O Departamento de Justiça dos EUA liberou hackers de “chapéu branco” da responsabilidade

O Departamento de Justiça dos Estados Unidos publicou um documento esclarecendo que atos que se enquadram no Computer Fraud and Abuse Act (CFAA), adotado em 1984 e atualizado em 1986, não devem resultar em perseguição criminal se forem cometidos por “pesquisa de boa fé no área de segurança de TI.”

Fonte da imagem: Pexels/pixabay.com

Na época da adoção e alteração da lei, os especialistas em segurança cibernética simplesmente não existiam. Além disso, as definições antigas eram tão amplas que qualquer pessoa podia ser processada, inclusive funcionários de escritório que verificavam correspondência pessoal no trabalho.

De acordo com o documento do ministério, uma boa pesquisa de segurança de TI é quando um computador é usado “exclusivamente para testar, investigar e/ou corrigir problemas de segurança ou encontrar vulnerabilidades, se tal atividade for realizada de forma que não cause danos a indivíduos ou público”, e a informação resultante é usada para proteger “dispositivos, máquinas ou serviços online”. O documento menciona que o ministério não está interessado em processar pesquisadores conscienciosos, os chamados hackers “white hat”, que identificam vulnerabilidades para um bem maior.

Até recentemente, de acordo com a CFAA, qualquer pessoa que tentasse obter acesso a arquivos, computadores, sistemas de computação e até mesmo sites de outras pessoas podia ser processada pela polícia dos EUA, mesmo que tivesse acesso legal ao sistema. No entanto, “pesquisa de segurança de boa fé” também é um termo bastante vago, embora os especialistas admitam que seja um pouco melhor do que as antigas definições fornecidas pela lei.

A Suprema Corte dos Estados Unidos decidiu por maioria que o termo estatutário “Abuso de Acesso Autorizado” é muito vago e não deve se aplicar aos casos de uso não autorizado de sistemas aos quais os cidadãos tenham acesso legal, pois esta responsabilidade criminal está prevista para um grande número das atividades diárias dos usuários com computadores.

Fonte da imagem: ernestoeslava/pixabay.com

Os exemplos incluem embelezar perfis de usuários em aplicativos de namoro, criar contas falsas ao se candidatar a um emprego ou procurar um lugar para alugar, usar pseudônimos em sites cujas políticas proíbem seu uso, verificar os resultados de partidas esportivas no trabalho ou, por exemplo, pagar contas de um computador de trabalho – formalmente, todas essas ações podem ser consideradas por lei como crime federal.

De acordo com o Departamento de Justiça, seus recursos agora se concentrarão nos casos em que o réu não estava autorizado a usar o computador ou tinha acesso legal a apenas um de seus serviços, como e-mail, e, em vez disso, vasculhou a memória do máquina para materiais que não têm relação com o usuário, por exemplo, cartas de outros usuários. O texto do documento pode ser encontrado no site do Departamento de Justiça dos EUA.