Cibersegurança nos autocarros elétricos em Portugal: alertas internacionais levam a reforço de medidas

25 nov 2025 15:23

Investigações realizadas recentemente na Noruega e na Dinamarca sobre potenciais vulnerabilidades em autocarros elétricos de fabrico chinês estão a motivar uma maior atenção ao tema da cibersegurança no setor dos transportes públicos em Portugal. Os casos detetados nos dois países nórdicos envolveram carros da marca chinesa Yutong e levantaram dúvidas sobre a possibilidade de controlo remoto a partir do exterior.

Acompanhe toda a atualidade informativa em 24noticias.sapo.pt

Em dezembro de 2024, a Autoridade Nacional para a Segurança Cibernética da Noruega (NSM) identificou módulos de comunicação remota capazes de receber comandos externos em autocarros Yutong operados pela Boreal Transport. O relatório não encontrou provas de utilização maliciosa desses mecanismos, mas destacou a potencial existência de “kill switches”, sistemas que permitem imobilizar carros à distância. Já na Dinamarca, a FDM e a agência de transportes públicos detetaram anomalias no tráfego de rede de carros semelhantes, levando à abertura de auditorias preventivas aos sistemas telemáticos.

Em Portugal, várias operadoras como a Carris, Rodoviária de Lisboa, SMTUC (Coimbra), TST e outras, utilizam autocarros elétricos e híbridos de origem chinesa, de marcas como Yutong, BYD e Golden Dragon. Embora não existam indícios públicos de vulnerabilidades ou bloqueios remotos nas frotas nacionais, a ausência de auditorias independentes impede uma garantia plena de que os carros estão totalmente sob controlo nacional.

Perante este cenário, o Centro para a Proteção Cibernética (CpC) avançou com um conjunto de recomendações dirigidas às operadoras portuguesas. Entre elas destaca-se a realização de auditorias completas aos sistemas de telemetria e comunicações, o acesso obrigatório a documentação técnica integral fornecida pelos fabricantes, a verificação de eventuais mecanismos de atualização remota e o isolamento rigoroso das redes operacionais face às redes administrativas das empresas. O CpC defende ainda auditorias independentes ao firmware dos carros e a monitorização contínua de fluxos de dados, incluindo bloqueios de tráfego para servidores fora do Espaço Económico Europeu.

Os riscos associados a um eventual controlo remoto a partir do exterior incluem a imobilização coordenada de carros, a limitação de potência, a manipulação de dados operacionais, a exfiltração de informação sensível e a exploração de falhas para aceder a outras redes internas. Especialistas salientam que tais cenários não implicam condução remota, mas sim permissões suficientes para alterar estados críticos do sistema ou aplicar atualizações não validadas processos que, atualmente, dependem de software de código fechado não sujeito a revisão por terceiros.

A descoberta de potenciais kill switches na Noruega e Dinamarca não confirma riscos equivalentes em Portugal, mas sublinha a necessidade de uma resposta preventiva. A validação, através de análise forense e monitorização de rede, de que não existem transmissões não autorizadas ou rotinas ocultas de desativação remota será determinante para garantir que a transição energética do transporte público decorre com plena soberania tecnológica e segurança cibernética.

__

A sua newsletter de sempre, agora ainda mais útil

Com o lançamento da nova marca de informação 24notícias, estamos a mudar a plataforma de newsletters, aproveitando para reforçar a informação que os leitores mais valorizam: a que lhes é útil, ajuda a tomar decisões e a entender o mundo.

Assine a nova newsletter do 24notícias aqui.