Il Portogallo ha modificato la sua legge sulla cybercriminalità per stabilire un porto sicuro legale per la ricerca di sicurezza in buona fede e per rendere l’hacking non punibile in determinate condizioni strette. Un nuova disposizione nell’articolo 8.o-A, intitolata “Atti non punibili a causa dell’interesse pubblico nella sicurezza informatica”, fornisce un’esenzione legale per azioni che in precedenza erano classificate come accesso illegale al sistema o intercettazione illecita di dati.
L’esenzione si applica solo quando i ricercatori di sicurezza agiscono allo scopo di identificare vulnerabilità e contribuire alla sicurezza informatica. Le condizioni chiave che devono essere soddisfatte per essere al sicuro dalla responsabilità penale sono: la ricerca deve essere finalizzata unicamente all’identificazione di vulnerabilità non create dal ricercatore e al miglioramento della sicurezza informatica attraverso la divulgazione; il ricercatore non può cercare o ricevere alcun beneficio economico oltre alla normale compensazione professionale; il ricercatore deve segnalare immediatamente la vulnerabilità al proprietario del sistema, a qualsiasi controllore dei dati rilevante e al CNCS.
I ricercatori di sicurezza devono anche limitare le loro azioni a quanto strettamente necessario per rilevare la vulnerabilità e non devono interrompere i servizi, alterare o eliminare dati, o causare danni. La ricerca non deve coinvolgere alcun trattamento illecito di dati personali ai sensi del GDPR. I ricercatori di sicurezza non devono utilizzare tecniche proibite come attacchi DoS o DDoS, ingegneria sociale, phishing, furto di password, alterazione intenzionale dei dati, danni al sistema o distribuzione di malware.
