Quishing em Portugal: como a nova lei de cibersegurança o protege dos ataques por QR code em 2026

Especialista em TI em Lisboa a analisar alertas de segurança num computador portátil
João João SantosInformática
4 min de leitura 5 de abril de 2026

A fraude digital está a mudar de forma — e em Portugal, o ano de 2026 marca um ponto de viragem decisivo. A nova Lei da Cibersegurança entrou em vigor a 3 de abril de 2026, trazendo obrigações concretas para empresas e novas proteções para cidadãos, num momento em que os ataques de quishing crescem 160% semestre após semestre, segundo dados do CERT.PT.

O que é o quishing e por que é mais perigoso do que o phishing tradicional

O phishing — mensagens falsas por email ou SMS que imitam bancos, operadoras ou entidades públicas — é a ameaça digital mais reportada em Portugal, representando cerca de 40% das notificações ao CERT.PT. Mas em 2026 surgiu uma variante ainda mais difícil de detetar: o quishing (QR code phishing).

O ataque é simples: os criminosos substituem códigos QR legítimos — em faturas, emails corporativos, cartazes ou menus de restaurante — por códigos maliciosos. Ao digitalizar o código com o telemóvel, a vítima é redirecionada para uma página falsa que imita o banco, o portal das finanças ou uma plataforma de pagamentos. Num segundo, entrega credenciais e dados bancários sem saber.

A razão pelo qual o quishing é mais perigoso? A maioria das soluções de segurança corporativa analisa links em emails, mas não consegue inspecionar o destino de um código QR em tempo real. O ataque passa pelos filtros clássicos.

Segundo a Europol, em fevereiro de 2026, uma em cada quatro tentativas de fraude CEO (quando um criminoso se faz passar por um diretor da empresa) utiliza voz gerada por inteligência artificial — tornando o vishing (phishing por chamada telefónica) cada vez mais convincente.

A nova Lei da Cibersegurança: o que muda para empresas e cidadãos

A 3 de abril de 2026 entrou em vigor a nova legislação nacional de cibersegurança em Portugal, que transpõe a Diretiva Europeia NIS2. As primeiras obrigações formais para as empresas abrangidas são exigidas a partir de 4 de maio de 2026, segundo o Centro Nacional de Cibersegurança (CNCS).

O que muda na prática:

  • Empresas de setores críticos (energia, transportes, saúde, finanças, fornecedores digitais) ficam obrigadas a implementar medidas técnicas de segurança, a reportar incidentes em 24 horas e a auditar os seus fornecedores.
  • Coimas por incumprimento podem atingir 10 milhões de euros ou 2% do volume de negócios global, o que for maior.
  • Para cidadãos, a lei reforça o direito a ser informado em caso de violação de dados que afete os seus dados pessoais.

A lei não se aplica apenas a grandes grupos. PME que prestem serviços a operadores essenciais também entram no perímetro regulatório. Muitas empresas ainda não sabem se estão abrangidas — e a ignorância não isenta de responsabilidade.

O que deve fazer agora: guia prático

Se é um cidadão:

  1. Nunca digitalize um código QR de fonte desconhecida. Se receber uma fatura com QR code, verifique o URL antes de introduzir qualquer dado — o link deve começar por https:// e corresponder ao domínio oficial da entidade.
  2. Desconfie de pedidos urgentes, sejam por email, SMS ou telefone. Bancos e finanças nunca pedem palavras-passe por estes canais.
  3. Ative a autenticação de dois fatores em todos os serviços financeiros e de email. É a barreira mais eficaz mesmo quando as credenciais são comprometidas.

Se é responsável por uma empresa:

  1. Verifique se a sua empresa está abrangida pela nova Lei da Cibersegurança — o CNCS disponibilizou um guia de autoavaliação.
  2. Implemente formação regular sobre quishing e engenharia social para todos os colaboradores. 80% dos incidentes têm origem humana.
  3. Consulte um especialista em segurança informática para uma auditoria de conformidade antes de 4 de maio.

A fronteira entre um ataque bem-sucedido e uma empresa protegida é, frequentemente, a qualidade do conselho técnico que recebe. Um especialista em cibersegurança certificado pode ajudá-lo a identificar vulnerabilidades antes que os criminosos o façam.

O que fazer se foi vítima de phishing ou quishing

Se já clicou num link suspeito ou digitalizou um código QR e introduziu dados pessoais ou bancários:

  1. Contacte imediatamente o seu banco para bloquear cartões e alertar para movimentos suspeitos.
  2. Altere todas as passwords das contas potencialmente comprometidas.
  3. Apresente queixa na PSP, GNR ou Ministério Público. Os crimes informáticos são puníveis com pena de prisão até 5 anos em Portugal.
  4. Reporte ao CERT.PT através de cert@cert.pt — cada reporte ajuda a mapear a ameaça e a proteger outras vítimas.

Se a fraude envolveu transferências bancárias, um advogado especializado em direito digital pode ajudá-lo a determinar a responsabilidade do banco e a acionar os mecanismos de reembolso previstos na legislação europeia de serviços de pagamento.

Aviso: Este artigo tem carácter informativo. Em caso de fraude consumada, consulte um profissional de segurança informática certificado ou um advogado especializado em direito digital.

A segurança digital não é uma questão técnica apenas para grandes empresas — é um direito e uma responsabilidade de todos. Em 2026, com uma lei mais exigente e ataques mais sofisticados, a proteção começa com informação e continua com aconselhamento especializado.

Os nossos especialistas

Vantagens

Respostas rápidas e precisas para todas as suas questões e pedidos de assistência em mais de 200 categorias.

Milhares de utilizadores obtiveram uma satisfação de 4,9 em 5 para os conselhos e recomendações fornecidas pelos nossos assistentes.

Expert Zoom

Como funciona?Quem são os nossos especialistas?RevistaNotícias

Contacte-nos

Email
Siga-nos
Política de privacidadeTermos de utilização