El Departamento de Justicia de EE.UU., anunció hoy la revisión de su política con respecto a los cargos por violaciones de la Ley de Abuso y Fraude Informático (CFAA).
Antilavadodedinero / Justice.gov
La política por primera vez indica que no se debe cobrar la investigación de seguridad de buena fe. Investigación de seguridad de buena fe significa acceder a una computadora únicamente con fines de prueba, investigación y/o corrección de buena fe de una falla o vulnerabilidad de seguridad, cuando dicha actividad se lleva a cabo de una manera diseñada para evitar cualquier daño a las personas o al público. y cuando la información derivada de la actividad se utilice principalmente para promover la seguridad de la clase de dispositivos, máquinas o servicios en línea a la que pertenece la computadora a la que se accede, o aquellos que usan dichos dispositivos, máquinas o servicios en línea.
“La investigación sobre seguridad informática es un factor clave para mejorar la seguridad cibernética”, dijo la Fiscal General Adjunta Lisa O. Monaco. “El departamento nunca ha estado interesado en enjuiciar la investigación de seguridad informática de buena fe como un delito, y el anuncio de hoy promueve la seguridad cibernética al brindar claridad a los investigadores de seguridad de buena fe que eliminan las vulnerabilidades por el bien común”.
La nueva política establece explícitamente la práctica de larga data de que “los objetivos del departamento para la aplicación de la CFAA son promover la privacidad y la seguridad cibernética al defender el derecho legal de las personas, propietarios de redes, operadores y otras personas para garantizar la confidencialidad, integridad y disponibilidad de la información almacenada. en sus sistemas de información.” En consecuencia, la política aclara que las violaciones hipotéticas de la CFAA que han preocupado a algunos tribunales y comentaristas no deben ser acusadas.
Embellecer un perfil de citas en línea contrario a los términos de servicio del sitio web de citas; crear cuentas ficticias en sitios web de contratación, vivienda o alquiler; usar un seudónimo en un sitio de redes sociales que los prohíba; comprobar los resultados deportivos en el trabajo; pagar facturas en el trabajo; o violar una restricción de acceso contenida en un término de servicio no son suficientes para justificar cargos penales federales.
La política enfoca los recursos del departamento en casos en los que un acusado no está autorizado para acceder a una computadora o estaba autorizado a acceder a una parte de una computadora, como una cuenta de correo electrónico, y, a pesar de conocer esa restricción, accedió a una parte de la computadora. la computadora a la que no se extendió su acceso autorizado, como los correos electrónicos de otros usuarios.
Sin embargo, la nueva política reconoce que afirmar que se está realizando una investigación de seguridad no es un pase libre para aquellos que actúan de mala fe. Por ejemplo, descubrir vulnerabilidades en los dispositivos para extorsionar a sus propietarios, incluso si se afirma que es una «investigación», no es de buena fe.
La política aconseja a los fiscales que consulten con la Sección de Delitos Informáticos y Propiedad Intelectual (CCIPS) de la División Criminal sobre las aplicaciones específicas de este factor.
Todos los fiscales federales que deseen acusar casos bajo la Ley de Abuso y Fraude Informático deben seguir la nueva política y consultar con CCIPS antes de presentar cargos. Los fiscales deben informar al Fiscal General Adjunto (DAG), y en algunos casos recibir la aprobación del DAG, antes de acusar un caso CFAA si CCIPS recomienda no hacerlo.
La nueva política reemplaza una política anterior que se emitió en 2014 y entra en vigencia de inmediato.
