A Santa Casa da Misericórdia de Santo Tirso foi alvo de um ciberataque que terá ocorrido durante o fim de semana e foi detetado na manhã de segunda-feira, 9 de junho. O incidente está a provocar perturbações no atendimento das unidades médicas de trabalho externo da instituição, com cancelamento de marcações já confirmado, e foi comunicado à Polícia Judiciária.
O que se sabe sobre o incidente
De acordo com informações prestadas à agência Lusa pelo vice-provedor da instituição, Ricardo Baptista, o ataque foi identificado na manhã de segunda-feira, embora se suspeite que tenha ocorrido durante o fim de semana. Como medida de contenção imediata, a Santa Casa encerrou os seus sistemas de forma hermética ao exterior e mobilizou uma equipa externa para apurar a origem do ataque e o alcance dos dados e infraestruturas afetados.
O cancelamento de marcações na clínica de gastroenterite foi dado como exemplo concreto do impacto operacional. No entanto, Ricardo Baptista garantiu que os cuidados prestados nas Estruturas Residenciais para Pessoas Idosas (ERPI) — os lares permanentes da instituição — não foram afetados e continuam a decorrer normalmente.
Até ao momento, não há registo de qualquer pedido de resgate associado ao incidente.
Instruções internas de segurança
Na manhã de terça-feira, a diretora de Recursos Financeiros e Tecnologia de Informação da misericórdia, Susana Freitas, enviou um email interno aos colaboradores com um conjunto de orientações de segurança a adotar enquanto decorre a investigação. Entre as instruções transmitidas constam:
- Não ligar, desligar, reiniciar nem tentar reparar qualquer equipamento por iniciativa própria;
- Não abrir emails, anexos ou ligações de origem suspeita;
- Não inserir pens ou outros dispositivos USB nos computadores até nova indicação.
Estas medidas seguem os procedimentos de contenção recomendados em situações de comprometimento de sistemas, visando evitar a propagação do ataque e a destruição de evidências digitais necessárias à investigação.
Porque é que isto importa
O setor da saúde e da ação social tem sido um alvo recorrente de ciberataques em Portugal e na Europa. Instituições como as misericórdias gerem dados clínicos e pessoais sensíveis de utentes vulneráveis, o que as torna alvos atrativos — e cujo comprometimento pode ter consequências diretas na prestação de cuidados.
O Decreto-Lei n.º 125/2025, que transpõe a Diretiva NIS2 para o direito português, alarga as obrigações de cibersegurança a um conjunto mais vasto de entidades, incluindo prestadores de cuidados de saúde. Entre essas obrigações está a notificação de incidentes significativos ao CNCS/CERT.PT e à autoridade competente no prazo de 24 horas após a deteção.
O caso da Santa Casa de Santo Tirso sublinha a importância de as organizações do setor social e de saúde — frequentemente com recursos de TI limitados — investirem em planos de resposta a incidentes, segmentação de redes e formação dos colaboradores. A rapidez na contenção e na comunicação às autoridades, verificada neste caso, é em si mesma uma boa prática que pode limitar o impacto de um ataque.
Esta informação tem caráter noticioso e baseia-se em declarações prestadas à agência Lusa pelo vice-provedor da Santa Casa da Misericórdia de Santo Tirso e em informação divulgada por múltiplos órgãos de comunicação social nacionais em 9 de junho de 2026.