 |
| Um homem assustado confronta um reflexo inquietante de si mesmo no espelho. |
Obs.: O texto que se segue constitui uma versão reformulada de uma publicação anterior, à qual se acrescentou uma abordagem específica da identidade digital, enquanto dimensão emergente e em acelerada expansão no contexto actual.
João (nome fictício) nunca imaginou que o desaparecimento da sua carteira, com todos os documentos pessoais, pudesse desencadear consequências tão graves.
Nesse mesmo dia dirigiu-se a uma esquadra da PSP, participou a ocorrência e cancelou o cartão multibanco junto da entidade emitente.
“Agora é só tratar das segundas vias”, pensou.
Passados seis meses, recebeu em casa uma carta de uma instituição financeira a informar da existência de um contrato de crédito de 10.000 euros celebrado em seu nome.
“Só pode ser um erro”, concluiu.
Ao contactar a entidade, descobriu que alguém tinha usado os seus dados pessoais para obter o empréstimo.
A origem? A carteira “roubada”…
1 – A Identidade Pessoal
A identidade pessoal é o conjunto de características (nome, sexo, filiação, naturalidade, entre outras) que individualizam uma pessoa de forma exclusiva e indissolúvel.
A Constituição da República Portuguesa (CRP), no art.º 26.º n.º 1, consagra-a como direito fundamental. O Código Civil, no art.º 72.º n.º 1, reforça esta protecção, nomeadamente quanto ao nome, garantindo ao titular o direito de o usar livremente e de se opor ao seu uso por terceiros.
Apesar destas garantias, a identidade continua a ser alvo de apropriações ilícitas, muitas vezes motivadas por ganhos económicos através de fraudes.
2 – A Identidade Digital
Nos últimos anos, a identidade deixou de ser apenas física para se tornar também digital.
Podemos designar, de forma simplificada, a identidade digital como o conjunto de dados e representações associados a uma pessoa no ambiente online, nomeadamente perfis em redes sociais, contas de correio electrónico, credenciais de acesso a serviços bancários, aplicações governamentais (como o Cartão de Cidadão Electrónico ou a Chave Móvel Digital), histórico de navegação, dados biométricos e informações armazenadas em bases de dados públicas ou privadas.
Esta identidade é protegida pelo
Regulamento Geral de Proteção de Dados [RGPD – Regulamento (UE) n.º 679/2016,
de 27 de Abril], transposto para a ordem jurídica portuguesa pela Lei n.º58/2019, de 8 de Agosto.
O RGPD confere aos cidadãos direitos fundamentais como o acesso aos seus dados (art.º 15.º), a rectificação (art.º16.º), o apagamento (“direito a ser esquecido”, art.º 17.º), a limitação do tratamento (art.º 18.º) e a portabilidade (art.º 20.º).
No entanto, a identidade digital é especialmente vulnerável. Uma violação de dados, um phishing [1] sofisticado ou um deepfake [2] podem permitir a alguém assumir a identidade de outrem sem nunca lhe tocar num documento físico.
[1] O phishing é uma técnica de cibercrime que utiliza o engano – através de mensagens ou sites falsos que imitam entidades de confiança – para induzir as pessoas a revelarem dados confidenciais, como palavras-passe ou informações bancárias.
[2] O deepfake é uma técnica de inteligência artificial que cria ou manipula conteúdos de vídeo, imagem ou áudio para simular, com extremo realismo, a voz ou a imagem de pessoas a dizerem ou fazerem algo que nunca aconteceu.
Hoje, um criminoso pode abrir contas bancárias, contrair empréstimos, criar perfis falsos ou até cometer crimes em nome da vítima apenas com credenciais “roubadas” ou sintetizadas por inteligência artificial.
A singularidade da identidade – outrora garantida pela materialidade dos documentos – torna-se muito mais frágil no mundo digital, onde os dados circulam a uma velocidade vertiginosa e podem ser replicados infinitamente.
3 – Apropriação de Identidade Alheia
O furto de identidade não é novo, mas os métodos evoluíram drasticamente.
