No início de novembro, o Federal Bureau of Investigation, dos EUA, anunciou que está investigando uma carta de extorsão ameaçando expor milhões de arquivos de pacientes, roubados da Express Scripts, uma empresa de gestão de benefícios médicos.

A companhia investiga a ameaça desde outubro, quando recebeu uma carta que continha informações pessoais de 75 de seus membros, incluindo nomes, datas de nascimento, o número do seguro social e, em alguns casos, informações de prescrições. Ou seja, todos dados confidenciais.

A empresa diante dessa grave ameaça à sua imagem, fez o correto. Comunicou o FBI imediatamente e contratou especialistas externos em segurança de dados e decodificações legais em computadores para ajudar na investigação interna da empresa.

“Nós estivemos conduzindo uma rígida investigação desde que recebemos essa ameaça e estamos levando o caso muito a sério”, disse George Paz, presidente, em um relatório citado pelo repórter John Markoff  no The New York Times, em 6 de novembro. “Nós estamos cooperando com o FBI e estamos empenhados a fazer o que pudermos para proteger as informações pessoais de nossos membros e para rastrear a pessoa ou as pessoas responsáveis por esse ato criminoso.”

A empresa também tomou uma iniciativa recomendada nesses casos, abrindo um canal direto para quem quiser tirar dúvidas ou dar alguma informação sobre a ameaça. Criou também um site para membros da instituição fornecerem informações sobre o acidente e aprender a se proteger do roubo de identidade.

A Express Scripts, instalada em St. Louis, é uma das maiores empresas de gestão de benefícios farmacêuticos nos EUA. Ela fornece benefícios de prescrição para aproximadamente 50 milhões de pessoas entre clientes como planos de saúde, empregados e planos médicos sustentados por sindicatos.

A empresa quando procurada pela imprensa, afirmou que ainda estava tentando certificar-se da exata natureza do roubo. “Tudo que sabemos sobre a natureza dos arquivos roubados é que a carta incapacitou-nos de dizer da onde, em nosso sistema, estes foram roubados.” disse o porta-voz Steve Littlejohn. “Ainda não tomamos decisão alguma.”

As empresas quando sofrem esse tipo de ameaça e, corretamente, vão à imprensa denunciar, acabam sofrendo pressão para maiores detalhes. Mas ninguém é obrigado a prestar mais informações do que o necessário. Ou porque a apuração é confidencial. Ou até porque, na maioria dos casos, as empresas não têm realmente qualquer informação nova. O porta-voz da organização disse que por causa das investigações, a empresa não estaria inclinada a dar detalhes sobre a natureza da carta ameaçadora. Ele também disse que a ameaça de extorsão foi por dinheiro, mas não revelaria a quantia.

Como a empresa não tem maiores detalhes dos desdobramentos da ameaça, a postura correta é não se furtar a dar informação, embora deva se manter bastante comedida nessa hora. Eles sequer tinham uma dimensão dos arquivos e dados roubados. O porta-voz disse que a empresa ainda não se certificara da quantidade de arquivos (dados) que foi roubada. Ele também disse que a empresa ainda não descartou a possibilidade de roubo interno.

Esse tipo de ameaça, utilizando chantagem como arma para obter vantagens financeiras das organizações, embora tenha agora contornos modernos e cibernéticos, não é nova. Multinacionais como Johnson & Johnson, no caso do Tilenol, a Nestlé, com ameaças de envenenamento de leite, já foram vítimas de crimes semelhantes. A polícia tem extrema dificuldade para identificar os terroristas. Mas nos casos mais emblemáticos, as empresas que foram transparentes, denunciando as ameaças com rapidez e abrindo as informações para o público, acabaram se saindo bem. Diante da postura correta, sem intimidação das empresas,  as ameaças cessaram. As organizações não cederam à chantagem.