Criminaliza a conduta «usurpação de identidade digital», procedendo à alteração à Lei n.º 109/2009, de 15 de setembro, que consagra a Lei do Cibercrime

Projeto de Lei n.º 697/XVII/1.ª Criminaliza a conduta «usurpação de identidade digital», procedendo à alteração à Lei n.º 109/2009, de 15 de setembro, que consagra a Lei do Cibercrime Exposição de motivos No primeiro trimestre de 2024, foram registados 7,43 milhões de utilizadores ativos nas redes sociais em Portugal, correspondendo, tal valor, a 72,6% da população portuguesa. Sincronicamente, do total de utilizadores de internet em Portugal, 84% possui, pelo menos, uma rede social desde janeiro de 2024. Os referidos dados, adiantados pelo Global Overview Report, e manifestamente expressivos, refletem a adesão dos cidadãos ao mundo digital. Todavia, como se sabe, sendo o crescimento, em si mesmo, inevitável, também o é que a ocorrência de cibercrimes acompanhe a tendência. É certo que, e como pode ler-se no Relatório Anual de Segurança Interna de 2025 “No combate à cibercriminalidade - incluindo a exploração sexual de crianças online e a criminalidade grave facilitada por meios digitais - foram executadas várias operações transnacionais de alto impacto, em cooperação com autoridades e agências internacionais, como as operações OCEANUS (em coordenação com múltiplos países e a EUROPOL relativamente a fraude em investimentos e ransomware, com "sprints" de análise de informação), LEAK (com o FBI e a EUROPOL contra infostealers e mercados de dados ilícitos), SAFFRON (tarefa conjunta com a EUROPOL e as autoridades francesas para identificação de utilizadores de serviços associados a atividade criminosa) e STREAM (com a EUROPOL e as autoridades alemãs contra a plataforma "KIDFLIX" de darkweb com material de abuso sexual de menores, resultando em abertura de investigações, detenções e identificação de vítima). Por seu lado, o Gabinete de Cibercrime da Procuradoria-Geral da República (PGR) reforçou a convergência entre formação, partilha de boas práticas e coordenação internacional ao participar, no seio da Eurojust, na European Judicial Cybercrime Network (EJCN), assumindo a presidência do Training Subgroup e liderando a realização de diversas Master Classes online para magistrados europeus, o que potencia alinhamento técnico e resposta homogénea em investigações de prova digital transfronteiriça. Esse Gabinete assumiu também a coordenação da CiberRede/CiberRed (AIAMP), incluindo reuniões presenciais e sessões temáticas formativas online, bem como a coordenação do Fórum Lusófono sobre Cibercrime e Prova Digital no âmbito da CPLP, instrumentos que ampliam redes de contacto, aceleram pedidos de cooperação e uniformizam metodologias de recolha e preservação de prova digital em contextos de criminalidade grave.” Todavia, o mesmo referido relatório patenteia, precisamente e de forma particularmente expressiva que o cibercrime em Portugal deixou de poder ser encarado como um fenómeno estabilizado ou meramente residual. De facto, os dados evidenciam uma trajetória de crescimento acelerado, com uma evolução que parece ultrapassar a capacidade de resposta, investigação e acompanhamento das autoridades competentes, consubstanciando um desfasamento cada vez mais preocupante entre a sofisticação da criminalidade informática e os meios disponíveis para a combater. De acordo com o RASI, a criminalidade informática participada registou um aumento de 13,4% face ao ano anterior. Mais expressivos ainda são os indicadores relativos a modalidades específicas de ataque: os casos de ransomware cresceram 71%, o phishing aumentou 93%, a exploração de vulnerabilidades críticas subiu 162% e o código malicioso, ou malware, conheceu um crescimento de 224%. Estes números não apontam para uma realidade controlada ou em fase de estabilização, mas antes para uma ameaça em franca expansão, com impacto direto na segurança dos cidadãos, das empresas e das próprias entidades públicas. Também os dados do CERT.PT, equipa de resposta a incidentes do Centro Nacional de Cibersegurança, reforçam esta tendência. Em 2025, foram registados 61.798 incidentes de cibersegurança no ciberespaço nacional. Excluída a deteção automática, foram abertos 3.864 incidentes com origem em 8.891 notificações, o que traduz um aumento de 40% no número de incidentes e de 75% no número de notificações. Ainda assim, estes valores devem ser lidos com especial cautela, uma vez que refletem apenas os casos efetivamente comunicados às autoridades e entidades competentes. A dimensão real do fenómeno será, necessariamente, superior, permanecendo uma parte significativa da criminalidade informática fora dos mecanismos oficiais de reporte e, consequentemente, fora da visibilidade estatística do Estado. Particularmente relevante é o grau do comprometimento de contas, que constituiu a classe de incidentes mais numerosa, com 47.953 registos, correspondendo a cerca de 78% do total, o que se afigura especialmente preocupante, uma vez que muitos destes incidentes têm origem na utilização de infostealers, isto é, programas maliciosos concebidos para recolher credenciais de acesso, cookies de autenticação, dados armazenados em browsers e outros documentos sensíveis. A informação assim obtida é frequentemente transacionada em fóruns e mercados associados ao cibercrime, podendo depois ser utilizada como porta de entrada para ataques de maior gravidade, incluindo esquemas de ransomware, fraudes digitais, usurpação de identidade e intrusões em sistemas públicos ou privados. É de tal conjuntura que resulta a necessidade de criminalizar a usurpação de identidade digital, tipificando-a, conforme, inclusive, foi recentemente sublinhada pelo Diretor Nacional da Polícia Judiciária, Carlos Cabreiro, em audição parlamentar realizada no âmbito da apreciação na especialidade do Projeto de Lei n.