I - A identificação do assinante/utilizador associado a um endereço IP com referência a data e hora constitui informação enquadrável no regime da Lei n.º 32/2008 (conservação e transmissão de dados de comunicações), por integrar a correlação técnico-temporal prevista no catálogo de dados e por depender de autorização judicial nos termos do art. 9.º.
II - – O requisito subjectivo do art. 9.º, n.º 3, al. a), exige conexão com “suspeito” em sentido funcional, admitindo a determinabilidade por descritores objectivos (IP e instante temporal) sustentados em indícios, desde que o pedido seja estritamente delimitado e não assuma natureza indiscriminada ou exploratória.
III - – A autorização de transmissão depende da verificação cumulativa dos pressupostos do art. 9.º, n.º 1 e do controlo do art. 9.º, n.º 4, impondo fundamentação sobre indispensabilidade (ou prova, de outro modo, impossível ou muito difícil) e sobre adequação, necessidade e proporcionalidade das categorias e extensão dos dados requeridos.
IV - – A articulação entre a Lei n.º 32/2008, a Lei n.º 41/2004 e a Lei do Cibercrime convoca o critério da natureza do dado e da sua forma de obtenção, distinguindo dados meramente contratuais de informação dependente de registos de atribuição/uso de IP, com implicações na competência para requerer e no regime de reserva de juiz.
V - – A compressão de direitos fundamentais em matéria de dados de comunicações deve ser lida à luz da jurisprudência constitucional sobre retenção/transmissão e das salvaguardas procedimentais do art. 9.º (registo, notificação ao titular e possibilidade de protelamento em inquérito), enquanto mecanismos de equilíbrio entre privacidade e eficácia da investigação penal.

I. RELATÓRIO

1.1. Nos autos de inquérito n° 899/25.8TELSB, foi proferido despacho judicial de 12-12-2025 que indeferiu a promoção do MP (Ministério Público) para serem solicitados à operadora ... os elementos de identificação do utilizador associado a dois endereços IP (com data e hora), por se ter entendido não estar preenchido o requisito subjectivo do art. 9.º, n.º 3, al. a), da Lei n.º 32/2008.
*
1.2. O MP não se conformou com o decidido e interpõe recurso extraindo da motivação as seguintes conclusões: (transcrição)
(…)
1. Investiga-se nos presentes autos a prática de um crime de branqueamento de capitais, previsto e punido pelo artigo 368.º do Código Penal, havendo indícios de que a conta bancária com o ... tem vindo a ser utilizada para nela creditar quantias que correspondem a disposições patrimoniais efectuadas por terceiros sob falso pretexto, num num modo de actuação internacionalmente conhecido por "CEO Fraud" ou "BEC Fraud"-
2. Após o débito desses valores verificou-se que o cliente dissipou parte dos fundos através de transferências realizadas entre .../.../2025 e .../.../2025.
3. Foram recolhidos junto da entidade bancári3 a identificação dos dados de acesso (IP's) à conta bancária visada no período en que as ordens de transferências foram realizadas.
4. Foi apurado que esses IP's pertenciam à operadora ... pelo que solicitou a preservação desses acessos, ocorridos entre 1 ~ e ... de ... de 2025.
s. Nas investigações em que se tenta apurar a identidade dos putativos autores deste tipo de crime torna-se imprescindível identificar cabalmente quem, em circunstâncias exactas de tempo e lugar, acedeu à conta bancária visada e emitiu as ordens de pagamento/transferências dos montantes que ali creditados indevidamente, dissipando-os e reintroduzindo-os na economia.
6. Como já decorreram mais de seis meses desde esses acessos, o Ministério Público já não tem legitimidade para determinar a sua revelação, nos termos das disposições conjugadas dos artigos 6.º, n.º 2, da Lei n.º 41/2004 e artigo 14.º, n.º 4, al. b) da Lei do Cibercrime.
7. Foi solicitado à Meritíssima Juíza de Instrução Criminal a revelação desses dados, tendo tal pretensão sido indeferida por não terem sido recolhidos elementos que permitam individualizar qualquer suspeito, nem tão pouco foram recolhidos indícios suficientes que reconduzam à denominada figura de "suspeito identificável", de acordo com a acepção que vem sendo acolhida pela jurisprudência dos Tribunais Superiores, entendimento com o qual se discorda.
8. A pretendida informação referente à identificação do utilizador dos IP's enquadra-se na categorização de dados de tráfego, sendo aqui aplicável a Lei 32/2008 de 17 de Julho.
9. Atendendo à definição que nos é dada pela conjugação do artigo 2º, nº 1, alínea g) da mesma Lei nº 32/2008 com a alínea m) do artigo 1.º do Código de Processo Penal verifica-se que o crime de branqueamento indiciado nos autos integra o conceito de crime grave, para efeitos do diploma.
10. A informação que se pretende obter diz respeito à transmissão dos dados de acesso que se pretendem obter acerca do suspeito que acedeu à conta bancária visada nestes autos.
11. A revelação da informação referente à identificação do cliente que utilizou os referidos IP's, com referência à hora e data ali indicadas vai permitir identificar o titular do contrato de telecomunicações/cliente a partir do qual foram registados aqueles IP's, naquelas circunstâncias exactas de tempo e lugar.
12. O titular desse contrato de telecomunicações pode estar efectivamente em nome do suspeito que realizou esses acessos ou tratar-se de uma rede pública.
13. Mesmo que se trate de uma rede pública, foi através dela que o suspeito acedeu à conta bancária e ordenou a realização dos movimentos bancários que permitiram dissipar os valores ali creditados.
14. O conceito de "suspeito", previsto na alínea e) do artigo 1.º do Código de Processo Penal, não pressupõe a concretização de uma "pessoa determinada", bastando que se trate de "pessoa determinável" .
15. Ou seja, nem se exige que seja "determinada", nem basta que seja um abstracto "agente do crime".
16. No nosso caso aproximamo-nos da "determinabilidade", na medida em que se sabe que o acesso àquela rede permitiu ao suspeito aceder à conta bancária visada nestes autos.
17. Parece estranho que uma questão de necessidade de investigação criminal esteja dependente de um conceito de suspeito mais ou menos lato, pois o objectivo da investigação policial é, precisamente, tornar conhecido (determinado) o agente do crime.
18. A diligência que se pretende pode vir a identificar um titular de um contrato de prestação de serviços de telecomunicações associado a uma rede pública, porém essa informação ainda é desconhecida e, mesmo que se venha a confirmar, só vai permitir excluir que aquele contrato não es:á na titularidade do suspeito mas de alguém que lhe forneceu esse acesso.
19. Essa informação vai permitir individualizar a pessoa concreta que, naquelas circunstâncias de tempo e espaço, acedeu a essa rede e à conta bancária visada e vai permitir, em momento posterior, determinar quem ordenou os movimentos bancários que permitiram a dissipação da quase totalidade dos montantes ali creditados indevidamente.
20. As disposições conjugadas dos artigos 6.º, n.º 2, da Lei n.º 41/2004 e artigo 14.º, n.º 4, al. b) da Lei do Cibercrime já permiten ao Ministério Público solicitar junto das respectivas operadoras a revelação desses dados, pelo período de seis meses, não havendo qualquer necessidade de os mesmos respeitarem a um concreto suspeito ou arguido já identificado nos autos.
21. Trata-se de uma diligência imprescindível na medida em que, actualmente, a mera titularidade da conta não pode servir para imputar ao seu titular a prática e/ou sequer o conhecimento da ocorrência desses movimentos.
