Od wielu lat w środowisku osób zajmujących się bezpieczeństwem IT funkcjonuje mit o rzekomym ryzyku ponoszenia odpowiedzialności karnej przez osoby szukające luk w systemach informatycznych. Mit ten jest obecnie na tyle silny, że Ministerstwo Cyfryzacji zaczęło rozważać możliwość zmiany treści kodeksu karnego. Niepotrzebnie – jak przekonują w swojej opinii prawnej eksperci z Fundacji Frank Bold i Krakowskiego Instytutu Prawa Karnego polskie prawo karne nie zawiera przepisów kryminalizujących testowanie w dobrej wierze bezpieczeństwa systemów i sieci informatycznych.