A carteira furtada ou roubada continua a ser uma porta de entrada clássica, tal como a correspondência retirada de caixas de correio pouco seguras ou documentos descartados indevidamente no lixo.
Actualmente, os alvos preferenciais são os dispositivos digitais. Um telemóvel ou computador furtado ou roubado, ou comprometido remotamente através de malware [3], phishing [1] ou credential stuffing [4], dá acesso a um tesouro de informações.
[3] Numa definição simplificada, o malware é qualquer programa ou código informático concebido com a intenção maliciosa de infiltrar, danificar, subtrair dados ou obter acesso não autorizado a sistemas e dispositivos.
[4] O credential stuffing é um ciberataque automatizado que utiliza listas de nomes de utilizador e palavras-passe subtraídos num serviço para tentar forçar o acesso a contas noutros sites, explorando a tendência dos utilizadores para reutilizarem as mesmas credenciais em várias plataformas.
As redes sociais facilitam o trabalho dos criminosos: dados públicos, fotografias e relações pessoais permitem construir perfis falsos muito convincentes.
Outras técnicas modernas incluem: mensagens de phishing ou smishing (por SMS) que simulam entidades bancárias ou serviços oficiais; chamadas de voz com clonagem de voz por inteligência artificial; deepfakes [2] em videochamadas para enganar sistemas de verificação; violações em massa de bases de dados (data breaches) que depois são vendidas na dark web [5].
[5] De forma sintética, podemos descrever a dark web como uma zona oculta da internet que só pode ser acedida através de browsers específicos (por exemplo o Tor), garantindo o anonimato dos utilizadores e sendo frequentemente utilizada tanto para comunicações seguras e privadas como para mercados ilícitos e atividades cibercriminosas.
A identidade virtual pode ser
usurpada com uma password fraca ou
previsível, ou simplesmente porque o utilizador partilhou demasiada informação
pessoal online.
 |
Carteira com dados pessoais
digitais, incluindo cartões de crédito e perfis de redes sociais a sair do seu
interior |
4 – Enquadramento Legal
Ao contrário do que acontece no Brasil (art.º 307.º do Código Penal brasileiro [6]), em Portugal não existe um crime autónomo de “usurpação de identidade” ou “furto de identidade”.
[6] O art.º 307.º do Código Penal brasileiro, aprovado pelo Decreto-lei n.º 2.848/1940, com epigrafe “falsa identidade”, prevê e estatui o seguinte:
“Atribuir-se ou atribuir a terceiro falsa identidade para obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem: Pena – detenção, de três meses a um ano, ou multa, se o fato não constitui elemento de crime mais grave”.
A Lei n.º 12/91, de 21 de Maio, previa o crime de “usurpação de identidade” (art.º 38.º), mas este foi revogado pelo art.º 53.º al.ª f) da Lei n.º 33/99, de 18 de Maio, e nunca foi reintegrado no Código Penal.
O legislador português entendeu que
o mero uso de identidade alheia só ganha relevância penal quando integrado numa
conduta que visa obter benefício ilegítimo ou causar prejuízo a terceiro.
Assim, o “furto de identidade” desdobra-se em vários tipos legais de crime, consoante
a fase e o meio utilizado (físico ou digital).
4.1 – Normas mais frequentemente violadas
► Crimes principais (crimes-fim):
→ Burla [art.º 217.º do Código Penal (CP)] e burla qualificada (art.º 218.º do CP);
Trata-se de situações em que, por erro ou engano (nomeadamente por falsa identidade), o criminoso leva outrem a praticar actos que lhe causam prejuízo patrimonial, sendo o enquadramento típico em celebrações de contratos de crédito ou de aquisições realizadas em nome da vítima.
→ Falsificação de documentos (art.º 256.º do CP);
Abrange a falsificação – que pode consistir na alteração de um documento preexistente ou na inserção de falsidade no seu conteúdo (falsidade intelectual) –, bem como a contrafacção, entendida como a criação integral de um documento falso com aparência de genuíno. Inclui ainda a utilização de documentos falsos ou contrafeitos. Abrange igualmente, na actualidade, documentos digitais e certificados eletrónicos.