22. A nossa experiência prática em situações idênticas à que nos ocupa estes autos tem revelado que, na grande maioria dos casos, os verdadeiros autores destes factos, por forma a evitar a identificação dos patamares superiores da estrutura, angariam pessoas para criar e/ou disponibilizar as suas contas bancárias para nelas receber dinheiro proveniente da prática de crimes.
23. Isto significa que as ordens de pagamento/transferências emitidas numa determinada conta bancária podem ter sido realizadas sem o conhecimento ou consentimento do respectivo titular e, por isso, nessa medida, torna-se imprescindível identificar cabalmente quem, em circunstâncias exactas de tempo e lugar, realizou essas ordens.
24. Mostram-se, assim, no entender do Ministério Público preenchidos todos os pressupostos exigidos pelo artigo 9.0 da Lei nº 32/2008.
25. Pelo que, deve a decisão recorrida ser revogada e substituída por outra que determine que se solicite à operadora ... que venha aos presentes autos fornecer a identificação do utilizador dos endereços infra discriminados na Tabela que segue, contrato de prestação de serviço/subscrição, bem como a morada e contactos a ele associados:

(…)
*
1.3. Neste Tribunal da Relação de Lisboa o Sr.º Procurador Geral Adjunto acompanhou a motivação do recurso e pediu a sua procedência
*
1.4. Feito o exame preliminar e, colhidos os vistos legais, realizou-se a conferência.
*
II. FUNDAMENTAÇÃO
Analisando e decidindo
2.1. O objecto do recurso, e, portanto, da nossa análise, está delimitado pelas conclusões do recurso, atento o disposto nos artºs 402º, 403º e 412º todos do CPP.
*
2.2. O objecto do recurso, tal como se mostra delimitado pelas respectivas conclusões, reconduz-se a saber se, no caso concreto, deve ser autorizada, ao abrigo do art. 9.º da Lei n.º 32/2008, a solicitação à operadora da identificação do assinante/utilizador e elementos contratuais associados a dois endereços IP em datas/horas determinadas, por se tratar de transmissão de dados abrangida pelo diploma, no âmbito de investigação de crime grave, estando preenchidos os requisitos subjectivo (suspeito determinável por descritor técnico-temporal sustentado em indícios) e material - indispensabilidade /adequação /necessidade /proporcionalidade.
*
2.3. Vejamos o teor da decisão recorrida no segmento que ora nos importa: (transcrição)
(…) Nos presentes autos, veio a Digna Magistrada do Ministério Público promover que sejam solicitados às operadoras de telecomunicações nacionais os elementos de identificação dos utilizadores dos IP's constantes da tabela de fls. 136, nomeadamente elementos de identificação do utilizador e morada de prestação de serviço, bem como a preservação destes dados.
Cumpre apreciar.
Nos presentes autos investigam-se factos susceptíveis de integrarem a prática de crime de branqueamento, previsto e punido pelo artigo 368-0-A, do Código Penal.
Tal como resulta da douta promoção que antecede, os presentes autos tiveram origem com a certidão de fls. 1 a 30, extraída do Procedimento de Averiguação Preventiva (P AP) nº 17242/2025 que correu termos no DCIAP, cujo conteúdo dou aqui por integralmente reproduzido e pela qual se dá conhecimento, em síntese, que o ... comunicou ter detectado movimentação atípica na conta bancária com o IBAN ..., domiciliada no balcão do ...
, aberta em .../.../2025, titulada por ..., nacional..., empregado de ..., portador do NIF ..., com o saldo actual de€ 3.063,66, As suspeitas recaíram sobretudo no facto de, no dia .../.../2025, ter sido recepcionado na referida conta uma transferência de fundos proveniente da ..., no valor de€ 1.941,75, ordenada pela entidade ..., a partir da conta ..., domiciliada no banco ..., verificando-se uma divergência entre o nome do beneficiário (...) e o titular da conta.
Detectou-se ainda no dia .../.../2025, uma transferência de fundos proveniente da ..., no valor de € 3.780,52, ordenada pela entidade ..., a partir da conta ..., domiciliada no ... verificando-se uma divergência entre o nome do beneficiário {...) e o titular da conta.
Após tal débito verificou-se que o cliente dissipou parte dos fundos recebidos entre .../.../2025 e .../.../2025 através de 19 transacções no valor de€ 4.658,58.
Apurou-se ainda por uma tentativa de processamento da ordem de transferência de fundos no valor de€ 2.850,00, cuja instrução do cliente é para débito sobre a conta comunicada ordenada a favor da entidade ... para a conta com o ..., sediada junto do banco ... (...), transacção que o banco não chegou a processar.
Analisada a sua movimentação, verificou-se que a conta, desde a sua abertura, registou apenas três créditos no valor de€ 7.722,27, a saber: 1.941,75, ordenada pela entidade ..., € 3.780,52, ordenada pela entidade ... e€ 1.200,00 com origem em conta titulada por AA, cujo IBAN se desconhece.
Os débitos, num total de€ 4.620,12, resumiram-se a€ 2.440,00 levantamentos em numerário em ATM's em Lisboa e no ..., € 800,00 transferidos para uma conta do próprio ..., € 1.050,00 transferidos para uma conta em nome de BB (IBAN ... e€ 300,00 com destino a uma conta de ....
Na investigação desenvolvida no âmbito do PAP cuja certidão esteve na origem destes autos concluiu-se pela existência de suspeitas de que as quantias creditadas correspondem a disposições patrimoniais efectuadas por terceiros sob falso pretexto, pelo que, com base nestes elementos, em 03.06.2025, em consonância com o artigo 49.º, n.º 1, da lei n.º 83/2017, de 18/08, foi determinada a suspensão provisória e o bloqueio, por três meses, de todas as operações a débito e a inibição dos meios de movimentação à distância, incluindo através de cartões bancários, relativamente às contas supra identificas, niedida que foi confirmada em 04.06.2025.
Em 20/11/2025, nos termos do artigo 12.º da Lei do Cibercrime, o órgão de polícia criminal solicitou à ... a preservação, pelo período de três meses, dos IP's de acesso à conta bancária visada nestes autos, ocorridos a 15 e ... de ... de 2025
Vem agora o MP solicitar que sejam solicitados às operadoras de telecomunicações nacionais os elementos de identificação dos utilizadores dos IP's constantes da tabela de fls. 136, nomeadamente elementos de identificação do utilizador e morada de prestação de serviço, bem como a preservação destes dados.
A fundamentar a referida pretensão, refere-se na douta promoção que antecede que:
" Não raramente, em situações similares às que se encontram em investigação, há lugar à abertura de contas bancárias, tituladas por determinados indivíduos - vulgo "testas de ferro,, ou "money mules,, -, a troco do recebimento de quantias monetárias, contas essas que, posteriormente, vêm a ser utilizadas por terceiros que não os seus titulares - de forma a "mascarar" as suas identidades. Ou, noutras situações ainda, casos existem em que as contas são abertas com o recurso a documentos falsificados.
Isto significa que as ordens de pagamento/transferências emitidas numa determinada conta bancária podem ter sido realizadas sem o conhecimento ou consentimento do respectivo titular e, por isso, nessa medida, torna-se imprescindível identificar cabalmente quem, em circunstâncias exactas de tempo e lugar, realizou essas ordens. "
Cumpre apreciar:
Tal como decorre do art.0 1.0 da Lei nº 32/2008, de 17 de Julho, o referido diploma visa regular a conservação e a transmissão dos dados de tráfego e de localização relativos a pessoas singulares e a pessoas colectivas, bem como dos dados conexos necessários para identificar o assinante ou o utilizador registado, para fins de investigação, detecção e repressão de crimes graves por parte das autoridades competentes, transpondo para a ordem jurídica interna a Directiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de Março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações, e que altera a Directiva n.0 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de Junho, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas.
