RESUMO EXECUTIVO PARA OS MEDIA
Exames Nacionais 2026: fragilidades de cibersegurança na correção digital e no novo acesso às provas exigem respostas do Estado
CpC: Cidadãos pela Cibersegurança
O QUÊ
Pela primeira vez, a correção dos exames nacionais do ensino secundário passou a ser maioritariamente digital, através de duas plataformas: a Plataforma de Classificação e Supervisão (PCS), gerida pelo EduQA, e uma plataforma de distribuição e classificação desenvolvida por um fornecedor externo, a Blat – Creative Powerhouse. A CpC identificou um conjunto alargado de falhas de cibersegurança e de integridade de dados ao longo de todo o processo (desde a correção pelos professores até ao novo canal de acesso das provas pelos alunos) e enviou dois pedidos formais de acesso à informação (LADA) ao Ministério da Educação, Ciência e Inovação: um a 8 de julho, com dezanove pontos, e um segundo a 15 de julho, sobre o novo canal de consulta de provas. Nenhum dos dois obteve resposta até ao momento.
PORQUÊ AGORA
O Ministério prolongou o prazo de classificação até 15 de julho “para garantir condições de rigor”. A afixação das pautas da 1.ª fase mantém-se prevista para 17 de julho: o mesmo dia em que o ministro Fernando Alexandre vai a debate de urgência no Parlamento, requerido pelo PCP, sobre os atrasos e falhas do processo. A CpC entende que as questões colocadas exigem resposta institucional antes dessa data.
OS FACTOS PRINCIPAIS
Correção digital das provas
* Suspensão por “fragilidade de segurança”: a 6 de julho, a plataforma de distribuição foi suspensa por recomendação da Deloitte. O ministro classificou a cibersegurança como “o maior risco” do processo; o GNS acompanha o processo desde o início.
* Falha de exclusividade e rastreabilidade: a PCS não garante que cada resposta seja corrigida por um único professor, nem regista de forma fiável quem classificou o quê. O próprio EduQA admite, por escrito, que a contagem de respostas pode estar errada.
* Alegada exposição de dados sensíveis: a metaPROF denunciou, a 9 de julho, indícios de que ecrãs da PCS terão exposto a identidade de alunos com Medidas de Suporte à Aprendizagem — possível violação de dados de categoria especial (artigo 9.º do RGPD).
* Autenticação via Portal das Finanças: o acesso dos professores classificadores usa credenciais da Autoridade Tributária, nem sempre protegidas por MFA, sem confirmação de que a plataforma imponha essa proteção de forma independente.
* Sem controlo geográfico de acesso: nenhum dos professores inquiridos recebeu aviso ao aceder de locais diferentes: indício de ausência de geofencing.
* Precedente ignorado: os mesmos problemas já tinham sido identificados no projeto-piloto de Filosofia em 2025.
* Nova base de dados de monitorização de professores, sem garantias conhecidas de proteção de dados.
* Possível ciberataque à Blat: segundo o ECO, terá circulado na dark web informação de um alegado ataque à empresa: uma microempresa (menos de 580 mil euros de faturação, 14 funcionários) responsável por infraestrutura crítica de um serviço público nacional.
* Fragilidade técnica nos códigos QR dos cadernos de exame: dimensão de impressão abaixo do recomendado (17,5×17,5 mm), ausência de dígitos de controlo e formato rasterizado — uma explicação técnica alternativa para páginas “desaparecidas” ou mal associadas.
* Pergunta em aberto sobre o destino dos dados após o processo: prazo de conservação, revogação de acessos de subcontratados e eventual reutilização para outros fins.
Novo canal de acesso às provas pelos alunos
* Este ano, pela primeira vez, os alunos acedem à sua prova digitalizada e classificação sem requerimento nem pagamento. Cada agrupamento localiza a prova através do número convencional do aluno (não confidencial) numa plataforma partilhada, e a escola envia depois o PDF por correio eletrónico.
* Riscos identificados: ausência de informação pública sobre autenticação do funcionário na plataforma de pesquisa, validação da identidade do aluno antes do envio, proteção do PDF em trânsito e prazo de disponibilidade do acesso; exposição da confidencialidade do documento aos riscos de segurança da conta de email do aluno (comprometimento de conta, reencaminhamento, erro de destinatário).
Risco para alunos e famílias
* A CpC alerta para o risco de phishing e engenharia social explorando a ansiedade em torno do processo, nomeadamente mensagens que simulem oferecer acesso antecipado a notas.
OS NÚMEROS (inquérito próprio da CpC, 26 professores classificadores, 7–12 de julho)
Mais de 1 em cada 3 professores encontrou sinais de resposta já classificada por outra pessoa. Metade acede apenas com utilizador e palavra-passe, sem segundo fator. Mais de 70% sente-se “nada informado” sobre as medidas de segurança da plataforma. 92% não recebeu formação de segurança informática. Um professor relata ter visto desaparecerem 36 provas já corrigidas, das quais só 10 voltaram a aparecer, já classificadas por um colega.
O QUE A CpC PEDE
No pedido de 8 de julho (dezanove pontos): caracterização técnica da fragilidade de 6 de julho; confirmação sobre exposição de dados pessoais e sensíveis; cópia dos relatórios da Deloitte e do GNS; existência de MFA e de controlo geográfico de acesso; base jurídica para o uso de credenciais fiscais; medidas tomadas desde o piloto de Filosofia 2025; esclarecimento sobre o episódio da Ficha A e robustez técnica dos códigos QR.
No pedido de 15 de julho: mecanismo de autenticação previsto para o acesso dos alunos à prova digitalizada (Autenticação.gov, credenciais próprias, ou mera posse do link); existência de MFA e geofencing; prazo de validade do acesso; e garantias contra o acesso indevido de terceiros, nomeadamente em caso de compromisso da conta de email do aluno.
ENQUADRAMENTO
“A modernização dos processos de avaliação externa é um objetivo legítimo e desejável. Mas a digitalização de um processo com este grau de sensibilidade e impacto legal exige, como pré-condição, maturidade técnica, testes de segurança robustos e transparência sobre incidentes — não apenas garantias verbais de que ‘não houve ataque’.”
ESTUDO COMPLETO:
Exames Nacionais 2026: fragilidades de cibersegurança na correção digital exigem respostas do Estado
Introdução
A transição para um modelo de correção maioritariamente eletrónico nos exames nacionais do ensino secundário está a revelar, nas últimas semanas, problemas que já não podem ser tratados apenas como “falhas técnicas” ou “dificuldades operacionais” pontuais. Há, no centro desta polémica, questões concretas de cibersegurança e de integridade de dados que afetam um processo com efeitos legais diretos sobre dezenas de milhares de jovens: o acesso ao ensino superior. E há uma pergunta que não pode ficar sem resposta: neste momento, os dados de alunos e professores já passaram por infraestrutura privada, gerida por uma empresa externa ao Estado. Este contexto representa uma considerável dimensão de risco e não é nítido que a privacidade destes dados esteja totalmente garantida.
O que mudou este ano e o que os professores estão a relatar
Pela primeira vez, os exames nacionais – que continuam a ser realizados em papel – passaram a ser corrigidos de forma maioritariamente digital. As provas dos alunos são digitalizadas e distribuídas aos professores classificadores através de uma plataforma eletrónica, deixando de ser corrigidas na íntegra por um único professor: cada docente corrige agora apenas alguns itens (perguntas específicas) de milhares de provas diferentes.
Os relatos recolhidos junto de professores classificadores, através do https://metaprof.pt/ e de outros canais, descrevem um conjunto de falhas que, no conjunto, configuram um problema sério de integridade de dados e de controlo de acesso. Professores relatam entrar na plataforma com as suas próprias credenciais e verem surgir o perfil de outra pessoa: nome, email e dados de outro classificador. Há respostas de alunos que aparecem cortadas a meio, folhas de continuação de um aluno misturadas com a prova de outro, páginas que surgem completamente em branco ou completamente pretas, e provas que desaparecem da plataforma depois de já terem sido classificadas. Um caso reportado em https://metaprof.pt/ é particularmente ilustrativo: uma professora recebeu trinta e seis itens para corrigir, corrigiu-os todos, e no final apenas vinte e seis apareciam registados no sistema: sem que lhe fosse dada qualquer explicação sobre o que aconteceu aos restantes dez. Do ponto de vista da cibersegurança, este tipo de anomalia é tipicamente associado a falhas de controlo de acesso e de segregação de dados entre utilizadores: não a simples “instabilidade” de software.
Não era imprevisível: o precedente do projeto-piloto de Filosofia em 2025
Um elemento agrava significativamente a responsabilidade institucional neste processo: não se tratam de novas falhas ou de anomalias inesperadas. Em 2025, o exame nacional de Filosofia foi usado como projeto-piloto exatamente para este modelo de correção digital. Os professores que participaram no projeto-piloto relataram, já então, exatamente o mesmo tipo de problemas que se repetem agora em escala muito maior: provas que desapareciam do sistema, páginas em branco ou completamente pretas, respostas cortadas a meio, respostas trocadas entre alunos e folhas de resposta em branco. Tratando-se de falhas já identificadas e documentadas num projeto-piloto um ano antes da aplicação a todos os exames nacionais do secundário, a questão que se coloca deixa de ser “como é que isto aconteceu” e passa a ser “que medidas concretas de segurança foram tomadas entre o piloto e a aplicação em larga escala, e por que motivo falharam”?
