Saltar para o conteúdo
Lei Ciber MZ

Pesquisar em todo o portal

Boletim da República · I série · n.º 123Lei n.º 13/2026, de 1 de Julho · Lei de Segurança Cibernética
Páginas desta lei

Artigo 66

Encontrou uma falha? A lei protege-o, se seguir as regras.

O artigo 66 cria um porto seguro para quem comunica, publica ou divulga vulnerabilidades de boa-fé: essa pessoa não viola as regras de confidencialidade, integridade e disponibilidade, nem leis, regulamentos, contratos ou códigos de conduta, pelo simples facto de ter divulgado. É uma das melhores notícias da lei, rara na região.

As quatro condições da boa-fé

  1. Sem coacção nem recompensa exigida: a divulgação não pode ser feita sob ameaça de publicação nem a troco de pagamento exigido.
  2. Prazo de 90 dias: o investigador deve dar ao responsável pelo sistema um prazo razoável, de pelo menos 90 dias de calendário, para corrigir a vulnerabilidade antes de a publicar ou divulgar.
  3. Precauções durante a identificação: devem ser tomadas as precauções necessárias para prevenir danos à privacidade, degradação ou falha de serviço, e destruição ou manipulação de dados.
  4. Divulgação cuidadosa: quem divulga deve ponderar o impacto e minimizar o dano que a divulgação pode causar.

Métodos que fazem perder a protecção

Ficam expressamente excluídos do porto seguro os métodos que envolvam:

  • negação de serviço;
  • evidência física (intrusão física);
  • uso de código malicioso;
  • engenharia social;
  • alteração, remoção ou destruição de dados.

Como se compara

O regime segue as boas práticas internacionais de divulgação coordenada de vulnerabilidades e coloca Moçambique à frente de muitos países da região, onde investigadores de segurança continuam juridicamente expostos. O prazo de 90 dias coincide com o padrão de mercado usado pelos grandes programas de divulgação.