logo-lec
  • PARA VOCÊ
    • CURSOS
    • CERTIFICAÇÕES
    • EVENTOS
    • LIVROS
    • Compliance Mastermind
  • Para Empresas
  • MATERIAIS EDUCATIVOS
    • E-books
    • Leccast
    • Revista LEC
    • Comitês
  • BLOG
    • Artigos
    • Colunistas
  • CONTATO
Menu
  • PARA VOCÊ
    • CURSOS
    • CERTIFICAÇÕES
    • EVENTOS
    • LIVROS
    • Compliance Mastermind
  • Para Empresas
  • MATERIAIS EDUCATIVOS
    • E-books
    • Leccast
    • Revista LEC
    • Comitês
  • BLOG
    • Artigos
    • Colunistas
  • CONTATO
  • SOU ALUNO

BLOG

Ransomware e seus tormentos

  • junho 27, 2023
  • Redação LEC

Ransomware é um tipo de software malicioso utilizado por cibercriminosos para bloquear o acesso a sistemas ou para criptografar dados, “sequestrando-os” e utilizando-os como meio para cobrar resgate dos proprietários dos dados.

Ataques desse tipo têm aumentado exponencialmente nos últimos anos – vitimando pessoas físicas, órgãos públicos e principalmente grandes empresas – e devem ser entendidos como um problema certo e iminente. Não é realmente mais uma questão de “se irá acontecer”, mas sim de “quando irá acontecer”, e, por isso, os potenciais vítimas devem estar preparadas para agir não apenas de forma reativa, mas, sobretudo, preventiva para reduzir vulnerabilidades cibernéticas e mitigar as consequências danosas, inclusive jurídicas, de um ataque dessa natureza

Apesar da obviedade quanto à imprescindibilidade de uma empresa ter mecanismos acautelatórios efetivamente implementados e procedimentos de pronta resposta devidamente mapeados, é exatamente quando da efetiva ocorrência do ataque ransomware que se instaura um complexo processo gerencial e decisório que coloca à toda prova as melhores práticas de governança e gestão de crise.

Os principais pontos de dúvidas que invariavelmente ouvimos no âmbito das empresas quando são vítimas de sequestro e extorsão digitais são: o que há tecnologicamente à disposição para restabelecer o acesso aos dados com a maior celeridade possível? Deve-se pagar ou não pagar o “resgate”? Como e onde adquirir criptomoedas? Existem garantias de que haverá desbloqueio ou descriptografia com o pagamento do “resgate”? Quais são as repercussões legais da decisão de pagar? Há riscos criminais? O pagamento é tributariamente dedutível?

Quanto ao aspecto tecnológico, o investimento em softwares de segurança e detecção de ransonwares e a manutenção redundante e diária de todos os backups, por exemplo, são boas práticas que elevam consideravelmente o nível de proteção dos dados e reduzem significativamente o tempo de restauração do acesso a informações, essencial à continuidade das atividades da empresa sem a submissão ao pagamento do resgate. Além disso, via de regra, os custos com segurança tecnológica são sensivelmente inferiores à média dos valores cobrados nos resgates, que no ano de 2022 foi de US$ 541,000.00 por evento, segundo relatório elaborado por uma empresa norte-americana de resposta a incidentes ransonware.

Caso as ferramentas tecnológicas, contudo, não sejam suficientes à evitação do sequestro e da extorsão digitais, inevitavelmente lançam-se olhares sobre a possibilidade de pagamento do resgate como via resolutiva rápida.

No entanto, nada realmente assegura que o pagamento garantirá o efetivo restabelecimento de acesso aos dados, quando isso acontecerá e tampouco que os dados estarão íntegros e não serão

comercializados ou divulgados indevidamente após o recebimento do “resgate”, causando outros prejuízos, afinal, não há como exigir compromisso dos autores da extorsão.

Mas não só isso. O pagamento eventualmente poderá acarretar desafios jurídicos, especialmente de índole penal-tributária. Isso porque o Brasil é signatário de convenções internacionais que preveem a obrigação de vedar-se a realização e a dedutibilidade de determinados gastos correlacionados a ilícitos.

A despeito de relevante controvérsia sobre o assunto, os gastos que não são próprios do desenvolvimento regular das atividades de uma pessoa jurídica, sobretudo sem beneficiário identificado, são considerados preponderantemente como mera liberalidade, não preenchendo os requisitos legais para lançamento e dedução fiscal. Também não se pode descartar possíveis perspectivas acusatórias de o pagamento, a depender das circunstâncias e da forma como realizado, até caracterizar ilícito tributário, ou ato anormal típico de gestão temerária, ou eventualmente sugerir, aos olhos do Fisco e de órgão repressivos penais, a existência de um conluio simulatório entre representantes da empresa e os “sequestradores” dos dados

No Congresso Nacional brasileiro, inclusive, já se discutem projetos de lei tendentes a desestimular o pagamento de resgate – tanto em casos de sequestro de pessoas, quanto de dados – mediante o bloqueio temporário dos ativos do sequestrado e de pessoas físicas ou jurídicas correlacionadas.

