O Departamento de Justiça dos Estados Unidos (DOJ, na sigla em inglês) fez uma revisão à Computer Fraud and Abuse Act (CFAA), a lei federal originalmente promulgada em 1986 que estabelece o que se constitui como um crime informático, sobretudo em matéria de acesso não autorizado a sistemas informáticos. Com esta revisão, investigadores de segurança e white-hat hackers que “agem de boa fé” não serão acusados.

Em comunicado, o DOJ explica que por agir de boa fé entende-se o acesso a sistemas informáticos com o propósito de testar, investigar e/ou corrigir vulnerabilidades. Estas atividades não devem causar dano a indivíduos ou ao público em geral e a informação derivada deve ser utilizada para promover a segurança de um conjunto de equipamentos ou serviços online.

Note-se que a questão das investigações de segurança não dá “carta branca” a quem pretende agir de má fé. Por exemplo, investigadores ou hackers que estejam à procura de vulnerabilidades com o objetivo de as explorar ativamente ou de extorquir os donos dos equipamentos podem ser acusados de violarem a CFAA.

As investigações são um dos "principais impulsionadores da cibersegurança”, afirma Lisa Monaco, vice-procuradora-geral. A responsável afirma que o DOJ “nunca esteve interessado em acusar investigadores de segurança informática que agem em boa fé de cometerem crimes" e que a revisão à lei federal vai "promover a cibersegurança ao trazer mais transparência".

A CFAA tem vindo a ser criticada há vários anos pelo uso de termos considerados obsoletos e vagos no que respeita à definição daquilo que se constitui ou não como acesso autorizado a um sistema informático, não diferenciando entre quem age de boa fé e quem tem objetivos maliciosos.