กระทรวงยุติธรรมสหรัฐฯ ประกาศนโยบายการดำเนินคดีตามกฏหมายคอมพิวเตอร์สหรัฐฯ (Computer Fraud and Abuse Act - CFAA) ระบุว่าหากนักวิจัยทดสอบระบบในรูปแบบที่พยายามหลีกเลี่ยงการสร้างความเสียหาย และทำไปเพื่อเสริมสร้างความปลอดภัยโดยรวมแล้วจะไม่ดำเนินคดี

แนวนโยบายชุดนี้ยังระบุถึงประเภทคดีที่จะไม่ดำเนินคดีตาม CFAA เช่น ลูกจ้างใช้คอมพิวเตอร์เข้าเว็บไซต์ที่ไม่เกี่ยวกับงาน, ผู้ใช้เว็บไซต์ไม่ทำตามข้อตกลงการใช้งาน (เช่น เว็บระบุให้ใช้ชื่อจริง),

อย่างไรก็ดีหากอัยการมีข้อสงสัยว่าแฮกเกอร์ใช้การวิจัยความปลอดภัยเป็นการบังหน้า ก็จะมีส่วนงานอาชญากรรมคอมพิวเตอร์มาพิจารณาคดีเป็นรายๆ ไปอีกชั้นหนึ่ง

ที่มา - Justive.gov