Lei Impõe Transparência em Pagamentos de Ransomware

Na última sexta-feira, 30 de maio de 2025, uma novidade no campo da segurança digital australiano deu o que falar: grandes empresas com faturamento anual superior a AUS $3 milhões (aproximadamente US $1,92 milhão) agora são obrigadas a informar ao Australian Signals Directorate (ASD) qualquer pagamento de resgate realizado a grupos de ransomware. Essa alteração, que faz parte do Cyber Security Bill 2024, surge em meio a um cenário onde ataques cibernéticos continuam a ameaçar desde operações financeiras até dados sensíveis de clientes. A nova regra estipula que o reporte deve ser feito em até 72 horas após o pagamento, numa tentativa de dar mais transparência a um setor historicamente marcado por “pagamentos silenciosos”.

Embora o pagamento de resgates não seja considerado ilegal – algo que, à primeira vista, pode parecer um trunfo para as empresas desesperadas para recuperar dados críticos – o órgão de segurança ASD desaconselha essa prática. O objetivo, segundo representantes do governo australiano, é ampliar o entendimento sobre a dinâmica dos ataques e identificar quais tipos de ransomware, e em que escala, estão afetando os grandes players do mercado. Com isso, as autoridades esperam, inclusive, direcionar futuras medidas legislativas que possam conter a escalada das ameaças cibernéticas.

Detalhes da Nova Legislação e o Impacto para as Empresas

O novo regulamento determina que empresas qualificadas forneçam uma série de informações ao reportar um incidente, tais como o número de identificação empresarial (Australian Business Number), data e hora do ataque, se houve roubo ou criptografia dos dados, vulnerabilidades exploradas, estimativa de custos para o negócio e, por fim, qual o valor do resgate pago – detalhado inclusive na moeda utilizada na transação. Com menos de 7% dos negócios registrados estando sujeitos a essa obrigação, o foco recai sobre as empresas que, logicamente, armazenam o maior volume de informações sensíveis dos consumidores.

Uma curiosidade que não passou despercebida foi o tratamento mais brando nos primeiros seis meses de implementação da norma – durante este período, o governo australiano se compromete a perseguir apenas casos considerados de "não conformidade flagrante". A partir de 2026, entretanto, a fiscalização se tornará mais rigorosa, e o descumprimento poderá acarretar multas que atualmente somam 60 unidades punitivas (equivalentes a cerca de AUS $19.800, com possibilidade de aumento no futuro). A medida, anotam especialistas, pode trazer uma mudança de postura nos grandes conglomerados, que até então resistiam a expor publicamente os dados de ataques cibernéticos.

O Cenário Global e Comparações Internacionais

A estratégia australiana não está sozinha nesse caminho. Nos Estados Unidos, durante o governo Biden, já houve iniciativas para que a Cybersecurity and Infrastructure Security Agency (CISA) desenvolva regras similares para a notificação de pagamentos de ransomwares. No Reino Unido, debates giram em torno da proibição de pagamentos de resgate por órgãos do setor público, além de discussões sobre a obrigatoriedade de reportar incidentes para uma avaliação mais detalhada das ameaças. Segundo relatos do The Register e do Recorded Future News, a nova legislação australiana é considerada pioneira, mas também um indicativo de que a comunidade internacional está repensando a forma como lida com o crescente desafio imposto pelo ransomware.

O debate se intensifica à medida que dados de pesquisas, como a veiculada pela ABC News em 2021, revelam que uma significativa parcela das organizações australianas – muitas vezes pressionadas pelo pânico e pela necessidade de retomar suas operações – optou por pagar os resgates. Em muitos casos, esses valores chegavam a milhões de dólares, e a prática, embora funcional para uma resolução rápida, incentivava os criminosos a perpetuarem o ciclo de ataques. Segundo Michael Sentonas, diretor de tecnologia da Crowdstrike, a decisão de pagar a quantia do resgate, mesmo sabendo que a ação financiava a criminalidade, era encarada como uma escolha puramente comercial diante da urgência em restaurar serviços essenciais.

O panorama nacional, marcado pelos ataques a grandes empresas como Toll Holdings, Nine Entertainment e JBS Foods, mostra que a abordagem adotada na Austrália pode servir de alerta para organizações brasileiras. No Brasil, onde a digitalização de serviços e a adoção de tecnologias conectadas crescem exponencialmente, a história pode se repetir. Empresas que lidam com vastas quantidades de dados pessoais e financeiros, especialmente em um país com desafios de infraestrutura e segurança cibernética, podem se ver igualmente obrigadas a seguir uma rota de maior transparência – ainda que isso signifique expor, de forma inevitável, os pontos fracos presentes em seus sistemas.

