Reino Unido propõe obrigatoriedade de notificação de ataques de ransomware e proíbe pagamento de resgates no setor público

O governo do Reino Unido apresentou, nesta terça-feira, um conjunto de mudanças na estratégia nacional de combate ao ransomware. O documento, divulgado pelo Ministério do Interior (Home Office), estabelece três medidas principais: obrigatoriedade de notificação de incidentes, proibição de pagamentos de resgate por órgãos do setor público e de infraestrutura crítica, além da exigência de comunicação prévia quando outras organizações pretendam pagar a quantia exigida por criminosos.

A proposta faz parte de um processo de consulta iniciado em janeiro e tem como objetivo fornecer às autoridades informações que tornem possível identificar, rastrear e desarticular grupos responsáveis por ataques cibernéticos. De acordo com o texto, “relatos obrigatórios equiparão as forças de segurança com inteligência essencial para localizar autores e interromper suas atividades, permitindo melhor apoio às vítimas”.

Com a notificação compulsória, qualquer empresa ou entidade vítima de ransomware deverá comunicar a violação aos órgãos competentes assim que o incidente for detectado. O governo argumenta que, em um cenário de ameaças em constante evolução, reunir dados detalhados sobre modus operandi, valores exigidos e vetores de ataque é fundamental para ações direcionadas de contenção ou represália. A medida também visa padronizar o fluxo de informações, evitando subnotificação e possibilitando estatísticas mais precisas sobre a dimensão do problema no país.

O segundo pilar do plano proíbe que órgãos do setor público — incluindo serviços de saúde, educação, defesa e infraestrutura essencial — efetuem qualquer pagamento a grupos de ransomware. Para o Executivo britânico, a transferência de valores alimenta um ciclo de lucro para os criminosos e reforça o modelo de negócios desse tipo de crime. A restrição busca cortar a fonte de renda dos operadores ilegais e reduzir a atratividade de novos ataques contra serviços críticos.

Já a terceira medida determina que empresas privadas de outros setores informem previamente ao governo caso pretendam quitar o resgate solicitado. O objetivo é permitir que as autoridades avaliem alternativas de recuperação, ofereçam suporte técnico e, sempre que possível, coordenem operações de contenção ou de recuperação de dados sem pagamento aos criminosos. O Ministério do Interior reconhece que algumas organizações podem considerar o pagamento como última saída para restabelecer sistemas essenciais, mas defende que a notificação antecipada amplia a possibilidade de ações legais ou técnicas que evitem a transferência de recursos.

Especialistas em segurança cibernética veem a proposta como um reconhecimento de que operadores de ransomware e seus facilitadores nem sempre estão restritos a uma única região e podem ser efetivamente identificados e processados. Analistas afirmam que a centralização de informações ajudará a estabelecer perfis mais completos de agentes de ameaça, contribuindo para investigações transnacionais e aumentos de custos operacionais para os criminosos.

Contudo, a proibição de pagamentos suscita debate. Enquanto parte da comunidade de segurança argumenta que a medida reduz o incentivo econômico para novos ataques, críticos alertam para situações em que serviços essenciais, como hospitais, não podem permanecer off-line sem colocar vidas em risco. Nesses casos, dizem, pagar o resgate pode ser a única forma viável de restaurar rapidamente sistemas e dados críticos. O governo britânico reconhece o dilema, mas sustenta que ações coordenadas, apoio técnico e planos de contingência são preferíveis a financiar grupos ilícitos.

Internacionalmente, a discussão sobre pagamentos de resgate ganha força. No início deste ano, a Austrália tornou obrigatória a divulgação de pagamentos realizados a hackers, mas não chegou a proibir a prática. Estados Unidos, União Europeia e outras jurisdições também avaliam medidas para elevar a transparência e diminuir a lucratividade de ataques cibernéticos.

O texto divulgado pelo Home Office representa mais um passo rumo a mudanças legislativas no Reino Unido. Após o período de consulta pública, o governo deverá consolidar as contribuições recebidas e submeter um projeto de lei ao Parlamento. Caso aprovado, o país passará a contar com um marco regulatório que combina notificação obrigatória, restrição de pagamentos e cooperação entre governo, iniciativa privada e forças de segurança — um esforço voltado a reduzir o impacto e a frequência de ataques de ransomware em todo o território britânico.