O Centro de Alerta e Resposta a Incidentes de Cibersegurança está a monitorizar a ‘dark web’ para identificar ameaças dirigidas a infraestruturas críticas de Macau. A revelação consta na resposta do governo a uma interpelação do deputado Chan Lai Kei, que alertou para o aumento significativo de ciberataques no território.
O Governo detalhou, em resposta a uma interpelação do deputado Chan Lai Kei, as medidas actualmente em vigor para proteger as infraestruturas críticas de Macau contra ciberataques. Entre as acções destacadas está a monitorização constante da ‘dark web’, onde o Centro de Alerta e Resposta a Incidentes de Cibersegurança (CARIC) recolhe informações sobre potenciais ameaças, como o vazamento de palavras-passe de acesso a contas de computador ou a identificação de vulnerabilidades de segurança existentes. Esta informação é depois utilizada para exigir aos operadores que tomem medidas preventivas adequadas.
A resposta, assinada pela chefe do Gabinete do Secretário para a Segurança, Lam In Sang, surge na sequência de uma interpelação apresentada a 5 de Dezembro de 2025, na qual o deputado Chan Lai Kei sublinhou a escalada dos riscos no ciberespaço, com os dados oficiais a indicarem que o número médio diário de ataques e acções de espionagem informática aumentou de cerca de 1.850 em 2020 para aproximadamente 6.300 em 2024. Chan Lai Kei alertou ainda para as novas ameaças emergentes, como a utilização maliciosa da inteligência artificial (IA) através de tecnologias como o Deepfake, que considera “um dos desafios de segurança mais complexos, reais e graves”, recordando igualmente que a recente alteração à Lei da Segurança Cibernética da República Popular da China, aprovada em Outubro de 2025 e com entrada em vigor a 1 de Janeiro de 2026, reforça a necessidade de fiscalizar os riscos de segurança da IA.
Além da vigilância na ‘dark web’, o CARIC implementa outras medidas de protecção desde a sua entrada em funcionamento a 22 de Dezembro de 2019. Semanalmente, comunica aos operadores das infraestruturas críticas listas negras de endereços IP maliciosos detetados em ciberataques ou acções de espionagem. O centro também emite alertas precisos sobre vulnerabilidades de software e hardware a nível mundial, instando os operadores a instalarem actualizações de segurança. Periodicamente, realiza análises de risco para ajudar as entidades a identificar vulnerabilidades e perigos latentes, exigindo a otimização e correção dos sistemas.
Sobre a questão da cooperação regional no combate a crimes cibernéticos complexos, a resposta governamental indica que Guangdong, Hong Kong e Macau já estabeleceram mecanismos de cooperação a vários níveis. No domínio da prevenção e investigação de burlas e crimes informáticos, o Centro de Coordenação de Combate às Burlas da Polícia Judiciária mantém canais de comunicação directa com as unidades de polícia cibernética e centros de combate às burlas das outras duas regiões, permitindo a troca atempada de informações e a actuação célere em medidas de cessação de pagamentos. Em casos de grande complexidade, a cooperação pode assumir a forma de força-tarefa para investigação conjunta.
Quanto à eventual revisão da Lei da Cibersegurança de Macau (Lei n.º 13/2019) para a alinhar com as recentes alterações legislativas nacionais, o Governo afirmou que a Comissão para a Cibersegurança tem vindo a estudar e discutir os diplomas legais do Interior da China, como a Lei de Segurança de Dados e a Lei da Protecção de Informações Pessoais. Sob a liderança desta comissão, o CARIC irá rever continuamente a implementação da lei local e, com base na evolução da sociedade de Macau, avaliará atempadamente a necessidade de proceder a alterações, elaborando planos específicos para melhorar o quadro legal na área da cibersegurança.
Os dados revelados na interpelação mostram a dimensão do desafio enfrentado pelas autoridades. Apenas em 2024, foram emitidos 291 alertas aos operadores de infraestruturas críticas, um aumento anual de 36 pontos percentuais, e registaram-se 38 incidentes comunicados, mais 22,6 por cento do que no ano anterior. Destes, 12 foram casos confirmados de ataques cibernéticos, representando um acréscimo de quatro casos em relação ao período homólogo.