Sob a epigrafe "Finalidade do tratamento", dispõe o art.0 3.0 do mencionado diploma legal que:
"1 - A conservação e a transmissão dos dados têm por finalidade exclusiva a investigação, detecção e repressão de crimes graves por parte das autoridades competentes.
2 - A transmissão dos dados às autoridades competentes só pode ser ordenada ou autorizada por despacho fundamentado do juiz, nos termos do artigo 9. º
3 - Os ficheiros destinados à conservação de dados no âmbito da presente lei têm que, obrigatoriamente, estar separados de quaisquer outros ficheiros para outros fins.
4 - O titular dos dados não pode opor-se à respectiva conservação e transmissão."
Por sua vez, sob a epígrafe "Período e regras de conservação" estabelece o art.º 6.º que:
"l - Para efeitos da finalidade prevista no n. º 1 do artigo 3., as entidades referidas no n. º 1 do artigo 4. º devem conservar, pelo período de um ano a contar da data da conclusão da comunicação, os seguintes dados:
a) Os dados relativos à identificação civil dos assinantes ou utilizadores de serviços de comunicações publicamente disponíveis ou de uma rede pública de comunicações;
b) Os demais dados de uma base;
c) Os endereços de protocolo IP atribuídos à fonte de uma ligação.
2 - Os dados de tráfego e de localização apenas podem ser objeto de conservação mediante autorização judicial fundada na sua necessidade para a finalidade prevista no n. º 1 do artigo 3. Sem prejuízo daqueles conservados pelas entidades referidas no n. º 1 do artigo 4. º nos termos definidos contratualmente com o cliente para efeitos emergentes das respetivas relações jurídicas comerciais ou por força de disposição legal especial.
3 - O pedido de autorização judicial para conservação de dados de tráfego e de localização tem caráter urgente e deve ser decidido no prazo máximo de 72 horas.
4 - De forma a salvaguardar a utilidade do pedido de autorização judicial para conservação de dados de tráfego e de localização, o Ministério Público comunica de imediato às entidades referidas no n. º 1 do artigo 4. º a submissão do pedido, não podendo os dados ser objeto de eliminação até à decisão final sobre a respetiva conservação.
5 - A fixação e a prorrogação do prazo de conservação referida nos números anteriores devem limitar-se ao estritamente necessário para a prossecução da finalidade prevista no n. º 1 do artigo 3. devendo cessar logo que se confirme a desnecessidade da sua conservação.
6 - As entidades referidas no n. 0 1 do artigo 4. 0 não podem aceder aos dados aí elencados salvo nos casos previstos na lei ou definidos contratualmente com o cliente para efeitos emergentes das respetivas relações jurídicas comerciais.
7 - A autorização judicial a que se referem os n. os 2 e 3 compete a uma formação das secções criminais do Supremo Tribunal de Justiça, constituída pelos presidentes das secções e por um juiz designado pelo Conselho Superior da Magistratura, de entre os mais antigos destas secções. "
Estatui o art.º 9.0 do mencionado diploma legal que:
"1 - A transmissão dos dados referentes às categorias previstas no artigo 4. º só pode ser autorizada, por despacho fundamentado do juiz de instrução, se houver razões para crer que a diligência é indispensável para a descoberta da verdade ou que a prova seria, de outra forma, impossível ou muito dificil de obter no âmbito da investigação, deteção e repressão de crimes graves.
2 -A autorização prevista no número anterior só pode ser requerida pelo Ministério Público.
3 - Só pode ser autorizada a transmissão de dados relativos:
a) Ao suspeito ou arguido;
b) A pessoa que sirva de intermediário, relativamente à qual haja fundadas razões para crer que recebe ou transmite mensagens destinadas ou provenientes de suspeito ou arguido; ou
c) A vítima de crime, mediante o respetivo consentimento, efetivo ou presumido.
4 - A decisão judicial de transmitir os dados deve respeitar os princípios da adequação, necessidade e proporcionalidade, designadamente no que se refere à definição das categorias de dados a transmitir e das autoridades competentes com acesso aos dados e à proteção do segredo profissional, nos termos legalmente previstos.
5 - O disposto nos números anteriores não prejudica a obtenção de dados sobre a localização celular necessários para afastar perigo para a vida ou de ofensa à integridade fisica grave, nos termos do artigo 252. º-A do Código de Processo Penal.
6 - As entidades referidas no n. 0 1 do artigo 4. º devem elaborar registos da extração dos dados transmitidos às autoridades competentes e enviá-los trimestralmente à CNPD.
7 - Sem prejuízo do disposto no número seguinte, o despacho que autoriza a transmissão dos dados referentes às categorias previstas no n. º 1 do artigo 4. º é notificado ao titular dos dados no prazo máximo de 10 dias a contar da sua prolação.
8 - Se, em inquérito, o Ministério Público considerar que a notificação referida no número anterior comporta risco de pôr em causa a investigação, dificultar a descoberta da verdade ou criar perigo para a vida, para a integridade fisica ou psíquica ou para a liberdade dos participantes processuais, das vítimas do crime ou de outras pessoas devidamente identificadas, pode solicitar ao juiz de instrução criminal que protele a notificação, a qual é realizada logo que a razão do protelamento deixar de existir ou, o mais tardar, no prazo máximo de 10 dias a contar da data em que for proferido despacho de encerramento desta fase processual.
9 - A transmissão dos dados referentes às categorias previstas no n. º 1 do artigo 4. 0 a autoridades de outros Estados só pode ocorrer no âmbito da cooperação judiciária internacional em matéria penal, de acordo com as regras fixadas na respetiva lei e desde que esses Estados garantam o mesmo nível de proteção de dados pessoais vigente no território da União Europeia. "
Da análise das normas legais supra elencadas ( e considerando, apenas, as normas relevantes para o caso em concreto), afere-se que a transmissão dos dados referentes às categorias previstas no artigo 4.º só pode ser autorizada, por despacho fundamentado do juiz de instrução, se houver razões para crer que a diligência é indispensável para a descoberta da verdade ou que a prova seria, de outra forma, impossível ou muito dificil de obter no âmbito da investigação, deteção e repressão de crimes graves, sendo certo que tal autorização só pode ser requerida pelo Ministério Público e apenas pode ser autorizada a transmissão de dados relativos a suspeito ou arguido.
Nos presentes autos de inquérito investiga-se a prática de um crime de branqueamento, p. e p. pelo artigo 368-º-A, do Código Penal, pelo que se encontra preenchido o pressuposto de "crime grave", tal como definido no art.º 2.º, al. g) da referida lei, em conjugação com o disposto no art.º 1.º, al. m) do CPP.
Porém, da análise dos presentes autos, afere-se que não foram recolhidos elementos que permitam individualizar qualquer suspeito, nem tão pouco foram recolhidos indícios suficientes que reconduzam à denominada figura de 'suspeito identificável', de acordo com a acepção que vem sendo acolhida pela jurisprudência dos nossos Tribunais Superiores.
Desta forma, forçoso é concluir que não se encontra preenchido o pressuposto ínsito no art.º 9.º, n.º 3, al. a) da Lei n.º 32/2008, de 17 de Julho, pelo que deverá ser indeferida a promoção que antecede.
Devolva ao MP.
