Punido por não conformidade com a segurança cibernética: DOJ divulga sua denúncia contra a Georgia Tech com base na Lei de Reivindicações Falsas

Conforme relatado no nosso alerta ao cliente de agosto de 2024, no início deste ano, o Departamento de Justiça dos Estados Unidos (DOJ) interveio em um caso relacionado à Lei de Reivindicações Falsas (FCA) iniciado por dois denunciantes, alegando que a Georgia Tech Research Corporation e o Georgia Institute of Technology (Georgia Tech) violaram vários requisitos de segurança cibernética que fazem parte dos contratos do Departamento de Defesa (DoD). A intervenção do DOJ foi mais um dado que demonstra o profundo interesse dos promotores em perseguir fraudes relacionadas à segurança cibernética.

A queixa

Em 22 de agosto de 2024, o DOJ apresentou a sua queixa de 99 páginas no caso Georgia Tech, refletindo os resultados de uma investigação pré-processual minuciosa. Nessa petição, o DOJ cita extensivamente e-mails internos, mensagens instantâneas internas, outras comunicações e depoimentos para alegar que os réus violaram as regras e regulamentos federais de segurança cibernética aplicáveis às instituições como contratadas do governo. Além disso, essa documentação corrobora as alegações do DOJ de que os réus sabiam ou foram imprudentes ao não saber que não estavam a cumprir essas regras e regulamentos.

Por exemplo, o DOJ alega que um ex-funcionário testemunhou que, durante um período substancial de tempo, não houve «nenhuma aplicação» dos requisitos de cibersegurança aplicáveis. Noutro exemplo, o DOJ citou extensas mensagens instantâneas em que os funcionários reconheciam o incumprimento dos requisitos de cibersegurança. Em outro lugar, o DOJ alega que os réus criaram uma “cultura de não conformidade com a segurança cibernética”, tornando falsas as reivindicações de vários anos. O DOJ busca uma indenização de aproximadamente US$ 30 milhões, com base nos valores faturados ao governo, e esse valor é anterior à aplicação da cláusula de indenização tripla da FCA e das taxas por reivindicação.

Conclusões

A denúncia do DOJ traz as seguintes conclusões importantes:

• As alegações detalhadas, que ocupam quase 100 páginas, refletem os resultados do que parece ter sido uma investigação minuciosa. Isso demonstra a diligência com que o DOJ está a tratar desses assuntos como parte da sua Iniciativa Civil contra Fraudes Cibernéticas, lançada em 2021.

• A análise do governo de vários repositórios de dados — como e-mails, mensagens instantâneas, apresentações em PowerPoint e outros materiais — mostra até onde o governo está disposto a ir para investigar e perseguir as suas alegações. Assim, as empresas devem estar atentas à necessidade de ter políticas adequadas de comunicação e retenção de documentos.

• Embora o DOJ não alegue que qualquer informação confidencial tenha sido realmente comprometida, ele sustenta que o DoD “pagou por tecnologia militar... armazenada em um ambiente que não era seguro contra divulgação não autorizada”. O DOJ alega ainda que «o que o DoD recebeu pelos seus fundos foi de valor reduzido ou nulo, não o benefício da sua negociação». Por outras palavras, o DOJ irá prosseguir com estas ações mesmo na ausência de uma violação de dados ou outro comprometimento dos dados.

• Os denunciantes que levaram o caso (antes da intervenção do DOJ) são funcionários atuais e ex-funcionários da Georgia Tech. Dessa forma, este caso ilustra a importância de garantir uma cultura de conformidade com um programa de conformidade robusto e eficaz.

• Este caso é apenas o mais recente exemplo do DOJ a investigar alegadas violações de segurança cibernética ao abrigo da FCA. O DOJ indicou que leva a sério a aplicação da lei nesta área, e esta intervenção e queixa detalhada demonstram o compromisso da agência nesse sentido.