Parlamentul a adoptat un proiecte de lege o modificare legislativă care introduce pentru prima dată în Codul Penal o excepție pentru activitățile de cercetare și raportare a vulnerabilităților informatice. După adoptarea de către Camera Deputaților, legea urmează să fie transmisă președintelui României pentru promulgare. Înainte de acest pas, poate fi contestată la Curtea Constituțională sau retrimisă Parlamentului pentru reexaminare. După promulgare și publicarea în Monitorul Oficial, va intra în vigoare.
Termenul de hacker etic
Inițiatorii proiectului, deputații Cristina Prună (USR) și Eduard Mititelu (PNL), susțin că măsura oferă protecție legală specialiștilor în securitate cibernetică și tinerilor care descoperă vulnerabilități informatice cu bună-credință, fără a urmări obținerea unor avantaje ilegale.
„România are adolescenți talentați, de 16 sau 17 ani, care pot identifica vulnerabilități pe care sisteme întregi ale statului nu le văd. Sunt tineri care participă la competiții internaționale, care dezvoltă soluții inovatoare și care pot ajuta România. Și ei vor fi sprijiniți, nu tratați ca infractori”, a afirmat deputata Cristina Prună după adoptarea proiectului.
Legea modifică OUG nr. 155/2024 privind securitatea cibernetică și introduce în Codul Penal un nou articol, 365¹, care stabilește că faptele prevăzute la articolele 360-365 nu constituie infracțiune atunci când sunt îndeplinite condițiile privind cercetarea și raportarea vulnerabilităților informatice.
Ca o comparație cu alte state, Belgia a adoptat în 2023 o legislație care permite divulgarea coordonată a vulnerabilităților și oferă protecție juridică persoanelor care acționează cu bună-credință. Cercetătorii trebuie să raporteze rapid vulnerabilitățile descoperite și să nu exploateze informațiile obținute.
Expunerea de motive menționează și Franța, unde Agenția Națională pentru Securitatea Sistemelor Informatice (ANSSI) a dezvoltat mecanisme prin care vulnerabilitățile pot fi raportate și analizate într-un cadru legal care încurajează cooperarea dintre autorități și specialiștii în securitate cibernetică.
De ce a fost nevoie de modificare
Potrivit expunerii de motive, legislația românească crea până acum o „incertitudine juridică” pentru persoanele care identifică și raportează vulnerabilități informatice cu bună-credință.
Inițiatorii arată că, deși la nivel european există deja instrumente pentru gestionarea vulnerabilităților cibernetice, inclusiv prin implementarea Directivei NIS 2 și prin baza europeană de date privind vulnerabilitățile informatice, legislația românească nu reglementa explicit situația cercetătorilor în securitate cibernetică.
În expunerea de motive se precizează că „persistă o incertitudine juridică în ceea ce privește activitățile de cercetare și raportare a vulnerabilităților realizate cu bună-credință, în raport cu dispozițiile Codului penal referitoare la accesul neautorizat la sisteme informatice”.
Documentul mai arată că state precum Belgia, Portugalia sau Franța au introdus deja mecanisme de tip „safe harbour”, care reduc sau elimină răspunderea penală pentru activitățile de hacking desfășurate în scop de cercetare, atunci când sunt respectate condiții stricte.
Cum încearcă proiectul să facă diferența dintre un hacker etic și un infractor
Una dintre principalele întrebări ridicate de proiect este dacă orice persoană prinsă într-un sistem informatic ar putea pretinde ulterior că este „hacker etic”.
Expunerea de motive oferă însă o serie de criterii concrete care încearcă să delimiteze activitatea de cercetare de un atac informatic.
Potrivit documentului, persoana care raportează o vulnerabilitate trebuie să respecte cel puțin următoarele condiții:
- activitatea trebuie desfășurată cu bună-credință și exclusiv pentru îmbunătățirea securității cibernetice;
- cercetarea nu trebuie să implice accesarea sau copierea neautorizată a conținutului fișierelor din sistemele analizate;
- nu pot fi șterse sau modificate date din sistemele vizate;
- nu pot fi încălcate sau ocolite bariere tehnice de securitate prin parole furate, atacuri brute-force, phishing sau alte tehnici de inginerie socială;
- nu trebuie provocate întreruperi sau deteriorări ale serviciilor informatice;
- nu pot fi utilizate programe malware și nu pot fi desfășurate atacuri informatice;
- vulnerabilitatea identificată nu poate fi făcută publică fără acordul DNSC;
- raportarea trebuie realizată în maximum 48 de ore de la identificarea vulnerabilității.
