Um novo estudo do think tank alemão Stiftung Wissenschaft und Politik (SWP), publicado em junho de 2026, coloca o dedo numa ferida antiga da cibersegurança: a maior parte dos incidentes informáticos que afetam empresas, infraestruturas críticas e cidadãos não acontece por falta de tecnologia de proteção — acontece porque o software que toda a gente usa contém vulnerabilidades conhecidas que os seus fabricantes não têm incentivos suficientes para corrigir. E a regulação que existe para mudar isso ainda tem lacunas relevantes, incluindo dúvidas sobre a sua aplicação efetiva.
O problema: os fabricantes de software não pagam pelo dano que causam
A investigadora Alexandra Paulus, autora do estudo, parte de um paradoxo documentado: os fabricantes de software sabem há décadas como desenvolver produtos seguros — existem guias de boas práticas, linguagens de programação mais seguras, metodologias de desenvolvimento testadas. Ainda assim, ano após ano, as vulnerabilidades mais exploradas resultam dos mesmos erros evitáveis. A razão é simples: os fabricantes não enfrentam consequências significativas quando os seus produtos causam dano.
O mercado de software é estruturalmente diferente de outros setores. Quando um fabricante de automóveis lança um veículo com um defeito, pode ser alvo de recalls onerosos e ações judiciais de grande escala. No software, a prática habitual é lançar o produto o mais rapidamente possível e corrigir problemas depois — mediante atualizações que chegam quando chegam, e que nem sempre são instaladas. Quem suporta os custos dos incidentes são os utilizadores e os operadores, não os fabricantes.
O caso CrowdStrike de julho de 2024 é o exemplo mais citado: uma atualização defeituosa do software de segurança Falcon paralisou 8,5 milhões de dispositivos em todo o mundo, causando prejuízos estimados em mais de 5,4 mil milhões de dólares. Nenhum ator malicioso esteve envolvido — apenas uma cadeia de erros que mecanismos padrão de verificação teriam detetado. O fabricante sobreviveu com a reputação parcialmente intacta. As vítimas pagaram a fatura.
Quatro razões pelas quais os fabricantes não investem em segurança
O estudo identifica quatro fatores interligados que explicam a persistência deste problema:
- Velocidade de lançamento — a pressão para chegar primeiro ao mercado domina sobre a qualidade de segurança; as correções podem vir depois, em atualizações;
- Invisibilidade da segurança para o comprador — não existe uma certificação de segurança amplamente reconhecida para software; empresas e consumidores compram com base na funcionalidade e no preço;
- Impacto reputacional limitado — os incidentes de cibersegurança raramente afetam de forma duradoura a cotação bolsista ou a reputação dos fabricantes;
- Ausência de consequências legais e financeiras — sem responsabilidade legal pelo produto, não há incentivo económico para investir em segurança.
As três alavancas regulatórias disponíveis
A investigadora propõe três instrumentos regulatórios complementares para corrigir esta falha de mercado, usando como analogia o princípio do poluidor-pagador introduzido no direito ambiental:
- Lei de segurança do produto — define requisitos mínimos de segurança que os fabricantes devem cumprir para poder colocar o produto no mercado; autoridades de vigilância fiscalizam e aplicam coimas em caso de incumprimento;
- Responsabilidade civil pelo produto — permite que partes lesadas por software defeituoso processem os fabricantes, mesmo sem relação contratual direta, criando incentivos financeiros para investir em segurança (à semelhança do que acontece no setor automóvel e farmacêutico);
- Requisitos de cibersegurança para fornecedores de serviços SaaS — as soluções de software como serviço não são cobertas pelas leis de responsabilidade do produto; é necessária regulação específica para este modelo de entrega cada vez mais dominante.
O que a União Europeia já fez — e onde ficam as lacunas
A UE tem avançado em todas estas frentes, mas com limitações relevantes:
Cyber Resilience Act (CRA) — Em vigor desde dezembro de 2024, o CRA impõe requisitos obrigatórios de cibersegurança a fabricantes de produtos com elementos digitais — hardware e software. As obrigações de reporte entram em vigor em setembro de 2026; as restantes em dezembro de 2027. Fabricantes que violem as regras podem ser multados e obrigados a retirar produtos do mercado. Contudo, o CRA não se aplica a produtos desenvolvidos exclusivamente para fins de defesa ou segurança nacional.
Diretiva de Responsabilidade Civil por Produtos — A revisão de 2024 da diretiva europeia alarga o âmbito ao software, mas mantém restrições significativas: só pessoas singulares podem intentar ações, apenas para software de uso exclusivamente privado, e apenas em casos de danos pessoais, materiais ou de dados. Empresas, entidades públicas e utilizadores profissionais ficam de fora — precisamente o segmento mais afetado pelos incidentes de cibersegurança.
NIS2 — A diretiva NIS2 impõe requisitos de cibersegurança aos fornecedores de serviços SaaS que operem no mercado europeu. Mas o estudo aponta uma preocupação concreta: a Presidente do BSI (Bundesamt für Sicherheit in der Informationstechnik) alemão declarou que a agência não tenciona, em regra, aplicar coimas às empresas que violem estes requisitos. Se as autoridades não aplicam sanções, os incentivos para cumprir são fracos.
Porque é que isto importa para Portugal
Para as organizações portuguesas, este debate tem implicações diretas. O Decreto-Lei n.º 125/2025, que transpõe a NIS2 para Portugal, impõe obrigações de gestão do risco cibernético às entidades essenciais e importantes — mas, como o estudo da SWP sublinha, nenhuma regulação do lado dos utilizadores e operadores é suficiente se o software que estes utilizam for intrinsecamente inseguro.
Para as PME portuguesas, o problema tem uma dimensão adicional: a maioria depende de software de grandes fabricantes norte-americanos — sistemas operativos, suites de produtividade, soluções de cibersegurança — sem poder negociar condições contratuais que incluam responsabilidade pela segurança do produto. Se a regulação europeia avançar de forma consequente, essa assimetria pode começar a mudar.
A partir de setembro de 2026, as obrigações de reporte do CRA entram em vigor para todos os fabricantes que vendam produtos digitais no mercado europeu. É um primeiro passo relevante — mas, como o estudo da SWP deixa claro, a eficácia deste e dos restantes instrumentos depende acima de tudo de uma coisa: a vontade das autoridades em aplicá-los.
Esta informação tem caráter noticioso e baseia-se no estudo “Cybersecurity Needs Secure Software” (SWP Comment 2026/C 21, junho de 2026) da investigadora Alexandra Paulus, publicado pela Stiftung Wissenschaft und Politik (SWP), e em informação pública da Comissão Europeia sobre o Cyber Resilience Act.