Actualmente é perfeitamente legal pagar Ransomware apesar de existir um quase consenso entre os especialistas em cibersegurança de que isso devia ser proibido por lei. Idênticas dúvidas existem (embora não na mesma escala) sobre se devem existir apólices de seguros que podem financiar o pagamento dos resgates e se essas apólices não estarão a funcionar como um incentivo para que esses pagamentos existam e que os grupos de criminosos que vivem destas actividades continuem a existir e tenham à sua disposição meios cada vez maiores e mais sofisticados.

Estima-se que cerca de 15% dos pagamentos de ransomware já são ilegais porque são realizados para entidades assentes em países que estão sob sanções internacionais como a Rússia e a Coreia do Norte. Sublinhe-se que uma em cada quatro empresas que são vítimas de ransomware acabam por pagar aos cibercriminosos (embora nem sempre recebam os seus ficheiros de volta).

Qualquer iniciativa legislativa a nível nacional ou europeu (sendo este o veículo ideal) que tornasse ilegal o pagamento de ransomware iria reduzir drasticamente a quantidade de empresas que seriam um alvo compensador para os criminosos, reduzir estes pagamentos e reforçar as iniciativas e o investimento na ciberdefesa organizacional. Num curto prazo, enquanto as organizações se reorganizam e os criminosos se desviam para outros alvos a implementação de tal legislação poderia ser dolorosa mas isso poderia ser atenuado se o legislador contemplasse um período de transição de seis ou mais meses em que os pagamentos continuariam a ser legais mas os criminoso iam tendo conhecimento da lei e as empresas reforçavam as suas defesas.

Propõe-se:
1. Que a União Europeia crie uma Directiva que proíba a todos os Estados Membros o pagamento, por parte de particulares e empresas, de pagamentos de Ransomware, determinando multas caso este pagamento ocorra por forma a tornar financeiramente mais apelativo o investimento em cibersegurança e a dissuadir os grupos de cibercriminosos de funcionarem no espaço europeu.
2. Que a União Europeia determine que nenhum dos seus Estados Membros deve ter uma empresa seguradora que no seu portfólio de oferta tenha seguros contra ransomware que incluam o pagamento destes resgates e que funcionem assim como forma indirecta de financiamento desta indústria.
3. Que o Governo da República – independentemente destas iniciativas europeias – avance já com estas iniciativas legislativas.

Enviada ao Parlamento Europeu