Congressistas discutem punições mais severas para ataques de ransomware em hospitais

Congressistas dos EUA estão avaliando endurecer as punições para ataques de ransomware contra hospitais, incluindo a possibilidade de classificá-los como crimes mais graves, como terrorismo ou homicídio culposo.

Durante audiência na Comissão de Segurança Interna da Câmara nesta terça-feira (12), especialistas e legisladores discutiram medidas para coibir a crescente onda de ataques cibernéticos ao setor de saúde. Segundo dados do FBI, os incidentes nesse setor dobraram de 238 em 2024 para 460 em 2025, tornando os hospitais o alvo principal dos criminosos.

Propostas em discussão

Uma das sugestões apresentadas pela ex-funcionária do FBI Cynthia Kaiser, atualmente vice-presidente do Halcyon Ransomware Research Center, é classificar ataques de ransomware como atos de terrorismo. Essa medida poderia resultar em sanções adicionais, restrições de viagem e outras penalidades por parte dos Departamentos de Estado, Tesouro e Justiça.

Outra proposta é permitir que promotores busquem acusações de homicídio culposo em casos onde mortes ocorreram após ataques a hospitais. A ideia não é nova: em 2020, autoridades alemãs investigaram um caso de homicídio negligente após um ataque de ransomware que resultou em óbito, embora não tenham prosseguido com as acusações.

“Acredito que não há penalidade severa demais para quem ataca nosso sistema de saúde.”

Contexto e desafios

Os ataques a hospitais têm se tornado cada vez mais frequentes e letais. Um estudo da Universidade de Minnesota (2023) estimou que dezenas de pacientes do Medicare morreram em decorrência de ataques de ransomware. Além disso, hackers estão cientes do potencial letal de suas ações, como destacou Kaiser:

“Eles sabem que suas ações podem tirar vidas. Simplesmente decidiram que essas mortes são problema de outra pessoa.”

O governo Trump já havia sinalizado uma abordagem mais agressiva contra hackers em sua Estratégia Nacional de Cibersegurança, incluindo a emissão de uma ordem executiva sobre cibercrime e fraude no mesmo dia da publicação da estratégia.

Medidas em andamento

Algumas iniciativas legislativas já refletem essa preocupação. O projeto de lei de autorização de inteligência do Senado para 2025 inicialmente propunha vincular diretamente o ransomware ao terrorismo, embora a versão final aprovada tenha sido menos explícita. Recentemente, o Departamento do Tesouro também solicitou feedback público sobre mudanças em um programa de seguro contra riscos de terrorismo para incluir perdas cibernéticas.

Para o deputado democrata Lou Correa, da Califórnia, as propostas estão alinhadas com a legislação existente, mas ainda precisam ser aplicadas de forma mais rigorosa:

“Parece que a linguagem jurídica já existe, só não tem sido aplicada nessas circunstâncias.”

Enquanto o debate avança, especialistas alertam que a demora em implementar medidas mais duras pode resultar em mais vítimas. O setor de saúde, já pressionado pela pandemia, não pode arcar com os custos humanos e financeiros dos ataques cibernéticos.