→ Falsidade informática (art.º 3.º da Lei n.º 109/2009, de 15 de Setembro, que aprovou a Lei do Cibercrime, doravante apenas LC);
No contexto da usurpação de identidade, este tipo penal é frequentemente preenchido quando o criminoso utiliza dados pessoais alheios (nome, NIF, morada, número de telemóvel, fotografias, etc.) para criar ou manipular informações em sistemas informáticos, fazendo crer que tais dados ou acções provêm da própria vítima.
Exemplos clássicos incluem a criação de um perfil falso numa rede social com recurso a dados e fotografias da vítima [7], ou a criação de uma conta de correio eletrónico utilizando o nome ou parte do nome desta, de modo a simular a sua autoria. [8]
[7] Neste sentido, o acórdão do Tribunal da Relação do Porto, proc. n.º 585/11.6PAOVR.P1, acedido e consultado AQUI em 02/05/2026.
[8] A este propósito, o acórdão do Tribunal da Relação de Évora, proc. n.º 238/12.8PBPTG.E1, acedido e consultado AQUI em 02/05/2026.
Particularmente relevante na dimensão digital do furto de identidade é a manipulação de dados em aplicações bancárias ou de pagamento, como o MB Way.
Quando o criminoso, através de engano (phishing, chamada fraudulenta ou contacto via OLX, por exemplo), convence a vítima a associar a aplicação MB Way a um número de telemóvel controlado por si, ou lhe dá instruções para introduzir dados que permitem o controlo da conta, introduz dados incorrectos ou falsos num sistema informático. Esta conduta preenche o tipo objectivo e subjectivo do art.º 3.º n.º 1 da LC (produção de dados não genuínos com intenção de provocar engano). [9]
[9] Nesta linha de entendimento, o acórdão do Tribunal da Relação de Évora, proc. 82/20.9PACTX-A.E1, acedido e consultado AQUI em 02/05/2026.
→ Burla informática (art.º 221.º do CP);
Na sequência do exemplo apresentado no crime anterior (falsidade informática), o criminoso, após introduzir ou fazer introduzir dados falsos no sistema (por exemplo, associando um número de telemóvel alheio ou confirmando operações em nome da vítima), ordena transferências ou levantamentos que causam prejuízo patrimonial efectivo à vítima, determinando a consumação também do crime de burla informática.
Os tribunais têm entendido, de forma maioritária, que existe concurso efectivo (e não meramente aparente) entre os crimes de falsidade informática e de burla informática, por tutelarem bens jurídicos distintos. [10]
[10] Ver, por exemplo, o acórdão referido na nota anterior.
→ Uso de documento de identificação ou de viagem alheio (art.º 261.º do CP);
Punição específica para quem usa cartão de cidadão, passaporte ou documento equivalente de outrem. [11]
[11] Não preenche o tipo legal de crime em causa a conduta de quem utiliza o cartão Navegante pertencente a terceiro. Sobre esta matéria, sugerimos a leitura do nosso artigo intitulado: Crime de Uso de Documento de Viagem Alheio – o casoespecífico dos cartões de identificação para transportes (v.g., Lisboa VIVA).
► Crimes instrumentais (crimes-meio):
→ Furto (art.º 203.º do CP) ou furto de documento (art.º 259.º do CP);
Quando se subtrai uma carteira, um telemóvel ou outros suportes com dados pessoais.
→ Violação de correspondência (art.º 194.º n.º 1 do CP);
Abertura ou apropriação indevida de cartas ou encomendas contendo dados pessoais.
→ Utilização de fotografias contra a vontade [art.º 199.º n.º 2 al.ª b) do CP];
Relevante quando se retiram fotos de redes sociais para criar perfis falsos.
→ Acesso ilegítimo a sistema informático (art.º 6.º da LC);
No contexto da usurpação de identidade, este crime é um dos mais relevantes na vertente digital, funcionando frequentemente como meio para o criminoso aceder a contas bancárias, aplicações de pagamento ou outros serviços em nome da vítima.