(…)
*
2.4. APRECIEMOS
2.4.1. Saber se, no caso concreto, deve ser autorizada, ao abrigo do art. 9.º da Lei n.º 32/2008, a solicitação à operadora da identificação do assinante/utilizador e elementos contratuais associados a dois endereços IP em datas/horas determinadas, por se tratar de transmissão de dados abrangida pelo diploma, no âmbito de investigação de crime grave, estando preenchidos os requisitos subjectivo (suspeito determinável por descritor técnico-temporal sustentado em indícios) e material (indispensabilidade/adequação/necessidade/proporcionalidade).
A promoção do Ministério Público pretende que a ... “forneça a identificação do utilizador” dos IP 87.196.74.20 (........2025, 17:49:22 UTC+0) e 87.196.72.26 (........2025, 10:29:26 UTC+0), bem como contrato/subscrição, morada e contactos, e requer o adiamento da notificação ao titular até ao encerramento do inquérito. O despacho recorrido, embora enquadrando o tema na Lei n.º 32/2008 e reproduzindo a sua finalidade, indeferiu por entender não preenchido o requisito subjectivo do art. 9.º, n.º 3, al. a), por inexistirem elementos para individualizar “suspeito identificável”.
A arquitectura do despacho recorrido começa por afirmar o objecto e finalidade da Lei n.º 32/2008 (“regular a conservação e a transmissão dos dados de tráfego e de localização (…) bem como dos dados conexos necessários para identificar o assinante ou o utilizador registado”) e remete a transmissão para despacho fundamentado do juiz “nos termos do artigo 9.º”. Isto é decisivo: o próprio despacho assume que o pedido se move no campo de incidência do diploma; a divergência surge na leitura restritiva do requisito subjectivo, que, aplicada à prova digital de autoria, tende a neutralizar o instrumento legal no seu cenário paradigmático: a identificação inicial do ponto de acesso e do universo de imputação.
A Lei n.º 32/2008, de 17 de Julho, na redacção vigente, contém um regime próprio de conservação e transmissão de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas, incluindo, expressamente, “dados conexos necessários para identificar o assinante ou o utilizador registado” para fins de investigação de crimes graves. A transmissão dos dados referentes às categorias previstas no art. 4.º só pode ser autorizada por despacho fundamentado do juiz de instrução, mediante requerimento do Ministério Público, quando existam razões para crer que a diligência é indispensável para a descoberta da verdade ou que a prova seria, de outro modo, impossível ou muito difícil. E
O art. 9.º explicita, além disso, dois núcleos que interessam directamente: o recorte subjectivo do n.º 3 (transmissão apenas de dados relativos ao suspeito ou arguido; intermediário; ou vítima com consentimento) e a cláusula garantística do n.º 4 (adequação, necessidade e proporcionalidade na definição das categorias de dados a transmitir e do universo de acesso). Esta dupla delimitação é frequentemente lida como resposta legislativa a riscos do conceito de “pesca à rede” (fishing expedition). Porém, essa função de contenção não equivale, nem pode equivaler sem contradição teleológica, a exigir que a investigação já disponha de um suspeito nominal antes de poder aceder aos dados que, precisamente, servem para individualizar o autor. O que importa está em saber onde se fixa o limiar: o que é um “suspeito” para efeitos do art. 9.º, n.º 3, al. a), quando se investiga criminalidade digital.
O Ministério Público promove a obtenção dos dados junto da ... para identificar o utilizador e os elementos contratuais associados aos dois endereços IP em momentos temporais críticos, por considerar tal diligência “imprescindível” para apurar quem, “em circunstâncias exactas de tempo e lugar”, acedeu à conta bancária e emitiu ordens de transferência. O despacho recorrido, apesar de alinhar com a descrição normativa do diploma, faz depender a admissibilidade do suspeito, invocando “suspeito identificável”.
A integração do pedido no regime do art. 9.º depende, em primeiro lugar, de qualificar o “objecto” do que se pretende obter. O Ministério Público formula o pedido em termos de identificação do utilizador e elementos do contrato/subscrição, morada e contactos, a partir de IP e data/hora.
A “identificação do assinante/utilizador” obtida por referência a IP e a um instante temporal determinado constitui, materialmente, uma operação de correlação técnico-temporal: pretende-se apurar qual o contrato/assinante que, num momento específico, estava associado ao identificador de rede utilizado no acesso. Em contextos de IP dinâmico ou de partilha do IP (NAT/CGNAT), essa identificação não é extraível de um registo fixo, antes pressupondo a consulta de registos do operador que documentam a atribuição e a utilização do IP no momento relevante. A menção expressa no expediente de preservação à hipótese de “IP’s NAT” e à necessidade de preservar “todas as ligações activas” evidencia precisamente esta natureza correlacional, confirmando que se visa a reconstrução de um evento de comunicação/conectividade (atribuição/uso de IP em intervalo temporal) e não a mera recolha de “dados de base” sem indexação temporal.
A Lei n.º 32/2008 prevê como dados a conservar por um ano, além dos dados de identificação civil e “demais dados de base”, os “endereços de protocolo IP atribuídos à fonte de uma ligação”. E, crucialmente, no elenco do art. 4.º (categoria respeitante a acesso à internet/correio electrónico por internet e comunicações telefónicas por internet), inclui o “nome e o endereço do assinante ou do utilizador registado, a quem o endereço do protocolo IP (…) estava atribuído no momento da comunicação”, bem como “a data e hora do início e do fim da ligação à Internet”. Esta formulação legislativa é praticamente a descrição normativa do pedido dos autos: identificar “o assinante/utilizador” a quem o IP estava atribuído no momento (data/hora) em que ocorreram acessos de homebanking. Quando o legislador escreve, como categoria de dados conserváveis/transmissíveis, a associação IP/assinante “no momento da comunicação”, está a tratar a dimensão temporal como parte constitutiva do dado transmissível, afastando leituras que pretendam reduzir o pedido a “puro dado de base” desligado de metadados.
O despacho sob censura reproduz a teleologia e o objecto da Lei n.º 32/2008 e reconhece que a transmissão só pode ser ordenada/ autorizada por despacho fundamentado do juiz “nos termos do artigo 9.º”, mas depois faz operar o requisito subjectivo como se o próprio pedido não pudesse, por definição, servir a finalidade de identificar o agente quando este ainda não é conhecido. Uma interpretação que exija suspeito previamente individualizado faz com que o art. 9.º, na prática, só funcione em investigações onde o autor já é conhecido, sendo o acesso a dados usado sobretudo para reconstruir ou corroborar ligações/comunicações do suspeito, e não para o identificar quando ele é ainda desconhecido.” Ora, no universo da prova digital, a sequência é frequentemente inversa: primeiro identifica-se o ponto de acesso ou o universo técnico; depois individualiza-se o utilizador; só então se densifica a imputação com actos adicionais (buscas, apreensões, perícias, inquirições).
A Lei n.º 32/2008, mesmo na sua versão originária, nasceu para permitir reconstruir eventos comunicacionais relevantes para crimes graves; e a redacção actual reforça, por via do art. 4.º, a centralidade da associação IP/assinante “no momento da comunicação”. Se o legislador quis disciplinar, sob reserva de juiz, a transmissão de dados que permitem ligar uma comunicação à sua origem (fonte), não faz sentido hermenêutico exigir que a origem já seja conhecida por nome antes de se aceder aos dados que a revelam. A função “anti devassa” do art. 9.º, n.º 3, al. a) cumpre-se de outro modo: exige que o pedido esteja sustentado em indícios concretos e que seja delimitado por descritores objectivos (aqui: dois IP e dois instantes), impedindo recolhas massivas ou indiscriminadas.
