França quer autorizar seguradoras a reembolsar resgates pagos em ciberataques

O Governo francês qualifica de “Inédito” a solução contida num projeto legislativo que entregou recentemente na Assembleia Nacional. A proposta para melhorar o combate ao cibercrime e acomodar questões substanciais relativas aos seguros surge na proposta de lei-quadro de programação do ministério da Administração Interna para os próximos cinco anos. Um documento com cerca de 400 páginas assinado pelo primeiro-ministro Jean Castex e pelo colega da Administração Interna Gérald Darmanin.

O projeto de diploma governamental aborda a necessidade de definir um quadro legal e regulamentar para resiliência cibernética do país, ao mesmo tempo que toma posição sobre a indemnização de seguro sobre resgates pagos pelas empresas vítimas de ransomware. Entre três opções alternativas para resolver este problema, a solução retida pelo Executivo francês prevê que, “em caso de ciberataque com pedido de resgate, o direito a indemnização de seguro [à vítima segurada] fica sujeito à apresentação de queixa formalizada no prazo máximo de 48 horas, após pagamento do resgate,” lê-se no documento levado ao presidente da Assembleia Nacional francesa.

Para desenvolver oferta comercial capaz no segmento do risco cibernético, há muito que a associação francesa de seguros reclamava clarificação por parte das autoridades sobre a questão, pedindo definição clara das condições em que o seguro cibernético poderia assegurar o reembolso do resgate pago pelas empresas (seguradas) após incidentes de malware com pedido de resgate para que a vítima possa recuperar acesso aos dados sequestrados, sequência que identifica eventos do tipo ransomware.

A solução proposta pelo Governo de França parece ir ao encontro da posição assumida recentemente pela associação francesa de seguradoras, como se entende de nota divulgada pela France Assureurs (FA), nos últimos dias de janeiro, na qual a FA reclama clarificação por parte das autoridades (poder legislativo e reguladores setoriais) de França e da Europa.

O princípio de não pactuar com piratas informáticos é regra geral em muitas jurisdições (para não incentivar o empreendimento ciber-criminoso). A contrario, são vários os casos mediáticos de ataques do tipo ransomware em que as soluções adotadas pelos alvos (às vezes corroboradas pelas autoridades) passaram pelo pagamento do resgate.

Minimizando o risco de que a medida possa ser interpretada como forma de branqueamento de ilícitos ligados ao cibercrime e conseguindo que o pagamento de resgate deixe de constituir (sob as condições da nova lei) infração penal suscetível de pena de prisão superior a 1 ano, a adaptação legal e regulatória suficiente da solução proposta em França – reforçada pelo argumento de que o pagamento do resgate é solução económica menos onerosa para as vítimas comparativamente com os custos de “não pagar” -, resultará na institucionalização de pagamento de resgate com reembolso assegurado nos casos em esta cobertura estiver incluída na apólice.

A clarificação reclamada pelas seguradoras partiu de necessidades encontradas no desenvolvimento da atividade: desenhar e oferecer soluções mais adequadas (às necessidades do mercado) e alinhadas com enquadramento legal e aspetos jurídicos na contratualização do seguro. De resto, segundo assume a FA, o pagamento de resgate e respetivo reembolso pelas seguradoras (enquanto cobertura facultativa) é encarado pelo setor como procedimento de último recurso, aplicável depois de esgotadas as alternativas possíveis de recuperação dos dados sequestrados.

Na letra da lei, o Governo assegura que, com base no papel que caberá às autoridades, com coordenação judicial e setorial, com os mecanismos de articulação previstos na nova lei, a missão de combater o cibercrime terá melhores resultados. Segundo afirma o texto de proposta de lei, encurtando prazos de notificação, as autoridades policiais poderão ir mais depressa no encalço dos delinquentes.

Mas, quanto à eficácia, a iniciativa legislativa não elimina outras dúvidas. Se, por um lado, a ideia de ter resgates pagos pode animar ainda mais os cyber delinquentes, por outro (após pagar resgate e contar com reembolso da seguradora), a vítima nunca terá garantia de obter desencriptação efetiva e acesso aos seus dados, nem garante de, num segundo momento, o cibercrime voltar a explorar outras vulnerabilidades e repetir ataque ao mesmo alvo, observam especialistas de diversas fontes.

Contando com o calendário político em França (eleições presidenciais marcadas para abril), a tramitação do projeto de lei só deverá fazer caminho na próxima legislatura.