De la polemicile privind accesul neautorizat și până la programele de bug bounty devenite uzuale în lumea tech, felul în care legile abordează cercetarea în securitatea cibernetică s-a schimbat constant. Portugalia a făcut un pas semnificativ în această direcție: parlamentul a amendat legea privind infracțiunile cibernetice pentru a crea o zonă de protecție juridică pentru cercetătorii de bună‑credință, permițând anumite tipuri de testare a sistemelor fără a atrage răspundere penală, sub condiții stricte și clar stabilite.
Noul articol 8.o‑A din legislația portugheză, intitulat Acts not punishable due to public interest in cybersecurity, introduce această excepție pentru fapte care anterior ar fi fost încadrate ca acces ilegal la sisteme sau interceptare neautorizată de date. Miza este evidentă: dacă scopul este să se identifice vulnerabilități și să se îmbunătățească securitatea prin dezvăluire responsabilă, cercetarea poate fi scutită de urmări penale, însă doar dacă sunt îndeplinite o serie de condiții stricte. Activitatea trebuie să urmărească exclusiv descoperirea vulnerabilităților necreate de cercetător și să contribuie la securitate prin raportare. Nu este permis un câștig financiar în afara remunerației profesionale obișnuite. Vulnerabilitatea trebuie comunicată imediat proprietarului sistemului, oricărui operator de date relevante și CNCS, autoritatea portugheză pentru securitate cibernetică. Acțiunile trebuie limitate la ceea ce e necesar pentru detectare, fără a perturba servicii, a modifica sau șterge date ori a provoca vătămări; nu este permisă prelucrarea nelegală a datelor cu caracter personal în sensul GDPR. Tehnici precum atacurile DoS/DDoS, ingineria socială, phishingul, furtul de parole, modificarea intenționată a datelor, compromiterea sistemelor sau distribuirea de programe malițioase rămân interzise. Orice date obținute în timpul cercetării trebuie păstrate confidențiale și șterse în termen de 10 zile de la remedierea vulnerabilității. De asemenea, actele efectuate cu consimțământul proprietarului sunt exceptate, dar obligația de raportare către CNCS rămâne în vigoare.
Această clarificare oferă cercetătorilor un cadru mai predictibil: protecție juridică pentru acțiuni bine intenționate, dar și limite ferme pentru a preveni abuzurile. Măsura portugheză se înscrie într‑un trend mai larg: în noiembrie 2024 ministerul federal al Justiției din Germania a propus un proiect de lege cu protecții similare pentru cei care raportează responsabil vulnerabilitățile către furnizori, iar în mai 2022 Departamentul de Justiție din Statele Unite a revizuit politica de aplicare a legii în cazurile legate de Computer Fraud and Abuse Act, incluzând o excepție pentru cercetarea de bună‑credință. În practică, aceste cadre juridice recunosc că cercetarea proactivă poate servi interesului public și trebuie încurajată, dar fără a diminua protecția datelor sau siguranța sistemelor. Poate că nu vom vedea supereroi în costume când apare o breșă, însă acum există mai multă claritate juridică care le permite cercetătorilor serioși să fotografieze problema, să o trimită la birou și să o șteargă conform procedurii.
Articolul 8.o‑A stabilește condiții clare pentru scutirea de răspundere penală a cercetării de securitate. Inițiativa confruntă două teme esențiale: necesitatea descoperirii proactive a vulnerabilităților și protecția drepturilor persoanelor, în special în privința GDPR și a tratării datelor. Prin obligativitatea raportării către proprietar, operatorul de date și CNCS și prin interzicerea tehnicilor distructive, legea încearcă să echilibreze libertatea de cercetare cu siguranța publică. Crezi că această abordare va încuraja mai mulți cercetători să raporteze vulnerabilitățile în mod responsabil?
Fii primul care comentează