Imagina que o hospital da tua cidade é atacado por ransomware. Os sistemas são encriptados, os registos dos pacientes ficam inacessíveis, e as cirurgias são canceladas. Os criminosos exigem um pagamento para devolver o acesso. A liderança do hospital enfrenta uma escolha agonizante: pagar o resgate para restabelecer os serviços rapidamente ou arriscar semanas de caos e colocar vidas em perigo? O governo do Reino Unido está a planear tornar essa escolha ilegal.
Numa das mudanças mais significativas na sua política de cibersegurança, o governo britânico propôs a proibição do pagamento de resgates por parte de entidades do setor público e de infraestruturas críticas, bem como a implementação de um regime de controlo rigoroso para todas as outras empresas. A intenção, no papel, é nobre: cortar o fluxo de dinheiro que alimenta a indústria do cibercrime. No entanto, especialistas em direito e cibersegurança alertam que esta medida, bem-intencionada, pode ter consequências desastrosas e acabar por punir as vítimas em vez dos criminosos.
O plano do governo: cortar o financiamento aos cibercriminosos
A proposta, que se seguiu a uma consulta pública em janeiro de 2025, assenta em três pilares fundamentais:
- Proibição total: Organismos do setor público (como municípios, escolas e hospitais) e operadores de infraestruturas críticas (energia, transportes, etc.) seriam legalmente proibidos de pagar qualquer resgate.
- Autorização prévia: Todas as outras empresas e indivíduos no Reino Unido que pretendam pagar um resgate teriam de notificar previamente as autoridades, que teriam o poder de proibir o pagamento.
- Relatório obrigatório: Qualquer organização que sofra um ataque de ransomware seria obrigada a reportar o incidente às autoridades, independentemente de ter pago ou não.
A lógica do governo é simples: se as vítimas deixarem de pagar, o modelo de negócio dos criminosos deixa de ser lucrativo, e eles procurarão alvos noutros países.
O risco de a cura ser pior que a doença
Apesar da lógica apelativa, os especialistas apontam para uma série de consequências não intencionais que podem tornar esta política num verdadeiro tiro no pé.
Mudar o alvo, não o crime
Primeiro, a proibição não vai dissuadir todos os atacantes. Alguns grupos, muitas vezes ligados a estados-nação, têm como principal objetivo causar disrupção e caos, não o ganho financeiro. Estes continuarão a atacar. Pior ainda, a proibição no setor público irá, muito provavelmente, levar os criminosos a concentrar os seus esforços no setor privado, especialmente nas empresas que são fornecedoras críticas do setor público, causando um efeito dominó igualmente prejudicial.
Punir a vítima, não o agressor
O cenário mais preocupante é o dilema que esta lei cria para as empresas vítimas. Imagina uma empresa com a sua produção totalmente paralisada, a enfrentar perdas financeiras massivas, danos reputacionais e a fúria dos seus clientes. A esta crise junta-se agora o medo de enfrentar um processo legal por parte do seu próprio governo se tentar pagar um resgate para sobreviver, ou se o pedido de autorização for demorado ou negado.
O incentivo para esconder o lixo debaixo do tapete
Esta pressão legal pode ter o efeito mais perverso de todos: levar os incidentes para a clandestinidade. Com medo das repercussões legais e da burocracia, muitas empresas podem optar por não reportar o ataque. Poderão tentar negociar e pagar o resgate através de subsidiárias em outros países ou por vias obscuras, tornando o trabalho das autoridades, que tentam seguir o rasto do dinheiro e identificar os grupos criminosos, ainda mais difícil.
Um pesadelo burocrático em plena crise
A proposta de um novo sistema de relatório obrigatório para ransomware vem somar-se a uma teia já complexa de obrigações legais. Muitos destes ataques envolvem o roubo de dados pessoais, o que já obriga as empresas a fazer notificações sob o regime do RGPD. Uma empresa global, em plena gestão de uma crise de cibersegurança, teria agora de lidar com múltiplos regimes de notificação, com prazos e requisitos diferentes, aumentando a confusão e a probabilidade de falhas.
A medida, que deverá tornar-se lei no próximo ano, assenta no pressuposto de que as organizações, especialmente as de infraestruturas críticas, têm planos de recuperação e backups suficientemente robustos para sobreviverem sem a opção de pagar. Mas os especialistas alertam que esta pode ser uma suposição demasiado otimista. Proibir o pagamento sem primeiro garantir que as vítimas têm o apoio e os recursos para recuperar de outra forma é colocar a carroça à frente dos bois. A questão que fica no ar é se esta nova lei irá, de facto, construir resiliência ou apenas amplificar o risco para as vítimas que já se encontram numa posição de extrema vulnerabilidade.
Outros artigos interessantes:
