Academia Mareginter
Legislação | Cibersegurança

Hackers éticos e DL 125/2025: uma análise conservadora do artigo 8.º-A

5 de Abril, 2026 | 7 min de leitura

Com a entrada em vigor do DL 125/2025 a 3 de abril de 2026, muito se tem falado do novo artigo 8.º-A da Lei do Cibercrime, que introduz um regime de não punibilidade para investigadores de segurança que identifiquem vulnerabilidades. Mas o que significa isto na prática? E, mais importante, pode um pentester atuar sem consentimento e ficar tranquilo?

Alerta conservador: A proteção legal do artigo 8.º-A não é um salvo-conduto. As condições para beneficiar da não criminalização são rigorosas e, em muitos casos, de difícil cumprimento na prática.

O que diz o artigo 8.º-A (de forma simples)

O artigo estabelece que não é punível quem, agindo de boa-fé e no interesse público, identifique vulnerabilidades em sistemas informáticos, desde que cumpra cumulativamente os seguintes requisitos:

  • Finalidade exclusiva: identificar vulnerabilidades (não criadas por si).
  • Sem vantagem económica: salvo a remuneração normal da sua atividade profissional.
  • Comunicação imediata: ao proprietário do sistema, aos titulares dos dados e ao CNCS.
  • Proporcionalidade: atuação estritamente necessária, sem causar danos ou interrupções.
  • Proteção de dados: eliminar dados obtidos até 10 dias após a correção.

O problema: a lei é clara, mas a vida real não

Embora a intenção do legislador seja louvável, a aplicação prática levanta sérias questões. Uma visão pragmática e conservadora obriga-nos a considerar os seguintes pontos críticos:

1. O que significa "comunicar imediatamente" aos titulares dos dados?

Imagine que descobre uma falha num sistema que expõe os dados de 100 mil clientes. A lei exige que comunique a vulnerabilidade a cada um desses titulares de dados "imediatamente".

Análise conservadora: Esta exigência é, na prática, impossível de cumprir em muitos cenários. Mais grave: ao fazê-lo, estaria a alertar potenciais criminosos antes de a vulnerabilidade ser corrigida. Um tribunal poderá entender que não cumpriu a lei. O risco é real.

2. "Remuneração profissional" vs. "vantagem económica"

A lei permite a "remuneração da atividade profissional", mas proíbe a "vantagem económica". Onde está a linha?

Análise conservadora: Um pentester freelance que descubra uma falha e espere uma recompensa (como é comum em programas de bug bounty) pode ser acusado de agir por "vantagem económica". Até haver jurisprudência, a insegurança jurídica é total. O conservadorismo recomenda: não conte com a proteção da lei se houver qualquer expectativa de ganho para além de um contrato formal.

3. Testes "não solicitados" – o grande risco

A grande novidade do artigo 8.º-A é a possibilidade de atuar sem consentimento prévio da empresa alvo. Mas é aqui que o risco é máximo.

Cenário de risco elevado: Se realizar um teste não solicitado e, ainda que sem intenção, causar qualquer interrupção de serviço, perda de dados ou acesso não autorizado a informação, a proteção legal cai imediatamente. Passa a ser um criminoso aos olhos da lei.

Na prática, muitos testes de vulnerabilidade envolvem ferramentas automatizadas que podem, por erro, causar instabilidade. Um simples scan de portas mal configurado pode ser interpretado como um ataque. A lei não perdoa a negligência.

O que recomendamos: uma abordagem conservadora

Na Mareginter, defendemos uma postura prudente e juridicamente segura. Eis as nossas recomendações:

  • Nunca realize testes de intrusão sem autorização prévia e por escrito. O artigo 8.º-A é uma exceção, não a regra. O consentimento do proprietário continua a ser a única forma de operar com segurança jurídica plena.
  • Se atuar sem consentimento, documente TUDO. Cada passo, cada ferramenta, cada resultado. Terá de provar em tribunal que agiu de forma proporcional e sem causar danos.
  • Comunique à CNCS antes de atuar? A lei não exige, mas uma comunicação prévia ao CNCS pode ser um elemento de defesa relevante em caso de litígio.
  • Não confie na proteção para atividades com fins comerciais. Se está a fazer um teste para angariar um cliente, o risco de ser interpretado como "vantagem económica" é elevado.
  • Contrate um seguro de responsabilidade civil. Mesmo agindo de boa-fé, pode ser alvo de ações judiciais. O seguro cobre os custos de defesa.

A visão da Mareginter: O artigo 8.º-A é um avanço importante que protege investigadores de segurança em situações específicas e bem documentadas. No entanto, não é um convite para testes não solicitados. A prudência e o respeito pelos procedimentos legais continuam a ser a melhor política.

Conclusão: sim, mas com cautela

O artigo 8.º-A do DL 125/2025 é uma ferramenta útil para investigadores de segurança que atuam no interesse público e que conseguem cumprir rigorosamente todas as condições. Para o pentester comum, que realiza testes por conta própria ou para angariar clientes, a proteção é frágil e cheia de armadilhas.

A nossa recomendação, conservadora e pragmática, é: continue a obter autorização prévia por escrito. O artigo 8.º-A é um "plano B" para situações excecionais, não uma licença para atuar sem consentimento.

Na Mareginter, ajudamos as empresas a estarem em conformidade com o DL 125/2025 e a NIS2, incluindo a realização de testes de intrusão com todas as garantias legais.

Voltar para o blog