“O departamento nunca se interessou em processar a pesquisa de segurança de computador de boa fé como um crime, e o anúncio de hoje promove a segurança cibernética ao fornecer clareza para pesquisadores de segurança de boa fé que erradicam vulnerabilidades para o bem comum,” deputado A procuradora-geral Lisa Monaco disse em um comunicado.
Inscrição no boletim informativo
WSJ Pro Cybersecurity
Notícias, análises e percepções sobre segurança cibernética da equipe global de repórteres e editores do WSJ.
INSCREVA-SEA política revisada instrui os promotores federais a evitar abrir processos se indivíduos acessarem computadores para testar, investigar ou corrigir vulnerabilidades “de maneira a evitar qualquer dano a indivíduos ou ao público”.
A lei de fraude informática, promulgada em 1986, proíbe o acesso a um computador “sem autorização” ou de uma forma que “exceda o acesso autorizado”. As pessoas que violarem a lei podem ser condenadas a até 10 anos de prisão.
Os críticos do setor de segurança cibernética dizem que a linguagem é ambígua e pode ser usada para processar atividades rotineiras de pessoas, incluindo hackers de chapéu branco, pesquisadores de tecnologia ou usuários que inadvertidamente violam os termos de serviço das plataformas online. Alguns alertam que a ameaça legal também pode ter um efeito inibidor sobre os pesquisadores que encontram e relatam falhas de software aos desenvolvedores.
Nos últimos anos, as autoridades federais têm procurado reforçar suas capacidades cibernéticas em meio a um aumento acentuado nas ameaças cibernéticas dos setores público e privado, como o ransomware. O Departamento de Justiça disse na quinta-feira que a mudança de política reforçaria esses esforços, fornecendo clareza jurídica aos pesquisadores de segurança.
“No entanto, a nova política reconhece que alegar estar conduzindo pesquisas de segurança não é um passe livre para aqueles que agem de má fé”, disse o Departamento de Justiça.
A mudança da agência não impede que as empresas abram processos civis contra pesquisadores, nem impede que indivíduos sejam processados de acordo com a lei estadual. Embora o Congresso não tenha abordado tais aspectos da lei, os tribunais federais começaram a reexaminar sua aplicação.
No ano passado, a Suprema Corte reduziu o escopo da lei, determinando que ela não cobria casos em que as pessoas usam seu acesso autorizado ao computador para fins impróprios. A decisão de 6 a 3 considerou que um policial da Geórgia violou a política de seu departamento - mas não infringiu a lei anti-pirataria - ao verificar a placa de um carro com um banco de dados da polícia em troca de dinheiro.
Escrevendo a opinião da maioria nesse caso, a juíza Amy Coney Barrett disse que ler o estatuto de maneira ampla “anexaria penalidades criminais a uma quantidade impressionante de atividades comuns de computador”.
Mais do WSJ Pro Cybersecurity
Escreva para David Uberti em david.uberti@wsj.com