Em março de 2026, o grupo de hackers pró-palestinianos Handala – amplamente tido como uma – entre várias – encarnações ciberespionagem do governo iraniano reivindicou publicamente a invasão do correio eletrónico pessoal de Kash Patel, diretor do FBI. O Departamento de Justiça dos EUA confirmou o sucedido. Os hackers publicaram fotografias e o suposto curriculum vitae de Patel, proclamando que este constava agora “na lista de vítimas bem-sucedidas” da organização.

Não se trata de um caso isolado. No final de 2024, poucas semanas antes de Patel ser nomeado para liderar o FBI, os serviços de segurança já o tinham avisado de que as suas comunicações pessoais tinham sido parcialmente comprometidas numa operação iraniana mais vasta (a mesma campanha visou responsáveis da transição Trump, incluindo o próprio filho do presidente, Donald Trump Jr., e a ex-procuradora Lindsey Halligan.) O Handala reivindicou também ataques à fabricante de dispositivos médicos Stryker e publicou dados pessoais de dezenas de funcionários da Lockheed Martin destacados no Médio Oriente. O Handala apresentou o ataque a Patel explicitamente como retaliação pela apreensão dos seus domínios pelo FBI e pela oferta de uma recompensa de 10 milhões de dólares por informações sobre ataques semelhantes: ironicamente, o mesmo dia em que o DOJ confiscou os quatro domínios do grupo, eles registaram um novo domínio e continuaram a sua operação com aparente normalidade.

O caso Patel expõe uma vulnerabilidade que não é americana: é universal e, também, muito portuguesa. Quando um responsável político usa a sua conta pessoal de Gmail, Outlook ou iCloud para tratar de assuntos de Estado, está a colocar informação sensível numa infraestrutura que não tem as proteções exigidas aos sistemas governamentais: sem autenticação multifator obrigatória, sem registos de auditoria, sem controlo de acesso adaptado ao risco, sem encriptação de ponta a ponta gerida pelo Estado.

Em Portugal, não existe legislação que proíba explicitamente membros do Governo, deputados ou responsáveis de serviços de segurança de usarem contas pessoais de correio eletrónico para comunicações oficiais. A Lei de Segurança do Ciberespaço (Lei n.º 46/2018) e o regime do RGPD impõem requisitos gerais de segurança às entidades públicas, mas não há uma norma clara que criminalize ou sequer restrinja o uso de contas privadas para fins de serviço. A Europa também não chegou ainda a esse passo: nem a Diretiva NIS2, transposta em 2024, nem qualquer outro instrumento comunitário impõe explicitamente tal proibição aos titulares de cargos políticos.

Na opinião da CpC: esta lacuna é muito grave. Um ministro que usa o Gmail pessoal para discutir uma aquisição de defesa, uma negociação laboral sensível ou uma operação policial em curso está a expor essa informação a riscos que os sistemas governamentais foram concebidos para evitar. E ao contrário dos servidores do Estado, uma conta Gmail comprometida não aciona automaticamente qualquer protocolo de resposta a incidentes.

O que a Europa e Portugal deveriam fazer? 

É urgente legislar. A solução não é complexa: os responsáveis políticos e funcionários com acesso a informação classificada ou sensível deveriam ser obrigados, por lei, a usar exclusivamente sistemas de comunicação certificados pelo Estado para qualquer correspondência relacionada com as suas funções. O uso de contas pessoais para fins oficiais deveria ser tratado como uma infração disciplinar e, em casos envolvendo informação classificada, como uma violação penal. A União Europeia poderia incluir esta obrigação numa futura revisão da Diretiva NIS2 ou num regulamento específico sobre cibersegurança dos titulares de cargos públicos.

A propósito da NIS2 e das ambições regulatórias europeias em matéria de cibersegurança, não deixa de ser revelador o que aconteceu a 24 de março de 2026, apenas três dias antes desta publicação: a própria Comissão Europeia foi vítima de uma invasão digital que resultou no roubo de dados de sites públicos hospedados no portal Europa.eu. O ataque comprometeu a infraestrutura de nuvem responsável pelas páginas oficiais da União Europeia, embora, segundo a instituição, não tenha atingido os sistemas internos. poder360 A ironia não podia ser mais gritante: a mesma instituição que promove e impõe normas de cibersegurança a Estados-membros e entidades privadas não conseguiu proteger a sua própria presença digital. Isto não significa que a regulação seja inútil — significa que regulação sem implementação séria e sem cultura de segurança é papel molhado. A Comissão Europeia provou involuntariamente, da pior forma possível, que legislar não chega.

Conselhos práticos para proteger o seu Gmail pessoal:

1. Verifique se a verificação em dois passos está realmente ativa: não assuma que está. A Google ativou-a automaticamente para mais de 150 milhões de utilizadores, mas pode ter sido desligada. Aceda a myaccount.google.com/security e confirme. Para contas Gmail pessoais de consumidor, a 2FA não é obrigatória — ao contrário das contas Google Cloud empresariais, onde passou a ser exigida em 2025.

