A Lei do Cibercrime, aprovada pela Lei n.º 109/2009, de 15/12, alterada pela Lei nº 79/2021, de 24/11, transpôs para a ordem jurídica interna a Decisão Quadro n.º 2005/222/JAI do Conselho da União Europeia, relativa a ataques contra sistemas de informação, e adapta o direito interno à Convenção sobre Cibercrime do Conselho da Europa, assinada em 23/11/2001, em Budapeste, com entrada em vigor na ordem internacional em 01/07/2004 e em 01/07/2010 em Portugal [Aprovada pela Resolução da Assembleia da República n.º 88/2009, de 15/09 e ratificada pelo Decreto do Presidente da República n.º 91/2009, de 15/09. No momento da ratificação, Portugal formulou a seguinte reserva ao artigo 24.º, n.º 5: Portugal não concederá a extradição de pessoas: a) Que devam ser julgadas por um tribunal de excepção ou cumprir uma pena decretada por um tribunal dessa natureza; b) Quando se prove que são sujeitas a processo que não oferece garantias jurídicas de um procedimento penal que respeite as condições internacionalmente reconhecidas como indispensáveis à salvaguarda dos direitos do homem, ou que cumprirem a pena em condições desumanas; c) Quando reclamadas por infracção a que corresponda pena ou medida de segurança com carácter perpétuo. Portugal só admite a extradição por crime punível com pena privativa da liberdade superior a um ano. Portugal não concederá a extradição de cidadãos portugueses. Não há extradição em Portugal por crimes a que corresponda pena de morte segundo a lei do Estado requerente. Portugal só autoriza o trânsito em território nacional de pessoa que se encontre nas condições em que a sua extradição possa ser concedida. O Protocolo Adicional à Convenção sobre o Cibercrime Relativo à Incriminação de Atos de Natureza Racista e Xenófoba Praticados através de Sistemas Informáticos, adaptado em Estrasburgo a 28/01/2003 (aprovado pela Resolução da Assembleia da República n.º 91/2009, DR I, n.º 179, de 15/09), é o instrumento que a desenvolve. Através do Aviso n.º 97/2013, de 29/1 República Portuguesa tornou público que depositou o seu instrumento de ratificação à Convenção].

A lei em causa, mesmo tempo, revogou a anterior legislação sobre a matéria, nomeadamente, a Lei n.º 109/1991, de 17 de agosto, denominada Lei da Criminalidade Informática.

Como se expendeu no Acórdão do Tribunal Constitucional nº 687/2021, Processo nº 830/2021, em Plenário, disponível em https://www.tribunalconstitucional.pt:

“A Lei n.º 109/2009 foi inovadora, na medida em que instituiu, pela primeira vez, regras jurídicas específicas referentes à recolha de prova em suporte eletrónico. Até então, a investigação dos crimes relacionados com a informática fazia‑se com recurso às normas pertinentes, interpretadas com as necessárias adaptações, do Código de Processo Penal.

Com a aprovação desta lei, o legislador procurou reunir num único diploma todas as normas respeitantes à criminalidade informática: normas de direito substantivo, normas de direito processual e normas relativas à cooperação judiciária em matéria penal.

Assim, do ponto de vista estrutural, a Lei do Cibercrime contém disposições introdutórias e definições legais, bem como um capítulo dedicado a normas penais de natureza material, onde são consagrados diversos tipos penais especificamente relacionados com a criminalidade informática; além disso, a Lei n.º 109/2009 estabelece, em capítulo autónomo, e como já se mencionou, um conjunto de normas de natureza adjetiva (designadas como “disposições processuais”), consagrando uma série de novos meios de obtenção de prova. Finalmente, um capítulo sobre cooperação internacional contém normas que complementam as disposições da Lei da Cooperação Judiciária em Matéria Penal.

Nos termos do artigo 11.º da Lei do Cibercrime – a primeira disposição normativa constante do Capítulo III – as disposições processuais dela constantes apresentam-se como de aplicação tendencialmente privativa aos crimes nela consagrados. Todavia, como resulta do disposto nas diversas alíneas do n.º 1 do artigo 11.º de tal diploma, designadamente na sua alínea c), e como decorre do artigo 14.º, n.º 2, alínea c), da Convenção de Budapeste sobre o Cibercrime, aquelas disposições são, na realidade, aplicáveis a todo e qualquer crime, desde que se mostre necessária a recolha de prova em suporte eletrónico. Assim, “as regras de direito probatório previstas no diploma não são assim meras normas processuais sobre cibercrimes ou sequer apenas relativas a crimes praticados em sistemas informáticos, mas correspondem a um regime consideravelmente mais abrangente sobre prova eletrónica em processo penal aplicável a qualquer crime” (…). Por esta razão, uma argumentação nos termos da qual as normas processuais penais constantes da Lei do Cibercrime teriam a natureza de normas excecionais, orientadas para a investigação de crimes revestidos de especial ofensividade não pode proceder. Ou, pelo menos, não pode ter-se por inequívoca a veracidade de tal argumentação, havendo espaço para interpretações diferentes, que permitam a extensão da aplicação do regime previsto no artigo 17.º a outros crimes, desde que se tenha por indispensável a recolha de prova em suporte eletrónico.

Efetivamente, o legislador nacional escolheu, ao aprovar a Lei do Cibercrime, consagrar normas de direito probatório de espetro geral num diploma extravagante, ao invés de rever e adaptar o CPP aos novos tempos. (…).

