Računalničar, Sebastijan Bandur s.p.
SL EN
← Vse novice

1. junij 2026

Pisno pooblastilo za pentest po KZ-1 čl. 221 — zakaj je papir prej pomembnejši od orodij

Pentest brez pisnega pooblastila je kaznivo dejanje po KZ-1 čl. 221. Devet klavzul, ki jih NIST 800-115 in PTES tretirata kot izhodišče, najbolj kršena past pri slovenskem hostingu in CMS-ih, ter predloga PDF z vsemi GDPR čl. 28 klavzulami.

Tipkovnica v skoraj-temni sobi z odprtim terminalom — vizualni motiv pentesta

Pentest brez pisnega pooblastila ni „etično hekanje" — je kaznivo dejanje po 221. členu Kazenskega zakonika (KZ-1). Pri penetracijskem testu sta vrstni red in dokaz pomembnejša od orodij: najprej papir, šele nato Kali ali Burp. Razčlenjeno, kaj točno mora vsebovati avtorizacija in zakaj je v Sloveniji ena klavzula nujnejša kot drugje.

KZ-1 člen 221 — kaj točno je inkriminirano

Naslov: Napad na informacijski sistem. Štiri inkriminacije, naraščajoče po teži:

  • Odstavek 1 — nepooblaščen vdor ali prestrezanje nejavnega prenosa: do 2 leti zapora.
  • Odstavek 2 — nepooblaščena uporaba, sprememba, kopiranje, prenos, uničenje podatkov ali oviranje prenosa oz. delovanja sistema: do 3 leta zapora.
  • Odstavek 3 — uporaba pripomočkov iz čl. 306 ali motnja treh ali več sistemov: od 3 mesecev do 4 let.
  • Odstavek 4 — znatna škoda, hudodelska združba ali kritična infrastruktura: od 3 mesecev do 5 let.

Vsak Wi-Fi scan po tuji domeni in vsak nmap proti tujemu IP brez papirja je formalno zajet v odstavek 1. Ko skripta najde XSS in se requesti začnejo „testirati" — odstavek 2. Avtomatizacija proti več strankam hkrati — odstavek 3.

Spremljevalna člena, ki ju pooblastilo mora omeniti:

  • KZ-1 čl. 143 — Zloraba osebnih podatkov. Če v scope-u so osebni podatki (in pri spletnih aplikacijah praviloma so), je to dodaten naslov, ki ga GDPR sam ne zaobide. Do 2 leti za občutljive podatke, do 5 let za prevzem identitete.
  • KZ-1 čl. 220 — Poškodovanje tuje stvari. Aktualno, ko test lahko povzroči izpad ali izgubo podatkov (DoS, brisanje, korumpiran zapis v bazo).

Kanonično besedilo: pisrs.si — KZ-1. Posodobitve ne zamrznem v ta članek; v pooblastilu se sklicuje na konsolidirano različico na PISRS.

Komu pripada pravica avtorizacije — najpogosteje kršena past

Pravilo: podpiše tisti, ki ima dejansko pravno oblast nad sistemom, ne tisti, ki plačuje. Pri slovenskih organizacijah:

  • Privzeto: zakoniti zastopnik iz AJPES/PRS (direktor, prokurist, lastnik s.p.).
  • Delegacija: CISO ali vodja IT lahko podpiše samo s pisnim pooblastilom zakonitega zastopnika, ki se priloži k testni dokumentaciji.

Past, ki se v slovenski praksi najbolj krši — gostovanje in CMS:

Sistem Kdo lahko avtorizira
Lastna spletna aplikacija na lastnem strežniku Naročnik
Aplikacija na deljenem gostovanju (slovenski hosting) Naročnik za aplikacijski nivo; omrežni/infra nivo zahteva ločeno pisno dovoljenje gostitelja
Cloudflare / AWS / GCP / Azure Veljajo objavljene pentest politike ponudnika — preveriti in dokumentirati pred začetkom
WordPress.com, Wix, Squarespace, Shopify managed Naročnik ne more veljavno avtorizirati — testiranje krši ToS in trči ob čl. 221 proti ponudniku

Stranka, ki podpiše „pooblastilo" za pentest svoje Wix strani, ni avtorizirala ničesar pravnomočno. Test je v tem primeru kazniv proti Wix-u, ne glede na ime na pogodbi.

