La Scommessa Audace del Portogallo: Quando lo Stato Invita gli Hacker a Difendere la Nazione

In un mondo in cui le minacce digitali si nascondono dietro ogni accesso, il Portogallo ha lanciato la sfida: sta dicendo agli hacker - sì, quelli buoni - di farsi avanti e aiutare a difendere lo Stato. L’ultima riforma legale del paese segna un cambiamento radicale, offrendo protezione legale agli hacker etici che segnalano responsabilmente vulnerabilità nei sistemi della pubblica amministrazione. Potrebbe essere questo il modello per le future politiche di cybersicurezza a livello globale?

Criminale o Eroe? Il Portogallo Riscrive il Confine

Per anni, gli hacker etici - conosciuti anche come white hat - hanno camminato su un filo legale. In molti paesi, sondare i sistemi IT pubblici alla ricerca di debolezze, anche con le migliori intenzioni, poteva portare in tribunale. In Italia, ad esempio, qualsiasi scansione o penetration test non autorizzato è ancora un reato penale, indipendentemente dalle intenzioni.

La nuova legge portoghese cambia le regole del gioco. Modificando l’Articolo 8.º-A, il governo ora riconosce l’interesse pubblico nel rafforzare le infrastrutture digitali. La legge crea una zona franca per chi accede ai sistemi esclusivamente per individuare vulnerabilità e segnalarle, a patto che vengano seguite regole rigide: nessun profitto oltre le ricompense standard, nessuna interferenza con i servizi e assolutamente nessun attacco, modifica dei dati o malware.

I ricercatori devono agire con precisione chirurgica - solo quanto necessario per la diagnosi, niente di più. Dopo aver notificato i proprietari dei sistemi e il CNCS, hanno dieci giorni per cancellare qualsiasi informazione sensibile ottenuta. Anche agendo con il consenso del proprietario del sistema, tutte le scoperte devono comunque essere segnalate al CNCS, garantendo trasparenza e supervisione.

Questa è più di una riforma locale. La Germania sta valutando misure simili e il Dipartimento di Giustizia degli Stati Uniti ha ammorbidito la sua posizione nei confronti dei ricercatori in buona fede ai sensi del Computer Fraud and Abuse Act (CFAA). Il messaggio è chiaro: criminalizzare l’hacking etico favorisce solo i cybercriminali che operano nell’ombra.

Cosa c’è in gioco?

La posta in gioco è altissima. Con servizi pubblici, infrastrutture critiche e dati sensibili costantemente a rischio di attacco, i governi non possono più permettersi di alienare proprio la comunità più qualificata per individuare le loro debolezze. Tracciando confini chiari e offrendo garanzie legali, il Portogallo non sta solo proteggendo gli hacker - sta proteggendo sé stesso.