O governo do Reino Unido apresentou proposta de lei que impede órgãos públicos e setores de infraestrutura crítica de pagarem resgates em ataques de ransomware. O objetivo é atingir a principal fonte de receita dos grupos criminosos, considerados pela administração britânica a maior ameaça cibernética e um risco à segurança nacional.
Alvos da restrição
Se aprovada, a medida abarcará conselhos locais, escolas e o Serviço Nacional de Saúde (NHS), entre outras entidades financiadas pelo Estado. Esses segmentos respondem por parte significativa dos incidentes de ransomware no país, que custam milhões de libras anualmente à economia britânica, segundo estimativas oficiais.
Ao bloquear pagamentos, o governo pretende reduzir a atratividade desses alvos. A lógica é que, sem retorno financeiro garantido, os grupos de ransomware concentrem esforços em outras frentes ou abandonem tentativas contra estruturas essenciais, diminuindo a exposição de serviços públicos.
Regras para o setor privado
Empresas privadas não estarão proibidas de efetuar pagamentos, mas o texto obriga que qualquer transação seja comunicada previamente às autoridades. A notificação servirá para orientar as companhias, avaliar riscos legais — como eventuais violações de sanções impostas a grupos afiliados a Estados hostis — e coletar informações que possam auxiliar investigações em andamento.
Com a exigência de aviso prévio, o governo também terá um panorama mais preciso da incidência de ataques, algo que hoje depende de relatos voluntários e nem sempre é divulgado pelas vítimas. O Ministério da Segurança argumenta que a transparência resultará em respostas mais rápidas e coordenadas entre polícia, agências de inteligência e setor privado.
Sistema obrigatório de notificação de incidentes
A proposta prevê a criação de um mecanismo nacional de reporte, no qual toda organização afetada deverá registrar o incidente em tempo real. As informações coletadas permitirão mapear tendências, rastrear criminosos e oferecer suporte técnico às vítimas. A expectativa é que os dados alimentem investigações conjuntas e subsidiem novas políticas de cibersegurança.
O texto surgiu após consulta pública iniciada em janeiro e ganha força após ataques relevantes, como os que atingiram o NHS e a Biblioteca Britânica. Nos últimos anos, esses episódios comprometeram serviços de saúde, interromperam operações de pesquisa e levaram ao vazamento de dados sensíveis de cidadãos e funcionários.
Contexto internacional e estatísticas recentes
O endurecimento das regras ocorre em um cenário global de aumento de ataques cibernéticos. Levantamento da Check Point aponta que, no segundo trimestre de 2025, a Europa registrou crescimento de 22% nos incidentes, chegando a uma média de 1.984 ataques semanais por organização — volume 58% superior ao de dois anos antes. A região concentrou 25% dos casos de ransomware reportados no período.
Na América Latina, a CrowdStrike observou alta de 15% em um ano. O Brasil foi o principal alvo, com média de 2.831 ataques semanais por organização, crescimento de 3% em relação a 2024. Os setores mais atingidos foram governo (4.552), saúde (3.978) e telecomunicações (3.968).
Autoridades britânicas destacam que a tendência internacional reforça a necessidade de medidas mais duras. Ao eliminar o pagamento de resgates no âmbito público, o Reino Unido pretende liderar esforços para reduzir o lucro dos grupos criminosos e incentivar outras nações a adotar iniciativas semelhantes.
Próximos passos
O projeto segue para discussão no Parlamento, onde poderá receber emendas referentes a prazos de adaptação, sanções a quem descumprir a proibição e definição dos órgãos responsáveis pelo sistema de notificação. Caso seja aprovado, conselhos locais, escolas e o NHS deverão revisar planos de contingência, ampliar backups offline e fortalecer políticas de resposta a incidentes.
Para empresas privadas, a principal mudança será a obrigatoriedade de contato com autoridades antes de qualquer negociação financeira com invasores. Representantes do governo afirmam que a política não objetiva punir vítimas, mas sim oferecer suporte e impedir pagamentos que possam financiar organizações sob sanções internacionais.
Com a nova legislação, o Reino Unido busca reduzir custos econômicos, proteger serviços essenciais e enviar sinal de que pagar resgate não é alternativa viável. A iniciativa se soma a investimentos em infraestrutura de cibersegurança e programas de capacitação, compondo a estratégia nacional para mitigar riscos digitais e fortalecer a resiliência de instituições públicas e privadas.