Duas plataformas, dois problemas distintos
Existem dois sistemas envolvidos neste processo:
A Plataforma de Classificação e Supervisão (PCS), gerida pelo EduQA (Instituto de Educação, Qualidade e Avaliação), substituiu a antiga Editorial do Ministério da Educação. Um comunicado do movimento cívico metaPROF expõe uma falha estrutural neste sistema: a plataforma não garante exclusividade na atribuição das respostas de cada aluno a um único professor classificador, nem assegura rastreabilidade sobre quem classificou o quê. Segundo esse documento, existem casos de respostas já classificadas por terceiros antes mesmo de serem formalmente atribuídas ao professor responsável: em número que, nalguns relatos, ultrapassa as três dezenas de casos por lote. O próprio EduQA reconheceu, por escrito, no Manual do Professor Avaliador 2026, que a contagem de respostas do sistema pode estar incorreta. Não se trata de um pormenor administrativo: é uma falha de controlo de acesso e de integridade de dados num sistema que determina notas com consequências legais diretas.
A segunda plataforma, dedicada à distribuição e classificação das provas, foi desenvolvida por uma empresa externa, parceira do Ministério da Educação desde 2018. Foi este sistema que esteve suspenso na segunda-feira, dia 6 de julho, depois de o Ministério ter detectado o que classificou como uma “fragilidade de segurança”. Segundo o Observador, a fragilidade foi sinalizada e a consultora Deloitte – entretanto contratada para apoiar todo o processo de correção, depois de o próprio EduQA ter admitido junto do Ministério que precisava de mais recursos – recomendou a suspensão temporária da plataforma até às 15h desse dia. O ministro da Educação, Ciência e Inovação, Fernando Alexandre, afirmou publicamente que a segurança informática das plataformas constitui “o maior risco” de todo o processo de correção digital, e garantiu que o processo tem sido acompanhado, desde o início, pelo Gabinete Nacional de Segurança. A tutela insistiu que se tratou de uma fragilidade detetada e corrigida, e não de um ataque ou de uma intrusão no sistema.
Novo alerta da metaPROF: suspeita de quebra de anonimato de alunos com Medidas de Suporte à Aprendizagem
A gravidade do quadro descrito na secção anterior ganhou, entretanto, um contorno ainda mais sério. A 9 de julho de 2026, a metaPROF emitiu um segundo comunicado – “Exames 2026: Alerta Ficha A” – que a CpC entende dever incorporar e reforçar, por descrever exatamente o tipo de falha de controlo de acesso e de integridade de dados que este comunicado tem vindo a sinalizar, agora aplicada a uma categoria de dados particularmente sensível.
Segundo os relatos recolhidos pela metaPROF junto de professores classificadores a trabalhar na PCS, existem indícios de que os ecrãs de trabalho terão disponibilizado, de forma visível, Fichas A onde constaria a identidade de examinandos abrangidos por Medidas de Suporte à Aprendizagem (o regime que sucedeu às Necessidades Educativas Especiais). O anonimato dos examinandos é um princípio imperativo das normas de exames nacionais, destinado precisamente a impedir qualquer viés – consciente ou inconsciente – na classificação. A confirmar-se, esta alegada exposição não constitui apenas mais uma falha de estabilidade: se a identidade do aluno for revelada ao classificador, isso significa que dados relativos a uma medida de suporte à aprendizagem – dados que, pela sua natureza, podem revelar informação sobre a condição de saúde ou o perfil de funcionalidade de um menor – terão sido tratados fora do círculo de acesso estritamente necessário. Trata-se, na prática, de uma possível exposição de dados de categoria especial na aceção do artigo 9.º do RGPD, que beneficiam de um regime de proteção reforçado face aos dados pessoais comuns já discutidos nas secções anteriores deste comunicado.
A metaPROF relata ainda dois problemas adicionais, que se somam ao padrão de instabilidade técnica já descrito: a indexação tardia das Fichas A na plataforma, que terá obrigado professores classificadores a rever e a reclassificar retroativamente critérios linguísticos (ortografia e sintaxe) em itens já dados como encerrados, a meio do próprio processo de classificação; e o desaparecimento temporário de lotes de provas atribuídas, incluindo falhas nas páginas de continuação, com o risco de que documentos determinantes para a aplicação de critérios de diferenciação previstos na lei se percam no fluxo digital centralizado.
Estes três elementos – possível quebra de anonimato de dados sensíveis, alteração de critérios a meio do processo e instabilidade na entrega de provas – reforçam, com um caso concreto e datado, o argumento central deste comunicado: os problemas identificados no projeto-piloto de Filosofia de 2025 não foram resolvidos, e a sua recorrência em 2026 já não pode ser tratada como incidente isolado. A metaPROF enviou formalmente este documento ao Conselho Diretivo do EduQA, I.P., ao Júri Nacional de Exames (JNE) e ao Ministério da Educação, Ciência e Inovação, exigindo clarificação técnica e jurídica imediata.
O que ainda não foi esclarecido
É precisamente aqui que reside o défice de transparência que a CpC entende dever ser suprido. Até ao momento, não foi divulgada a natureza técnica concreta da fragilidade que motivou a suspensão de 6 de julho: se se tratou de uma falha de controlo de acesso, de autenticação, de exposição indevida de dados, de configuração do sistema ou de outro tipo. Não é conhecido se essa fragilidade, ou as alegadas anomalias da PCS agora denunciadas pela metaPROF, permitiram, em algum momento, acesso não autorizado a dados pessoais de alunos ou de professores classificadores, o que teria implicações diretas ao abrigo do Regulamento Geral sobre a Proteção de Dados – nomeadamente quanto à obrigação de notificação à Comissão Nacional de Proteção de Dados no prazo de setenta e duas horas, e, no caso de dados de categoria especial associados a Medidas de Suporte à Aprendizagem, a um dever de diligência acrescido nos termos do artigo 9.º do RGPD. Também não se sabe se foi realizada qualquer auditoria de segurança ou teste de intrusão a estas plataformas antes do arranque da presente época de exames: um procedimento que seria expectável, tratando-se do primeiro ano de um modelo de correção maioritariamente eletrónico aplicado a cerca de trezentos mil exames.
Quanto ao alegado episódio da Ficha A em particular, não é conhecido publicamente: em quantos casos, ou lotes, terá ocorrido a exposição da identidade de examinandos; que mecanismo de filtragem ou anonimização deveria ter impedido essa exposição, e por que motivo terá falhado; que critério orientou a decisão de permitir a revisão retroativa de itens já classificados na sequência da indexação tardia das Fichas A, e que garantias existem de que essa revisão não introduziu desigualdade de tratamento entre alunos classificados antes e depois da alteração de critérios; e qual o destino dado aos lotes de provas reportados como temporariamente desaparecidos.
A este propósito, o inquérito da CpC revela um dado adicional que reforça a urgência do esclarecimento: nenhum dos professores classificadores inquiridos recebeu qualquer formação ou aviso sobre segurança informática antes de começar a usar o sistema este ano, e – pelos dados provisórios do inquérito CpC – mais de sete em cada dez não sabe qual é o canal oficial para reportar um problema de segurança informática, distinto de um erro de correção. Quanto à empresa responsável pela plataforma de distribuição e classificação, o Ministério manteve esta informação reservada durante semanas, invocando apenas “razões de cibersegurança” após ter sido confrontado diretamente com a pergunta. Deve ser observado que essa justificação – a de que divulgar o nome do fornecedor constituiria um risco de segurança, alegadamente sinalizado pelo Gabinete Nacional de Segurança – é, no limite, uma admissão de que a proteção do sistema depende, ainda que parcialmente, do anonimato do fornecedor, e não apenas de controlos técnicos robustos. Numa arquitetura de segurança madura, o nome do fornecedor não deveria ser, por si só, um fator crítico de exposição a ataques.
