Selon un article publié le 7 décembre 2025 par Bill Toulas, le Portugal a actualisé sa loi sur la cybercriminalité pour créer une exemption pénale (« safe harbor ») en faveur de la recherche en sécurité menée de bonne foi.

Le nouveau Article 8.º-A – « Actes non punissables en raison de l’intérêt public en cybersécurité » définit un cadre légal protégeant les actions auparavant qualifiées d’accès illégal ou d’interception illégale de données, lorsqu’elles sont réalisées dans le but d’identifier des vulnérabilités et de contribuer à l’amélioration de la cybersécurité. Les actes avec consentement du propriétaire du système sont aussi exemptés, avec obligation de signalement.

Conditions clés pour bénéficier de l’exemption ⚖️:

  • Objectif exclusif: identifier des vulnérabilités non créées par le chercheur et améliorer la cybersécurité via divulgation.
  • Aucun bénéfice économique recherché ni reçu, au-delà d’une rémunération professionnelle normale.
  • Signalement immédiat de la vulnérabilité au propriétaire du système, au responsable de traitement concerné et au CNCS (Centre national de cybersécurité).
  • Actions strictement limitées au nécessaire, sans perturber les services, altérer/supprimer des données ni causer de dommages.
  • Aucune violation du RGPD (pas de traitement illicite de données personnelles).
  • Techniques interdites: DoS/DDoS, ingénierie sociale, phishing, vol de mots de passe, altération intentionnelle de données, dégradation de systèmes, déploiement de malwares.
  • Données obtenues: confidentialité et suppression sous 10 jours après correction de la vulnérabilité.
  • Même avec consentement, les vulnérabilités découvertes doivent être rapportées au CNCS.

Contexte international 🛡️:

  • L’Allemagne a présenté en novembre 2024 un projet de loi offrant des protections similaires aux chercheurs divulguant de manière responsable.
  • Aux États‑Unis, le DOJ a ajusté en mai 2022 sa politique de poursuites liées au CFAA, introduisant une exemption pour la recherche « de bonne foi ».

TTPs mentionnées (interdites par le cadre portugais): DoS/DDoS, ingénierie sociale, phishing, vol de mots de passe, altération intentionnelle de données, sabotage/dégradation de systèmes, déploiement de malwares. Aucun IOC n’est cité.

Conclusion: il s’agit d’un article de cyberlégislation visant à clarifier les limites de la recherche en sécurité et à offrir une protection juridique aux chercheurs de bonne foi.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/portugal-updates-cybercrime-law-to-exempt-security-researchers/