La reforma despenaliza la investigación de seguridad realizada de buena fe y refuerza las obligaciones de divulgación responsable y oportuna para los hacker éticos.
Portugal dio un giro relevante en su marco legal de ciberseguridad al actualizar su legislación sobre ciberdelitos para ofrecer protección jurídica a investigadores de seguridad y hackers éticos que actúen en beneficio del interés público. La modificación fue publicada el 4 de diciembre en el Diário da República mediante el Decreto-Ley N.º 125/2025 e incorpora el nuevo artículo 8.º-A, titulado “Actos no punibles por interés público en ciberseguridad”.
El cambio introduce una excepción legal para actividades que antes podían considerarse ilegales, como el acceso no autorizado a sistemas informáticos o la interceptación de datos, siempre que su finalidad exclusiva sea identificar vulnerabilidades y fortalecer la seguridad digital.
Pese a lo anterior, la nueva norma establece condiciones estrictas. Los investigadores deben actuar únicamente con el objetivo de detectar fallas preexistentes y no pueden buscar beneficios económicos más allá de su remuneración profesional habitual. También se prohíbe expresamente provocar interrupciones de servicios, dañar sistemas o acceder, copiar o alterar datos personales protegidos por la normativa de protección de datos. Del mismo modo, quedan vetadas técnicas agresivas o engañosas como ataques de denegación de servicio (DoS/DDoS), phishing, ingeniería social, robo de contraseñas o despliegue de malware.
La ley exige además que los hallazgos sean comunicados de forma inmediata tanto al propietario del sistema afectado como al regulador de protección de datos y al Centro Nacional de Ciberseguridad de Portugal (CNCS). Cualquier información obtenida durante la investigación debe mantenerse en confidencialidad y eliminarse en un plazo máximo de diez días una vez que la vulnerabilidad haya sido corregida. Incluso cuando el acceso se realiza con el consentimiento del propietario del sistema, las vulnerabilidades descubiertas deben notificarse a las autoridades competentes.
Esta reforma se inscribe en una tendencia internacional más amplia. Alemania presentó en noviembre de 2024 un proyecto de ley orientado a proteger a los investigadores que divulgan fallas de forma responsable, mientras que en 2022 el Departamento de Justicia de Estados Unidos ajustó su política de persecución penal bajo la Computer Fraud and Abuse Act para excluir la investigación de buena fe. En Chile la ley marco de ciberseguridad también reconoce la labor de los hackers éticos, situación que llevó a la modificación de la ley de delitos informáticos en su momento.
Con la actualización, Portugal busca equilibrar la prevención del delito informático con la necesidad de fomentar la investigación responsable, reconociendo el rol estratégico de los hackers éticos en la protección de infraestructuras digitales y en la resiliencia de los sistemas frente a amenazas cada vez más sofisticadas.