Egidio
Dossiê · 2026

Fugas de dados em Portugal: o ano recorde

Não é um problema abstrato nem estrangeiro — é matéria-prima que alimenta diretamente as burlas por telefone e SMS que chegam a portugueses todos os dias. Eis o que revelam a CNPD, o SNS e os incidentes mais recentes.

O elo direto com as chamadas e SMS fraudulentos

Uma fuga de dados raramente fica confinada à organização atacada. Assim que circula, a informação que contém — nome, contacto telefónico, por vezes dados de saúde, de encomendas ou bancários — torna-se a matéria-prima de um burlão que personaliza a abordagem em vez de ligar ao acaso. Um SMS que refere corretamente o seu nome, a sua operadora ou até uma encomenda real em trânsito é muito mais difícil de reconhecer como falso do que uma mensagem genérica.

2025-2026: um ano sem precedentes para a CNPD

472
Processos abertos pela CNPD por violação de dados pessoais em 2025 — um aumento de 42% face a 2024, o valor mais alto desde 2020. Notificações vindas de 375 entidades privadas e 115 públicas.
CNPD, Relatório de Atividades 2025 (aprovado 24/03/2026).
+41%
Aumento dos casos de phishing identificados como causa de violação de dados em 2025 (72 casos) face a 2024 — o erro humano continua a ser a causa mais comum, em 27% dos casos.
CNPD, Relatório de Atividades 2025.

Três incidentes recentes ilustram como estes números se traduzem em casos concretos:

Abril 2026
CTT — um atacante afirmou ter roubado mais de um milhão de registos de clientes associados ao serviço de cacifos Locky (nomes, contactos, emails, histórico de encomendas). Os CTT confirmaram o incidente ao Centro Nacional de Cibersegurança, garantindo que dados financeiros e palavras-passe não estavam incluídos — mas alertando para o risco de phishing com referências Multibanco falsas simulando taxas aduaneiras.
Maio 2026
Serviço Nacional de Saúde (SNS) — um atacante usou credenciais roubadas a um médico para aceder de forma massiva e automatizada a registos de utentes de todo o país, incluindo crianças, Madeira e Açores. A Polícia Judiciária confirmou pelo menos 100 mil vítimas. A CNPD recebeu centenas de participações em poucos dias e abriu um processo de averiguações; as autoridades admitem que o volume e a rapidez do acesso sugerem o uso de inteligência artificial no ataque.

Estes dois casos somam-se a uma tendência de fundo já documentada: em 2024, Portugal registou 2.758 ciberataques reportados, 36% mais do que em 2023 — uma progressão de mais de 716% desde 2019.

Fontes: RR/Renascença (25/05/2026), PÚBLICO (22/05/2026 e 26/05/2026), Sapo/CentroTV (abril 2026), formacaoajuda.com (dados CNCS, 04/05/2026).

Saúde, educação, turismo: três setores que também foram atingidos

O caso do SNS não é isolado. Hospitais, universidades e plataformas de viagens usadas por portugueses foram alvo de incidentes distintos em 2025-2026 — cada um com o seu próprio tipo de dado exposto e o seu próprio risco de exploração.

🏥Centro Hospitalar de Setúbal: dados à venda na dark web

Informação confidencial de doentes e profissionais do Centro Hospitalar de Setúbal foi colocada à venda num fórum da dark web: cerca de 37 GB de dados, incluindo documentos de identificação (passaportes, cartões de cidadão), credenciais profissionais, correspondência institucional, moradas e números de telefone. O hospital confirmou que a origem foi uma conta de email institucional pirateada e que foram tomadas medidas de contenção. Uma grande comunidade brasileira residente na região de Setúbal, a cerca de 50 km de Lisboa, foi particularmente afetada. O caso ilustra uma tendência mais ampla documentada por especialistas portugueses: a venda de dados de hospitais e clínicas na dark web tem vindo a aumentar, sustentada por canais que operam à margem da internet convencional, com negociações que decorrem abertamente em grupos de Telegram e WhatsApp.

Medscape Portugal · SAPO Tek · IT Insight, 2025-2026

🎓Canvas: universidades portuguesas notificadas

Em maio de 2026, hackers atacaram a plataforma educativa Canvas, usada por escolas e universidades em todo o mundo — incluindo, em Portugal, a Universidade Europeia e o IPAM. Os atacantes reivindicaram ter acedido a dados de 275 milhões de utilizadores globalmente: nomes, endereços de email, números de estudante e conteúdo de mensagens trocadas na plataforma. As duas instituições portuguesas comunicaram o incidente às autoridades competentes, mas não registaram impacto confirmado nos seus próprios utilizadores — um exemplo direto de por que a reivindicação de um atacante e o número efetivamente confirmado por cada organização afetada podem divergir de forma significativa. À escala mundial, a educação foi o setor mais atacado em abril de 2026, com quase 5 000 ataques semanais por organização — universidades e escolas combinam dados pessoais em massa com orçamentos de segurança limitados.