Devet klavzul, brez katerih ni pooblastila

Nobene slovenske ali EU norme ni, ki bi zahtevala točno določen seznam. NIST SP 800-115 §3 in PTES Pre-engagement obravnavata teh devet kot izhodišče, ki ga resna praksa ne presega navzdol:

  1. Identifikacija strank — polno ime, registrska številka, davčna, naslov, podpisniki.
  2. Obseg (scope) — eksplicitni seznam IP/CIDR/URL/aplikacij/uporabniških populacij.
  3. Izrecno izven obsega — produkcijske baze, tretje strani, social engineering, DoS, fizični testi.
  4. Časovno okno — datumi začetka in zaključka, dovoljene ure (npr. 22:00–06:00 za invazivne korake).
  5. Allowlist izvornih IP — IP-ji testerjev, ki jih naročnik nadzira v lastnem WAF/SIEM.
  6. Ravnanje s podatki in NDA — klavzule GDPR čl. 28(3) (a–h), prepoved eksfiltracije, šifriranje.
  7. Hramba dokazov in poročila — kdo dobi poročilo, koliko časa, kje, kako se uniči.
  8. Eskalacijska pot ob kritičnem najdku — kontakt 24/7, prag (npr. CVSS ≥ 9.0), čas obvestila.
  9. Podpis osebe z dejansko pravno oblastjo nad sistemom (in priloženo pooblastilo, če ne podpiše zakoniti zastopnik).

Manjkajoča katera koli od teh devetih klavzul = pooblastilo je v praksi neuporabno.

Pravna podlaga za obdelavo osebnih podatkov

Ko pentest poseže po osebnih podatkih (in pri spletnih aplikacijah, vsaj v logih, praviloma poseže), velja:

  • GDPR čl. 6(1)(f) in Recital 49 — varnost omrežja in informacijskih sistemov je izrecno priznan zakoniti interes upravljavca.
  • GDPR čl. 28 — pisna pogodba o obdelavi je obvezna. Osem klavzul iz čl. 28(3)(a–h) se mora pojaviti v pooblastilu (navodila, zaupnost, varnost, podizvajalci, pravice posameznikov, asistenca 32–36, vrnitev/izbris, revizija).
  • ZVOP-2 (Uradni list RS 163/22, v veljavi od 26. 1. 2023) — slovenski IP RS je nadzorni organ; obvestilo o kršitvi se sklicuje na čl. 33/34 GDPR; biometrija in posebne kategorije imajo zaostrene pogoje.

Predlogo SCC pogodbe upravljavec ↔ obdelovalec je objavil Informacijski pooblaščenec RS (ip-rs.si).

Tehnični okvir, ki se vpiše v scope

Pooblastilo navede metodološki okvir, da je razumljivo, kaj test pokriva. Aktualne reference (junij 2026):

  • OWASP ASVS 5.0.0 (maj 2025) — 17 poglavij, ~350 kontrol. L1 osnovno, L2 standard za občutljive podatke, L3 kritični sistemi (finance, zdravje). Scope se opiše kot „L2 + izbrana L3 poglavja".
  • OWASP Top 10:2025 — od A01 Broken Access Control do A10 Mishandling of Exceptional Conditions (nova kategorija). SSRF je sklopljen v A01.
  • PTES — sedem faz (Pre-engagement → Intelligence Gathering → Threat Modeling → Vulnerability Analysis → Exploitation → Post-Exploitation → Reporting). Standard je stagniran (~2014), a metodološko še vedno uporaben.
  • NIST SP 800-115 (september 2008, brez Rev 1) — štirifazni model Planning → Discovery → Attack → Reporting. Dodatek B vsebuje predlogo Rules of Engagement.
  • MITRE ATT&CK v19 (april 2026) — preslikava najdb na realne TTP grožnje.
  • CVSS v4.0 (november 2023) — primarno, v3.1 sekundarno (NVD še vedno tako ocenjuje). Pragovi: Critical 9.0–10.0, High 7.0–8.9.
  • CWE 4.20 (maj 2026) — klasifikacija vzroka.

Orodja, ki test podpirajo: Kali Linux 2026.1, Burp Suite Pro 2026.4, Metasploit 6.4.x, WebTesterAI (lasten).

Naša predloga

PDF pooblastilo, ki ga uporabljamo in pošljemo skupaj s ponudbo: pisno-pooblastilo.pdf ↗. Vsebuje vseh devet klavzul, klavzule GDPR čl. 28(3), eskalacijsko pot in slovenske podatke podpisnika (zakonita zastopnika / s.p. lastnik). EN različica: written-authorization.pdf ↗.

Predloga je delovno izhodišče, ne pravni nasvet. Za posel z znatno škodno odgovornostjo (banka, zdravstvo, kritična infrastruktura) priporočamo pravni pregled konkretne izvedbe.

Kdaj se splača

Kadar je odgovor da vsaj na enega od teh:

  • Auditor, regulator ali zavarovalnica zahteva dokazila o pentestu.
  • Pred izdajo izdelka v produkcijo s podatki strank.
  • Po incidentu — zunanji pogled na isto površino.
  • Pred razširitvijo dostopa (nova integracija, nova storitev, javni API).

Penetracijsko testiranje ↗ · Začetek projekta ↗

Kontakt

Stopite v stik

Izberite temo, opišite projekt. Odgovorimo isti dan.

Korak 1 od 2 · Kaj vas zanima?

Storitve

Produkti