A necessidade imperativa de autenticação multifator e controlo geográfico de acesso
Perante o que já é publicamente conhecido – uma plataforma que não garante exclusividade na atribuição de respostas (sendo que a https://metaprof.pt/ enviou um pedido formal de esclarecimento ao MECI, ao EduQA e ao JNE sobre este tema, com base num reconhecimento escrito do EduQA (FAQ 3.8 do Manual do Professor Avaliador 2026), uma alegada exposição de dados sensíveis de alunos com Medidas de Suporte à Aprendizagem, um sistema que também não aparenta ter um método de rastreabilidade fiável sobre quem acede a que dados, e um incidente de segurança que obrigou à suspensão total do serviço – a CpC considera que a autenticação de milhares de professores classificadores com uma simples credencial de utilizador e palavra-passe ainda possível na AT é manifestamente insuficiente para um sistema desta sensibilidade. A autenticação multifator (MFA) deveria ser um requisito não negociável para qualquer acesso à Plataforma de Classificação e Supervisão e à plataforma de distribuição e classificação, precisamente porque estas credenciais determinam quem pode ver, alterar ou submeter a classificação de uma prova com valor legal direto para o percurso académico de um aluno. Sem MFA, o simples compromisso de uma palavra-passe (por phishing, reutilização de credenciais ou partilha informal entre colegas sob pressão de prazos, como os próprios relatos de professores sugerem estar a acontecer) é suficiente para comprometer a integridade de um lote inteiro de classificações, sem que exista qualquer segundo fator que impeça o acesso indevido. O próprio inquérito da CpC (respostas recebidas apenas um dia depois do seu lançamento) reforça esta preocupação: metade dos professores classificadores inquiridos indica aceder à plataforma apenas com utilizador e palavra-passe, sem qualquer segundo fator.
Este ponto ganha ainda mais relevância quando se percebe que, segundo é público – e confirmado diretamente por um dos professores inquiridos pela CpC -, a autenticação nestas plataformas é feita através das credenciais da Autoridade Tributária e Aduaneira (AT): o mesmo mecanismo usado no Portal das Finanças. Ora, a AT disponibiliza hoje duas vias de acesso com garantias de segurança muito diferentes entre si: por um lado, a autenticação via Autenticação.gov (Cartão de Cidadão ou Chave Móvel Digital), que já incorpora por natureza um código de segurança adicional; por outro, a autenticação clássica por Número de Identificação Fiscal e palavra-passe, para a qual a própria AT confirma que o segundo fator de autenticação está a ser implementado por fases e não é, à data, universalmente obrigatório, aplicando-se atualmente apenas a contribuintes singulares sem atividade empresarial ou profissional, com as fases seguintes ainda por alargar a trabalhadores independentes, empresários e entidades coletivas. Todos os professores classificadores têm atividade profissional aberta para efeitos fiscais, pelo que não se pode presumir, sem confirmação expressa do Ministério e do EduQA, que todos os professores classificadores autenticados por esta via estejam efetivamente protegidos por um segundo fator nem que a própria plataforma imponha essa camada de segurança de forma independente da configuração pessoal de cada utilizador no Portal das Finanças. É precisamente esta ambiguidade que a CpC entende dever ser esclarecida.
A esta questão deveria somar-se um controlo geográfico de acesso (geofencing ou restrição por intervalos de IP), dado que os professores classificadores acedem a este sistema a partir de estabelecimentos de ensino ou de locais previamente identificáveis em território nacional. Um sistema que sinalize ou bloqueie automaticamente tentativas de acesso a partir de geografias anómalas constitui uma camada adicional de deteção precoce de comprometimento de credenciais, e é uma prática comum em sistemas de informação que tratam dados sensíveis com impacto legal: como é manifestamente o caso da classificação de exames nacionais. A ausência pública de qualquer referência a estes controlos, nas explicações dadas até agora pelo Ministério e pelo EduQA, é um dos pontos que a CpC entende dever ser esclarecido com urgência – tanto mais que, segundo o inquérito da CpC, mais de metade dos professores classificadores já acedeu à plataforma a partir de mais do que um local, sem que nenhum deles tenha recebido qualquer aviso ou pedido de confirmação adicional por isso.
Há ainda uma questão prévia que a CpC considera dever ser colocada com igual urgência: a da própria adequação e legalidade da opção de utilizar as credenciais da Autoridade Tributária e Aduaneira como mecanismo de autenticação para uma plataforma de classificação de exames nacionais. O sistema de autenticação da AT foi concebido, na sua génese, para o acesso dos contribuintes ao Portal das Finanças e à gestão da sua situação fiscal, não para servir de mecanismo de identidade digital para plataformas de terceiros, geridas pelo EduQA ou por uma empresa privada, no âmbito de um processo inteiramente alheio à relação fiscal entre o cidadão e o Estado. Esta opção de reutilização levanta, desde logo, uma questão de conformidade com o princípio da limitação da finalidade, consagrado no artigo 5.º, n.º 1, alínea b), do RGPD, segundo o qual os mecanismos e dados associados a uma finalidade específica – neste caso, a autenticação fiscal – não podem ser livremente reaproveitados para uma finalidade distinta e incompatível sem uma base jurídica própria que o autorize expressamente. Não é do conhecimento público se existe um protocolo, despacho ou diploma legal que habilite formalmente o Ministério da Educação, Ciência e Inovação e o EduQA a utilizar o sistema de autenticação da AT para este efeito, nem se essa interoperabilidade foi avaliada, do ponto de vista da proteção de dados, através de uma avaliação de impacto sobre a proteção de dados (AIPD), nos termos do artigo 35.º do RGPD, atenta a natureza sensível do processo em causa.
A esta questão de base legal soma-se uma preocupação de segurança que decorre diretamente da própria arquitetura da solução escolhida: ao reutilizar a credencial fiscal do professor classificador como chave de acesso a uma plataforma de exames nacionais, cria-se uma dependência cruzada entre dois sistemas que deveriam permanecer independentes. Se as credenciais de acesso a esta plataforma forem comprometidas – por exemplo, através de uma campanha de phishing dirigida especificamente a professores classificadores, cenário que a própria pressão mediática em torno destes exames torna particularmente plausível – o comprometimento não se limita ao acesso à correção de exames, mas estende-se automaticamente ao Portal das Finanças e à situação fiscal pessoal do professor visado. Trata-se de uma amplificação desnecessária da superfície de ataque e das consequências de um único incidente de segurança, que decorre exclusivamente da opção de não implementar um sistema de autenticação dedicado e específico para esta finalidade. Esta preocupação torna-se ainda mais relevante porque, como já foi referido, a própria AT confirma que a autenticação clássica por Número de Identificação Fiscal e palavra-passe – que continua a ser, para um número relevante de professores classificadores com atividade profissional aberta, a via normal de acesso – não impõe ainda, de forma universal, um segundo fator de autenticação. Ou seja, além de se reutilizar para um novo fim um mecanismo concebido para outro, esse mesmo mecanismo, na sua variante mais comum entre os utilizadores em causa, não garante sequer o nível de proteção mínimo (MFA) que a própria CpC considera indispensável para um sistema desta natureza. A CpC entende que esta dupla fragilidade – de base legal e de arquitetura de segurança – deve ser expressamente esclarecida pelo Ministério e pelo EduQA.
Monitorização de professores classificadores: uma nova base de dados, um novo risco
A este conjunto de preocupações soma-se um anúncio recente do ministro da Educação, Ciência e Inovação, que merece igualmente escrutínio sob a ótica da proteção de dados e da cibersegurança. Fernando Alexandre confirmou publicamente a criação de uma base de dados de professores classificadores, que permitirá acompanhar quantos exames cada professor tem para corrigir, quantos já corrigiu, e identificar aquilo que descreveu como “estrangulamentos” no processo.
Do ponto de vista da proteção de dados, coloca-se a questão de saber que dados pessoais são efetivamente recolhidos sobre cada professor classificador, com que finalidade específica, com que base jurídica, e por quanto tempo são conservados: questões que remetem diretamente para os princípios da minimização de dados e da limitação da finalidade previstos no RGPD, e que suscitam a dúvida sobre se foi realizada uma avaliação de impacto sobre a proteção de dados antes da criação desta ferramenta. Do ponto de vista da cibersegurança, cada nova base de dados que agrega informação sobre milhares de professores constitui, por definição, uma nova superfície de ataque, e surge precisamente no momento em que já foram documentadas múltiplas fragilidades de segurança nos sistemas relacionados com este processo. Não é conhecido publicamente que garantias de segurança foram aplicadas a esta nova base de dados, nem se foi sujeita ao mesmo escrutínio que, supostamente, está a ser aplicado às restantes plataformas após o incidente de 6 de julho.
A instabilidade continua: erros de servidor em pleno processo
A fragilidade de segurança de 6 de julho não foi um episódio isolado e encerrado. Nos dias seguintes, continuam a ser reportados erros de servidor (HTTP 500) no acesso à Plataforma de Classificação e Supervisão, com a mensagem genérica de que o sistema “não consegue processar este pedido de momento”. Um erro deste tipo não constitui, por si só, prova de um novo incidente de segurança, mas é um sintoma que não deve ser ignorado: em sistemas que já demonstraram fragilidades, falhas recorrentes sob carga são tipicamente o primeiro sinal visível de problemas estruturais mais profundos: capacidade insuficiente de servidores, gestão instável de sessões, ou comportamento imprevisível do sistema perante picos de utilização. Fiabilidade operacional e segurança não são dimensões independentes: uma plataforma que continua a cair dias depois de ter sido “estabilizada”, segundo o anunciado pelo Ministério na sequência da intervenção da Deloitte, é uma plataforma cuja maturidade técnica continua por comprovar na prática, não apenas em comunicado.
