risco existente de acesso ilegítimo».
Sendo o sigilo profissional a ‘vaca sagrada’ dos advogados, Ricardo Sardo alerta ainda: «Nesta proposta de lei continua a não estar prevista qualquer norma específica sobre a compatibilização das regras em matéria de cibersegurança e do regime do sigilo profissional, tendo em conta que a Ordem dos Advogados tem nos seus sistemas matéria e informação sensível e confidencial». E apela: «Há que adaptar as regras em matéria de acesso aos seus sistemas e comunicação às autoridades com o sigilo profissional (que é perfeitamente possível nos termos da diretiva), princípio fundamental do nosso sistema jurídico».
Contactado pelo Nascer do SOL, o Conselho Superior da Magistratura informou que «reserva a emissão de parecer para o momento próprio do processo legislativo». Já a Procuradoria-Geral da República e a Polícia Judiciária não responderam às questões colocadas.