Repercussões e Reflexos no Setor de Tecnologia

O governo australiano justificou a medida afirmando que os mecanismos voluntários de reportar incidentes de ransomware eram subutilizados. Apenas um em cinco ataques, de acordo com dados do Australian Institute of Criminology, era comunicado pelas vítimas, o que impede uma análise abrangente dos impactos econômicos e sociais das fraudes virtuais. Dessa forma, a obrigatoriedade visa oferecer uma base de dados robusta para que novos aprimoramentos na legislação sejam discutidos e implementados futuramente.

Pelo lado da indústria, a resposta não tardou. Representantes do setor de segurança tecnológica observaram que, embora a nova regra exija mais transparência, ela, por si só, não é capaz de eliminar as práticas de pagamento a cibercriminosos. Conforme apontado pelo diretor de incident response da Semperis, Jeff Wichman, reportar esses incidentes pode, na melhor das hipóteses, servir para “envergonhar publicamente” as empresas afetadas. Porém, a lógica dos ataques de ransomware – em que 9 em cada 10 vítimas optam pelo pagamento para minimizar a paralisação dos serviços – permanece intacta, uma vez que o risco de interrupção das operações muitas vezes pesa mais do que as possíveis consequências reputacionais.

Essa situação cria um dilema clássico: por um lado, o acesso a informações precisas sobre o volume e a natureza dos pagamentos pode possibilitar que o governo e os órgãos de segurança desenvolvam medidas mais eficazes contra os criminosos; por outro, a obrigatoriedade de reportar os incidentes pode expor vulnerabilidades e gerar um estigma para as empresas, que se veem obrigadas a admitir publicamente que foram vítimas de ataques cibernéticos. Uma abordagem que, no fundo, pode ser comparada à realidade brasileira, onde a cultura de "cuspir no prato que se come" – ou seja, de admitir publicamente uma falha – nem sempre é bem recebida, mas que pode, em última análise, fomentar o desenvolvimento de defesas mais robustas.

Impactos Econômicos e a Escalada dos Ataques

Além do aspecto regulatório, a nova lei também alerta para o impacto econômico dos ataques de ransomware. Pesquisas apontam que os ataques cibernéticos não só geram prejuízos imediatos, mas podem também comprometer a confiança dos investidores e afetar de forma duradoura a reputação das organizações. Estudos recentes mencionaram perdas que chegam a bilhões de dólares globalmente, e no caso da Austrália, uma estimativa assustadora sugere que um único ataque de grande porte poderia resultar em prejuízos da ordem de US $30 bilhões, além de causar a perda de dezenas de milhares de empregos.

A plataforma de denúncias e a obrigatoriedade de reportar os incidentes foram, portanto, vistas como uma tentativa de “quebrar o ciclo” dos pagamentos silenciosos. Ao obrigar as empresas a revelar os valores e a frequência dos pagamentos, o governo australiano pretende não só inibir a praxe, mas também construir um banco de dados que poderá ser utilizado para a formulação de políticas públicas mais precisas e reativas ao ambiente cada vez mais hostil da cibersegurança.

Para o público em geral, e especialmente para os profissionais e entusiastas de tecnologia e segurança da informação, essa mudança significa que os dados sobre os ataques serão mais transparentes e acessíveis. Essa visibilidade pode levar a uma maior pressão sobre os criminosos, que terão mais dificuldades para se manter anônimos em um ambiente onde suas operações serão minuciosamente mapeadas. Em última análise, a medida australiana pode servir de modelo para outros países que já vem discutindo a implementação de regimes semelhantes, como visto nos Estados Unidos e no Reino Unido.

Reflexões Finais e Perspectivas para o Futuro

Se por um lado a nova legislação não promete resolver todos os problemas relacionados aos ataques de ransomware, por outro, ela representa um passo importante na direção de uma maior responsabilidade corporativa e governamental. A obrigatoriedade de reportar esses incidentes é, certamente, uma tentativa de transformar dados frios e muitas vezes escondidos em informações que podem ajudar a combater a cibercriminalidade de forma mais efetiva.

Em um mundo cada vez mais digital e interconectado, onde as ameaças evoluem a uma velocidade surpreendente, a transparência e a colaboração entre o setor público e privado são essenciais. Enquanto empresas australianas e, potencialmente, organizações em outros países, como o Brasil, se veem na necessidade de expor suas vulnerabilidades, fica o alerta: a prevenção e a construção de defesas robustas devem caminhar lado a lado com a adoção de medidas regulatórias. Afinal, como dizem no meio de TI, "quem não se atualiza acaba sendo vítima" – e, neste caso, a atualização passa também por admitir, sem rodeios, os erros e as estratégias que precisam ser revistas para garantir um ambiente digital mais seguro.