Classificação automática de escolha múltipla:
Todo o debate público até agora tem incidido sobre a classificação humana, feita por professores. Mas uma parte dos exames nacionais inclui perguntas de escolha múltipla, cuja classificação é tipicamente automática, sem intervenção de um professor classificador. Se o processo de digitalização já demonstrou falhas de leitura, associação e integridade ( páginas trocadas, cortadas, mal atribuídas ou ilegíveis), não há, até ao momento, qualquer garantia pública de que o mesmo não esteja a acontecer, de forma ainda mais silenciosa, na leitura óptica das respostas de escolha múltipla. Um erro de digitalização numa resposta corrigida por um humano pode ser detectado pelo próprio professor; um erro equivalente numa resposta corrigida por um sistema automático não tem esse filtro de deteção humana, e pode passar completamente despercebido. A CpC entende que o Ministério deve esclarecer publicamente que taxa de confiança, validação manual por amostragem, ou que mecanismo de deteção de erro está associado à classificação automática de itens de escolha múltipla nos Exames Nacionais 2026.
O que dizem os professores classificadores: primeiros resultados do inquérito da CpC
Entre 7 e 12 de julho, a CpC recolheu vinte e seis respostas de professores classificadores ao inquérito de cibersegurança divulgado junto de sindicatos e organizações de professores. Importa ser claro quanto ao alcance destes dados: se trata de uma amostra pequena e de recrutamento não probabilístico, pelo que os números que se seguem devem ser lidos como um primeiro sinal qualitativo e não como uma estimativa representativa do universo de classificadores. Ainda assim, a consistência entre as respostas quantitativas e os relatos em texto livre reforça, com testemunho direto de quem está a usar o sistema, várias das preocupações já identificadas nesta investigação.
Quanto à autenticação, onze dos vinte e seis respondentes indicam aceder apenas com utilizador e palavra-passe, e apenas onze confirmam ter, em algum momento, sido chamados a confirmar a sua identidade através de um segundo fator. Catorze responderam que nunca lhes foi pedido esse segundo fator. Estes números confirmam, com dados em primeira mão, a ambiguidade já identificada: a cobertura de MFA entre professores classificadores está longe de ser universal, o que é consistente com o facto de o segundo fator da Autenticação da AT ainda estar em implementação faseada. Sobre requisitos de complexidade de palavra-passe, dezoito respondentes dizem desconhecer ou não ter esses requisitos aplicados: um respondente esclareceu, de forma pertinente, que a autenticação usa as credenciais da Autoridade Tributária, pelo que as regras de palavra-passe não são da própria plataforma de exames, mas sim as já existentes (e nem sempre atualizadas) de cada utilizador na AT. Quanto a limites de tentativas de acesso falhadas antes de bloqueio de conta, dezoito em vinte e seis professores simplesmente não sabem se esse mecanismo existe: um sinal claro de falta de comunicação sobre as proteções em vigor, mais do que necessariamente da sua ausência.
Sobre o controlo geográfico e de dispositivo, doze professores confirmam já ter acedido à plataforma a partir de mais do que um local. Destes, apenas um refere ter recebido algum aviso ou pedido de confirmação adicional por aceder de um local diferente do habitual: os restantes não notaram qualquer mecanismo desse tipo. De forma semelhante, vinte e três em vinte e seis dizem que a plataforma nunca os impediu de aceder nem pediu confirmação extra por mudança de dispositivo. Estes dados dão suporte empírico direto à recomendação da CpC sobre a ausência de geofencing: não há, na experiência relatada pelos utilizadores, qualquer evidência de que este tipo de controlo esteja implementado.
Um dado tranquilizador: apenas um dos vinte e seis respondentes admite ter partilhado credenciais com um colega, e apenas um relata ter conhecimento de um caso semelhante entre colegas: a prática de partilha de acessos parece, com base nesta amostra, ser residual e não sistemática, ao contrário do que a pressão de prazos poderia sugerir. Ainda assim, um professor relatou, em resposta livre, uma forma diferente e mais subtil de comportamento condicionado pela pressão do sistema: a tendência para classificar “por cima” (com maior benevolência) perante a confusão gerada pela contagem incerta de itens e pelo receio de prejudicar alunos, uma preocupação sobre o rigor da classificação induzida diretamente pelas falhas técnicas do sistema e não pela carga horária em si.
Quanto à rastreabilidade e integridade dos dados – o ponto mais crítico identificado nesta investigação – os resultados do inquérito são particularmente reveladores. Dezoito em vinte e seis professores dizem que a plataforma não mostra, de forma clara, que foram eles e apenas eles a classificar cada resposta; cinco não sabem. E nove dos vinte e seis respondentes confirmam já ter encontrado sinais de que uma resposta tinha sido acedida, classificada ou alterada por outra pessoa antes de a receberem: mais de um terço da amostra. Um destes relatos, recebido através do campo de texto livre, é especialmente grave: um professor descreve ter visto desaparecerem da plataforma trinta e seis provas que já tinha classificado, para em seguida lhe surgirem apenas dez, já classificadas por outro colega. Segundo o mesmo relato, quando o caso foi levantado junto da equipa de supervisão do EduQA, a resposta recebida terá sido a de que professores e supervisores não deveriam estranhar este “processo de reclassificação dupla”, equiparando-o às reapreciações e recursos habituais: uma equiparação que o respondente contesta com veemência, notando que as reapreciações sempre foram feitas depois de publicadas as notas e mediante pedido do examinando, nunca por reclassificação silenciosa e não solicitada durante o próprio processo de classificação inicial. Este testemunho, a confirmar-se em auditoria, sugere que o problema de exclusividade e rastreabilidade identificado pela metaPROF não é apenas uma falha técnica pontual, mas terá sido normalizado internamente pela própria equipa de supervisão do EduQA como comportamento esperado do sistema: o que é uma leitura muito diferente, e mais grave, do que “fragilidade” pontual corrigida.
Coerente com este quadro, treze dos vinte e seis professores dizem já ter tido dúvidas sobre se a contagem de respostas apresentada pelo sistema estava correta: praticamente metade da amostra, e em linha com a admissão do próprio EduQA, no Manual do Professor Avaliador, de que o contador pode apresentar valores incorretos.
Sobre o incidente de 6 de julho, dezassete dos vinte e seis respondentes estavam a utilizar a plataforma no momento da suspensão. A forma como foram informados confirma o défice de transparência já identificado: apenas um professor recorda ter recebido uma explicação técnica detalhada sobre a causa; quinze foram apenas informados de que o sistema estava indisponível, sem mais esclarecimentos; e nove não receberam sequer qualquer comunicação direta sobre o sucedido. Depois de a plataforma ter voltado a funcionar, vinte dos vinte e seis professores não notaram qualquer pedido de nova autenticação, alteração de palavra-passe ou outra medida de segurança visível: o que levanta a questão de saber se o reforço de segurança anunciado publicamente pelo Ministério teve, na prática, qualquer expressão visível para quem usa o sistema todos os dias.
Quanto à preparação e literacia de segurança, os números são elucidativos: vinte e quatro dos vinte e seis professores dizem não ter recebido qualquer formação ou aviso sobre segurança informática antes de começarem a usar o sistema este ano, e dezanove não sabem qual é o canal oficial para reportar um problema de segurança (distinto de um erro de correção). Quando questionados, numa escala de um a cinco, sobre o quão informados se sentem relativamente às medidas de segurança implementadas na plataforma que usam, dezanove dos vinte e seis professores (mais de setenta por cento da amostra) atribuíram a pontuação mínima, um em cinco, ou seja, “nada informados”.
Por fim, as respostas de texto livre trouxeram ainda dois elementos técnicos que não tinham sido diretamente antecipados no desenho do inquérito e que merecem nota. Um professor relatou ter terminado sessão na plataforma e continuar, mesmo assim, com acesso às provas: um indício de possível falha na gestão de sessões, que poderia permitir a um utilizador (ou a alguém que aceda ao mesmo dispositivo) continuar a interagir com dados sensíveis depois de a sessão ter sido supostamente encerrada. Outro professor confirmou, de forma independente e sem lhe ter sido sugerido pela pergunta, ter visto o perfil de outro classificador (nome completo e agrupamento de escolas) ao abrir a plataforma com as suas próprias credenciais, corroborando de forma direta um dos riscos mais graves já identificados nesta investigação. Vários respondentes, sem que lhes fosse perguntado diretamente, referiram espontaneamente o uso das credenciais do Portal das Finanças como método de acesso, com um deles a resumir a preocupação de forma direta: tratar-se do “uso das credenciais das finanças para aceder a uma plataforma de terceiros com falhas declaradas de segurança”.
