Primeiramente muito obrigado pelo seu comentário.
É justamente essa Lei 12.737 que eu tinha conhecimento. Hoje em dia eu faço curso e estudo com conteúdo estrangeiro, eles não citam alguma lei específica mas eles sempre rezam a mesma missa "Não faça pentest em uma aplicação que você não tem autorização, é crime, anti ético..." e por aí vai.
Mas nesse mesmo artigo da UFL que você citou tem as seguintes citações:
A questão da finalidade de “obter dados” é também polêmica. Para um grupo de juristas, a “espiada” não seria crime, só se falando em obtenção nos casos de cópia dos dados do dispositivo, ou quando o agente entra na “posse dos dados”. Para outra corrente, o simples acesso a dados (um select na tabela da vítima, por exemplo) já agride o bem jurídico protegido pelo Direito Penal, e demonstra a “intenção em obter dados” eis que já permite ao cracker, em certos casos, se beneficiar das informações, de modo que tal “contato” com os dados estaria inserido no contexto do “obter dados”, previsto no tipo penal.
O que eu acho que realmente é um problema aqui é essa questão do "obter". Imagina só, você vai lá e acha a falha no site de uma empresa, reporta e o cara fica bravo e te ameaça de processo. E pior, fica a mercê da interpretação alheia.
Eu realmente acho que avisar e combinar um serviço de pentest seja a melhor escolha, além de você lucrar com isso você também tem meios melhores de se defender como contratos e definir o escopo do pentest. Para praticar tem vários laborátorios iguais esses que citei, plataforma de bug bounty, então realmente acho que fazer um pentest ou até um serviço de OSINT sem consentimento é arriscado.