º 398/XVII/1.ª, relativo à proteção de crianças em ambientes digitais. Entre o mais, o Diretor Nacional da Polícia Judiciária, Autoridade de Polícia criminal ex vi do disposto no artigo 8.º do DL n.º 137/2019, de 13 de setembro, que aprova a nova Estrutura Organizacional da Polícia Judiciária, alertou para a necessidade de prever e punir o crime de usurpação de identidade digital, ante a conjuntura recorrente de queixas apresentadas por cidadãos à Polícia Judiciária relativas à apropriação ilegítima de contas pessoais em redes sociais, designadamente Facebook e LinkedIn, posição que, atentas as leges artis e a experiência funcional do Diretor Nacional da Polícia Judiciária na área do combate ao cibercrime e à criminalidade tecnológica. Destarte, considerando que a usurpação de identidade digital não se apresenta, atualmente, como um fenómeno marginal à vida em sociedade, afirmando-se, antes, uma ameaça concreta à identidade pessoal, à reputação, à vida privada e à confiança nas relações digitais, impõe-se a urgente proteção dos cidadãos, através de uma figura penal autónoma, clara e proporcional dos agentes, adaptando a lei penal à realidade tecnológica atual, só assim satisfazendo as finalidades do direito penal e o poder do Estado. Nos termos constitucionais e regimentais aplicáveis, os deputados do Grupo Parlamentar do CHEGA apresentam o seguinte Projeto de Lei: Artigo 1.º Objeto O presente diploma procede à alteração à Lei n.º 109/2009, de 15 de setembro, na atual redação, que aprova a Lei do Cibercrime, transpondo para a ordem jurídica interna a Decisão Quadro n.º 2005/222/JAI, do Conselho, de 24 de fevereiro, relativa a ataques contra sistemas de informação, e adapta o direito interno à Convenção sobre Cibercrime do Conselho da Europa. Artigo 2.º Alteração à Lei n.º 109/2009, de 15 de setembro É alterado o artigo 2.º da Lei n.º 109/2009, de 15 de setembro, que passa a ter a seguinte redação: “Artigo 2.º […] Para efeitos da presente lei, considera-se:a) […];b) […];c) […];d) […];e) […];f) […];g) […];h) […]; i) «Identidade digital» o conjunto de elementos de identificação ou representação digitais de uma pessoa singular ou coletiva, incluindo, v.g., o nome, a imagem, a voz, os dados pessoais, o endereço de correio eletrónico, a conta, o perfil, a página, o nome de utilizador, as credenciais de acesso e o identificador digital ou qualquer outro elemento idóneo a permitir a sua identificação, representação ou associação perante terceiros. Artigo 3.º Aditamento à Lei n.º 109/2009, de 15 de setembro É aditado o artigo 7.º-A à Lei n.º 109/2009, de 15 de setembro, que passa a ter a seguinte redação: «Artigo 7.º-A Usurpação de identidade digital 1 - Quem, sem consentimento do titular, de modo idóneo e com o intuito de atuar em seu nome, sob a sua identidade e sem a sua autorização, utilizar, assumir, controlar, manter ou disponibilizar conta, perfil, página, endereço eletrónico, nome de utilizador, credenciais de acesso ou qualquer outro elemento de identidade digital de pessoa singular ou coletiva, é punido com pena de prisão até 1 ano ou com pena de multa até 120 dias. 2 - A pena é de prisão até 2 anos ou multa até 240 dias se o agente que, por qualquer meio informático, utilizar elementos de identidade digital de terceiro com intenção de causar prejuízo, lograr obter vantagem ilegítima. 3 - A pena é de prisão de 1 a 5 anos quando: a) O agente, por qualquer meio informático, utilizar elementos de identidade digital de terceiro com intenção de causar prejuízo, lograr obter vantagem ilegítima; c) A conduta envolva a divulgação, ameaça de divulgação ou utilização de dados pessoais sensíveis, imagens íntimas, comunicações privadas ou informações relativas à vida familiar, profissional, financeira ou clínica da vítima; d) A conduta for praticada através de rede criminal organizada ou atinja uma pluralidade de contas, perfis ou identidades digitais; e) A conduta for praticada por funcionário no exercício das suas funções ou com abuso das mesmas. 4 - A tentativa é punível. 5 - O procedimento criminal depende de queixa, salvo nos casos previstos no n.º 3, ou quando a vítima seja menor ou especialmente vulnerável. 7 - Não é punível a utilização manifestamente satírica, paródica, artística, académica, jornalística ou de crítica política ou social, desde que não seja idónea a induzir terceiros em erro quanto à identidade do titular, nem seja praticada com intenção de causar prejuízo, obter vantagem ilegítima ou facilitar a prática de um crime.» Artigo 4.º Entrada em vigor A presente lei entra em vigor 30 dias após a sua publicação. Palácio de São Bento, 29 de Junho de 2026. Os Deputados do Grupo Parlamentar do CHEGA,