Portugal atualizou sua legislação sobre crimes cibernéticos para estabelecer uma proteção legal (safe harbor) para pesquisas de segurança realizadas de boa-fé, tornando o hacking não punível sob condições rigorosas.
Identificada inicialmente por Daniel Cuthbert, a nova disposição no artigo 8.º-A, intitulada "Atos não puníveis devido ao interesse público na cibersegurança", cria uma exceção legal para ações que eram antes consideradas acesso ilegal a sistemas ou interceptação ilegal de dados.
Essa isenção é válida apenas quando os pesquisadores atuam com o objetivo de identificar vulnerabilidades e contribuir para a segurança cibernética.
Os principais requisitos para evitar responsabilização criminal são:
- A pesquisa deve focar exclusivamente na identificação de falhas que não tenham sido criadas pelo pesquisador, visando aprimorar a segurança por meio da divulgação responsável.
- O pesquisador não pode buscar ou receber qualquer benefício econômico além da remuneração profissional habitual.
- É obrigatório reportar imediatamente a vulnerabilidade ao proprietário do sistema, ao controlador de dados relevante e ao Centro Nacional de Cibersegurança (CNCS).
- As ações devem ser estritamente limitadas ao necessário para detectar a vulnerabilidade, sem causar interrupção de serviços, alteração ou exclusão de dados, ou qualquer dano.
- Não pode haver processamento ilegal de dados pessoais em desacordo com a GDPR.
- Técnicas proibidas, como ataques DoS/DDoS, engenharia social, phishing, roubo de senhas, alteração intencional de dados, danos ao sistema ou implantação de malware, são vetadas.
- Os dados obtidos na pesquisa devem ser mantidos em sigilo e excluídos em até 10 dias após a correção da vulnerabilidade.
- Atos realizados com consentimento do proprietário do sistema também são isentos de punição, mas quaisquer vulnerabilidades encontradas devem ser comunicadas ao CNCS.
O novo artigo delimita claramente os limites da pesquisa em segurança, oferecendo ao mesmo tempo proteção jurídica para hackers éticos.
Em linha com essa tendência, em novembro de 2024, o Ministério Federal da Justiça da Alemanha propôs um projeto de lei que oferece proteções semelhantes a pesquisadores que descobrem e notificam vulnerabilidades de forma responsável.
Nos Estados Unidos, já em maio de 2022, o Departamento de Justiça (DOJ) revisou sua política de processos federais relacionados à Computer Fraud and Abuse Act (CFAA), incluindo uma exceção para pesquisas realizadas de boa-fé.
Esses marcos legais reconhecem e garantem um ambiente seguro para que pesquisadores de segurança possam explorar sistemas, identificar falhas e reportá-las preventivamente, sem receio de consequências legais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...