Ora, desta forma, tendo em consideração os processos de digitalização e desmaterialização que dominam a sociedade contemporânea, o âmbito de aplicação efetivo das normas adjetivas da Lei n.º 109/2009 revela-se substancialmente mais amplo do que poderia parecer numa primeira análise (…). De facto, a prova em suporte eletrónico tenderá a ser uma realidade material omnipresente na vida comunitária, mais ainda do que já sucedia aquando da aprovação da versão inicial das normas questionadas; notem-se, entre muitos outros fatores de incremento da vida digital, o aumento das interações entre Estado e cidadãos com recurso à Internet, bem como o crescimento do teletrabalho, em particular no cenário pandémico – e estes exemplos constituem apenas duas das mais recentes manifestações da extensão a novos domínios da vida em sociedade das referidas digitalização e desmaterialização.” – Sic.

O cibercrime ou a criminalidade informática, integra um conceito amplo, em que que se consubstancia como o facto tipificado na lei como crime que é praticado através da utilização de um sistema informático [entendido este , como qualquer dispositivo ou conjunto de dispositivos interligados ou associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção]. É o facto tipificado na lei como crime em que o sistema informático é objeto ou instrumento do crime ou cujo cometimento está significativamente ligado à utilização de um sistema informático.

Por sua vez, importa ter presente que a Lei n.º 79/2021, de 24/11, altera, entre outros atos, a Lei do Cibercrime, aprovada pela Lei n.º 109/2009, de 15 de setembro, como já supra se referiu, sendo que veio criar novos tipos de crimes relacionados com contrafação de dispositivos que permitam o acesso a sistemas e meios de pagamento (incluindo sobre moeda virtual).

Em concreto, são criados os seguintes novos tipos de crime, aplicáveis a pessoas singulares e coletivas: a) Contrafação de cartões ou outros dispositivos de pagamento, punível com uma pena de prisão de 3 a 12 anos; b) Uso de cartões ou outros dispositivos de pagamento contrafeitos punível com uma pena de prisão de 1 a 12 anos; c) Aquisição de cartões ou outros dispositivos de pagamento contrafeitos, punível com uma pena de prisão de 1 a 5 anos; d) Atos preparatórios de contrafação, punível com pena de prisão de 1 a 5 anos; e) Aquisição de cartões ou outros dispositivos de pagamento obtidos mediante crime informático, punível com uma pena de prisão de 1 a 5 anos. As penas previstas para os crimes mencionados podem ser agravadas nos termos do disposto no artº 3º F do citado diploma legal.

Os novos crimes terão impacto na avaliação da idoneidade para o exercício de certas profissões e funções (administrador judicial, advogado, solicitador, agente de execução, notário, prestadores de serviços de confiança, mediador de recuperação de empresas, titulares dos órgãos das IPSS, da direção da Caixa de Previdência dos Advogados e Solicitadores e dos órgãos associativos das associações mutualistas).

A lei procede ainda a alterações aos crimes de burla informática e nas comunicações, abuso de cartão de garantia ou de crédito («abuso de cartão de garantia ou de cartão, dispositivo ou dados de pagamento») e branqueamento, previstos no Código Penal.

No âmbito da cibercriminalidade importa ainda ter presente o Código Penal, a Lei nº 58/2019, de 8 de agosto (Lei da Proteção de Dados Pessoais), a Lei nº 15/2001, de 5 de junho (Regime Geral das Infrações Tributárias), o DL nº 252/94, de 20 de outubro (respeitante à Proteção Jurídica de Programas de Computador) e o DL nº 63/85, de 14 de março (Código de Direitos de Autor e dos Direitos Conexos), o DL nº 7/2004, de 07/01 (Parte superior do formulário

Comércio Eletrónico no Mercado Interno e Tratamento de Dados Pessoais), Lei nº 32/2008, de 17/07 (Conservação de Dados Gerados ou Tratados no Contexto Oferta de Serviços de Comunicações Eletrónicas), DL nº 123/2009, de 21/05 (Construção, Acesso e Instalação de redes), DL nº 34/2023, de 23/05 ( Cyber Academia and Innovation Hub – CAIH), DL nº 39/2015, de 16/02 ( Estatutos da Autoridade Nacional de Comunicações), DL nº 12/2021, de 09/02 (Identificação Eletrónica e Serviços de Confiança para as Transações Eletrónicas), Lei nº 16/2022, de 16/08 (Lei das Comunicações Eletrónicas), Lei nº 41/2004, de 18/08 (Proteção de Dados Pessoais e Privacidade nas Telecomunicações), DL nº 122/2000, de 04/07 (Proteção Jurídica das Bases de Dados), Lei nº 46/2018, de 13-/08 ( Regime Jurídico da Segurança do Ciberespaço), DL nº 65/2021, de 30/07, (Regulamenta o Regime Jurídico da Segurança do Ciberespaço), Regulamento(UE) n.º 679/2016, de 27 de Abril (Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia (UE), Lei nº 18/2024, de 05/02 (Regula o acesso a metadados referentes a comunicações eletrónicas para fins de investigação criminal, procedendo à alteração da Lei n.º 32/2008, de 17 de julho, que transpõe para a ordem jurídica interna a Diretiva 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, conformando-a com os Acórdãos do Tribunal Constitucional nºs 268/2022 e 800/2023, e da Lei da Organização do Sistema Judiciário).