Information that would have taken three months to gather in days
Num momento em que a inteligência artificial começa a reconfigurar os limites do possível, Portugal confronta uma das suas maiores violações de dados de saúde: mais de 100 mil pacientes do SNS tiveram os seus registos acedidos ilegalmente através de credenciais médicas comprometidas, numa operação que terá durado apenas dias graças, suspeita-se, ao uso de IA. A Polícia Judiciária investiga sem suspeitos identificados e sem certezas sobre o destino dos dados — se vendidos, usados para espionagem ou guardados para fins ainda desconhecidos. O episódio coloca uma questão que transcende Portugal: quando a tecnologia colapsa o tempo necessário para violar a privacidade de milhares, quem protege os cidadãos de ameaças que ainda não têm rosto?
- Mais de 100 mil pacientes do SNS descobriram que os seus dados pessoais de saúde foram acedidos sem autorização, muitos alertados apenas por notificações automáticas no portal do SNS.
- A velocidade da extração — dias em vez dos meses que seriam necessários por métodos convencionais — levou os investigadores a suspeitar que inteligência artificial foi usada como arma, tornando o caso inédito e a investigação substancialmente mais complexa.
- O ponto de entrada foi uma unidade de saúde no Alto Minho, onde credenciais roubadas de um médico abriram as portas a um sistema que se estende por todo o país, incluindo ilhas — o médico é considerado vítima, não suspeito.
- As autoridades não identificaram ainda nenhum suspeito e não excluem nenhum cenário: exploração comercial dos dados, espionagem estatal ou objetivos mais sombrios permanecem todos em aberto.
- Os serviços partilhados do Ministério da Saúde desativaram as credenciais comprometidas e reforçaram medidas de segurança, mas os pacientes afetados não têm qualquer ação protetora ao seu alcance — a responsabilidade é inteiramente do Estado.
A Polícia Judiciária portuguesa anunciou esta semana que mais de 100 mil pacientes do Serviço Nacional de Saúde tiveram os seus registos acedidos ilegalmente, numa violação que terá durado apenas alguns dias — uma velocidade que os investigadores atribuem ao provável uso de inteligência artificial. José Ribeiro, diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica, admitiu que essa possibilidade torna a investigação substancialmente mais difícil, uma vez que a IA pode comprimir em dias o que levaria três meses a extrair por métodos convencionais.
O ataque começou numa unidade de saúde do Alto Minho, quando alguém utilizou as credenciais roubadas de um médico para aceder ao sistema. O próprio médico é considerado vítima. A partir daí, a violação alastrou a pacientes de todo o país, incluindo das ilhas, que foram alertados sobretudo através de notificações automáticas no portal do SNS. A ideia inicial de que menores teriam sido desproporcionalmente visados revelou-se prematura, embora crianças estejam entre os afetados.
O que permanece por esclarecer é a intenção por detrás do ataque. Ribeiro enumerou as possibilidades sem excluir nenhuma: venda de dados a terceiros, espionagem por parte de um Estado estrangeiro, ou objetivos ainda mais obscuros. Também não está confirmado se os dados roubados incluem informação clínica ou apenas administrativa. Os serviços partilhados do Ministério da Saúde desativaram as credenciais comprometidas e reforçaram a segurança da plataforma, mas os pacientes afetados não têm qualquer medida adicional ao seu alcance.
A investigação encontra-se numa fase inicial, sem suspeitos identificados. Ribeiro apelou a todos os médicos do sistema para que alterem as suas palavras-passe por precaução, e reconheceu que as queixas continuadas dos pacientes já não acrescentam informação nova ao processo. O caso levanta uma questão mais ampla sobre a fragilidade dos sistemas centralizados de dados de saúde numa era em que a inteligência artificial pode transformar a escala e a velocidade de uma violação — e em que os motivos dos atacantes permanecem genuinamente desconhecidos até serem encontrados.
Portugal's judicial police announced this week that more than 100,000 patients had their health records accessed without authorization through a compromised doctor's login credentials, and investigators now suspect artificial intelligence was deployed to accelerate the theft. The breach unfolded over the course of days, extracting what officials described as a massive volume of personal data from the national health service—information that would have taken three months to gather using conventional methods just a few years ago. That speed alone has prompted authorities to believe AI played a role, a possibility that José Ribeiro, director of the National Unit for Combating Cybercrime and Technological Crime, acknowledged would make the investigation substantially harder.
The unauthorized access began at a health unit in Alto Minho, in the north, when someone used a doctor's stolen credentials to enter the system. The doctor himself almost certainly did not carry out the attack, Ribeiro said, though investigators have not yet identified who did. The breach affected patients across the entire country, including those on the islands, and the victims discovered the intrusion primarily through alerts that appeared in their SNS portal accounts, triggered by the digital mobile key authentication system. The initial reports that children and minors were disproportionately targeted turned out to be premature, Ribeiro clarified, though minors were indeed among those affected.
What remains unclear is what the attackers intended to do with the data. Ribeiro posed the question that haunts both investigators and victims: who did this, and why? The possibilities range from commercial exploitation—selling personal information to advertisers or data brokers—to more sinister objectives that he declined to specify. Espionage by a foreign state cannot be ruled out. Whether the stolen records included clinical information or only administrative details is still being determined. The health ministry's shared services division has already deactivated the compromised credentials, halted the data extraction, and begun reinforcing security measures, but patients themselves cannot take additional protective steps; the responsibility for securing the platform rests entirely with the government.
The investigation is still in its early stages, gathering evidence and following leads, but no suspects have been identified and no scenario has been eliminated. Ribeiro appealed to doctors across the system to change their access passwords as a precaution. The judicial police continue to receive complaints from affected patients, though Ribeiro noted these are no longer useful to the investigation since they add no new information. The breach raises a stark question about the vulnerability of centralized health data systems in an era when artificial intelligence can compress months of work into days, and when the motives behind such attacks remain genuinely unknowable until the perpetrators are found.
Citas Notables
Everything is possible at this moment— José Ribeiro, director of the National Unit for Combating Cybercrime, on whether the attack could have originated from a foreign state
The work will become much more complex if artificial intelligence was used— José Ribeiro, on the investigative challenges posed by potential AI involvement
La Conversación del Hearth Otra perspectiva de la historia
Why would someone go to the trouble of stealing health records from 100,000 people? What's the actual value in that data?
Health records are extraordinarily detailed. They contain names, addresses, dates of birth, medical histories, medication lists, sometimes financial information. That's a complete profile of a person—exactly what you'd want if you were selling to advertisers, or building a blackmail list, or running a scam. The data itself is what's valuable.
And the AI angle—that's what makes this different from a typical breach?
Completely. The speed is the tell. Extracting this volume of data in days instead of months suggests automation at scale. That's not a person clicking through files. That's a machine learning system doing the work, which means whoever did this had both the technical sophistication and the resources to build or deploy it.
But they still don't know who it was?
Not yet. They know someone used a doctor's stolen credentials, but the doctor didn't do it himself. Beyond that, it's open. Could be a criminal group, could be a state actor, could be someone sitting in another country entirely. That's why Ribeiro said everything is still possible.
What about the patients? Can they do anything to protect themselves now?
Not really. That's the frustrating part. The responsibility is entirely on the health ministry's side. The patients can't change the system, can't make it more secure. They can only wait and see if their data shows up being used somewhere, and hope the police find whoever did this.
Do you think they will?
The fact that they're still in the data-gathering phase and have no suspects yet suggests this could take a while. If AI was involved, the investigation is going to be more complex, not less. But they have to start somewhere.