La legge dice che è necessaria l'autorizzazione per utilizzare un sistema informatico. Qualcuno che esegue test di sicurezza su un sistema che non è il loro ha bisogno di ottenere prima l'autorizzazione del proprietario del sistema o rischia di violare la CMA. Questo è un fatto indipendentemente dal fatto che il sistema da testare sia un server fisico o un server virtuale noleggiato dal cloud.
Un proprietario del sistema potrebbe scegliere di creare un'immagine del proprio sistema live e fornire tale copia a un tester, piuttosto che rischiare di danneggiare il server live durante il test. Questa immagine può quindi essere disinfettata per rimuovere dati reali dei clienti, password per accedere ad altri sistemi, ecc.
Il tester può quindi eseguire l'immagine su una macchina virtuale o caricarla su un server fisico. In pratica, a causa del costo e della convenienza, il tester utilizza quasi sempre una macchina virtuale per l'attività.
In nessuno dei due casi il tester ha dato il permesso di accedere al sistema reale. Tuttavia, lui o lei ha il permesso di testare la copia del sistema, perché è stato fornito loro dal proprietario.
La risposta più precisa alla tua domanda originale è "non può", perché non sono correlati. Come scritto, la domanda confonde la differenza tra "fisico / virtuale" e "originale / copia". Sono tecnicamente due concetti molto diversi.
Se si desidera evitare l'esecuzione di un controllo del CMA, è necessario il permesso per testare il sistema. Questa è tutta la legge dice.