Ainda que a reduzida dimensão da amostra imponha prudência na generalização destes resultados, a convergência entre o que os professores relatam em primeira mão e as falhas estruturais já identificadas por via documental (ausência de exclusividade e rastreabilidade na atribuição de respostas, cobertura parcial de MFA, ausência de controlo geográfico, défice de comunicação sobre o incidente de 6 de julho e sobre medidas de segurança em geral) reforça significativamente o caso para uma auditoria técnica independente e para respostas concretas do Ministério às questões colocadas nesta investigação.
Portugal vs. França: o preço de comprimir catorze anos num só
Há um contraponto internacional que ajuda a compreender a dimensão da decisão tomada em Portugal. A digitalização do Baccalauréat francês, hoje apontada como referência de correção eletrónica de exames nacionais, não resultou de um salto único: o Ministério da Educação francês iniciou os primeiros projetos-piloto de correção desmaterializada em 2007-2008, alargou-os progressivamente ao longo de mais de uma década a diferentes provas e níveis de ensino, e só atingiu a digitalização total, com a atual plataforma Cyclades, em 2022: catorze anos depois do primeiro projeto experimental. Cada uma dessas fases funcionou como um ambiente controlado de teste de carga real e deteção de falhas, antes de o sistema ser exposto ao volume total de exames nacionais do país.
Em Portugal, esse percurso foi comprimido de forma radical: um único projeto-piloto, no exame de Filosofia em 2025, seguido, um ano depois, da aplicação simultânea a todos os exames nacionais do ensino secundário: cerca de trezentos mil provas. Do ponto de vista da cibersegurança, esta não é uma questão de ritmo de modernização, mas uma decisão de risco com consequências técnicas identificáveis: passar de um ambiente de teste limitado diretamente para produção em larga escala, sem fases intermédias de validação sob condições reais, é precisamente o tipo de atalho que aumenta a probabilidade de vulnerabilidades não detectadas, de infraestrutura subdimensionada e de falhas de integridade como as que continuam a ser reportadas. O exemplo francês não demonstra apenas que é possível fazer de forma diferente: demonstra que a experiência internacional já identificou o tempo de maturação necessário para um sistema desta criticidade, e que essa lição não foi seguida. Uma reforma não se mede pela velocidade com que é imposta, mas pela confiança que consegue construir e que essa confiança, em sistemas digitais críticos, se constrói com tempo, testes e transparência, não com prazos políticos comprimidos ad absurdum.
Acesso Online às provas digitalizadas dos Exames 2026 e classificação:
Este ano, pela primeira vez, o Ministério vai dar aos alunos acesso à sua prova digitalizada e à respetiva classificação, sem terem de pedir e pagar por uma consulta de prova, como acontecia até agora.
Como funciona, segundo o anunciado pelo Ministério:
No dia da afixação das pautas (previsto para 17 de julho, ainda que a classificação tenha sido prolongada até quarta-feira, 15 de julho, “para garantir condições de rigor”), cada aluno vai receber um link de acesso à sua prova digitalizada e à classificação atribuída em cada item.
Esse acesso é disponibilizado “através das escolas”, e não de forma centralizada: segundo o Ministério, porque o anonimato dos exames só pode ser quebrado ao nível da escola, já que é aqui que existe a correspondência entre o código da prova e a identidade do aluno. Centralmente, o sistema só conhece códigos anónimos.
O processo é descrito como uma “colaboração das escolas”: os alunos vão requerer e obter acesso à prova codificada e anónima através do secretariado de exames, de forma semelhante ao que já acontecia com o requerimento de consulta em papel, mas agora estendido a todos os alunos, e não apenas aos que pedem reapreciação.
Entretanto, chegou às escolas informação adicional sobre o procedimento operacional concreto: as provas serão disponibilizadas em formato PDF; cada agrupamento terá acesso a uma plataforma onde poderá localizar a prova do aluno através do respetivo número convencional; e, após essa consulta, é a própria escola quem envia a prova digitalizada para o endereço de correio eletrónico indicado pelo aluno. Ficam por esclarecer, no entanto, aspetos essenciais do processo: que plataforma é esta, que autenticação protege o acesso do funcionário do agrupamento a essa plataforma, que validação é feita da identidade e do endereço de email do aluno antes do envio, e que prazo de disponibilização é aplicável.
Porque é que isto é relevante para uma análise de cibersegurança do sistema?
O modelo agora conhecido (pesquisa por número convencional numa plataforma partilhada, seguida de envio da prova digitalizada por correio eletrónico) introduz riscos concretos que se somam à questão original da autenticação do aluno:
Em primeiro lugar, o número convencional do aluno não é um segredo: é normalmente conhecido por colegas, encarregados de educação e pelo próprio agrupamento, o que levanta a questão de saber que outros controlos existem para impedir que um funcionário aceda, pesquise ou consulte provas de alunos fora do âmbito estritamente necessário às suas funções, e se essa plataforma regista de forma auditável cada pesquisa e cada acesso efetuado.
Em segundo lugar, o envio da prova por correio eletrónico transfere a responsabilidade pela confidencialidade do documento para um canal fora do controlo direto do sistema de exames: uma prova com dados pessoais e a classificação de um menor passa a residir na caixa de correio do aluno, sujeita aos riscos de segurança dessa conta (palavra-passe fraca ou reutilizada, ausência de MFA, compromisso prévio da conta, encaminhamento automático configurado por terceiros, ou simples erro de digitação do endereço de email por parte do funcionário da escola, que enviaria a prova a um destinatário errado). Coloca-se ainda a questão de saber se o email é enviado em texto simples ou com o PDF protegido por palavra-passe, e se essa palavra-passe, a existir, é comunicada por um canal distinto do email (o que mitigaria o risco de interceção, mas exige confirmação).
Em terceiro lugar, mantém-se a questão original quanto à autenticação: que validação existe de que o pedido de consulta foi de facto feito pelo aluno titular da prova (e não por terceiros que conheçam o seu número convencional), se esse acesso é protegido por autenticação multifator, quanto tempo a prova permanece disponível na plataforma consultada pelo agrupamento, e que garantias existem contra o reencaminhamento não autorizado do email depois de recebido.
O Ministério anunciou esta medida como garantia de “confiança” e “transparência”, mas o procedimento entretanto conhecido revela um canal com múltiplos pontos de exposição de dados pessoais sensíveis de menores, construído sobre uma infraestrutura que já demonstrou falhas de integridade. Faz sentido, por isso, que estas questões específicas (autenticação do agrupamento na plataforma de pesquisa, validação da identidade do aluno antes do envio, proteção do PDF em trânsito por email e registo auditável dos acessos) sejam acrescentadas ao pedido de acesso à informação.
Pergunta enviada ao Governo da República a 2026.07.15:
Introdução
O Ministério da Educação anunciou que, este ano, pela primeira vez, os alunos passarão a ter acesso, sem necessidade de requerimento e pagamento de consulta de prova, à sua prova digitalizada e à classificação atribuída em cada item, através de um link disponibilizado por cada escola a partir do dia da afixação das pautas. Segundo o anunciado, este acesso não é centralizado, decorrendo antes de uma “colaboração das escolas”, uma vez que apenas ao nível de cada estabelecimento de ensino existe a correspondência entre o código anónimo da prova e a identidade do aluno.
Tratando-se de um novo canal de acesso a dados pessoais e académicos sensíveis — construído sobre uma infraestrutura de exames que já revelou anteriormente falhas de integridade e de controlo de acesso —, a Cidadãos pela Cibersegurança considera relevante clarificar, junto do Ministério, os termos concretos em que este acesso será operacionalizado, designadamente no que respeita aos mecanismos de autenticação previstos, às garantias de proteção contra acesso indevido de terceiros e ao período de disponibilidade do link. À data da elaboração do presente pedido, não haviam sido divulgados publicamente os procedimentos operacionais concretos para esta implementação, pelo que se formulam as seguintes questões ao abrigo da Lei n.º 26/2016 (LADA):
Pergunta 1
Solicita-se que o Ministério esclareça qual o mecanismo de autenticação a implementar para que os alunos acedam, através das escolas, se o link de consulta da sua prova digitalizada e respetiva classificação, a disponibilizar a partir da data de afixação das pautas, designadamente se está prevista a validação através de um sistema de autenticação forte (nomeadamente Chave Móvel Digital ou Autenticação.gov), de credenciais individuais atribuídas pela escola, ou se o acesso se basta com a posse do link enviado ao aluno (e, logo, será público a quem o conhecer).
Pergunta 2
Solicita-se ainda que o Ministério esclareça se este acesso será protegido por mecanismo de autenticação multifator (MFA), geofencing, qual o prazo de disponibilidade e validade do link de acesso, e que garantias e salvaguardas técnicas foram previstas para prevenir o acesso indevido de terceiros a este canal, nomeadamente nos casos em que o link seja remetido por correio eletrónico e a conta de email do aluno se encontre comprometida.
Recomendações de segurança da CpC
- Aos professores classificadores, a CpC recomenda que documentem cuidadosamente qualquer discrepância de segurança encontrada – através de capturas de ecrã com indicação de data e hora – e que reportem pelos canais oficiais indicados pelo EduQA e pelo Júri Nacional de Exames, evitando canais informais que comprometam a cadeia de prova em caso de necessidade de reclamação ou auditoria futura.