Os autos mostram precisamente essa delimitação. O pedido está detalhado: dois IP, duas datas/horas e a identificação do utilizador/titular e elementos contratuais associados. A sua fundamentação indiciária não assenta numa suspeição genérica ou meramente exploratória: resulta, por um lado, da comunicação bancária que qualifica a movimentação como atípica e indicativa de utilização indevida da conta, com referência expressa a fortes indícios de actuação fraudulenta e a branqueamento; e, por outro lado, da recolha junto da instituição bancária de elementos técnicos de acesso ao serviço (logs), reportados ao período temporal das transferências, permitindo a correlação entre a execução das ordens e os acessos efectuados em circunstâncias temporalmente precisas, o que confere ao pedido dirigido à operadora um nexo objectivo com o facto investigado e um recorte não indiscriminado.
Logo, mesmo admitindo uma leitura mais restritiva do art. 9.º, n.º 3, al. a), da Lei n.º 32/2008, o que dele decorre é apenas a exigência de que a transmissão incida sobre dados “relativos ao suspeito”, isto é, dados com conexão pessoal qualificada à pessoa a quem se imputam, ainda que em fase inicial, os factos sob investigação. Essa conexão não tem de assumir, necessariamente, a forma de uma identificação nominativa prévia: pode resultar da determinabilidade do agente através de um descritor objectivo e temporalmente circunscrito - aqui, o endereço IP associado a um instante exacto de acesso - que individualiza o evento técnico relevante ligado ao facto investigado. Nesses termos, uma recusa fundada na ausência de “suspeito identificável” só ganharia consistência se estivéssemos perante um pedido indeterminado, amplo ou desligado de um evento criminal concreto, o que manifestamente não sucede quando o requerimento se limita a dois IP e dois momentos temporalmente precisos.
A integração do pedido no art. 9.º também se demonstra por via sistemática, considerando a relação entre Lei n.º 41/2004 e legislação especial. A Lei n.º 41/2004 (privacidade nas comunicações electrónicas) estabelece que as excepções estritamente necessárias para prevenção/investigação/repressão de infracções penais são definidas em “legislação especial” e impõe às empresas procedimentos para responder a pedidos “em conformidade com a referida legislação especial”. Isto significa que, quando o pedido incide sobre dados inseríveis na Lei n.º 32/2008, não se está perante uma zona franca onde o Ministério Público escolhe o regime mais conveniente; está-se perante uma disciplina especial que esclarece a compressão de direitos fundamentais, com reserva judicial e pressupostos próprios.
Os autos evidenciam, aliás, a razão processual que conduziu o Ministério Público a este caminho: a discussão sobre prazos e legitimidade de obtenção directa de certos dados ao abrigo da Lei n.º 41/2004 e da Lei do Cibercrime. O Ministério Público sustenta que existe possibilidade de conservação de alguns dados (designadamente IP de acesso) por um período de seis meses (conjugação do art. 6.º da Lei n.º 41/2004 com o art. 10.º da Lei n.º 23/96), mas entende que, em 27.11.2025, esse prazo já se encontrava ultrapassado para IP ocorridos em 15 e ... de ... de 2025, perdendo legitimidade para solicitar directamente à operadora a revelação. Esta linha é evidenciada nos autos, onde se afirma que, em 20/11/2025, já estaria “precludida” a possibilidade de obter tal informação por decurso do prazo de seis meses e que não foi efectuado em tempo útil um pedido (Lei do Cibercrime¹, art. 12.º).
A consequência que o Ministério Público extrai - e que o despacho recorrido parcialmente acompanha, ao reproduzir a redacção actual do art. 6.º da Lei n.º 32/2008 - é que o novo regime introduziu uma obrigação de guarda por um ano de dados de subscritor e de endereços IP atribuídos à fonte de uma ligação, mas que o acesso é “muito limitado e condicionado” pelo art. 9.º, carecendo de despacho do juiz. Esta cadeia argumentativa é importante por dois motivos: primeiro, mostra que, no próprio raciocínio do despacho, a informação pretendida é compreendida como inserida no quadro da Lei n.º 32/2008; segundo, a questão não se reduz a um conflito de preferências entre regimes, porque a própria evolução legislativa recentrou no art. 9.º o acesso a dados que, anteriormente, eram tratados como “dados de base” fora do quadro daquele preceito.
O art. 4.º da Lei n.º 32/2008, quanto a acesso à internet e comunicações por internet, inclui, entre os dados necessários para encontrar e identificar a fonte de uma comunicação, “o nome e o endereço do assinante ou do utilizador registado, a quem o endereço do protocolo IP (…) estava atribuído no momento da comunicação”, e inclui ainda “a data e hora do início e do fim da ligação à Internet”. Assim, quando o Ministério Público pede “identificação do utilizador” associada a IP em determinados momentos, não está a pedir um dado extrínseco à Lei n.º 32/2008; está a pedir precisamente um dado típico previsto no catálogo legal de dados transmissíveis, no segmento que conecta IP, atribuição e instante temporal.
Este ponto é frequentemente obscurecido por uma dicotomia demasiado rígida entre “dados de base” e “dados de tráfego”. É certo se tem insistido na distinção tripartida: dados de base (identificação do titular), dados de tráfego (elementos da comunicação sem conteúdo) e dados de conteúdo. Porém, essa distinção, ainda que útil, não resolve automaticamente a qualificação quando o próprio “dado de base” depende de uma variável temporal para existir como informação juridicamente útil. A identificação do assinante “a quem o IP estava atribuído no momento” não é um registo meramente estático; é um resultado de correlação entre um identificador de rede e um registo temporal de atribuição/uso, que pode variar ao longo do tempo. No caso de IP dinâmico, a separação entre “base” e “tráfego” se torna menos nítida, precisamente porque certas circunstâncias da comunicação (data e hora) são inerentes à identificação do protocolo de IP dinâmico.
In casu, a necessidade de data/hora e a referência a possíveis IP NAT no pedido de preservação confirmam a natureza temporal do dado. Isso aproxima o pedido do núcleo de metadados - embora o pretendido seja “identificação do utilizador” e “elementos contratuais”. Aqui reside um dos equívocos que o despacho recorrido não fundamenta: tratar “identificação do utilizador” como se fosse invariavelmente um dado pré-existente e estático, cuja obtenção estaria deligada de qualquer reconstituição temporal, e depois exigir suspeito prévio para autorizar a transmissão. Pelo contrário, a Lei n.º 32/2008, ao prever expressamente a associação entre o endereço IP e o assinante/utilizador “no momento” (isto é, com indexação temporal), revela que assume esse dado como parte do universo de dados cuja transmissão é especialmente sensível e, por isso, sujeita a controlo judicial.
A consequência é dupla. Por um lado, reforça-se a conclusão de que o pedido se integra no art. 9.º, sendo inadequado reconduzi-lo automaticamente ao art. 14.º da Lei do Cibercrime, que se dirige a “informação diferente dos dados relativos ao tráfego ou ao conteúdo” detida pelo fornecedor e disponível com base num contrato.
