O que é a nova legislação australiana?

A partir de 30 de maio de 2025, a Austrália tornou-se o primeiro país a obrigar empresas a reportarem ao governo quaisquer pagamentos realizados a cibercriminosos em casos de ransomware. A medida visa aumentar a transparência sobre o impacto desses crimes e fornecer às autoridades melhores dados para combater esse tipo de ameaça cibernética.

Como funciona

A nova legislação se aplica a empresas com faturamento anual superior a 3 milhões de dólares australianos (aproximadamente R$ 10 milhões), além de organizações envolvidas em setores críticos de infraestrutura. Estima-se que essa exigência atinja cerca de 6,5% das empresas registradas no país, responsáveis por metade da economia australiana.

Os relatos de pagamento devem ser enviados ao Diretório de Sinais Australiano (ASD) em até 72 horas após a transação, e o não cumprimento da norma pode resultar em multa de até 60 unidades penais civis.

Sinais de alerta / Como identificar

Segundo o governo australiano, a medida busca preencher a lacuna causada pelo baixo índice de notificações voluntárias: apenas uma em cada cinco vítimas de ransomware relatava o incidente às autoridades. O objetivo é melhorar a visibilidade dos impactos sociais e econômicos desse tipo de crime.

A fiscalização se concentrará inicialmente em casos mais graves de descumprimento, com uma abordagem mais rigorosa prevista para o início de 2026.

O que fazer agora / Como se proteger

Essa iniciativa surge após uma série de ataques cibernéticos de grande repercussão no país, como os que afetaram as empresas Optus, Medibank e MediSecure. A proposta inspirou o Reino Unido, que também estuda obrigar a comunicação de pagamentos e até mesmo proibir que órgãos públicos e operadores de infraestrutura crítica realizem esse tipo de transação.

Checklist de conformidade

1. Verifique se sua empresa se enquadra nas exigências de faturamento.
2. Implemente um sistema para registrar pagamentos de ransomware.
3. Treine sua equipe sobre como reportar incidentes ao ASD.
4. Esteja preparado para fornecer documentação detalhada sobre os pagamentos.
5. Considere contratar serviços especializados para fortalecer sua segurança cibernética.

Perguntas frequentes

Qual é o objetivo da nova legislação na Austrália?

O objetivo é aumentar a transparência sobre os impactos econômicos e sociais dos crimes de ransomware e fornecer dados às autoridades para melhorar a resposta a essas ameaças.

Quem está obrigado a reportar os pagamentos?

Empresas com faturamento anual superior a 3 milhões de dólares australianos e organizações em setores críticos de infraestrutura devem reportar os pagamentos.

Quais são as consequências do não cumprimento?

O não cumprimento da norma pode resultar em multas de até 60 unidades penais civis.

O que acontece se uma empresa não relatar um pagamento?

A fiscalização se concentrará em casos graves de descumprimento, com penalidades previstas a partir de 2026.

A iniciativa australiana inspirou outros países?

Sim, o Reino Unido está estudando a implementação de medidas semelhantes para obrigar a comunicação de pagamentos e barrar transações com entidades sancionadas.

Referência:

• Austrália obriga empresas a informar ao governo pagamentos de resgates em ataques de ransomware