Ransomware é um tipo de software malicioso utilizado por cibercriminosos para bloquear o acesso a sistemas ou para criptografar dados, “sequestrando-os” e utilizando-os como meio para cobrar resgate dos proprietários dos dados.
Ataques desse tipo têm aumentado exponencialmente nos últimos anos – vitimando pessoas físicas, órgãos públicos e principalmente grandes empresas – e devem ser entendidos como um problema certo e iminente. Não é realmente mais uma questão de “se irá acontecer”, mas sim de “quando irá acontecer”, e, por isso, os potenciais vítimas devem estar preparadas para agir não apenas de forma reativa, mas, sobretudo, preventiva para reduzir vulnerabilidades cibernéticas e mitigar as consequências danosas, inclusive jurídicas, de um ataque dessa natureza
Apesar da obviedade quanto à imprescindibilidade de uma empresa ter mecanismos acautelatórios efetivamente implementados e procedimentos de pronta resposta devidamente mapeados, é exatamente quando da efetiva ocorrência do ataque ransomware que se instaura um complexo processo gerencial e decisório que coloca à toda prova as melhores práticas de governança e gestão de crise.
Os principais pontos de dúvidas que invariavelmente ouvimos no âmbito das empresas quando são vítimas de sequestro e extorsão digitais são: o que há tecnologicamente à disposição para restabelecer o acesso aos dados com a maior celeridade possível? Deve-se pagar ou não pagar o “resgate”? Como e onde adquirir criptomoedas? Existem garantias de que haverá desbloqueio ou descriptografia com o pagamento do “resgate”? Quais são as repercussões legais da decisão de pagar? Há riscos criminais? O pagamento é tributariamente dedutível?
Quanto ao aspecto tecnológico, o investimento em softwares de segurança e detecção de ransonwares e a manutenção redundante e diária de todos os backups, por exemplo, são boas práticas que elevam consideravelmente o nível de proteção dos dados e reduzem significativamente o tempo de restauração do acesso a informações, essencial à continuidade das atividades da empresa sem a submissão ao pagamento do resgate. Além disso, via de regra, os custos com segurança tecnológica são sensivelmente inferiores à média dos valores cobrados nos resgates, que no ano de 2022 foi de US$ 541,000.00 por evento, segundo relatório elaborado por uma empresa norte-americana de resposta a incidentes ransonware.
Caso as ferramentas tecnológicas, contudo, não sejam suficientes à evitação do sequestro e da extorsão digitais, inevitavelmente lançam-se olhares sobre a possibilidade de pagamento do resgate como via resolutiva rápida.
No entanto, nada realmente assegura que o pagamento garantirá o efetivo restabelecimento de acesso aos dados, quando isso acontecerá e tampouco que os dados estarão íntegros e não serão
comercializados ou divulgados indevidamente após o recebimento do “resgate”, causando outros prejuízos, afinal, não há como exigir compromisso dos autores da extorsão.
Mas não só isso. O pagamento eventualmente poderá acarretar desafios jurídicos, especialmente de índole penal-tributária. Isso porque o Brasil é signatário de convenções internacionais que preveem a obrigação de vedar-se a realização e a dedutibilidade de determinados gastos correlacionados a ilícitos.
A despeito de relevante controvérsia sobre o assunto, os gastos que não são próprios do desenvolvimento regular das atividades de uma pessoa jurídica, sobretudo sem beneficiário identificado, são considerados preponderantemente como mera liberalidade, não preenchendo os requisitos legais para lançamento e dedução fiscal. Também não se pode descartar possíveis perspectivas acusatórias de o pagamento, a depender das circunstâncias e da forma como realizado, até caracterizar ilícito tributário, ou ato anormal típico de gestão temerária, ou eventualmente sugerir, aos olhos do Fisco e de órgão repressivos penais, a existência de um conluio simulatório entre representantes da empresa e os “sequestradores” dos dados
No Congresso Nacional brasileiro, inclusive, já se discutem projetos de lei tendentes a desestimular o pagamento de resgate – tanto em casos de sequestro de pessoas, quanto de dados – mediante o bloqueio temporário dos ativos do sequestrado e de pessoas físicas ou jurídicas correlacionadas.
Internacionalmente também se busca um desencorajamento ao pagamento de resgates, conforme se verifica, por exemplo, no Advisory emitido em 21/09/2021 pelo Escritório de Controle de Ativos Estrangeiros (OFAC), do Departamento do Tesouro dos EUA, que alerta sobre os riscos de punições civis e até criminais associadas ao pagamento, principalmente se em favor de agentes de ransomware integrantes das listas de sanções da própria OFAC
Por fim, há que se ter cautela para que o pagamento do resgate não seja equivocadamente compreendido como consequência de uma postura negligente da empresa tanto com a segurança cibernética quanto com a legalidade de suas condutas gerenciais e operacionais, sob pena de uma repercussão negativa em seu principal ativo, sua reputação, além de levantar questionamentos sobre a omissão de seus gestores, sobretudo em empresas de capital aberto.
O efetivo combate ao ransomware requer, portanto, colaboração multissetorial, incluindo a participação de órgãos governamentais, a prevenção por meios tecnológicos e de gestão de riscos, uma sólida governança corporativa e a prontidão de planos de gerenciamento de crise taylor made, elaborados e implementados por especialistas.