Proteção de Dados

Operação «TYCOON»: Polícia Judiciária ajuda a desmantelar a maior rede mundial de phishing

A Polícia Judiciária, no seu site oficial, informou que, através da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica, colaborou numa operação internacional que permitiu neutralizar a maior rede de phishing de todo o mundo.

A rede de cibercrime atuava a partir de uma plataforma digital, acessível a partir de uma subscrição paga e que habilitava cibercriminosos a capturar sessões autenticadas em tempo real, a ultrapassar mecanismos adicionais de proteção e, portanto, a assumir o controlo de contas que se consideravam devidamente seguras. É de sublinhar que, em meados de 2025, a TYCOON 2FA esteve diretamente associada a 62% de todas as tentativas de phishing bloqueadas pela Microsoft, incluindo cerca de 30 milhões de e-mails num só mês.

A plataforma permitia a esta rede aceder de forma não autorizada a contas de e-mail e de serviços cloud, incluindo Microsoft 365, Outlook e Gmail que estavam associadas a mais de 100 mil organizações internacionais. Entre as organizações atacadas encontram-se escolas, hospitais e entidades públicas. Estes incidentes de segurança da informação provocaram consequências que incluíram disrupção de serviços, desvio de recursos financeiros e humanos, bem como atrasos no atendimento a pacientes.

A operação encerrou cerca de 330 domínios que suportavam a arquitetura técnica do serviço, entre os quais páginas fraudulentas e painéis de gestão usados na atividade criminosa e envolveu a colaboração de autoridades policiais de Portugal, Lituânia, Polónia, Letónia, Reino Unido e Espanha, que foram coordenadas pelo Centro Europeu de Cibercrime (EC3) da EUROPOL. Esta operação de desmantelamento irá permitir a proteção de pessoas e organizações de ataques que incluem roubo de dados, ransomware, comprometimento de e-mails corporativos e fraude financeira.

Para mais informações poderão ser consultados os seguintes links:

https://www.europol.europa.eu/media-press/newsroom/news/global-phishing-service-platform-taken-down-in-coordinated-public-private-action.
https://blogs.microsoft.com/on-the-issues/2026/03/04/how-a-global-coalition-disrupted-tycoon/

________________________________________________________________________________________________________________________

Mais vale prevenir do que remed[IA]r…

Há duas verdades que, hoje em dia, são inquestionáveis. Uma é que a inteligência artificial pode, de facto, ajudar-nos em várias tarefas do dia-a-dia, incluindo nas nossas tarefas profissionais. A outra é que esta veio para ficar, numa sociedade em que a produtividade fala mais alto. No entanto, não quer dizer que esta seja, necessariamente, a nossa melhor amiga.

Há poucos dias foi publicado, no Jornal Económico, um artigo de opinião da autoria de Bruno Castro, CEO da VisionWare, empresa portuguesa especialista em cibersegurança e investigação forense que chamou a atenção dos leitores sobre o facto de a CISA (Cybersecurity and Infrastructure Security Agency), principal agência de cibersegurança dos Estados Unidos, ter introduzido documentos de caráter confidencial numa versão pública do ChatGPT.

O debate não é novo, mas nem por isso deve sair da ordem do dia: Até que ponto devemos confiar no «melhor amigo» que nos fornece enormes doses de informação, mediante o prompt que fornecermos, e que nos responde com base em quantidades de informação inimagináveis? E até que ponto podemos confiar para partilhar informações confidenciais, nas quais se poderão incluir informações de índole pessoal?

Hoje, o uso de inteligência artificial é comum e o tema em debate não reside aí: o problema está no facto de que todas as informações que partilhamos com estas ferramentas são, de facto, partilhadas com alguém. Melhor: com muitas pessoas, desde que tenham as autorizações de acesso necessárias para tal.

Sem querer evangelizar a questão, importa refletir se partilharíamos informações de caráter estritamente confidencial e/ou pessoal com qualquer pessoa que encontrássemos na rua. Provavelmente não. Contudo, no caso das ferramentas de inteligência artificial que hoje são tão usadas, é isso que cada vez mais fazemos. Sem que, muitas vezes, saibamos como esses dados serão usados, por quanto tempo serão conservados, em que condições de segurança serão mantidos e se serão partilhados com outras entidades.

A questão é: Poderá, no futuro, a informação que fornecemos a estas ferramentas ser usada contra nós e os nossos próprios interesses?

É precisamente isso que é chamado à atenção por Bruno Castro que relembra o caso da DeepSeek que, no início de 2025, viu uma base de dados ser alvo de um leak, que acabou por expor informações de índole muito sensível. Contudo, não devemos temer apenas os métodos, e respetivas consequências, dos famosos ataques efetuados por hackers. É mais do que sabido que hoje em dia há muitas entidades que optam por vender informações que constam nas suas bases de dados a outras entidades que pretendem dar uso a essa informação.