- É igualmente importante não partilhar credenciais de acesso com colegas, mesmo em contexto de entreajuda perante prazos apertados, já que isso agravaria exatamente o problema de rastreabilidade já identificado no sistema.
- A CpC recomenda ainda que os professores classificadores verifiquem, na sua área pessoal do Portal das Finanças, se têm o segundo fator de autenticação ativado e, em caso negativo, considerem fazê-lo como precaução adicional, independentemente de a plataforma de classificação vir ou não a confirmar essa exigência de forma própria: tendo, no entanto, presente que essa credencial é agora partilhada entre duas finalidades distintas, pelo que qualquer comprometimento afeta simultaneamente a sua situação fiscal e o processo de classificação de exames.
- A CpC recomenda também, à luz de um dos relatos recolhidos, que os professores confirmem se o encerramento de sessão (“logout”) revoga efetivamente o acesso às provas, e que reportem de imediato qualquer indício em contrário.
- Que modelo de rede foi adotado para a ligação dos professores classificadores à PCS e, caso permita wi-fi institucional ou doméstico, que medidas técnicas mitigam os riscos ao nível da camada de rede que a autenticação, por si só, não cobre? A PCS parece não distinguir autenticar um utilizador de garantir a integridade e confidencialidade dos dados em trânsito: a autenticação (Autenticação.gov, Cartão de Cidadão, dois fatores) responde a “quem é este utilizador?”, mas não a “o canal por onde os seus dados viajam está livre de interferência?” – e essa segunda pergunta permanece em aberto, quer o classificador se ligue pela wi-fi de uma escola (rede partilhada por dezenas de dispositivos, sem garantias uniformes de segmentação, exposta a pontos de acesso não autorizados ou ataques de intermediário), quer a partir de casa, onde um eventual túnel VPN aplicacional só protege os dados a partir do dispositivo do utilizador, nada garantindo quanto ao troço entre o computador e o router doméstico – equipamento tipicamente desatualizado, sem gestão centralizada e fora de qualquer perímetro de segurança público. É precisamente esta distinção entre segurança da identidade e segurança do canal que modelos de avaliação digital de alto risco costumam resolver por via arquitetural, limitando a ligação ao sistema de classificação a máquinas institucionais, em rede por cabo e em instalações controladas, sobre a qual só depois se estabelece um túnel encriptado adicional – por oposição a uma VPN que protege dados já chegados a um ponto de confiança, mas não o troço que o antecede numa rede sem fios não gerida. A CpC entende que a EduQA e o Ministério da Educação deveriam esclarecer publicamente que modelo de rede foi adotado para a ligação dos professores classificadores à PCS e, caso permita wi-fi institucional ou doméstico, que medidas técnicas mitigam os riscos ao nível da camada de rede que a autenticação, por si só, não cobre.
- Ciberataque à Blat: As contas de 2024 da Blat revelam uma faturação abaixo dos 580 mil euros, um lucro de apenas 4,95 mil euros e apenas 14 funcionários nos seus quadros, o que suporta objetivamente a classificação como microempresa. Ora, segundo o ECO: “Em maio de 2026, terá circulado na dark web informação de um alegado ciberataque à Blat, que exporia mais de cem registos detalhados de deputados do PSD (nomes, moradas, contactos e perfis de redes sociais), além de contas de correio eletrónico de associações académicas e mais de 1 milhão de linhas de comunicações internas da empresa com os seus clientes, incluindo corpos das mensagens, timestamps, identificadores de utilizador, anexos e histórico de conversas”.
A gravidade deste episódio – a confirmar-se – não se esgota no PSD ou nas associações académicas alegadamente afetadas. Importa notar que a Blat – Creative Powerhouse é, segundo dados financeiros disponíveis, uma microempresa: a sua faturação em 2024 ficou abaixo dos 580 mil euros e a empresa conta apenas 14 funcionários. Trata-se de uma estrutura com uma dimensão, um orçamento e, presumivelmente, uma capacidade de investimento em segurança da informação muito distantes dos padrões que se esperariam de um fornecedor de infraestrutura crítica para um serviço público de âmbito nacional.
Esta desproporção não é uma questão menor. Uma agência criativa de pequena dimensão, focada em design, gestão de redes sociais e produção audiovisual, não tem como missão principal – nem, provavelmente, como prioridade orçamental – a robustez de práticas como segmentação de rede, gestão de vulnerabilidades, resposta a incidentes ou auditorias de segurança regulares, que são expectáveis num fornecedor de sistemas que processam dados pessoais sensíveis de larga escala, como uma plataforma de classificação de exames nacionais. Se o alegado ciberataque à Blat se confirmar – e sobretudo se se confirmar que a rede interna da empresa foi comprometida ao ponto de expor mais de um milhão de linhas de comunicações internas com clientes -, tal significaria que uma entidade com esta dimensão e este perfil de risco esteve, ao mesmo tempo, a prestar um serviço que sustenta a avaliação de milhares de alunos e o tratamento de dados pessoais de dezenas de milhares de cidadãos.
A questão que a CpC coloca não é sobre a Blat especificamente, mas sobre o modelo de contratação e fiscalização que permite esta assimetria: que requisitos de segurança da informação, que certificações (ISO 27001 ou equivalente), que auditorias independentes e que obrigações contratuais de resposta a incidentes foram exigidos a um fornecedor desta dimensão antes de lhe ser confiada uma peça crítica da avaliação nacional? Se a rede de uma microempresa de comunicação e marketing puder ser comprometida ao ponto de expor dados de deputados, associações e clientes diversos, a mesma rede – ou redes com características de segurança semelhantes – pode estar, neste momento, a processar dados de exame de milhares de alunos menores de idade. Neste sentido, o que está em causa não é apenas a reputação da Blat ou do PSD: é a pergunta sobre se a robustez de segurança de um elo tão pequeno da cadeia é compatível com a criticidade da função que lhe foi atribuída. Se um fornecedor desta escala for o ponto mais fraco de uma infraestrutura que serve o interesse público, então, nesse sentido concreto, todos estamos em risco. - Que destino terão os dados da digitalização e classificação dos exames? A CpC deixa registada uma pergunta que, até agora, ninguém colocou ao Ministro da Educação: o que acontece aos dados resultantes da digitalização das provas e dos processos de classificação depois de o processo terminar? Ficam encerrados sob controlo exclusivo do IAVE, ou empresas como a EduQA, a Blat – Creative Powerhouse ou a Deloitte mantêm, ou podem manter, acesso sem autorização expressa e delimitada?
A CpC entende que esta questão exige esclarecimento público, em concreto quanto a: prazo de conservação definido para estes dados e respetiva base legal (artigo 5.º, n.º 1, alínea e), do RGPD); revogação formal dos acessos técnicos das empresas subcontratadas após conclusão do processo; existência de cláusulas contratuais sobre destino dos dados nos termos do artigo 28.º do RGPD; existência de registo auditável de quem tem acesso às bases de dados; e eventual reutilização dos dados para outros fins (treino de sistemas automáticos, investigação educativa), o que exigiria comunicação aos titulares nos termos dos artigos 13.º e 14.º do RGPD. - Risco de phishing e engenharia social a alunos e encarregados: A alunos e encarregados de educação, a CpC alerta para a possibilidade de esquemas de phishing que explorem a ansiedade gerada por este episódio, através de mensagens ou emails que simulem oferecer acesso antecipado a notas ou pedir dados pessoais fora dos canais institucionais. Este tipo de contexto – caos público em torno de um sistema digital sensível, com prazos apertados e milhares de pessoas ansiosas por informação – é historicamente aproveitado por burlões para campanhas de engenharia social.
Este enquadramento não é apenas uma hipótese teórica. O espaço “metaestudantes”, recentemente aberto pela plataforma metaprof.pt/exames2026/metaestudantes para recolher testemunhos diretamente de alunos e encarregados de educação, tem reunido relatos de natureza qualitativa que traduzem um clima generalizado de ansiedade e receio face à opacidade do processo de classificação. Não se trata de dados quantificados nem de uma amostra estatisticamente representativa, mas a CpC entende que estes relatos corroboram, de forma consistente, o mesmo enquadramento: um ambiente de incerteza prolongada, comunicação institucional insuficiente e exposição emocional das famílias, que constitui precisamente o tipo de terreno historicamente explorado em campanhas de phishing e burla.
