O Ministério da Justiça da Alemanha propôs uma nova lei que protege pesquisadores de segurança que identificam e relatam vulnerabilidades em sistemas de TI de forma responsável. Com essa legislação, o objetivo é isentar esses profissionais de punições criminais, desde que respeitem certos critérios. O ministro da Justiça, Marco Buschmann, destacou que a intenção é valorizar o trabalho desses especialistas, evitando processos injustos e reconhecendo sua importância para a segurança digital.
Leia também
Federação de Futebol dos EUA teve dados expostos
Ataque pode descriptografar chamadas 4G para espionar conversas
A proposta modifica o Código Penal Alemão para garantir que os chamados “hackers éticos” sejam protegidos quando suas ações têm o objetivo de identificar falhas de segurança, reportando-as a autoridades ou empresas responsáveis. Entre as condições, o projeto estabelece que o acesso ao sistema deve ser necessário para detectar a vulnerabilidade e que o relatório seja direcionado a quem possa solucionar o problema, como o operador do sistema ou a Agência Federal de Segurança da Informação (BSI).
A lei também endurece penas para espionagem cibernética, especialmente em casos graves que afetem infraestruturas críticas, como hospitais, empresas de energia e transporte, ou que coloquem em risco a segurança nacional. Essas situações poderão resultar em penas que variam de três meses a cinco anos de prisão.
Os casos considerados mais graves incluem aqueles com motivação financeira significativa, em escala comercial, ou quando parte de ações de organizações criminosas. A proposta ainda considera ataques direcionados a setores essenciais e situações que envolvem ameaças à segurança pública alemã, incluindo ações que venham do exterior.
O projeto foi submetido a autoridades regionais e entidades interessadas, que terão até dezembro para enviar feedbacks antes que o Bundestag o avalie. Esta iniciativa segue uma tendência internacional, já que, em 2022, o Departamento de Justiça dos EUA anunciou revisões na Lei de Fraude e Abuso de Computador para proteger pesquisadores de segurança “de boa-fé”.