PÚBLICO, 08/05/2026 · Malwarebytes · 4gnews, maio 2026

✈️Booking.com: reservas e pedidos especiais expostos

Em abril de 2026, a Booking.com — plataforma amplamente usada por portugueses para reservar alojamento — confirmou um ciberataque que expôs nomes, endereços de email, números de telefone e detalhes de estadias e reservas de clientes, incluindo comunicações e pedidos especiais trocados diretamente com os hotéis através da plataforma. A empresa não revelou o número total de utilizadores afetados, mas garantiu que não houve acesso a dados financeiros. O incidente já alimenta campanhas de fraude por email e WhatsApp que imitam a marca — o setor do turismo e hotelaria registou, em maio de 2026, uma média de 2 291 ciberataques semanais por organização, um crescimento de 122% face a maio de 2023.

PÚBLICO · Observador · ECO, abril 2026

Nota de método: quando um atacante reivindica um número de vítimas, esse número não é automaticamente um facto. O caso France Titres em França (revendicação de 19 milhões, confirmação oficial de 11,7 milhões) e o caso Canvas em Portugal acima mostram por que preferimos sempre esperar pela confirmação de uma autoridade ou da própria organização antes de tratar um número como estabelecido.

🔒 Uma fuga num setor que parece não ter nada a ver com o seu banco — um hospital, uma universidade, uma reserva de viagem — pode parecer inofensiva. É precisamente o tipo de informação que um burlão usa para construir um cenário credível. Veja como uma fuga se transforma num golpe.

O vocabulário a conhecer

Have I Been Pwned

Serviço gratuito criado pelo investigador de segurança Troy Hunt: introduza o seu email para saber se consta de uma fuga de dados conhecida.

Credential stuffing

Um atacante testa em massa, noutros sites, credenciais roubadas numa fuga anterior — apostando que reutiliza a mesma palavra-passe noutro lado.

Password spraying

O inverso do ataque de força bruta clássico: o atacante testa uma palavra-passe muito comum contra um grande número de contas diferentes, para não acionar os sistemas de deteção.

Fadiga MFA

Um atacante que já possui a sua palavra-passe dispara uma rajada de pedidos de validação por notificação, à espera que acabe por aceitar por cansaço ou engano.

O SIM swap, outra técnica diretamente ligada à exploração de dados roubados, está detalhado no glossário.

🔒 Os seus dados podem ter fugido sem que nenhuma ação sua tenha contribuído — mas a proteção continua possível a jusante: a Egidio reconhece os padrões de chamadas e SMS construídos a partir de dados roubados, mesmo quando personalizados. Veja como funciona o Medusa.

Perguntas frequentes

Como sei se os meus dados fugiram?

Have I Been Pwned (haveibeenpwned.com) é um serviço gratuito, criado pelo investigador de segurança Troy Hunt, que permite verificar se o seu endereço de email consta de fugas de dados conhecidas. Em Portugal, entidades como o SNS ou os CTT notificam diretamente os afetados quando identificam um incidente concreto.

Portugal está particularmente exposto às fugas de dados?

Os números de 2025 são inéditos: a CNPD abriu 472 processos por violação de dados pessoais, um aumento de 42% face a 2024, o valor mais alto desde 2020. A isto somam-se incidentes de grande escala em 2026, como o acesso indevido a dados de mais de 100 mil utentes do Serviço Nacional de Saúde.

Porque é que uma fuga de dados leva a chamadas ou SMS fraudulentos?

Porque uma fuga contém frequentemente nome, contacto telefónico e, por vezes, informação sobre a sua saúde, encomendas ou banco — o suficiente para construir uma chamada ou SMS credível e personalizado, muito mais eficaz do que uma mensagem genérica enviada ao acaso.

Porque é que os dados de saúde são particularmente procurados?

Os preços exatos praticados nos mercados da dark web variam enormemente consoante a fonte e o tipo de dado, e não existe um valor de referência fiável a citar. O que torna um dado de saúde especialmente valioso é outra coisa: ao contrário de uma palavra-passe ou de um cartão bancário, que podem ser alterados ou cancelados após uma fuga, um historial clínico não pode ser "reposto" — permanece explorável de forma indefinida, o que o torna uma matéria-prima duradoura para quem constrói esquemas de burla personalizados.

Para ir mais longe