Quanto a este risco a CpC reitera as recomendações habituais: a. desconfiar de qualquer contacto que ofereça acesso antecipado a notas, resultados ou reapreciações fora dos canais oficiais (EduQA, agrupamentos escolares, DGE); b. nunca fornecer dados pessoais, credenciais de Autenticação.gov ou da Autoridade Tributária em resposta a mensagens não solicitadas e c. confirmar sempre a autenticidade de comunicações através dos canais institucionais habituais antes de qualquer interação. - Sobre o alegado episódio da Ficha A, a CpC recomenda aos professores classificadores que, caso se deparem com uma Ficha A onde seja visível a identidade de um examinando, interrompam de imediato a consulta desse ecrã, não partilhem nem divulguem essa informação por qualquer via (incluindo capturas de ecrã não protegidas), e reportem o incidente exclusivamente pelo canal oficial do EduQA e do JNE, identificando data, hora e, se possível, o lote em causa – de forma a permitir a investigação sem agravar a exposição dos dados do aluno. Nos casos de revisão retroativa de critérios linguísticos por indexação tardia da Ficha A, a CpC recomenda que os professores registem, para cada item afetado, qual o critério aplicado antes e depois da alteração, de modo a preservar um registo próprio caso seja necessário demonstrar, mais tarde, a fundamentação da classificação atribuída.
- Os agrafos e os códigos QR: uma fragilidade técnica na origem do processo. A CpC analisou os cadernos de respostas modelo dos Exames Nacionais 2026, disponibilizados publicamente pela Escola Secundária de Alcácer do Sal (ESAB) em https://www.esab.pt/index.php/alunos/provas-e-exames/exames-nacionais-novos-cadernos-de-respostas. Cada caderno inclui dois códigos QR: um superior, que codifica uma sequência numérica de seis dígitos, e um inferior, que codifica uma cadeia alfanumérica no formato “eg92a2026f00c01p01…”, presumivelmente correspondente a identificadores de exame, caderno e página. Em nenhum dos dois códigos é visível a inclusão de dígitos de controlo (checksum) ou de outro mecanismo de verificação de integridade dos dados codificados – uma prática há muito estabelecida precisamente para detetar erros de leitura ou de transcrição, e cuja ausência noutro contexto da administração pública portuguesa (o antigo Bilhete de Identidade) já foi historicamente documentada como fonte de erro (ver o artigo de Jorge Buesco, “O mistério do Bilhete de Identidade”, em https://www.mat.uc.pt/~picado/SistIdent/mistBI.html).
- Segurança do novo canal de acesso às provas digitalizadas por parte dos alunos: tratando-se de um novo canal de acesso a dados pessoais e académicos sensíveis de menores de idade, a CpC recomenda que o acesso dos alunos à sua prova digitalizada e classificação seja protegido por um mecanismo de autenticação forte e individualizado (idealmente através de Autenticação.gov ou de credenciais próprias atribuídas pela escola, nunca pela mera posse de um link), complementado por autenticação multifator; que o link ou acesso tenha um prazo de validade limitado e não permaneça ativo indefinidamente; que exista um registo auditável de cada acesso efetuado, permitindo detetar posteriormente qualquer consulta não autorizada; e que, caso o acesso seja comunicado por correio eletrónico, sejam adotadas salvaguardas adicionais contra o risco de reencaminhamento ou de compromisso da conta do aluno garantindo assim que o princípio da confidencialidade dos dados de exame (artigo 5.º, n.º 1, alínea f), do RGPD) é respeitado também neste novo canal.
Adicionalmente, medidos diretamente no PDF disponibilizado, ambos os códigos QR apresentam uma dimensão física de 17,5 × 17,5 mm – abaixo do mínimo geralmente recomendado de 20 × 20 mm para impressão fiável, sobretudo tratando-se de códigos com nível de correção de erro H (o nível mais elevado, teoricamente capaz de tolerar até 30% de dados danificados, mas cuja margem prática de sobrevivência ronda tipicamente os 20% de dano para uma densidade de informação equivalente à observada). Os dois códigos surgem ainda incorporados como imagem rasterizada, e não como elemento vetorial, o que introduz risco adicional de perda de definição ao longo do ciclo de impressão e digitalização. Ferramentas de análise e simulação de dano em códigos QR, como https://qr.logmore.com/analyze e https://qris.cool/, permitem replicar publicamente este tipo de teste.
A conjugação destes fatores – códigos QR de dimensão reduzida, sem dígitos de controlo, embutidos como imagem, com margem de tolerância a dano inferior à teoricamente disponível, num documento físico manuseado, agrafado e digitalizado em massa – constitui, na perspetiva da CpC, uma explicação técnica plausível, alternativa ou complementar às falhas de software já descritas, para parte dos problemas reportados por professores classificadores: páginas que surgem em branco ou completamente pretas, folhas de continuação misteriosamente desassociadas do exame original, ou provas que “desaparecem” do sistema após a digitalização. Se a leitura automática do código QR falhar – por exemplo, devido a dano físico na zona do código, como o causado por um agrafo colocado sobre ou próximo da mesma -, a associação correta entre a página física e o registo digital pode ficar comprometida, com efeitos em tudo idênticos aos já relatados.
A CpC sublinha, com a mesma transparência que exige do Estado, que esta análise tem por base exclusivamente os cadernos modelo publicamente disponibilizados, não os documentos efetivamente utilizados em prova, pelo que o grau de confiança desta hipótese é necessariamente limitado. Não obstante, e tanto mais que declarações públicas atribuíram informalmente parte dos problemas relatados a causas triviais como agrafos, a CpC entende que a robustez técnica da própria codificação QR utilizada nos cadernos de exame – dimensão, ausência de dígitos de controlo, formato vetorial versus rasterizado, e taxas reais de sucesso de leitura – é uma questão concreta e verificável, que deveria ser esclarecida publicamente pelo EduQA e pelo IAVE, e não apenas atribuída, sem demonstração técnica, ao manuseamento físico dos documentos.
Diligências institucionais em curso por parte da CpC
A CpC: Cidadãos pela Cibersegurança enviou um pedido formal de acesso à informação, ao abrigo da Lei n.º 26/2016, a dirigir ao Ministério da Educação, Ciência e Inovação e ao EduQA, com conhecimento ao Gabinete Nacional de Segurança e à Comissão Nacional de Proteção de Dados. O pedido visa obter a caracterização técnica exata da fragilidade detetada, esclarecimento sobre eventual exposição de dados pessoais – incluindo os dados de categoria especial alegadamente expostos no episódio da Ficha A denunciado pela metaPROF -, acesso às conclusões do relatório da Deloitte e do parecer do Gabinete Nacional de Segurança, confirmação sobre se foram realizados testes de segurança prévios ao lançamento das plataformas, confirmação sobre a existência ou ausência de autenticação multifator e de controlo geográfico de acesso para os professores classificadores, esclarecimento sobre a base jurídica que sustenta a utilização do sistema de autenticação da AT para esta finalidade, esclarecimento sobre as medidas de segurança tomadas na sequência do projeto-piloto de Filosofia de 2025, informação sobre a nova base de dados de monitorização de professores classificadores, esclarecimento sobre a robustez técnica dos códigos QR utilizados nos cadernos de respostas, e uma avaliação retrospectiva sobre o que poderia ter sido feito de forma diferente na conceção, contratação e teste destes sistemas. O pedido incorpora ainda questões suscitadas pelos resultados do inquérito próprio da CpC, nomeadamente quanto à formação em segurança informática disponibilizada, à comunicação técnica sobre o incidente de 6 de julho, à gestão de sessões de acesso, e aos canais de reporte de problemas de segurança, bem como as preocupações adicionais suscitadas pelo comunicado “Alerta Ficha A” da metaPROF, de 9 de julho de 2026, que a CpC subscreve e reforça na presente comunicação.
A modernização dos processos de avaliação externa é um objetivo legítimo e desejável. Mas a digitalização de um processo com este grau de sensibilidade e impacto legal exige, como pré-condição, maturidade técnica, testes de segurança robustos e transparência sobre incidentes: não apenas garantias verbais de que “não houve ataque”.
A CpC continuará a acompanhar este processo e a exigir que as respostas do Estado estejam à altura do risco em causa.
Perguntas ao Ministério da Educação (enviada 2026.07.08)
Assunto: Pedido de acesso a documentos administrativos, ao abrigo da Lei n.º 26/2016, de 22 de agosto (LADA): Plataformas de distribuição, correção e classificação digital dos Exames Nacionais 2026
Exmo. Senhor. Ministro da Educação, Ciência e Inovação. Professor Doutor Fernando Alexandre.
Com conhecimento a: EduQA – Instituto de Educação, Qualidade e Avaliação Gabinete Nacional de Segurança (GNS) Comissão Nacional de Proteção de Dados (CNPD)
1. Identificação do requerente
A Cidadãos pela Cibersegurança (CpC), organização cívica de escrutínio público em matéria de cibersegurança e direitos digitais, com sítio institucional em cidadaospelaciberseguranca.com, vem, ao abrigo do artigo 5.º da Lei n.º 26/2016, de 22 de agosto (Lei de Acesso aos Documentos Administrativos), solicitar acesso aos documentos e informações administrativas abaixo identificados, relativos às plataformas utilizadas na distribuição, correção e classificação digital dos Exames Nacionais do ensino secundário de 2026. Recorda-se que, nos termos do referido artigo 5.º, o exercício deste direito não depende da invocação de qualquer interesse específico.
