Португалія оновила закон про кіберзлочини, створивши юридичний safe harbor для дослідників безпеки. Нові норми дозволяють етичний хакінг і технічні дослідження вразливостей без кримінальної відповідальності — за чітко визначених умов.
Зміни закріплені в статті 8.º-A під назвою «Дії, що не караються з огляду на суспільний інтерес у кібербезпеці». Вона звільняє від відповідальності дії, які раніше вважалися незаконним доступом або перехопленням даних.
Закон дозволяє дослідження лише за умови, що вони:
спрямовані виключно на виявлення вразливостей, створених не самим дослідником;
не передбачають фінансової вигоди, окрім стандартної професійної оплати;
супроводжуються негайним повідомленням власника системи, контролера даних та Національного центру кібербезпеки (CNCS);
обмежуються лише необхідними технічними діями й не шкодять системам або даним;
не порушують вимоги GDPR щодо персональних даних;
не використовують заборонені техніки, включно з DDoS, фішингом, соціальною інженерією, шкідливим ПЗ чи крадіжкою паролів.
Будь-які отримані під час дослідження дані мають залишатися конфіденційними й бути видалені протягом 10 днів після усунення вразливості.
Португалія стала черговою європейською країною, що офіційно визнає важливість security-досліджень. Раніше схожі підходи впровадили:
Німеччина — через законодавчі ініціативи 2024 року;
США — через оновлення політики Міністерства юстиції щодо CFAA;
низка країн ЄС — у рамках responsible disclosure та bug bounty-практик.
Це свідчить про загальний тренд на нормалізацію етичного хакінгу як суспільно корисної діяльності.
Нові правила чітко визначають межі дозволеного та водночас знімають правову невизначеність для фахівців. Португалія фактично визнає, що проактивне тестування безпеки є необхідною складовою захисту цифрової інфраструктури, а не злочином.
