Invadir sistema de transporte público deixou de ser tratado como crime patrimonial no Reino Unido. Owen Flowers, de 18 anos, e Thalha Jubair, de 20, foram condenados a cinco anos de prisão pelo ataque que paralisou boa parte da estrutura digital da Transport for London, o órgão que administra metrô, ônibus e trens da capital britânica. Os dois integram o Scattered Spider, grupo também conhecido como Octo Tempest e UNC3944, especializado menos em façanhas técnicas e mais em engenharia social — convencer um funcionário a entregar acesso costuma ser mais barato que quebrar uma criptografia.
O ataque aconteceu entre 31 de agosto e 3 de setembro de 2024 e derrubou 148 sistemas internos. Dados sensíveis de cerca de 5 mil clientes foram expostos, e 27 mil funcionários precisaram redefinir senha presencialmente, um a um — detalhe que dá a dimensão real do estrago, porque significa que a organização perdeu a confiança na própria base de credenciais. O prejuízo direto foi estimado em 29 milhões de libras, algo em torno de 200 milhões de reais. As autoridades calcularam ainda que um colapso completo do sistema poderia ter custado até 56 bilhões de libras, cifra que mede menos o dano ocorrido e mais o tamanho do risco que se correu.

O ponto juridicamente relevante veio no enquadramento. Esta é a primeira condenação bem-sucedida sob a seção 3ZA da legislação britânica, dispositivo que pune ataques cibernéticos capazes de pôr vidas em risco. A diferença não é de retórica: em vez de calcular a pena pelo prejuízo financeiro, a lei trata a invasão de infraestrutura crítica como crime de gravidade autônoma. Faz sentido quando se olha o histórico de Flowers, que conduzia em paralelo ataques contra hospitais americanos, entre eles as redes SSM Health e Sutter Health, chegando a ameaçar derrubar sistemas médicos em funcionamento. Sistema hospitalar fora do ar não gera só perda contábil.
Para o Brasil, o caso serve como espelho desconfortável. Nossa infraestrutura crítica digitalizada — bilhetagem de transporte, sistemas hospitalares, distribuição de energia, órgãos públicos — cresceu muito mais rápido do que a estrutura de defesa e do que a jurisprudência sobre o tema. A LGPD trata do vazamento de dados pessoais, mas o país ainda não tem um dispositivo que enquadre com clareza o ataque que ameaça vidas, e não apenas o caixa. O outro recado é sobre método: os condenados tinham 16 e 18 anos na época do ataque, e não derrubaram Londres com alguma técnica exótica. Derrubaram convencendo pessoas a abrir a porta. Enquanto empresas e governos investirem em firewall e esquecerem do funcionário do outro lado da linha, o roteiro segue disponível para quem quiser repetir.