2. Escolha o segundo fator certo: o SMS é o mais fraco. Uma chave de segurança física (https://www.yubico.com/products/) é a proteção mais robusta e a única realmente resistente a phishing avançado. A app Google Authenticator ou a Microsoft Authenticator (gratuitas e na forma de app móveis) são opções intermédias aceitáveis. O SMS por código é o método mais vulnerável dado que é suscetível a SIM Swap e deve ser o último recurso.

3. Use uma password longa e única, gerida por um cofre digital. Ferramentas como Bitwarden (gratuito e open-source) ou 1Password geram e guardam senhas complexas.

4. Verifique se o seu email já apareceu em fugas de dados em haveibeenpwned.com.

5. Inscreva-se no Programa de Proteção Avançada do Google em https://landing.google.com/intl/pt-BR/advancedprotection/. É gratuito e concebido para quem é alvo prioritário: jornalistas, advogados, ativistas, responsáveis políticos. Restringe o acesso a apps não verificadas mas exige chave física para autenticação (como a Yubikey).

6. Audite as apps com acesso OAuth à sua conta. Aceda a myaccount.google.com/permissions. Cada app autorizada é uma potencial porta de entrada. Revogue tudo o que não reconheça.

7. Verifique a atividade recente. No Gmail, no rodapé, clique em Detalhes. Um acesso de um país desconhecido ou de um dispositivo que não é, de facto, seu é sinal de alerta imediato.

8. Nunca use o Gmail pessoal para assuntos profissionais sensíveis. Este ponto é estrutural, não opcional e aqui onde entra a necessidade urgente de legislação que propomos.

9. Mantenha dispositivos e software atualizados. Malware instalado no equipamento pode capturar sessões de Gmail mesmo com 2FA ativa.

10. Desconfie de qualquer email com urgência artificial. Antes de clicar num link, verifique o URL real. Aceda sempre ao Gmail diretamente pelo browser, nunca por links em emails.

11. Revogue sessões ativas em equipamentos antigos. Em Segurança → Os seus dispositivos, encerre sessões em portáteis ou telemóveis que já não usa ou que foram entregues a terceiros.

Formação séria e obrigatória para todos os que trabalham para o Estado: sem exceções: Este é provavelmente o conselho mais importante e o mais ignorado em Portugal.

Portugal deveria legislar a obrigatoriedade de formação periódica em cibersegurança para todos os que trabalham para o Estado ou acedem às suas instalações: sem distinção de nível hierárquico ou de acesso a sistemas. Isto inclui ministros, secretários de Estado, diretores-gerais, pessoal das forças e serviços de segurança, assessores, funcionários administrativos, e também pessoal de limpeza, segurança e manutenção. Qualquer pessoa que entre num edifício do Estado, que ligue um computador numa rede governamental, ou que simplesmente tenha acesso físico a áreas sensíveis é um potencial vetor de ataque. A cadeia de segurança não é mais forte do que o seu elo mais fraco — e esse elo pode ser alguém que nunca tocou num sistema classificado na sua vida.

Mas atenção: não falamos da formação do tipo “não carregue em links desconhecidos, use sempre VPN” que tem caracterizado muita da oferta institucional em Portugal, incluindo a do próprio CNCS. Falamos de formação séria, com impacto real. Formação que mostre, concretamente e com casos reais, como atacantes já entraram em organizações supostamente seguras — muitas vezes por uma porta de serviço, por um pen drive deixado num corredor, ou por um email enviado para o telemóvel pessoal de alguém que limpa os escritórios à noite. 

Tratamento de choque com a realidade, para que as pessoas percebam visceralmente que “sim, é mesmo assim tão fácil” — e que elas próprias podem ser o alvo, o vetor, ou a solução.

Esta formação deveria incluir, no mínimo: reconhecimento de tentativas de phishing e engenharia social, procedimentos corretos de comunicação de informação sensível, uso obrigatório de sistemas governamentais certificados, e simulações práticas de ataques — incluindo exercícios de intrusão física e social que coloquem as pessoas perante cenários reais.

A Europa tem exemplos a seguir: a Alemanha exige formação anual obrigatória em cibersegurança para funcionários federais com acesso a informação classificada; a Estónia integra literacia digital e de segurança nos currículos de formação de toda a administração pública. Portugal está atrasado neste domínio. O Centro Nacional de Cibersegurança tem competências e capacidade para desenhar estes programas: falta uma lei que os torne obrigatórios e vinculativos, com consequências disciplinares para o incumprimento — e falta, acima de tudo, a ambição de fazer formação que realmente mude comportamentos, em vez de cumprir uma formalidade em papel.

A invasão ao email de Kash Patel não foi apenas uma falha tecnológica. Foi também, muito provavelmente, uma falha de comportamento humano — alguém que usou o canal errado, clicou no link errado, ou subestimou o risco. Nenhuma lei, nenhuma chave física, nenhum sistema governamental substitui a consciência de quem está do outro lado do ecrã.