O CEO da VisionWare termina o artigo fornecendo a visão que o tem levado, de forma consistente e contínua, a disponibilizar formação às equipas da empresa sobre o uso responsável de ferramentas digitais e de IA generativa. Efetivamente, tendo em conta a ampla utilização que tem sido dada a estas ferramentas e considerando os «perigos» que poderão advir dessa utilização, é necessário que a sociedade, como um todo, seja incentivada a refletir sobre os cuidados a ter com estas ferramentas. Contudo, as necessidades formativas estendem-se, inclusivamente, aos cuidados de ciberhigiene que os profissionais de uma organização deverão ter pois, quando estes cuidados não são tidos, não é apenas a própria pessoa que será colocada em risco: será também a organização para a qual trabalha.

O artigo poderá ser consultado em https://jornaleconomico.sapo.pt/noticias/melhor-prevenir-do-que-remediar-com-ia-publica/.

________________________________________________________________________________________________________________________

Pois prevenir é poupar; e no poupar é que está o ganho!


A Fortinet, empresa norte-americana líder na área da cibersegurança, divulgou no final do ano transato o relatório «Insider Risk Report 2025», elaborado em colaboração com a Cybersecurity Insiders, que apontou para um agravamento significativo das ameaças internas nas organizações, em matéria de segurança da informação. Efetivamente, os resultados de um inquérito aplicado junto de 883 profissionais de cibersegurança e IT, demonstram que 77% das organizações reportaram incidentes internos de perda de dados, sendo que 62% sofreram incidentes que resultaram de erro humano.

Mas a que nos referimos quando falamos em «perda de dados»? Referimo-nos a dados estritamente pessoais?

Não, mas é importante ter em mente que este estudo apurou que, nos incidentes mais relevantes que foram esmiuçados, 53% dizem respeito a registos de clientes, 47% a informação pessoal identificável, 36% a credenciais de utilizadores e 17% a informações de saúde.

Este relatório vem corroborar a tese que, apesar de as ameaças maliciosas externas serem uma realidade da qual já não podemos fugir, num contexto atual em que as guerras já não se combatem apenas corpo a corpo, mas também em contexto cibernético, muitas vezes uma grande parte das ameaças encontram-se dentro de portas. Atividades quotidianas como o envio de ficheiros sensíveis por e-mail, o armazenamento de informações em clouds pessoais, utilização de ferramentas de Inteligência Artificial generativa não aprovadas e descartabilidade de dispositivos removíveis como discos externos e pendrives estão na origem de uma grande parte dos data leaks de muitas organizações.

E que se desengane quem vê na segurança da informação uma não-questão, pois estes incidentes não são uma mera questão catastrofista de engenheiros informáticos. Tal como aponta o relatório, estes incidentes têm impactos bastante reais na vida financeira, operacional e reputacional de uma empresa. Com efeito, 45% das organizações auscultadas relataram perdas financeiras como a consequência mais relevante do seu incidente mais importante, seguindo-se 43% dos profissionais que destacaram os danos reputacionais como a consequência mais relevante.

Se aprofundarmos um pouco a questão, verificaremos que o tema não é de somenos: 76% dos profissionais relataram perdas de 100 mil dólares, 41% entre 1 milhão e 10 milhões de dólares e 9% viram a empresa ter uma perda financeira de mais de 10 milhões de dólares.

Efetivamente, quando se trata de um incidente de segurança de informação, a questão não é «Será que vai acontecer um incidente?», mas sim «Quando é que vai acontecer um incidente?». Assim, as organizações devem apostar, não só numa correta resolução dos incidentes ocorridos mas também na prevenção adequada e respetiva mitigação dos riscos existentes, de forma a que os altos custos associados aos incidentes sejam prevenidos. Uma postura ativa na educação de uma organização para uma postura mais madura em matérias de segurança da informação e de proteção de dados é, de facto, a opção mais adequada para garantir que esta está em conformidade com a legislação aplicável. Assim, sublinha-se a necessidade de apostar em formação regular para que os profissionais possuam os conhecimentos mais atuais acerca dos comportamentos mais «higienes», sendo também recomendável a aposta em campanhas de phishing.

Para consultar o relatório completo, basta aceder a https://www.fortinet.com/content/dam/fortinet/assets/reports/2025-insider-risk-report-ftnt.pdf.

