Ciberataques e Responsabilidade Civil: Quem Responde pelos Danos?

Os ciberataques deixaram de ser um risco hipotético e marginal e tornaram-se uma ameaça estratégica para as empresas portuguesas. Segundo o relatório Hiscox Cyber Readiness Report 2025, mais de metade (54%) das PME portuguesas sofreu pelo menos um ataque no último ano — incluindo perda de dados, ataques DDoS (Distributed Denial of Service) ou fraudes financeiras. 

Entre as empresas afetadas por ciberataques: 41% sofreram ataques de negação de serviço (DDoS) e cerca de 40% suportaram perdas financeiras derivadas de fraudes (i.e., desvios de pagamentos via correios eletrónicos fraudulentos). Tendo ainda sido relatada a existência de casos de mineração de cripto moedas, bem como, de perda de dados encriptados. 

Às consequências diretas dos ciberataques aliam-se os impactos colaterais relacionados com a maior dificuldade na aquisição de novos clientes e a inadvertida violação de dados de parceiros terceiros, relatados por 30% das empresas. 

De facto, para além das perdas diretas, o impacto repetido deste tipo de incidentes é estratégico: perda de clientes, danos à reputação da marca e aumento substancial de custos com notificações e recuperações. 

Depois de uma empresa ser sujeita a um ciberataque, com todas as implicantes consequências estratégicas e financeiras, coloca-se a questão central é: quem responde pelos danos? 

Nos termos da legislação aplicável, as organizações que falhem em demonstrar medidas técnicas e organizativas adequadas podem ser responsabilizadas civilmente pelos prejuízos sofridos por clientes ou parceiros, assim como, serem sujeitas a coimas significativas. 

A única hipótese para configurar uma situação de exoneração da responsabilidade passa por provar que o ataque foi imprevisível e inevitável e que foram devidamente verificadas todas as boas práticas de segurança implementadas. 

Para além da resposta técnica, esta realidade impõe às empresas uma mudança de paradigma: a cibersegurança deixou de ser apenas uma medida de proteção — tornou-se uma obrigação de governação e conformidade. 

A adoção de políticas internas claras, auditorias regulares e planos de resposta a incidentes constituem-se hoje elementos essenciais de defesa jurídica e comercial. Num tempo em que a reputação é um ativo tão valioso como o capital, a conformidade é a nova linha de defesa das empresas. No contencioso digital, a prevenção continua a ser a defesa mais eficaz.