O despacho recorrido procura apoiar-se no art. 3.º da Lei n.º 32/2008 (“finalidade exclusiva” e transmissão por despacho do juiz nos termos do art. 9.º) e no art. 6.º (“período e regras de conservação”), reproduzindo a redacção que impõe conservação por um ano de dados de identificação civil, demais dados de base e endereços IP atribuídos à fonte de uma ligação. Esta reprodução é juridicamente correcta: o art. 6.º, n.º 1, inclui expressamente esses três grupos, e o art. 9.º contém o mecanismo de autorização judicial. A fragilidade do despacho não está, pois, em negar a aplicabilidade formal do diploma; está em não extrair daí as consequências interpretativas que a própria redacção do art. 4.º e do art. 9.º impõem quando o pedido visa identificar o utilizador de um IP em momento determinados relativos à identificação civil” e “demais dados de base”, aproxima o legislador de um modelo em que dados de subscritor, por si só, entram no quadro de conservação geral (por um ano), ao lado dos endereços IP atribuídos à fonte. I
Porém, na nossa perspectiva existem três razões convergentes para afirmar a integração no art. 9.º: (i) o legislador descreveu como dado transmissível a associação IP/assinante no momento; (ii) o pedido dos autos não visa um registo estático, mas uma correlação temporal necessária, expressamente prevista no catálogo; (iii) o próprio despacho recorrido assume a incidência do diploma e situa a transmissão no art. 9.º. A tentativa de bloquear o acesso invocando o requisito subjectivo não deve contaminar a análise de qualificação do objecto: ao invés, deve levar a uma interpretação do requisito subjectivo que preserve a funcionalidade do regime.
Finalmente, importa notar que a Lei n.º 32/2008 contém um regime de notificação do despacho que autoriza a transmissão: notificação ao titular no prazo de 10 dias, com possibilidade de protelamento, em inquérito, até cessarem as razões ou, no limite, até 10 dias após o despacho de encerramento.
O requerimento do MP (Ministério Público) foi indeferido por se ter entendido que “não foram recolhidos elementos que permitam individualizar qualquer suspeito” e, bem assim, por inexistirem indícios suficientes que consintam a afirmação de um “suspeito identificável”, segundo a acepção que o despacho recorrido afirma ser acolhida pela jurisprudência dos Tribunais Superiores.
Esta fundamentação, tal como relatada, padece de um vício lógico-teleológico: confunde o critério de delimitação subjectiva (evitar devassas indiscriminadas) com um requisito de conhecimento prévio que, em muitos crimes digitais, só pode ser satisfeito através dos próprios dados requeridos.
O conceito processual de suspeito no CPP não coincide com “pessoa conhecida por nome e morada”; é uma categoria funcional, ligada a indícios de prática de crime imputáveis a alguém, ainda que não plenamente individualizado. O Ministério Público argumenta que “suspeito” não pressupõe “pessoa determinada”, bastando “pessoa determinável”, e que, no caso, a determinabilidade decorre da ligação bancários. A força desta posição, em termos de teoria do processo penal, reside em reconhecer que a investigação é dinâmica e que a individualização pode ser progressiva: primeiro delimita-se um universo técnico e temporal; depois passa-se à identificação civil; depois fundamentam-se actos de imputação. A alternativa do despacho - exigir individualização prévia - produz um efeito de bloqueio estrutural que não é exigido pela letra do art. 9.º, n.º 3, nem compatível com a finalidade do art. 9.º, n.º 1 (descoberta da verdade quando a prova seria, de outro modo, impossível ou muito difícil).
A chave hermenêutica está na expressão “dados relativos ao suspeito”. O despacho recorrido parece lê-la como se significasse “dados relativos a um suspeito já conhecido/identificado (em termos nominativos)”, isto é, como se o art. 9.º, n.º 3, al. a), exigisse a prévia individualização civil do agente antes de se poder autorizar a transmissão dos dados.
Mas, em contextos de prova digital, “relativos ao suspeito” pode significar relativos ao agente ainda não identificado que praticou o facto, mas que é determinável por um descritor objectivo que individualiza o evento investigado. Esta leitura não é arbitrária; é imposta pela própria existência, no art. 4.º, de categorias de dados desenhadas para “encontrar e identificar a fonte” de uma comunicação, incluindo a ligação IP/assinante no momento. Se a lei tipifica um instrumento para identificar a fonte e, simultaneamente, exige que os dados sejam “relativos ao suspeito”, a compatibilização sistemática leva a entender que o suspeito pode ser, em certos casos, um suspeito determinável por tais descritores, sob pena de contradição interna do diploma.
A contenção do risco de fishing expedition² não desaparece; desloca-se para os elementos que, no caso, estão presentes: concretização do evento criminoso (movimentações atípicas, ordens de transferência), delimitação temporal, e delimitação do universo técnico a dois endereços IP e dois instantes. A necessidade dos elementos pedidos é justificada pelo Ministério Público precisamente por se tratar de acto necessário para identificar “quem, em circunstâncias exactas de tempo e lugar, acedeu” e dissipou valores, reconhecendo que o titular do contrato pode ser o autor, um terceiro, ou uma rede pública, sem perda de utilidade probatória. Deste modo, mesmo admitindo que há controvérsia sobre o limiar de “suspeito”, o despacho recorrido não apresenta uma razão de direito que justifique a exigência de identificação nominal prévia; apresenta, antes, uma cautela mal calibrada que destrói a função do mecanismo legal no contexto típico art. 9.º, n.º 3; compatibilização com art. 4.º; rejeição de círculo vicioso; delimitação do pedido e fundamentação indiciária.)
Por fim, importa ligar este ponto ao regime de notificação: o legislador prevê notificação ao titular em 10 dias, com protelamento em inquérito quando haja risco para investigação, e limite temporal ligado ao despacho de encerramento. Isto confirma que o regime foi desenhado para investigações sensíveis em que o titular dos dados pode não ser ainda sujeito processual identificado; se a notificação pode ser protelada por risco, é porque o legislador assume que a diligência pode ocorrer numa fase precoce e estratégica, sem contraditório prévio do titular.
Um ponto que deve ser tratado com especial rigor - por ser terreno de alegações frequentes de prova proibida - é o impacto do Acórdão do Tribunal Constitucional n.º 268/2022³. O TC declarou a inconstitucionalidade, com força obrigatória geral, da norma do art. 4.º conjugada com o art. 6.º (na redacção então aplicável), por violação dos arts. 35.º, nºs 1 e 4, e 26.º, n.º 1, conjugados com o art. 18.º, n.º 2, da Constituição. Isto incide sobre o modelo de conservação generalizada de dados (retenção), e não elimina automaticamente a possibilidade de, havendo dados legitimamente conservados por outros fundamentos, se poder aceder a eles mediante regras constitucionais e legais adequadas.
O Ministério Público invoca que o TC reconheceu a essencialidade dos endereços IP na investigação criminal moderna e admitiu, pelo menos em termos de lege ferenda⁴, a conformidade da sua retenção com a Constituição, condicionada à observação de requisitos não então consagrados (designadamente, obrigação de conservação em território UE e previsão de notificação ao titular quando os dados forem fornecidos a autoridades). Tal traduz uma leitura do Ministério Público sobre o conteúdo do acórdão e sobre o que nele se afirma como condições para futura legislação. Mesmo assim, é relevante por duas razões: mostra que o próprio recorrente tenta construir uma ponte entre exigências constitucionais e a redacção actual do art. 9.º; e permite compreender por que motivo o regime actual dá centralidade ao mecanismo de notificação e protelamento (art. 9.º, nºs 7 e 8).
O despacho recorrido, ao indeferir por “suspeito identificável”, não enfrenta a verdadeira exigência constitucional pós-268/2022, que é equacionar com rigor os pressupostos de necessidade, proporcionalidade e garantias procedimentais. Essa equação, no caso, favorece a autorização, porque o pedido é estritamente delimitado e não implica recolha massiva; incide apenas sobre dois endereços e dois momentos, visando identificar a fonte de acessos que coincidem com execução de transferências.