Aquele obtém, através de engano (phishing, smishing, chamada fraudulenta ou contacto no OLX, por exemplo), credenciais de acesso ou controlo indirecto sobre contas ou aplicações da vítima (como homebanking ou MB Way). Uma vez dentro do sistema, pode visualizar dados, alterar configurações ou efetuar operações em nome da vítima, assumindo temporariamente a sua identidade digital. [12]
[12] Estando preenchidos os tipos legais de crime de acesso ilegítimo, de burla informática e de falsidade informática, os tribunais têm entendido que, atendendo à diversidade dos bens jurídicos protegidos, se verifica concurso efetivo entre os três ilícitos. Veja-se, v.g., o Acórdão do Tribunal da Relação de Évora, de 14/01/2025, proc. n.º 248/20.1GDSRP.E1, acedido e consultado AQUI em 02/05/2026.
5 – Conselhos Úteis
Não é possível eliminar 100 % o risco, mas é possível reduzi-lo drasticamente com alguns hábitos simples:
► Leve na carteira apenas os documentos essenciais do dia-a-dia e guarde os restantes em local seguro;
► Em caso de extravio, furto ou roubo, participe imediatamente à polícia e cancele cartões de débito/crédito (guarde os números de contacto do banco e da PSP). AQUI encontra uma lista actualizada de contactos telefónicos de entidades emissoras de cartões bancários e também da entidade responsável pela gestão da rede Multibanco, a SIBS.
Preencha também o FORMULÁRIO disponibilizado gratuitamente pelo Banco de Portugal, para evitar que os seus dados sejam utilizados para abertura de contas ou pedidos de empréstimo.
► Proteja as caixas de correio com fechadura sólida. Evite a acumulação de correspondência e destrua documentos com dados pessoais;
► Nunca deixe dispositivos digitais no carro ou em locais públicos. Use password forte no ecrã de bloqueio e ative a encriptação total do disco;
► Mantenha o sistema operativo, antivírus, anti-malware e firewall sempre atualizados;
► Use um gestor de passwords confiável e active a autenticação multifator (MFA/2FA) em todas as contas importantes;
► Evite partilhar dados sensíveis por telefone, email ou SMS sem confirmar a identidade do destinatário. Desconfie de links e pedidos urgentes;
► Nas redes sociais, limite a visibilidade de informações pessoais e revise periodicamente as definições de privacidade;
► Monitore regularmente as suas contas bancárias, extratos e a Central de Responsabilidades de Crédito (CRC) do Banco de Portugal. Apps bancárias e alertas por SMS ajudam a detectar anomalias rapidamente;
► Em caso de suspeita de uso indevido da sua identidade, apresente queixa imediata à polícia e, se necessário, à Comissão Nacional de Proteção de Dados (CNPD);
► Considere serviços de monitorização de identidade ou alertas de violações de dados – data breaches (existem opções gratuitas e pagas), v.g., Bitdefender Digital Identity Protection ou Avast BreachGuard.
A identidade, seja ela física ou digital, é a nossa singularidade. Protegê-la é um acto de responsabilidade individual e colectiva num mundo cada vez mais conectado. Alguns anos depois de nos termos debruçado, pela primeira vez, sobre esta matéria, o risco não diminuiu, apenas mudou de forma.
Estar informado e vigilante continua
a ser a melhor defesa.
AVISO: Todo o conteúdo deste texto encontra-se protegido por Direitos de Autor, sendo expressamente proibida a sua cópia, reprodução, difusão ou transmissão, utilização, modificação, venda, publicação, distribuição ou qualquer outro uso, total ou parcial, comercial ou não comercial, quaisquer que sejam os meios utilizados, salvo, com a concordância do seu autor, Paulo Alexandre Fernandes Soares, ou então, desde que claramente identificada a sua origem, ao abrigo do direito de citação.
Sem comentários:
Enviar um comentário