________________________________________________________________________________________________________________________

Decreto-Lei n.º 2/2025, de 23 de janeiro

Presidência do Conselho de Ministros

Executa o Regulamento (UE) 2022/868, relativo à governação europeia de dados

O Regulamento (UE) 2022/868, do Parlamento Europeu e do Conselho, de 30 de maio de 2022, relativo à governação europeia de dados, e que altera o Regulamento (UE) 2018/1724 (Regulamento Governação de Dados), visa regulamentar a reutilização, na União Europeia, de determinadas categorias de dados detidos por organismos do setor público, estabelecendo um regime de notificação e supervisão para a prestação de serviços de intermediação de dados, bem como um regime para o registo voluntário das entidades que recolhem e tratam os dados disponibilizados para fins altruístas, e um regime para a criação de um Comité Europeu de Inovação em Dados.

O principal objetivo é fomentar a inovação e a partilha segura de dados na economia digital europeia, respeitando simultaneamente os direitos dos titulares dos dados, quer do ponto de vista de dados pessoais como os não pessoais.

Assim, do Regulamento da Governação de Dados resulta a obrigação de cada Estado-Membro designar um ou vários organismos competentes, em determinados setores, para apoiar os organismos do setor público que, nesse quadro jurídico, concedem ou recusam acesso, para fins de reutilização, a determinadas categorias de dados protegidos.

Em conformidade com tal desígnio, foi publicado o Decreto-Lei n.º 2/2025, de 23 de janeiro no Diário da República, 1.ª série, n.º 16 que executa o referido Regulamento (EU) 2022/868, relativo à governação europeia de dados e que prescreve o Regime Jurídico das Contraordenações Económicas como mecanismo de aplicação subsidiário em tudo o que não estiver expressamente estabelecido no diploma legal aqui em apreço.

Neste sentido, nos termos do artigo 2.º do presente Decreto-Lei o Estado Português definiu como entidades competentes para assegurar a supervisão e a conformidade com as disposições do regulamento:

  • Agência para a Modernização Administrativa (AMA, I.P.) – cuja matéria de competência tem o seu elenco previsto no disposto do artigo 3.º do presente diploma legal;
    Secretaria-Geral do Ministério das Finanças,
    ANACOM,
    Inspeção-Geral da Agricultura, do Mar, do Ambiente e do Ordenamento do Território,
  • Autoridade de Segurança Alimentar e Económica,
  • Secretaria-Geral do Ministério do Ambiente,
  • Serviços Partilhados do Ministério da Saúde (SPMS) e a
  • Secretaria-Geral do Governo.

Com especial relevância, o artigo 34.º do Regulamento Governação de Dados determina que compete aos Estados‑Membros definir as regras relativas às sanções aplicáveis em caso de violação das obrigações referentes às transferências de dados não pessoais para países terceiros, bem como quando se verifique o incumprimento das condições para a prestação de serviços de intermediação de dados e das condições para o registo como organização de altruísmo de dados reconhecida, estas obrigações encontram-se reguladas nos artigos 7.º, 8.º e 9.º do presente Decreto-lei.

Assim, o presente Decreto-Lei, nos termos do artigo 10.º, veio classificar as contraordenações como sendo leves, graves e muito graves, ficando o quadro sancionatório exposto da seguinte forma:

  • Contraordenações muito graves – prevê-se a aplicação de coimas de 2.500,00€ a 3.740,00€ para pessoas singulares e de coimas de 20.000,00€ a 44.890,00€ para pessoas coletivas, prevendo-se ainda a possibilidade de aplicação de sanções acessórias, consoante a gravidade da infração e a culpa do agente.
  • Contraordenações graves – serão aplicadas coimas de 500,00€ a 2.500,00€ para pessoas singulares e de 5.000,00€ a 20.000,00€ para pessoas coletivas.
  • Contraordenações leves – preveem-se a aplicação de coimas de 100,00€ a 1.000,00€ para pessoas singulares e de 1.000,00€ a 5.000,00€ para pessoas coletivas.

Por último, neste quadro sancionatório, o legislador não esqueceu a punição a título de negligência, contemplada no n.º 4 do artigo 10.º, onde se prevê que os limites mínimos e máximos das coimas aplicáveis possam ser reduzidos a metade.

 

ACÓRDÃO DO TRIBUNAL DA JUSTIÇA DA UNIÃO EUROPEIA, processo C‑768/21, de 26 de setembro de 2024

(Publicado na Euro-Lex)

O pedido de decisão prejudicial tem por objeto a interpretação dos artigos 57.°, n.° 1, alíneas a) e f), 58.°, n.° 2, e 77.°, n.° 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). 

Este pedido foi apresentado no âmbito de um litígio que opõe TR ao Land Hessen (Land de Hesse, Alemanha) a respeito da abstenção de o Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Responsável pela proteção de dados e pela liberdade de informação no Land de Hesse, Alemanha) («HBDI») tomar medidas de correção em relação à Sparkasse.