2. Enquadramento do pedido
O presente pedido tem origem num conjunto de factos tornados públicos nas últimas semanas: a suspensão, em 6 de julho de 2026, da plataforma de distribuição e classificação de provas na sequência de uma “fragilidade de segurança” identificada e comunicada ao Ministério, alegadamente com recomendação da consultora Deloitte; declarações públicas do Senhor Ministro segundo as quais a segurança informática das plataformas constitui “o maior risco” do processo de correção digital; relatos reiterados de professores classificadores, recolhidos nomeadamente através do movimento metaPROF, descrevendo falhas de atribuição de respostas, ausência de rastreabilidade e de exclusividade na distribuição de itens, e discrepâncias entre o número de itens corrigidos e o número de itens registados no sistema; a existência de um projeto-piloto do exame nacional de Filosofia em 2025 no qual foram já identificados problemas de natureza idêntica; o comunicado “Alerta Ficha A” da metaPROF, de 9 de julho de 2026, que denuncia indícios de exposição da identidade de examinandos abrangidos por Medidas de Suporte à Aprendizagem, indexação tardia das Fichas A com reclassificação retroativa de critérios, e novos relatos de desaparecimento temporário de lotes de provas; e uma análise preliminar da própria CpC aos cadernos de respostas modelo publicamente disponibilizados, que identifica possíveis fragilidades técnicas nos códigos QR utilizados para associar cada página física ao respetivo registo digital – nomeadamente quanto à dimensão de impressão, à ausência aparente de dígitos de controlo e ao formato rasterizado dos códigos -, suscetíveis de constituir uma explicação técnica alternativa ou complementar para parte das anomalias já relatadas.
Estes factos suscitam questões concretas de cibersegurança, de integridade de dados e de conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) que, no entender da CpC, justificam pleno esclarecimento público antes da afixação das pautas da primeira fase, prevista para 17 de julho de 2026.
3. Documentos e informações solicitados
Solicita-se, especificamente, o seguinte:
- Identificação e caracterização técnica exata da fragilidade de segurança que motivou a suspensão da plataforma de distribuição e classificação em 6 de julho de 2026, incluindo se se tratou de uma falha de controlo de acesso, de autenticação, de exposição indevida de dados, de configuração do sistema ou de outra natureza;
- Cópia do relatório, parecer ou comunicação da Deloitte que recomendou a suspensão temporária da plataforma, bem como de qualquer relatório técnico posterior sobre a resolução da fragilidade identificada;
- Cópia do parecer ou pareceres emitidos pelo Gabinete Nacional de Segurança sobre a plataforma de distribuição e classificação e sobre a Plataforma de Classificação e Supervisão (PCS) do EduQA, no âmbito do acompanhamento referido publicamente pelo Senhor Ministro;
- Confirmação sobre se a fragilidade identificada permitiu, em algum momento, acesso não autorizado a dados pessoais de alunos ou de professores classificadores e, em caso afirmativo, confirmação sobre se foi efetuada a notificação à CNPD nos termos do artigo 33.º do RGPD e, quando aplicável, a comunicação aos titulares dos dados nos termos do artigo 34.º do RGPD;
- Identificação da empresa responsável pela plataforma de distribuição e classificação, e esclarecimento sobre os fundamentos concretos que justificaram a reserva desta informação, nomeadamente se essa reserva foi determinada por indicação expressa do GNS e com que fundamentação técnica;
- Confirmação sobre se foi realizada auditoria de segurança ou teste de intrusão (penetration testing) à plataforma de distribuição e classificação e à Plataforma de Classificação e Supervisão do EduQA antes do início da presente época de exames, e, em caso afirmativo, cópia das conclusões respetivas ou, em alternativa, um resumo não confidencial das mesmas;
- Quantificação do número de provas afetadas por falhas de digitalização, atribuição incorreta, desaparecimento do sistema ou discrepância entre itens corrigidos e itens registados, bem como esclarecimento sobre o destino e tratamento dado a essas provas e às respetivas classificações;
- Descrição das garantias e mecanismos concretos existentes para assegurar que nenhum aluno recebe uma classificação final baseada numa prova ilegível, incompleta ou incorretamente atribuída, independentemente de vir ou não a solicitar a consulta ou reapreciação da sua prova;
- Confirmação sobre a existência ou ausência de autenticação multifator (MFA) obrigatória para o acesso de professores classificadores à Plataforma de Classificação e Supervisão e à plataforma de distribuição e classificação, e, caso exista, descrição do respetivo mecanismo;
- Confirmação sobre a existência ou ausência de controlo geográfico de acesso (geofencing ou restrição por intervalos de IP) a estas plataformas;
- Esclarecimento sobre a base jurídica que sustenta a utilização das credenciais da Autoridade Tributária e Aduaneira (AT) como mecanismo de autenticação para acesso a plataformas de classificação de exames nacionais, designadamente cópia de eventual protocolo, despacho ou diploma legal que habilite o Ministério da Educação, Ciência e Inovação e o EduQA para esse efeito, e confirmação sobre se essa interoperabilidade foi objeto de avaliação de impacto sobre a proteção de dados (AIPD), nos termos do artigo 35.º do RGPD;
- Descrição das medidas concretas implementadas entre o projeto-piloto do exame nacional de Filosofia de 2025 e a presente aplicação generalizada do modelo digital de correção, especificamente quanto aos problemas já então identificados (provas desaparecidas do sistema, páginas em branco, respostas trocadas ou cortadas), e esclarecimento sobre os motivos pelos quais os mesmos tipos de problemas voltaram a ocorrer em 2026;
- Descrição da finalidade específica, base jurídica, dados pessoais recolhidos, período de conservação e medidas de segurança aplicadas à base de dados de monitorização de professores classificadores anunciada publicamente pelo Senhor Ministro, e confirmação sobre se foi realizada avaliação de impacto sobre a proteção de dados relativamente a esta ferramenta;
- Confirmação sobre se ocorreram, e em que número, situações de exposição da identidade de examinandos abrangidos por Medidas de Suporte à Aprendizagem nas Fichas A disponibilizadas a professores classificadores na Plataforma de Classificação e Supervisão, conforme denunciado pela metaPROF em 9 de julho de 2026, e caracterização técnica da causa dessa alegada exposição;
- Confirmação sobre se a exposição referida no ponto anterior, a confirmar-se, foi objeto de notificação à CNPD nos termos do artigo 33.º do RGPD, atenta a natureza de dados de categoria especial potencialmente em causa, nos termos do artigo 9.º do RGPD, e, quando aplicável, comunicação aos titulares nos termos do artigo 34.º do RGPD;
- Esclarecimento sobre os motivos da indexação tardia das Fichas A na Plataforma de Classificação e Supervisão, sobre o protocolo aplicável à revisão retroativa de critérios de classificação já aplicados a itens formalmente encerrados, e sobre as garantias de equidade entre examinandos classificados antes e depois de tal revisão;
- Quantificação dos lotes de provas reportados como temporariamente desaparecidos da Plataforma de Classificação e Supervisão desde o início do presente processo de classificação, e esclarecimento sobre o respetivo destino e tratamento;
- Confirmação do esquema de codificação utilizado nos códigos QR impressos nos cadernos de respostas dos Exames Nacionais 2026, incluindo se os dados codificados integram dígitos de controlo ou outro mecanismo de verificação de integridade, e, em caso negativo, fundamentação dessa opção;
- Confirmação das dimensões mínimas de impressão especificadas para os códigos QR dos cadernos de respostas, do nível de correção de erro configurado, e de eventuais resultados de testes de legibilidade realizados em cenários de dano físico realista (incluindo perfuração por agrafo, dobras ou artefactos de digitalização);
- Dados sobre a taxa real de sucesso de leitura automática dos códigos QR na campanha de digitalização de 2026, incluindo o número ou percentagem de páginas que exigiram intervenção manual por falha de leitura automática, e esclarecimento sobre se tal taxa foi correlacionada com os relatos de páginas em branco, páginas pretas ou provas desaparecidas do sistema.
4. Modo de acesso solicitado
Nos termos do artigo 11.º da LADA, solicita-se que o acesso seja disponibilizado por via eletrónica, através de reprodução em suporte digital, para o endereço de correio eletrónico indicado em rodapé.
5. Prazo
Solicita-se resposta no prazo de 10 dias úteis previsto no artigo 15.º da LADA. Caso o pedido, pela sua extensão ou pelo número de documentos envolvidos, justifique a prorrogação excecional prevista no n.º 3 do artigo 7.º da LADA, solicita-se que tal seja comunicado com a devida fundamentação circunstanciada.
Caso alguma das informações ou documentos solicitados esteja, no todo ou em parte, coberta por reserva legal, solicita-se que tal seja expressamente indicado, com identificação da norma legal aplicável, nos termos do artigo 6.º da LADA, de forma a permitir a apreciação da fundamentação invocada.
A CpC permanece disponível para prestar quaisquer esclarecimentos adicionais que se afigurem necessários à boa instrução do presente pedido.

Deixe um comentário