Um incidente grave de cibersegurança abalou esta sexta-feira o Serviço Nacional de Saúde português. Um hacker terá comprometido as credenciais de acesso de um médico e utilizado essa identidade digital para aceder ao Portal SNS24, consultando ilegalmente registos administrativos de centenas de utentes — sobretudo crianças de várias idades, mas também adultos. A Polícia Judiciária abriu inquérito, o portal ficou temporariamente inacessível e a dimensão das falhas estruturais expostas pelo incidente está a gerar alarme generalizado.
O que aconteceu: um ataque silencioso de madrugada
Na madrugada de 21 de maio de 2026, alguém acedeu ao Portal SNS24 usando as credenciais de um médico associado ao Centro de Saúde de Miranda do Corvo, em Coimbra. Um pai confirmou ao Jornal de Notícias que os dados do seu filho de três anos tinham sido acedidos às 00h40 dessa madrugada. O acesso foi em massa — centenas de processos consultados em curto espaço de tempo, a horas incomuns, sem qualquer justificação clínica. Os registos ficaram visíveis na área pessoal dos utentes afetados, o que levou à rápida propagação de alertas nas redes sociais ainda durante a quinta-feira à noite.
Os primeiros alertas chegaram por uma via inesperada: creches e jardins de infância que notificaram pais de que os dados dos seus filhos tinham sido acedidos. Daniel Silva, pai de uma criança de três anos, relatou ao Jornal de Notícias ter sido contactado pela creche do filho ao final do dia de quinta-feira, confirmando depois no portal que os dados da criança tinham sido consultados a partir de Miranda do Corvo — uma localidade onde nunca tinham sido assistidos.
Nas redes sociais, as queixas multiplicaram-se rapidamente. Pais de todo o país relatavam o mesmo padrão: notificações de acesso a processos clínicos dos filhos, por um médico que desconheciam, numa unidade de saúde que nunca haviam visitado. O Centro de Saúde de Miranda do Corvo confirmou ao Correio da Manhã ter recebido “dezenas de chamadas de todo o País” desde quinta-feira, aconselhando as pessoas a apresentar queixa às autoridades.
O médico é vítima, não autor
A ULS Alto Minho — onde o médico visado exerce atualmente funções — emitiu um comunicado a clarificar a situação do profissional: “tendo ouvido o médico, tudo indica que foram comprometidas as suas credenciais, não tendo os acessos sido realizados pelo profissional”. A mesma nota acrescenta que “o compromisso das credenciais do médico terá resultado no acesso indevido a registos administrativos, não clínicos, de diversos utentes, entre os quais crianças”.
Este detalhe é importante: não está em causa um ato voluntário do médico, mas sim um roubo de credenciais — provavelmente através de phishing, de acordo com pistas seguidas pelas autoridades e avançadas pelo Expresso e pelo Correio da Manhã. O profissional de saúde é, neste cenário, também uma vítima do ataque. A organização CpC — Cidadãos pela Cibersegurança apelou expressamente a que o nome do médico não fosse difundido nas redes sociais enquanto não fosse esclarecido o seu papel no incidente.
Há ainda um pormenor revelador: o médico cujas credenciais foram usadas já não trabalhava no Centro de Saúde de Miranda do Corvo há vários anos. Os seus acessos ao sistema informático do SNS nunca chegaram a ser revogados.
Portal SNS24 fica offline. PJ abre inquérito
Minutos depois de o Correio da Manhã publicar a notícia esta manhã, o Portal SNS24 ficou inacessível, apresentando uma mensagem de “erro no processo de autenticação” mesmo para utilizadores com Chave Móvel Digital ou Cartão de Cidadão. A coincidência temporal sugere uma intervenção deliberada para conter o incidente — embora os Serviços Partilhados do Ministério da Saúde (SPMS) não tenham comentado casos concretos de cibersegurança.
A Polícia Judiciária abriu inquérito na quinta-feira. Segundo o Público, as autoridades estão a seguir uma pista de ataque informático e a investigar a origem do compromisso das credenciais. A Ordem dos Médicos, por seu turno, recebeu dezenas de queixas e enviou ofícios ao Ministério Público, à SPMS e à ULS do Alto Minho.