Ce activități rămân infracțiuni
Chiar dacă noul articol introduce o excepție, legea nu elimină infracțiunile informatice din Codul Penal.
Articolele 360-365 continuă să sancționeze accesul ilegal la sisteme informatice, interceptarea ilegală a comunicațiilor, alterarea datelor informatice, perturbarea funcționării sistemelor și utilizarea unor instrumente informatice destinate atacurilor cibernetice.
Diferența este că activitățile de cercetare și raportare a vulnerabilităților nu vor fi considerate infracțiuni dacă sunt îndeplinite condițiile prevăzute de lege.
Astfel, potrivit logicii proiectului, o persoană care intră într-un sistem pentru a fura date, a bloca servicii, a instala malware sau a obține beneficii financiare rămâne în sfera infracțiunilor informatice.
În schimb, o persoană care identifică o vulnerabilitate, nu modifică date, nu produce prejudicii și o raportează conform procedurilor legale poate beneficia de excepția introdusă prin noul articol 365¹.
Rol mai mare pentru DNSC
Proiectul introduce și o modificare instituțională.
Directoratul Național de Securitate Cibernetică va trebui să consulte un comitet format din autoritățile prevăzute de Legea nr. 58/2023 privind securitatea și apărarea cibernetică a României. Scopul declarat este îmbunătățirea schimbului de informații și coordonarea răspunsului la incidentele cibernetice.
Potrivit expunerii de motive, noul mecanism urmărește „consolidarea cooperării interinstituționale în domeniul securității cibernetice”, „creșterea capacității de analiză și reacție la vulnerabilități complexe” și „încurajarea raportării responsabile a vulnerabilităților”.
Prin aceste modificări, România introduce pentru prima dată în legislația penală o delimitare explicită între activitățile de cercetare în securitate informatică și atacurile cibernetice, încercând să ofere un cadru legal pentru specialiștii care identifică vulnerabilități fără a produce prejudicii și fără a urmări obținerea unor beneficii ilegale.
Textul integral al proiectului care va deveni lege
LEGE
pentru modificarea și completarea Ordonanței de Urgență nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil, aprobată cu modificări și completări prin Legea nr. 124/2025, precum și pentru completarea Legii nr. 286/2009 privind Codul Penal
Art. I. La articolul 36 din Ordonanța de urgență nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil, publicată în Monitorul Oficial, Partea I, nr. 1332 din 31 decembrie 2024, aprobată cu modificări și completări prin Legea nr. 124/2025, după alineatul (1) se introduce un nou alineat, alin. (1¹), cu următorul cuprins:
(1¹) În îndeplinirea prevederilor alin. (1), DNSC se consultă cu un comitet format din autoritățile de la art. 11-12 și art. 14-17 din Legea nr. 58/2023 privind securitatea și apărarea cibernetică a României, precum și pentru modificarea și completarea unor acte normative, care funcționează în baza unui statut elaborat de către DNSC și avizat de autoritățile membre.
Art. II. După art. 365 din Legea nr. 286/2009 privind Codul Penal, publicată în Monitorul Oficial, Partea I, nr. 510 din 24 iulie 2009, se introduce un nou articol 365¹, cu următorul cuprins:
Art. 365¹ Faptele prevăzute în art. 360-365 nu constituie infracțiune atunci când sunt săvârșite de o persoană fizică sau juridică, dacă sunt îndeplinite cumulativ condițiile privind cercetarea și raportarea vulnerabilităților unor produse sau servicii ale tehnologiei informațiilor și comunicațiilor prevăzute la art. 36 alin. (5) și (6) din Ordonanța de urgență a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil, publicată în Monitorul Oficial, Partea I, nr. 1332 din 31 decembrie 2024, aprobată cu modificări și completări prin Legea nr. 124/2025.