Internacionalmente também se busca um desencorajamento ao pagamento de resgates, conforme se verifica, por exemplo, no Advisory emitido em 21/09/2021 pelo Escritório de Controle de Ativos Estrangeiros (OFAC), do Departamento do Tesouro dos EUA, que alerta sobre os riscos de punições civis e até criminais associadas ao pagamento, principalmente se em favor de agentes de ransomware integrantes das listas de sanções da própria OFAC

Por fim, há que se ter cautela para que o pagamento do resgate não seja equivocadamente compreendido como consequência de uma postura negligente da empresa tanto com a segurança cibernética quanto com a legalidade de suas condutas gerenciais e operacionais, sob pena de uma repercussão negativa em seu principal ativo, sua reputação, além de levantar questionamentos sobre a omissão de seus gestores, sobretudo em empresas de capital aberto.

O efetivo combate ao ransomware requer, portanto, colaboração multissetorial, incluindo a participação de órgãos governamentais, a prevenção por meios tecnológicos e de gestão de riscos, uma sólida governança corporativa e a prontidão de planos de gerenciamento de crise taylor made, elaborados e implementados por especialistas.

Por David Rechulski e César Luiz de Oliveira Janoti, respectivamente sócio-fundador e sócio-sênior do David Rechulski, Advogados
Imagem: Pexels
Foto de Redação LEC

Redação LEC

AnteriorAnteriorLimitações da Governança Corporativa
PróximoAtaque Man-in-the-Middle, você conhece este tipo de fraude?Próximo
Facebook Linkedin Instagram Youtube
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
CONTEÚDOS GRATUITOS
PODCAST
COMPLIANCE
LEGAL
ETHICS
LEC COMMUNITY

ESTÁ COM DÚVIDA?

Fale com um especialista

ARTIGOS MAIS LIDOS

  • Comportamiento Antiético: Aprende cómo identificar y qué hacer - 11.570 views
  • Código de Conducta Ética: Conoce 6 consejos para elaborar un Código de Ética - 6.188 views
  • Decreto nº 11.129/2022 – Regulamentando a “Lei Anticorrupção” - 6.075 views
  • Compliance Trabalhista — O que é e Como se Preparar? - 3.925 views
  • Quanto ganham os profissionais de compliance no Brasil? - 3.654 views

ARTIGOS RECENTES

#159 | Compliance como conduta humana | Com Carolina Gazoni

A Importância dos Controles Internos de Compliance para a Integridade das Empresas

Felicidade, Bem-Estar e Integridade: influência direta no Comportamento Ético nas Organizações

Lançamento do Programa Empresa Pró-Ética 2025/2026: Novidades e Orientações para Participação

#158 | Carreira depois dos 40 | Com Stefan Ligocki

TAGS
10 Pilares (4) Acordo de Leniência (3) assédio (4) auditoria (5) banco central (3) bitcoin (3) blockchain (3) canal de denúncias (8) carreira (4) codigo de conduta (7) compliance (137) compliance ambiental (4) compliance anticorrupção (5) Compliance Digital (4) Compliance Financeiro (8) compliance officer (3) congresso de compliance (3) Congresso Internacional de Compliance (8) controles internos (3) corrupcao (7) CVM (3) Código de Ética (7) due diligence (11) Estatais (2) etica (7) Executive Coaching (8) fcpa (3) gestão de riscos (12) governança corporativa (2) Guia de Serviços e Ferramentas de Compliance (3) integridade (3) investigações (3) lavagem de dinheiro (5) lei anticorrupção (11) lgpd (3) liderança (2) operação lava jato (4) petrobras (7) programa de compliance (14) Revista LEC (12) riscos (6) Tecnologia (3) transparência (3) Treinamento (3) órgãos públicos (2)

A LEC

  • Sobre
  • Política de Privacidade
  • Política de Cookies
  • Código de Conduta
  • Política Anticorrupção

Cursos, eventos e certificações

  • Online
  • In Company
  • Eventos
  • Certificações

Contato

  • +55 11 3259-2837
  • +55 11 98924-8322
  • contato@lec.com.br

Fique por dentro das novidades da LEC, assine a Compliance News abaixo:

  • © LEC - Todos os direitos reservados.
  • | LEC Educação e Pesquisa LTDA
  • - CNPJ: 16.457.791/0001-13

* Site by Mamutt Design