Comissão Nacional de Proteção de Dados recebeu notificação, mas entidade que gere a Chave Móvel Digital nega fuga de dados

A Comissão Nacional de Proteção de Dados (CNPD) confirmou esta segunda-feira que recebeu uma notificação referente ao ciberataque levado a cabo contra a ferramenta Chave Móvel Digital na semana passada. Numa breve resposta ao Expresso, a CNPD confirma que a Agência para a Modernização Administrativa (AMA) “já notificou a violação de dados pessoais” relativa à CMD – mas essa informação pode não chegar para deduzir que houve extração de informação dos utilizadores ou dos profissionais que lidam com a ferramenta que permite fazer assinaturas digitais de valor legal, reitera o Ministério da Modernização.

Questionado pelo Expresso, o Ministério da Juventude e Modernização, que é liderado por Margarida Balseiro Lopes, esclarece que a notificação enviada à CNPD se limita cumprir o prazo de 72 horas que a lei estabelece para incidentes como o ciberataque contra os sistemas que suportam a CMD, que foi noticiado na quinta-feira passada.

Segundo o Ministério, a notificação revelada esta segunda-feira limita-se a informar a CNPD que “há desconhecimento de exfiltração de dados” relativos aos utilizadores da CMD. Com esta resposta, o Ministério pretende refrear os receios de uma fuga de dados de grandes proporções que poderia pôr em causa o sistema de autenticação e assinaturas digitais que é disponibilizado pelo Estado e que superou os dois milhões de utilizadores em 2021.

O facto de a AMA reiterar que não há conhecimento de fuga de informação não invalida que, mais tarde, durante análise ao incidente AMA ou outras entidades venham a apurar que realmente houve extração de dados pessoais.

Atualmente a reabilitação dos serviços tem vindo a ser feita juntamente com o apoio do Centro Nacional de Cibersegurança e Polícia Judiciária.

Nas redes sociais e no próprio endereço entretanto reabilitado, a AMA dá notícia sobre o restabelecimento do portal Gov.pt, que agrega os serviços digitais da Administração Pública; o Mosaico, que funciona como referência para o desenvolvimento de novos serviços; o Portal Mais Transparência, e o Digital.gov.pt, que pretende promover a transformação digital.

O serviço de envio de SMS da Administração, que é conhecido por GAP, também voltou à normalidade.

A AMA tem vindo a fazer o balanço do ciberataque nas redes sociais e num site criado para o efeito. A entidade que gere a CMD alerta também para as tentativas de fraude que têm vindo a circular por telemóveis e Internet com o objetivo de solicitar o envio de credenciais e dados de utilizador da Chave Móvel Digital.

“A AMA não vai solicitar, por qualquer canal, informações pessoais para recuperação de credenciais da Chave Móvel Digital (CMD) ou para aceder a serviços. Esses eventuais contactos devem ser ignorados pelo cidadão”, refere a AMA no site que criou para facilitar a comunicação com os cidadãos sobre a recuperação do ciberataque.

No site não há qualquer menção sobre a reabilitação total da CMD, mas na página da AMA e noutros serviços eletrónicos do Estado é possível confirmar que já foram dados primeiros passos para que a CMD seja reativada. Segundo apurou o Expresso junto de fonte governamental, a CMD já está reabilitada – mas está a funcionar ainda parcialmente. E essa poderá ter sido uma das razões por que AMA e Ministério da Modernização não referiram o regresso em pleno da CMD.

[Texto atualizado às 20h45 com a explicação de que o facto de não haver conhecimento de fuga de informação não impede a AMA de, mais tarde, ter de atualizar a notificação enviada para a CNPD, caso detete indícios de extração de dados pessoais]