Os planos do governo britânico para reformular a principal lei de crimes cibernéticos do país ofereceriam proteções legais tão restritas que a maioria dos pesquisadores de segurança ficaria na mesma posição de hoje, disseram múltiplas fontes informadas sobre as propostas à **Recorded Future News**. Os planos de emendar a **Computer Misuse Act 1990** foram anunciados no Discurso do Rei na semana passada, após anos de campanha da indústria para modernizar uma lei que criticavam por proibir atividades comuns de cibersegurança. Em dezembro passado, o Ministro da Segurança, **Dan Jarvis**, prometeu que o governo introduziria uma defesa legal estatutária — uma proteção legal formal escrita na lei — protegendo os pesquisadores de condenação judicial, “desde que cumpram certas salvaguardas”. Mas fontes informadas sobre os planos, que não foram divulgados anteriormente, dizem que essas salvaguardas são extremamente limitadas. ### Escopo Limitado de Proteção O governo planeja restringir a defesa legal apenas a casos em que os pesquisadores estão sendo processados por escanear sistemas voltados para a internet. O escaneamento é um subconjunto de atividades de defesa cibernética que já é amplamente realizado continuamente, e de fora da jurisdição britânica, por plataformas comerciais como **Shodan** e **Censys**. As propostas exigiriam que os pesquisadores cessassem a atividade no momento em que uma vulnerabilidade fosse identificada, o que significa que eles não poderiam confirmar se era real, avaliar sua gravidade ou determinar sua explorabilidade. Profissionais da indústria dizem que isso torna qualquer divulgação quase inútil, pois os proprietários de sistemas exigem rotineiramente prova de que uma vulnerabilidade é genuína antes de agir sobre ela. ### Requisitos de Credenciamento Pesquisadores credenciados também seriam obrigados a realizar os testes pessoalmente e não poderiam instruir outros a realizar atividades em seu nome, uma disposição que iria contra o modelo comercial padrão em que profissionais seniores supervisionam funcionários juniores ou ferramentas automatizadas. As propostas também limitariam quem poderia se qualificar para a defesa legal a cidadãos britânicos com credenciais do **UK Cyber Security Council** — o único órgão capaz de conferir status de Chartered a profissionais de cibersegurança, semelhante ao status conferido a contadores ou engenheiros Chartered. Oficiais do governo disseram às fontes da Recorded Future News que atualmente apenas cerca de 300 pessoas possuem tal credenciamento — cerca de 0,4% dos “quase 70.000 pessoas altamente qualificadas” empregadas no setor, de acordo com dados oficiais do governo. O requisito de credenciamento foi amplamente criticado por especialistas consultados pela Recorded Future News, que o descreveram como um modelo de “pague para jogar” que poderia excluir caçadores de bugs, pesquisadores acadêmicos, hobbyistas e profissionais de pequenas empresas — todos os quais representam uma proporção significativa de divulgações de vulnerabilidades globalmente. ### Preocupações com os Motivos do Governo As fontes disseram que as reformas pareciam projetadas principalmente para abordar a própria exposição legal do governo, em vez das necessidades da indústria que pretendem ajudar. Eles citaram reuniões em que o próprio governo reconheceu que a Lei de Uso Indevido de Computadores estava restringindo as atividades tanto das forças de segurança quanto do **National Cyber Security Centre (NCSC)**. Um porta-voz do NCSC disse: “Como seria de esperar, as atividades do NCSC cumprem a lei e são regidas por um robusto quadro de supervisão, cumprindo nossa missão de tornar o Reino Unido o lugar mais seguro para viver e trabalhar online.” A agência se recusou a dizer quantos de seus próprios funcionários possuem status Chartered. **Jen Ellis**, consultora de políticas cibernéticas e conselheira independente do governo britânico, elogiou os oficiais por se envolverem com a comunidade de segurança, mas alertou que havia “um desalinhamento entre expectativas e realidade”. Ela disse que os pesquisadores esperavam que as reformas propostas à Lei de Uso Indevido de Computadores fornecessem “uma defesa legal estatutária ou porto seguro legal” para pesquisa de segurança de boa-fé, mas argumentou que a proposta atual era “muito mais restrita” e focada apenas na varredura de vulnerabilidades conhecidas. Ellis também criticou qualquer isenção ligada a cargos profissionais ou certificações, dizendo que a pesquisa de segurança é frequentemente conduzida de forma independente e fora de grandes organizações. Tais requisitos, argumentou ela, “impediriam” a pesquisa e o desenvolvimento de habilidades, favoreceriam grandes empresas e, em última análise, “criminalizariam o indivíduo, não o ato”. ### Impacto nas Práticas da Indústria Práticas padrão em toda a indústria global de cibersegurança, incluindo o acesso à infraestrutura de atacantes para entender campanhas em andamento, permanecem criminalizadas no Reino Unido. Entende-se que o governo está preocupado que uma defesa legal estatutária ampla cobrindo essas atividades forneceria cobertura legal para atores maliciosos. A indústria diz que a posição atual coloca as empresas britânicas em desvantagem competitiva em relação a rivais na Alemanha, França, Holanda, Bélgica e Estados Unidos — todos os quais operam sob estruturas legais menos restritivas e nenhum dos quais relatou dificuldades em processar cibercriminosos como resultado. Órgãos da indústria dizem que algumas empresas britânicas já roteiam trabalhos de pesquisa sensíveis através de jurisdições com estruturas legais mais claras. O Ministério do Interior disse que estava conversando com contrapartes internacionais para entender suas abordagens sobre o assunto. As deficiências da Lei de Uso Indevido de Computadores são amplamente conhecidas entre especialistas em aplicação da lei britânica. Um pesquisador cuja empresa trabalha com a polícia disse à Recorded Future News que levantou preocupações com um oficial sênior após acessar a rede de um criminoso durante uma investigação. A resposta do oficial, disseram eles, foi para não se preocupar — o Crown Prosecution Service levaria o interesse público em consideração mesmo sem uma defesa legal estatutária. Pesquisadores e grupos da indústria disseram que esse tipo de garantia informal não é base para construir um negócio, obter seguro profissional ou instruir colegas. ### Preocupações com IA e Preparação para o Futuro Pesquisadores também destacaram como as propostas não levaram em conta ferramentas de IA agentivas, que são cada vez mais usadas em toda a indústria para realizar descobertas de vulnerabilidades e testes de segurança de forma autônoma. Se a atividade realizada por um sistema de IA em vez de um pesquisador humano se enquadraria em uma defesa que exige que indivíduos credenciados realizem testes pessoalmente não foi abordado, levantando a perspectiva de um quadro legal que já está desatualizado antes mesmo de chegar ao livro de leis. Um porta-voz do Ministério do Interior disse: “Este governo reconhece o papel importante que os profissionais de cibersegurança desempenham na melhoria e proteção da segurança do Reino Unido. É vital que os apoiemos. Nossa Lei de Segurança Nacional equilibrará o apoio à pesquisa legítima com a proteção da segurança nacional. Valorizamos a contribuição da indústria de cibersegurança e continuaremos a trabalhar com eles enquanto refinamos nossa proposta.”