Além disso, o TC tem enfatizado a distinção entre dados de base, tráfego e conteúdo, e refere que apenas dados de tráfego/localização conservados/armazenados estariam abrangidos pela declaração de inconstitucionalidade, não abrangendo, em certas situações, dados de base recolhidos aquando da contratação. Esta passagem confirma que, mesmo no pós-268/2022, o debate não é binário (“pode/não pode obter IP”), mas depende da natureza do dado, da origem da conservação e do regime de acesso. O que importa para os autos é que a lei vigente tipifica como dado transmissível, sob controlo judicial, a associação IP/assinante no momento; e que o pedido do Ministério Público se situa nesse quadro, com garantia judicial e notificação.
O art. 14.º, n.º 4, da Lei do Cibercrime permite ordenar a fornecedores que comuniquem dados relativos a clientes/assinantes, “incluindo qualquer informação diferente dos dados relativos ao tráfego ou ao conteúdo (…) disponível com base num contrato”, como identidade e morada do assinante, dados de facturação e pagamento, período de serviço, ou informação sobre localização do equipamento “disponível com base num contrato”. É aqui que reside a zona cinzenta: se a identificação do titular de um IP pudesse ser obtida sem recorrer a registos de tráfego, apenas por registo contratual, a via do art. 14.º poderia ser defendida. Mas quando a identificação depende de correlação temporal (IP dinâmico ou NAT), essa informação deixa de ser “diferente dos dados relativos ao tráfego” no sentido funcional: ela é construída a partir de registos que fixam atribuição e uso em determinado momento. E, precisamente por isso, o legislador colocou-a no art. 4.º da Lei n.º 32/2008.
O despacho recorrido não enfrenta esta análise. Limita-se a reconhecer a finalidade do diploma e a existência de autorização judicial, mas desloca o problema para o requisito subjectivo como se isso resolvesse a questão de especialidade. Ora, mesmo que se entendesse que há concorrência entre regimes, a escolha não pode ser feita por um critério de “facilidade” (competência do MP vs juiz), mas por um critério de adequação normativa ao tipo de dado e ao tipo de intrusão. Se o dado está no catálogo do art. 4.º e a lei especial prevê transmissão sob art. 9.º, a solução de maior segurança jurídico-constitucional é aplicar esse regime, não contorná-lo. É este ponto que confere ao art. 9.º uma função de “lex specialis” dentro do ecossistema de prova digital.
Por último, não se pode ignorar que o art. 9.º, n.º 4, manda respeitar adequação, necessidade e proporcionalidade “designadamente no que se refere à definição das categorias de dados a transmitir”. Isto significa que o juiz tem o poder-dever necessário. No caso, o enquadramento já está feito pelo Ministério Público: apenas dois IP e dois momentos. Recusar por falta de suspeito, sem explorar tal enquadramento, é uma forma deficiente de exercer o controlo judicial que a lei prevê.
Em decisões sobre metadados e dados de comunicações, por vezes fala-se em “suspeito identificável” para recusar pedidos demasiado genéricos, que pretendem varrer universos amplos (por exemplo, todos os utilizadores de uma célula, ou todos os acessos a uma plataforma num período alargado). Aqui, porém, o pedido não é desse tipo: está estritamente delimitado a dois endereços IP e a dois instantes temporais concretos.
Esta compressão do universo elimina, praticamente, o risco de pesquisa indiscriminada. Exigir mais do que isso, nesta fase, equivale a elevar o limiar a um ponto que só pode ser atingido com actos posteriores que dependem do dado negado.
Os autos evidenciam que o “suspeito” é, no mínimo, determinável: alguém acedeu à conta e emitiu ordens de transferência, podendo existir dissociação entre titular da conta bancária e agente (money mule, rede pública, utilização de credenciais comprometidas). O descritor IP/tempo não visa “descobrir se houve crime”; visa identificar a fonte técnica de acessos que já se ligam a ordens concretas. Dito de outro modo, não é o pedido que cria a suspeita; a suspeita resulta do evento bancário e dos logs de acesso. O pedido apenas permite atribuir um rasto civil e contratual a um identificador técnico num momento.
É também aqui que a redacção do art. 9.º, n.º 1 se torna central: a transmissão só pode ser autorizada se houver razões para crer que a diligência é indispensável para descoberta da verdade ou que a prova seria, de outro modo, impossível ou muito difícil. Ora, em crimes digitais com autoria inicialmente desconhecida, a identificação do assinante/utilizador associado ao IP no momento relevante é, com frequência, o passo que impede que a prova se torne “impossível ou muito difícil” de obter por outra via, na acepção do art. 9.º, n.º 1, da Lei n.º 32/2008. O despacho recorrido, ao indeferir com fundamento exclusivo no requisito subjectivo, não enfrenta esse critério do n.º 1 com a fundamentação exigível: não aprecia a existência (ou inexistência) de meios alternativos menos intrusivos com eficácia equivalente, nem explicita por que razão a prova não seria, “de outra forma”, impossível ou muito difícil. Nessa medida, a invocação de “suspeito identificável” funciona como um “atalho” argumentativo que substitui o verdadeiro elemento legal de indispensabilidade/necessidade e proporcionalidade, o que é metodologicamente desconforme com a estrutura do art. 9.º.
Por último, deve assinalar-se que o legislador, ao prever notificação em 10 dias com protelamento até ao despacho de encerramento em inquérito, assume a possibilidade de diligências encobertas de obtenção de dados nesta fase, precisamente para evitar comprometer a investigação. O despacho recorrido, ao indeferir por falta de suspeito, acaba por desconsiderar uma arquitectura legislativa que já contém os mecanismos para equilibrar eficácia investigatória e direitos do titular: autorização judicial, registo, e notificação posterior com protelamento controlado.
A questão do regime de conservação - embora não seja o fundamento directo do indeferimento - é relevante para consolidar a integração no art. 9.º .
Os autos revelam uma cronologia complexa: houve tentativa de preservação via Lei do Cibercrime (pedido de preservação em Novembro de 2025), mas discute-se se o prazo de seis meses de conservação opcional por facturação já se encontrava ultrapassado e se, por isso, a obtenção directa pelo Ministério Público não era possível. Paralelamente, invoca-se o “novo regime” de 2024, que impõe obrigação de guarda por um ano de certos dados, incluindo endereços IP atribuídos à fonte e dados de identificação civil.
Do ponto de vista jurídico, importa distinguir três planos: conservação (obrigação ou possibilidade de guardar), acesso/transmissão (condições para fornecer às autoridades) e admissibilidade probatória (prova proibida ou não). O Acórdão TC 268/2022 incide primacialmente sobre o modelo de conservação generalizada previsto no art. 4.º conjugado com o art. 6.º na redacção então vigente. Mas o legislador reformulou o art. 6.º, prevendo conservação por um ano de dados de subscritor e IP de fonte, e criou um regime de conservação selectiva de tráfego/localização dependente de autorização. A articulação deste novo modelo com os parâmetros constitucionais permanece campo sensível e, em parte, ainda susceptível de conflito, pelo que não é metodologicamente correcto afirmar que “está tudo resolvido”. O que se pode afirmar com segurança é que o texto legal contém hoje: (i) catálogo de dados (art. 4.º) incluindo IP/assinante no momento; (ii) regras de conservação (art. 6.º); (iii) regime de transmissão com reserva de juiz e teste de indispensabilidade (art. 9.º).
Para o caso concreto, a utilidade desta distinção é a seguinte: mesmo que se discutisse, em abstracto, a validade constitucional de certos segmentos do regime de conservação, o despacho recorrido não indeferiu por falta de base legal de conservação nem por alegada inconstitucionalidade do regime aplicável; indeferiu, antes, por referência ao requisito subjectivo do art. 9.º, n.º 3, al. a), por considerar inexistir “suspeito identificável”. Assim, a questão é reconduzida ao erro interpretativo desse preceito - sem perder de vista que a decisão judicial, em qualquer caso, tem de operar o art. 9.º, n.º 1 e n.º 4 (indispensabilidade/prova impossível ou muito difícil e adequação-necessidade-proporcionalidade), o qual não pode ser substituído por uma barreira subjectiva formulada em termos meramente conclusivos.