As falhas estruturais que este incidente expõe
Do ponto de vista técnico e de cibersegurança, este incidente não é apenas um caso de roubo de credenciais. É o sintoma de um conjunto de falhas sistémicas que tornam o SNS24 vulnerável a este tipo de ataques:
- Ausência de autenticação multifator (MFA). Se o portal exigisse um segundo fator de autenticação — como um código enviado por SMS ou uma app de autenticação — o roubo da senha por si só não seria suficiente para aceder ao sistema. Esta é uma das principais recomendações da CpC ao Ministério da Saúde e à SPMS: implementação obrigatória de MFA para todos os profissionais com acesso ao Registo de Saúde Eletrónico (RSE).
- Credenciais de ex-profissionais nunca revogadas. O Centro de Saúde de Miranda do Corvo confirmou que o médico cujas credenciais foram usadas já não trabalha na unidade há vários anos — mas os seus acessos ao sistema permaneciam ativos. A ausência de um processo de offboarding formal, que desative automaticamente os acessos no último dia de trabalho de um profissional, é uma vulnerabilidade crítica em qualquer sistema de saúde.
- Ausência de deteção de acessos anómalos. O acesso ocorreu de madrugada, em volume massivo, a utentes geograficamente dispersos e sem qualquer relação com a unidade de saúde associada às credenciais. Num sistema bem configurado, este padrão deveria ter disparado alertas automáticos e bloqueado o acesso em tempo real. Aparentemente, não aconteceu.
- Acesso irrestrito a dados de utentes de todo o país. Um médico de uma unidade de saúde local não deveria ter acesso ilimitado aos processos de qualquer utente do país. A ausência de controlos de acesso baseados em contexto clínico — restringindo a consulta aos utentes da própria unidade ou aos que têm relação médico-paciente estabelecida — amplificou o impacto potencial do ataque.
RGPD em risco: a CNPD entra em cena
A organização CpC — Cidadãos pela Cibersegurança pediu explicações formais à Comissão Nacional de Proteção de Dados (CNPD), alertando para possíveis incumprimentos dos artigos 33.º e 34.º do RGPD. Estes artigos obrigam à notificação da autoridade de controlo no prazo de 72 horas após o conhecimento de uma violação de dados pessoais, e à comunicação direta aos titulares afetados quando existe elevado risco para os seus direitos e liberdades.
A CpC afirmou não ter confirmação de que a SPMS tenha comunicado formalmente o incidente à CNPD, e pediu a abertura de inquérito caso essa notificação não tenha ocorrido. Solicitou ainda que a CNPD avalie a conformidade da ausência de MFA obrigatória e da manutenção de credenciais ativas de antigos profissionais de saúde com as exigências do regulamento europeu.
O que devem fazer os pais e utentes afetados
Perante a situação, a CpC e várias entidades recomendam um conjunto de ações concretas:
- Verificar o histórico de acessos ao processo clínico na Área Pessoal do SNS24, usando Chave Móvel Digital ou Cartão de Cidadão.
- Ativar notificações por email para receber alertas sempre que um profissional de saúde consulte dados clínicos no portal.
- Guardar provas — capturas de ecrã com data e hora — de qualquer acesso suspeito identificado.
- Apresentar queixa junto da Polícia Judiciária e da CNPD em caso de acesso indevido confirmado.
O SNS24 não é caso isolado
Este incidente não surge no vazio. O ecossistema digital de saúde em Portugal tem sido palco de incidentes de segurança recorrentes. Em 2022, o Ministério da Saúde foi alvo de um ataque que expôs dados sensíveis e chegou a permitir a emissão fraudulenta de certidões de óbito. A questão que hoje se coloca é a mesma de então: que lições foram efetivamente aprendidas e implementadas?
O incidente desta semana demonstra que medidas básicas de higiene de segurança — MFA, revogação automática de acessos, monitorização de comportamentos anómalos, princípio do mínimo privilégio — continuam por implementar num portal que gere dados de saúde de milhões de portugueses. Dados que, pela sua natureza, são dos mais sensíveis e protegidos que existem.
A CpC exige, entre as medidas imediatas, a revogação urgente de credenciais de todos os profissionais que já não exercem funções no SNS, a implementação obrigatória de MFA, a criação de sistemas automáticos de deteção de acessos anómalos e a publicação de um relatório público detalhado sobre o incidente.
A investigação da PJ está em curso. O portal SNS24 regressou entretanto ao normal. Mas as perguntas sobre a segurança dos dados de saúde dos portugueses ficam sem resposta satisfatória — por enquanto.
Fontes: Expresso, Público, Jornal de Notícias, Correio da Manhã, RTP, 24 Notícias, Lusa, CpC — Cidadãos pela Cibersegurança.