Austrália obriga empresas a informar ao governo pagamentos de resgates em ataques de ransomware

A Austrália se tornou, nesta sexta-feira, o primeiro país do mundo a exigir que vítimas de ataques de ransomware relatem ao governo quaisquer pagamentos realizados a grupos hackers. A nova legislação visa aumentar a transparência sobre o impacto desses crimes e fornecer às autoridades melhores dados para combater esse tipo de ameaça cibernética.

A medida, proposta em 2023 e agora em vigor, se aplica a empresas com faturamento anual superior a 3 milhões de dólares australianos (cerca de R$ 10 milhões), além de organizações envolvidas em setores críticos de infraestrutura. Estima-se que essa exigência atinja aproximadamente 6,5% das empresas registradas no país — responsáveis por metade da economia australiana. Os relatos de pagamento devem ser enviados ao Diretório de Sinais Australiano (ASD) em até 72 horas após a transação. O não cumprimento da norma pode resultar em multa de até 60 unidades penais civis.

Segundo o governo australiano, a medida busca preencher a lacuna causada pelo baixo índice de notificações voluntárias: apenas uma em cada cinco vítimas de ransomware relatava o incidente às autoridades. O objetivo é melhorar a visibilidade dos impactos sociais e econômicos desse tipo de crime. Inicialmente, a fiscalização se concentrará em casos mais graves de descumprimento, com uma abordagem mais rigorosa prevista para o início de 2026.

A iniciativa surge após uma série de ataques cibernéticos de grande repercussão no país, como os que afetaram as empresas Optus, Medibank e MediSecure. A proposta inspirou o Reino Unido, que também estuda obrigar a comunicação de pagamentos e até mesmo proibir que órgãos públicos e operadores de infraestrutura crítica realizem esse tipo de transação, conferindo ao governo o poder de barrar pagamentos destinados a entidades sancionadas ou suspeitas.

Especialistas, no entanto, divergem sobre a eficácia da exigência. Jeff Wichman, diretor de resposta a incidentes da empresa de cibersegurança Semperis, afirma que a medida por si só não impede os ataques. “Isso apenas constrange publicamente as empresas que precisarem declarar o pagamento”, disse. Para ele, a maioria das vítimas ainda paga os resgates, muitas vezes sem garantia de recuperação dos dados. Um estudo recente da Semperis revelou que mais de 70% das vítimas de ransomware nos EUA, Reino Unido, França e Alemanha optaram por pagar.

Apesar de uma queda global de cerca de 35% nos pagamentos de resgate em 2024 — atribuída a operações policiais que desestabilizaram grupos como LockBit e AlphV/BlackCat — muitos ataques continuam ocorrendo. Wichman ressalta que, em cerca de 40% dos casos, as chaves de descriptografia fornecidas pelos hackers após o pagamento estavam corrompidas. Ele conclui que a verdadeira solução depende de medidas preventivas eficazes: “As organizações precisam partir do princípio de que serão invadidas, investir em resiliência e dificultar ao máximo a atuação dos invasores.”

Via - RFN