Além disso, os autos evidenciam uma razão de política criminal reconhecida no recurso: “sem este tipo de informação é inviável dar início a muitíssimos inquéritos”, sendo o IP “essencial em milhares de investigações”. Esta afirmação tem valor argumentativo, mas deve ser tratada como alegação do recorrente, não como dado empírico comprovado nos autos. A relevância jurídica está em mostrar que a interpretação do despacho (que fecha o acesso por falta de suspeito nominal) tende a produzir, sistematicamente, esse efeito de inviabilização, e que o legislador procurou evitar tal efeito ao tipificar e sujeitar a controlo judicial justamente este tipo de dado.
Finalmente, convém ligar esta análise ao conteúdo do art. 7.º da Lei n.º 32/2008: os dados conservados devem permanecer bloqueados e só ser desbloqueados para transmissão nos termos da lei. Este detalhe confirma que a lei concebe os dados como especialmente sensíveis e que o acesso é excepcional, reforçando a conclusão de que pedidos como o dos autos se integram no art. 9.º e devem ser decididos pela lógica de excepcionalidade controlada, não por uma exigência prévia de suspeito nominal.
O despacho sob censura transforma o requisito subjectivo do art. 9.º, n.º 3, al. a) numa condição que, no limite, torna a norma inaplicável em investigações com autoria digital desconhecida. Não é preciso exagerar para demonstrar o erro: basta observar que o legislador incluiu no art. 4.º precisamente dados destinados a “encontrar e identificar a fonte” de comunicações, incluindo o vínculo IP/assinante no momento. Se se exigisse, para autorizar a transmissão desses dados, que o suspeito já estivesse identificado, o art. 4.º perderia grande parte do seu alcance funcional. A hermenêutica jurídica não admite leituras que esvaziem o texto normativo de sentido útil quando existe uma interpretação alternativa compatível com as garantias.
A interpretação alternativa é esta: o art. 9.º, n.º 3, al. a) exige que o pedido respeite a um “suspeito” no sentido funcional (autor ainda desconhecido, mas cuja actuação está individualizada por indícios e descritores objectivos), e não a uma pessoa nominalmente identificada. A garantia contra fishing expedition não é o nome; é a delimitação concreta do descritor, a sustentação indiciária e o controlo judicial de proporcionalidade. No caso, o descritor é máximo na sua restrição: dois IP, dois instantes, e pedido de identificação do utilizador/titular do contrato e dados mínimos.
Concluindo:
O despacho está correcto quando afirma o objecto da Lei n.º 32/2008 e quando remete a transmissão para despacho judicial nos termos do art. 9.º. Está igualmente correcto quando reproduz o art. 6.º, n.º 1 quanto às categorias gerais de dados a conservar por um ano, incluindo identificação civil, dados de base e IP de fonte. Todavia, erra no ponto em que transforma o requisito subjectivo do art. 9.º, n.º 3, al. a) numa exigência de suspeito nominal prévio (“suspeito identificável”) e, com isso, impede o acesso a um dado cujo desenho legal visa precisamente a identificação da fonte de uma comunicação e do utilizador/assinante no momento.
O erro é, simultaneamente, lógico, teleológico e metodológico. Lógico, porque gera um círculo vicioso: não há suspeito sem dados; não há dados sem suspeito. Teleológico, porque esvazia de utilidade o catálogo do art. 4.º (identificar fonte e destino), num dos contextos em que ele mais serve (criminalidade digital). Metodológico, porque substitui a análise do art. 9.º, n.º 1 e n.º 4 (indispensabilidade e proporcionalidade) por uma etiqueta (“suspeito identificável”) sem densificação concreta e sem confronto com a delimitação estrita do pedido.
A integração do pedido no art. 9.º é reforçada pela coincidência literal do catálogo: a lei prevê, para acesso à internet, a associação entre IP e “nome e endereço do assinante ou utilizador registado” a quem o IP estava atribuído no momento, e inclui data/hora de ligação. O pedido dos autos é exactamente esse: identificar o utilizador de dois IP em duas datas/horas e recolher elementos contratuais mínimos. Ao qualificar isto como abrangido pelo diploma, a consequência é a sujeição ao art. 9.º e o dever judicial de decidir pelo teste de indispensabilidade e proporcionalidade, não por um bloqueio subjectivo absoluto. R
Quanto ao Acórdão TC 268/2022, deve reconhecer-se a sensibilidade do tema e a necessidade de prudência: a decisão incide sobre conservação generalizada em moldes anteriores, e o legislador reformulou o regime, incluindo notificação e protelamento no art. 9.º. As peças do recurso que invocam o Acórdão do Tribunal Constitucional n.º 268/2022 fazem-no, em larga medida, num plano de lege ferenda, apontando requisitos e condicionantes que o recorrente entende relevantes para um modelo normativo constitucionalmente conforme; por isso, essa passagem deve ser tratada como posição argumentativa do recorrente, ainda que plausível, e não como premissa incontroversa. O que é seguro - no plano do direito positivo aplicável e tal como o próprio despacho recorrido evidencia - é que o art. 9.º da Lei n.º 32/2008 contém hoje um regime de notificação ao titular e a correlativa possibilidade de protelamento dessa notificação, em inquérito, quando a notificação imediata comporte risco de prejudicar a investigação ou dificultar a descoberta da verdade, solução que se mostra alinhada com a pretensão formulada pelo Ministério Público e que funciona como componente estruturante do equilíbrio garantístico do regime.
A solicitação à ... para identificar assinante/utilizador por correlação IP/data/hora integra-se no art. 9.º da Lei n.º 32/2008; o despacho recorrido, ao indeferir por falta de suspeito identificável, aplica uma interpretação restritiva incompatível com o catálogo do art. 4.º, com a finalidade do art. 9.º e com o quadro de proporcionalidade que deveria ser central.
O recurso obtém provimento.
*
III. DECISÃO
Pelo exposto, acordam os Juízes desta Relação em:
1. Conceder provimento ao recurso interposto pelo Ministério Público, revogando o despacho recorrido.
2. Autorizar, ao abrigo do art. 9.º da Lei n.º 32/2008, a solicitação à operadora ... dos elementos de identificação do assinante/utilizador registado e demais elementos contratuais estritamente necessários (designadamente, contrato/subscrição, morada e contactos associados) relativamente aos acessos efectuados através dos seguintes endereços IP, com referência às datas e horas indicadas: (i) IP 87.196.74.20, em ...-...-2025, às 17:49:22 (UTC+0); ii IP 87.196.72.26, em ...-...-2025, às 10:29:26 (UTC+0).
*
Lisboa e Tribunal da Relação, 18-02-2026,
Alfredo Costa
Cristina Isabel Henriques
João Bártolo
Processado e revisto pelo relator (artº 94º, nº 2 do CPP).
O Relator escreve segundo a antiga ortografia
_______________________________________________________
1. Lei n.º 79/2021, de 24/11
2. Refere-se a acções de investigação que vão além dos limites autorizados, com o objectivo de encontrar qualquer elemento que possa ser usado contra um suspeito, mesmo sem evidência prévia.
3. https://www.tribunalconstitucional.pt/tc/acordaos/20220382.html
4. Expressão latina que significa "lei a ser criada" ou "da lei que deve ser feita"