A Jefferson-Blount-St. Clair Mental Health Authority (JBS), localizada em Birmingham, Alabama, informou em fevereiro de 2026 que dados pessoais e médicos de mais de 30 mil pacientes ficaram expostos após um ataque de ransomware detectado em novembro de 2025. A instituição atende uma região com mais de 800 mil residentes nos condados de Jefferson, Blount e St. Clair.
De acordo com a autoridade, os invasores conseguiram exfiltrar informações antes de ativar o malware de criptografia. As notificações às vítimas começaram em fevereiro de 2026, cerca de três meses após a detecção inicial.
O caso evidencia a vulnerabilidade de organizações regionais de saúde públicas: orçamentos limitados de segurança da informação costumam lidar com grandes volumes de dados protegidos pela HIPAA (Health Insurance Portability and Accountability Act). Especialistas apontam que dados de saúde mental possuem alto valor no mercado ilegal, o que torna esses registros alvos atrativos para extorsão.
Não foi divulgado se houve pagamento de resgate nem quais categorias de dados foram comprometidas; a HIPAA exige notificação aos indivíduos afetados sem atrasos injustificados, geralmente em até 60 dias após a descoberta da violação. Observadores destacam que a janela de três meses entre detecção e notificação levanta questões sobre os procedimentos de resposta da instituição.
O incidente não é isolado: dados do HIPAA Journal indicam uma onda crescente de ataques de ransomware no setor de saúde. Em outubro de 2025, o Cottage Hospital expôs informações de 2.156 pacientes em casos semelhantes. Destas ocorrências surgem discussões sobre ações coletivas e consequências legais que podem se estender por anos.
Entre as lições para o setor de TI, destacam-se a segmentação de rede, monitoramento de tráfego anômalo e backups offline, bem como criptografia de dados em repouso. Especialistas ressaltam que o fator humano continua sendo o principal vetor de ataque em boa parte dos incidentes e recomendam treinamentos de conscientização de segurança para colaboradores. A aparentemente lenta resposta pública da autoridade estadual também reacende o debate sobre governança em cibersegurança no setor público de saúde mental.
