A relação entre investigadores de segurança, empresas, e a lei, nem sempre têm corrido da melhor forma. Isto porque, em muitos países, a lei trata todos os hackers da mesma forma, quer sejam atacantes com fins prejudiciais ou investigadores que estejam a tentar descobrir vulnerabilidades - fazendo com que estes últimos se sujeitem a repercussões legais.
Felizmente, em Portugal essa diferenciação passa a estar assegurada com o novo Artigo 8.º-A intitulado "Atos não puníveis por interesse público na cibersegurança". A isenção aplica-se a investigadores que analisam sistemas exclusivamente para identificar vulnerabilidades e reforçar a cibersegurança, desde que cumpram um conjunto de requisitos. Entre eles está a proibição de obter benefícios económicos além da compensação profissional normal, a obrigação de reportar imediatamente qualquer falha ao proprietário do sistema e ao CNCS, e a limitação das acções ao estritamente necessário, sem causar interrupções, alterações de dados ou danos. Técnicas intrusivas como ataques DDoS, phishing ou utilização de malware continuam a ser ilegais, e qualquer dado recolhido deve ser eliminado no prazo de 10 dias após a correcção da vulnerabilidade.
A lei também abrange situações em que o investigador actua com consentimento do proprietário do sistema, embora qualquer vulnerabilidade encontrada deva, ainda assim, ser comunicada ao CNCS. O objectivo é definir claramente os limites da investigação responsável e, ao mesmo tempo, oferecer protecção legal a quem trabalha de forma ética - uma reivindicação antiga da comunidade de cibersegurança.
Com esta atualização, Portugal junta-se a outros países que estão a avançar no mesmo sentido. A Alemanha apresentou propostas semelhantes em 2024, e os EUA ajustaram em 2022 as directivas do Computer Fraud and Abuse Act para incluir excepções para investigação de boa fé. A tendência reflecte o crescente reconhecimento de que o ethical hacking é essencial para detectar falhas e melhorar as defesas digitais, sem colocar os investigadores em risco.
Segue-se a transcrição do Artigo 8.º-A:
«Artigo 8.º-A
Atos não puníveis por interesse público de cibersegurança
1 - Não são puníveis factos suscetíveis de consubstanciar os crimes de acesso ilegítimo e de interceção ilegítima previstos, respetivamente, nos artigos 6.º e 7.º, se verificadas, cumulativamente, as seguintes circunstâncias:
a) O agente atue com a intenção única de identificar a existência de vulnerabilidades em sistema de informação, produtos e serviços de tecnologias de informação e comunicação, que não tenham sido criadas por si ou por terceiro de quem dependa, e com propósito de, através da sua divulgação, contribuir para a segurança do ciberespaço;
b) O agente não atue com o propósito de obter vantagem económica ou promessa de vantagem económica decorrente da sua ação, sem prejuízo da remuneração que aquele obtenha como contrapartida da sua atividade profissional;
c) O agente comunique, imediatamente após a sua ação, as eventuais vulnerabilidades identificadas, ao proprietário ou pessoa por ele designada para gerir o sistema de informação, produto ou serviço de tecnologias de informação e comunicação, ao titular de quaisquer dados obtidos e que se encontrem protegidos ao abrigo da legislação aplicável em matéria de proteção de dados pessoais, designadamente, o Regulamento Geral de Proteção de Dados (RGPD), aprovado pelo Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto, e a Lei n.º 59/2019, de 8 de agosto;
d) A atuação do agente seja proporcional aos seus propósitos e estritamente limitada pelos mesmos, bastando-se com as ações necessárias à identificação das vulnerabilidades e não provocando:
i) Uma perturbação ou interrupção do funcionamento do sistema ou serviço em causa;
ii) A eliminação ou deterioração de dados informáticos ou a sua cópia não autorizada;
iii) Qualquer efeito prejudicial, danoso ou nocivo sobre a pessoa ou entidade afetada, direta ou indiretamente, ou sobre quaisquer terceiros, excluindo os efeitos correspondentes ao próprio acesso ilegítimo ou interceção ilegítima, nos termos previstos nos artigos 6.º e 7.º, e ainda os que resultariam já, com elevada probabilidade, da própria vulnerabilidade detetada ou da sua exploração;
e) A atuação do agente não consubstancie violação de dados pessoais protegidos ao abrigo da legislação aplicável em matéria de proteção de dados pessoais, designadamente, do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, da Lei n.º 58/2019, de 8 de agosto, e da Lei n.º 59/2019, de 8 de agosto.
2 - A comunicação prevista na alínea c) do número anterior deve ser feita também à autoridade nacional de cibersegurança, que a remete à Polícia Judiciária sempre que revista relevância criminal.
3 - Para efeitos de determinação da proporcionalidade da atuação do agente, tomar-se-á em conta se a mesma era necessária à deteção da vulnerabilidade e se a extensão dos sistemas ou dados informáticos acedidos, consultados e/ou copiados era imposta pelo interesse em contribuir para a segurança do ciberespaço, sendo expressamente vedado o uso das seguintes práticas:
a) Mecanismos de negação de serviço (DoS) ou negação de serviço distribuída (DDoS);
b) Engenharia social, definido como facto de enganar de responsáveis ou utilizadores dos sistemas de informação com vista à disponibilização de informação sensível ou sigilosa;
c) ‘Phishing’ e variantes;
d) Roubo ou furto de palavras-passe ou outras informações sensíveis;
e) Eliminação ou alteração dolosa de dados informáticos;
f) Inflição dolosa de danos ao sistema de informação;
g) Instalação e distribuição de software malicioso.
4 - Sem prejuízo das regras aplicáveis em matéria de proteção de dados, os dados informáticos que sejam comunicados ao proprietário ou pessoa encarregue da gestão do sistema de informação, produto e serviço de tecnologias de informação e comunicação, ou à autoridade nacional de cibersegurança devem ser eliminados no prazo de 10 dias contados a partir do momento em que a vulnerabilidade for corrigida, devendo garantir-se a sua natureza secreta durante todo o procedimento.
5 - Não são igualmente puníveis os factos praticados com consentimento do proprietário ou administrador de sistema de informação, produto ou serviço de tecnologias de informação e comunicação, sem prejuízo do dever de notificação das vulnerabilidades eventualmente identificadas à autoridade nacional coordenadora encarregada da resposta a incidentes de cibersegurança das vulnerabilidades eventualmente identificadas, nos termos previstos no regime jurídico da cibersegurança.»
Sem comentários:
Enviar um comentário (problemas a comentar?)