fbpx

Pagamento de resgate em ciberataques

18 de janeiro de 2022  |  Por Solano de Camargo  |   Valor Econômico
Pagamento de resgate em ciberataques

Em dezembro, noticiou-se a inacessibilidade e a perda de todos os dados de vacinação dos cidadãos brasileiros constantes da base de dados Conecte SUS, em virtude de um ataque hacker. Infelizmente, tal situação, a despeito de sua gravidade, não pode ser considerada como um fato isolado no Brasil. No último bimestre de 2020, três outros grandes ataques hackers colocaram parte do Judiciário e do Executivo em alerta máximo.

Em 5 de novembro, em meio aos preparativos para as eleições municipais e ante a iminência da repetição das internações e mortes trazidas pela pandemia da covid-19, a imprensa noticiou ataques hacker que atingiram os bancos de dados do Superior Tribunal de Justiça (STJ), do Conselho Nacional de Justiça (CNJ), do Ministério da Saúde e do governo do Distrito Federal, que tiraram do ar muitos de seus serviços.

Em 11 de novembro, o Tribunal de Justiça do Rio Grande do Sul (TJ-RS) declarou publicamente a indisponibilidade de seus sistemas, por conta de outro ataque hacker.

Finalmente, em 15 de novembro, no dia em que se realizou o primeiro turno das eleições municipais em quase todo o Brasil, o presidente do Tribunal Superior Eleitoral (TSE), o ministro Luís Roberto Barroso, anunciou que o tribunal havia sofrido um grande ataque hacker, com o vazamento criminoso de dados administrativos de funcionários e ex-ministros.

Além das medidas preventivas que deveriam ser implementadas com eficiência pelo governo a fim de evitar essas situações, a frequência com que tais ataques hacker vêm acontecendo, especialmente na modalidade ransomware (quando se requer um resgate para a cessação da agressão), suscita também uma importante reflexão sobre as possíveis soluções que as autoridades públicas poderiam adotar uma vez concretizadas essas ameaças.

Seria possível, nessas hipóteses, que o Estado viesse a negociar com os autores dos ataques e, eventualmente, a pagar o resgate requerido? Seria possível compatibilizar eventual pagamento com as exigências orçamentárias?

No nosso entendimento, os ciberataques na modalidade ransomware representam ameaças concretas ao Estado, à administração pública, aos serviços essenciais que ela se propõe a oferecer de forma contínua e, consequentemente, a todos os cidadãos.

Tornando-se possível equiparar tais situações às de “imprevisibilidade” e “urgência” que autorizam, nos termos do artigo 167, parágrafo 3º, da Constituição Federal, a abertura de créditos adicionais extraordinários que justificariam eventual pagamento de resgate para fins de cessar os ataques.

Ora, poder-se-ia argumentar que o parágrafo 3º do artigo 167 da Constituição restringe as hipóteses de abertura do crédito adicional em questão às situações de guerra, calamidade ou comoção interna.

Tendo em vista que os ciberataques não têm sido considerados pela comunidade internacional como atos de guerra e nem tampouco se enquadrariam nas outras duas hipóteses, impossível seria a abertura do crédito adicional extraordinário no orçamento para fins de pagamento de resgate em casos de ataque de ransomware.

Ocorre que o Supremo Tribunal Federal (STF) já entendeu que as hipóteses de “guerra”, “comoção interna” e “calamidade pública” são apenas exemplos fornecidos pela Constituição na intenção de densificar normativamente a interpretação do que haveria de se considerar como requisitos de “imprevisibilidade” e “urgência” imprescindíveis à configuração das hipóteses autorizadoras da abertura do crédito adicional extraordinário.

E mesmo verificando a existência de um arcabouço jurídico e legal que autorize eventual decisão administrativa de pagamento de resgate, ainda assim será necessário que a decisão do pagamento seja extremamente fundamentada, com a demonstração de cálculos de eficiência, potenciais riscos e danos, irreversibilidade de prejuízos, adequação, necessidade e proporcionalidade, de modo que se demonstre a ausência de qualquer outra solução alternativa que se provasse, ao final, menos custosa.

E essa ponderação de custo e eficiência também não descartaria a necessidade de demonstrar que a decisão, ao final, mostrou-se adequada também à moralidade, pois este é igualmente um dos princípios que regem a administração pública e a preocupação com o seu cumprimento ou melhor, com a sua preservação num grau tal que não nulifique a conservação dos demais valores e princípios concorrentes na atuação estatal – deve nortear também as decisões administrativas.

Por fim, é importante notar que a discricionariedade do Estado no exercício do poder de polícia na hipótese em questão deve estar muito bem fundamentada, levando em consideração todas as análises exemplificativas acima indicadas, para que não se alegue que o seu exercício extrapolou o interesse público e se configurou como excesso.

Aliás, parece-nos que o arcabouço constitucional e legal autoriza essa hipótese inclusive em âmbito orçamentário, uma vez que referidos ataques facilmente cumpririam os requisitos de “imprevisibilidade” e “urgência” imprescindíveis à autorização de abertura de créditos adicionais extraordinários que permitiriam o pagamento dos referidos resgates.

Levando-se em consideração todas as hipóteses, parece-nos que o Estado poderia, sim, com base no arcabouço jurídico em vigor, negociar resgates com cibercriminosos, desde que cumpridos todos os requisitos mencionados e desde que comprovada a absoluta necessidade, adequação e proporcionalidade de sua decisão ao caso concreto.