Hackerii etici scapă de Codul penal. Noua lege care protejează tinerii cercetători de securitate

Acum ceva ani, un adolescent pasionat de programare a descoperit o breșă uriașă într-un sistem al statului. Și-a făcut curaj, a notificat autoritatea și… în loc de mulțumiri, s-a trezit cu o plângere penală pentru acces neautorizat. Curiozitatea lui constructivă a fost citită ca o infracțiune. Astăzi, povestea s-ar fi putut termina altfel.

Camera Deputaților a adoptat o lege care schimbă radical regulile jocului: cine testează sistemele informatice cu autorizare și din dorința de a preveni un dezastru nu mai poate fi acuzat de aceleași fapte ca un infractor cibernetic. Legea a fost coinițiată de Cristina Prună și Eduard Mititelu și se adresează exact acelor tineri talentați de 16-17 ani, capabili să vadă fisurile pe care sistemele întregi le ignoră.

Pe scurt

• Nu se mai aplică anumite articole din Codul Penal pentru acces la un sistem informatic, interceptarea sau transferul de date informatice, dacă fapta este autorizată și în scop de cercetare și testare de securitate.

• Legea consacră diferența dintre infractorul cibernetic și cercetătorul de securitate care acționează cu bună-credință („ethical hacker”).

• Se creează un comitet consultativ pe lângă DNSC, care să informeze în timp util celelalte autorități despre incidente – un pas de la reactiv la proactiv.

• Măsura sprijină cultura de cyber defense și îi încurajează pe cei care identifică vulnerabilități să le raporteze, nu să se teamă de repercusiuni.

Ce schimbă, concret, noua lege

Modificarea legislativă elimină aplicarea sancțiunilor penale pentru fapte care, în mod obișnuit, ar constitui infracțiuni informatice. Mai exact, vorbim despre accesul la un sistem informatic, interceptarea unei transmisii de date și transferul neautorizat de date – toate regăsite în Capitolul VI, Titlul VII din Codul Penal, dedicat infracțiunilor contra siguranței și integrității sistemelor și datelor informatice: accesul la un sistem informatic (art. 360), interceptarea unei transmisii de date informatice (art. 361) și transferul neautorizat de date informatice (art. 364).

Condiția esențială este ca activitatea să fie autorizată și să urmărească testarea ori cercetarea securității cibernetice. Cu alte cuvinte, dacă ești un adolescent care descoperă o vulnerabilitate pe platforma unei instituții și acționezi cu bună-credință, nu pentru a produce un prejudiciu, nu vei mai fi tratat automat ca un infractor. Bunul-simț juridic triumfă: „Dolus malus non praesumitur” – intenția rea nu se prezumă.

Nu e o portiță prin care oricine poate intra în sisteme fără urmări. Legea nu dezincriminează atacurile, ci protejează testele autorizate. E un scut pentru cei care, asemenea unui „leu printre antilope”, caută breșele înainte să le exploateze cineva cu intenții necinstite.

De la infractor la apărător: diferența subtilă dintre un atac și un test de securitate

Pentru cineva care nu e în domeniu, poate părea că același gest (de a pătrunde într-un sistem) e ori bun, ori rău, după cum bate vântul. Dar diferența stă, ca de atâtea ori, în intenția din spatele acțiunii și în autorizarea dinaintea ei.

Un infractor cibernetic vrea să fure date, să blocheze servere sau să ceară răscumpărare. Un cercetător de securitate vrea să demonstreze că o ușă e deschisă, ca să fie reparată. Și, de cele mai multe ori, anunță proprietarul înainte, nu se folosește de datele găsite și respectă limitele stabilite printr-un acord explicit.

Noua lege vine exact cu această distincție: recunoaște că există un „bun-samț digital” care nu merită sancționat, ci încurajat. Dacă eram cu toții mai atenți la cum circulăm pe internet, am vedea că tinerii care participă la competiții de securitate dezvoltă abilități utile pentru toți – iar statul român începe să înțeleagă asta.

Un pas înainte pentru cultura cyber defense

Pe lângă protecția hackerilor etici, legea introduce un mecanism de cooperare între autorități: ea completează OUG 155/2024 prin introducerea obligației ca DNSC să se consulte cu un comitet format din reprezentanții autorităților prevăzute în Legea privind securitatea și apărarea cibernetică a României. Scopul? Când una dintre ele detectează un incident, celelalte află în timp util, nu a doua zi de la televizor.

E un pas dinspre atitudinea reactivă („stingem focul după ce a ars jumătate de pădure”) către una proactivă, de descurajare a atacurilor încă din fașă. Pentru un stat care a avut instituții luate prin surprindere de atacuri tip ransomware, e un semnal că începe să învețe din greșeli.

Întrebări frecvente

Ce activități exacte sunt excluse de la răspundere penală?

Legea vizează fapte precum accesul la un sistem informatic, interceptarea transmisiilor de date și transferul neautorizat de date informatice – dar doar când sunt autorizate și făcute în scop de cercetare sau testare a securității. Dacă nu ai acordul explicit al proprietarului sistemului, ori scopul e altul, rămâne infracțiune.

Cum poate un tânăr cercetător să beneficieze de această protecție?

Cheia este autorizarea. Dacă vrei să testezi un sistem, obține un acord scris (un contract de penetration testing, de exemplu) de la compania sau instituția respectivă. Documentează totul: ce ai făcut, ce ai descoperit și că nu ai produs pagube. Oricât de bună ar fi intenția ta, fără o astfel de autorizare, legea nu te acoperă.

Se aplică doar adolescenților?

Nu. Deși inițiativa a fost motivată de dorința de a sprijini tinerii talentați care descoperă vulnerabilități, legea se aplică oricui desfășoară activități de testare a securității cu autorizare, indiferent de vârstă. E un instrument pentru întreaga comunitate de securitate cibernetică din România.

Această lege e încă o dovadă că dreptul, când e bine gândit, poate să țină pasul cu tehnologia, nu să o frâneze. Și e reconfortant să vezi că, măcar pe partea aceasta, România nu-i mai tratează pe cei care vor să protejeze sistemele ca pe niște dușmani.