Foi recentemente lançada uma nova versão do site da Segurança Social Direta, acessível em https://www.seg-social.pt/ptss/pssd/home?dswid=-5065, conforme anunciado de forma lacónica nesta página oficial: https://www.seg-social.pt/ptss/pssd/noticias/noticia-novo-portal-seguranca-social.

Entre as melhorias, destaca-se a possibilidade de autenticação com Chave Móvel Digital (com verificação multifator): uma funcionalidade que vínhamos sugerindo desde janeiro de 2025 (ver: https://cidadaospelaciberseguranca.com/2025/01/25/milhares-de-ibans-foram-alterados-no-site-da-seguranca-social-directa-sem-o-conhecimento-dos-beneficiarios-algumas-propostas-da-cpc/), após o ciberataque que afectou mais de 500 pensionistas e levou à detenção de 45 indivíduos: https://cidadaospelaciberseguranca.com/2025/06/25/ciberataque-a-seguranca-social-45-detidos-por-burlas-a-mais-de-500-pensionistas/.

Ao utilizar o método tradicional de login com “username/password” (como os que estiveram na base do incidente de segurança), é apresentada agora a opção de “Aderir” ao Segundo Fator de Autenticação. Neste processo, o sistema solicita um número de telefone (embora devesse especificar “telemóvel”) e não aceita prefixos internacionais como +351: uma limitação intencional para restringir o acesso a números nacionais.

O número lido é aquele que consta do registo do utilizador no Portal das Finanças, o que é coerente com a política de centralização de dados, embora o sistema não permita, nesta fase, a sua alteração. Após o registo, é enviado um PIN por SMS, que passará a ser exigido em cada novo login (com 5 tentativas permitidas por sessão).

Nota adicional: os métodos de autenticação por Chave Móvel Digital e EORI continuam disponíveis para quem os prefira.

Este conjunto de melhorias marca um avanço relevante na segurança digital da Segurança Social Direta. No entanto, será importante garantir que estas medidas sejam acompanhadas de notificações automáticas de alterações sensíveis (como IBAN ou contacto), de uma evolução para aplicação de autenticação como o Google ou o Microsoft Authenticator e de mecanismos que reforcem a literacia digital dos utilizadores.