Os seus dados no Lidl podem ter sido roubados — mas não pelo Lidl

A cadeia de supermercados alemã Lidl começou, na semana passada, a notificar clientes na Alemanha, Bélgica e Países Baixos de que dados pessoais foram roubados numa violação de segurança — não nos seus próprios sistemas, mas num fornecedor de serviços de TI que trabalha com a empresa. É mais um caso a somar à lista já longa de incidentes que começam fora da organização visada, mas acabam por lhe custar a confiança dos seus clientes.

O que aconteceu

Segundo as notificações publicadas pela Lidl nos sites de apoio ao cliente da Bélgica e dos Países Baixos, e enviadas por email aos clientes afetados, a violação foi detetada na semana de 6 de julho de 2026. Indivíduos não identificados conseguiram aceder, de forma pontual, a um ficheiro armazenado separadamente que continha dados de clientes da loja online da Lidl, tendo copiado parte dessa informação. A empresa tornou o incidente público a 10 de julho.

ção de dados

De acordo com a própria Lidl, “o sistema da loja online em si não foi afetado” — ou seja, o ponto de entrada dos atacantes não foi a plataforma de comércio eletrónico da empresa, mas antes a infraestrutura de um fornecedor externo de serviços de TI. Os dados confirmados como comprometidos incluem nome completo, número de telefone, endereço de email, data de nascimento e número de cliente. A Lidl afirma que, para já, não tem provas de que tenham sido também roubadas palavras-passe, endereços de faturação ou de entrega, dados bancários ou outra informação de pagamento — mas admite que não pode ainda excluir essa possibilidade em definitivo, enquanto a investigação forense decorre.

Um incidente que nasce fora de casa

A Lidl, propriedade do grupo alemão Schwarz — o maior retalhista alimentar da Europa, com mais de 376 mil colaboradores e 12 mil lojas na Europa e nos Estados Unidos — não identificou publicamente qual foi o fornecedor de TI comprometido, nem quantos clientes foram afetados nos três países. A empresa confirma que o fornecedor já apresentou queixa às autoridades policiais e contratou peritos forenses independentes para apurar a dimensão total do incidente. A Lidl notificou ainda a Autoridade de Proteção de Dados neerlandesa, além das autoridades homólogas na Alemanha e na Bélgica.

Até ao momento, nenhum grupo de cibercriminosos reivindicou o ataque — o que é, em si, uma informação relevante: incidentes ligados a grupos de ransomware ou de extorsão de dados costumam vir acompanhados, mais tarde ou mais cedo, de uma reivindicação pública ou de uma tentativa de venda dos dados em fóruns clandestinos. A ausência desse sinal, por agora, deixa em aberto se se tratará de um ataque com motivação financeira direta, de uma operação mais discreta de recolha de dados, ou de outro cenário ainda a esclarecer.

Porque é que isto importa

Este caso ilustra, uma vez mais, um dos riscos mais difíceis de gerir em cibersegurança: a exposição introduzida por terceiros. Uma organização pode ter os seus próprios sistemas bem protegidos e, ainda assim, ficar exposta através de um parceiro, fornecedor ou prestador de serviços com acesso a dados de clientes. É precisamente este tipo de risco que a NIS2 — e, em Portugal, o Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025) — coloca no centro das obrigações de gestão da cadeia de fornecimento, exigindo que as entidades abrangidas avaliem e monitorizem os riscos de segurança introduzidos pelos seus fornecedores, e não apenas os seus próprios sistemas.

Para os consumidores — incluindo os que fazem compras online em cadeias de retalho internacionais com presença ou fornecedores europeus — a recomendação da própria Lidl aplica-se de forma universal: estar atento a mensagens inesperadas, verificar sempre a autenticidade do remetente antes de clicar em links ou fornecer dados, e desconfiar de comunicações que peçam a confirmação de dados pessoais ou de pagamento, mesmo que pareçam vir de uma empresa conhecida. Nome, email, telefone e data de nascimento são, por si só, informação suficiente para construir ataques de phishing convincentes e personalizados.

Esta informação tem caráter noticioso e baseia-se nas notificações públicas divulgadas pela Lidl nos seus sites de apoio ao cliente, bem como em reportagens de órgãos de imprensa internacionais especializados em cibersegurança.