Crimes Cibernéticos e Defesa Empresarial

“A técnica amplia o poder do homem, mas não lhe melhora o caráter.” — Norberto Bobbio

Sua empresa foi invadida digitalmente. Os dados dos clientes estão expostos. O sistema foi criptografado por ransomware. E agora?

A digitalização acelerada dos negócios trouxe ganhos extraordinários de produtividade e alcance, mas também expôs as empresas a um cenário de ameaças sem precedentes. Crimes cibernéticos: ou crimes informáticos — representam hoje uma das maiores preocupações do ambiente corporativo brasileiro, atingindo desde microempresas até grandes corporações, independentemente do setor de atuação.

Segundo dados do Anuário Brasileiro de Segurança Pública, os registros de crimes cibernéticos no Brasil crescem consistentemente ano após ano. Fraudes digitais, invasões de sistemas, sequestro de dados (ransomware), espionagem industrial e vazamentos de informações são realidades que exigem das empresas não apenas investimentos em segurança da informação, mas também conhecimento jurídico sólido sobre o marco legal de proteção e as estratégias de defesa disponíveis.

O marco legal brasileiro para crimes cibernéticos

O Brasil construiu, ao longo da última década, um arcabouço normativo robusto para enfrentar a criminalidade digital. Os principais diplomas legais são:

Lei Carolina Dieckmann (Lei 12.737/2012)

A Lei 12.737/2012 foi o primeiro marco legislativo específico sobre crimes informáticos no Brasil. Promulgada após o episódio de invasão e divulgação de fotos íntimas da atriz Carolina Dieckmann, a lei tipificou condutas que até então careciam de previsão penal específica.

A lei introduziu o art. 154-A no Código Penal, que tipifica o crime de invasão de dispositivo informático:

“Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita.”

A pena base é de reclusão de 1 a 4 anos e multa (com a redação dada pela Lei 14.155/2021, que endureceu significativamente as penas originais). A pena é aumentada de 1/3 a 2/3 quando a invasão resulta em obtenção de:

• Comunicações eletrônicas privadas
• Segredos comerciais ou industriais
• Informações sigilosas definidas em lei
• Controle remoto não autorizado do dispositivo invadido

E é aumentada de 2/3 quando houver divulgação, comercialização ou transmissão dos dados obtidos.

Marco Civil da Internet (Lei 12.965/2014)

O Marco Civil da Internet não é propriamente uma lei penal, mas estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil que são indispensáveis à proteção empresarial no ambiente digital. Para uma análise completa desse diploma, recomendamos nosso artigo sobre o Marco Civil da Internet: direitos e deveres para empresas e usuários.

No que tange à segurança empresarial, o Marco Civil estabelece:

• Obrigação de guarda de registros: provedores de conexão devem manter registros de conexão por 1 ano; provedores de aplicações devem manter registros de acesso por 6 meses (arts. 13 e 15)
• Responsabilidade de provedores: provedores de aplicação só respondem civilmente por conteúdo de terceiros se, após ordem judicial específica, não tomarem providências para tornar o conteúdo indisponível (art. 19)
• Proteção de dados pessoais: obrigação de consentimento do usuário para coleta e uso de dados

Lei 14.155/2021 — O endurecimento das penas

A Lei 14.155/2021 representou um marco no endurecimento do tratamento penal de crimes cibernéticos no Brasil, alterando o Código Penal para:

• Aumentar as penas do crime de invasão de dispositivo informático (art. 154-A) de detenção de 3 meses a 1 ano para reclusão de 1 a 4 anos
• Criar a qualificadora do furto mediante fraude eletrônica (art. 155, §4º-B): reclusão de 4 a 8 anos e multa, com aumento de 1/3 a 2/3 se praticado mediante uso de servidor mantido fora do país
• Criar a qualificadora do estelionato por fraude eletrônica (art. 171, §2º-A): reclusão de 4 a 8 anos e multa, quando praticado por meio de informações fornecidas pela vítima induzida a erro por redes sociais, contatos telefônicos ou envio de e-mail fraudulento

Principais crimes cibernéticos que atingem empresas

Ransomware (sequestro de dados)

O ransomware é um tipo de malware que criptografa os dados do sistema da vítima e exige o pagamento de resgate (geralmente em criptomoedas) para liberação. Ataques de ransomware contra empresas brasileiras têm se tornado cada vez mais sofisticados, com grupos criminosos organizados que selecionam alvos estratégicos e calibram o valor do resgate de acordo com o porte da vítima.

Do ponto de vista jurídico, o ataque de ransomware pode configurar:

• Invasão de dispositivo informático (art. 154-A do CP)
• Extorsão (art. 158 do CP): pela exigência de pagamento para liberação dos dados
• Dano (art. 163 do CP): pela destruição ou inutilização de dados

Ora, o pagamento do resgate não é recomendado: além de não haver garantia de recuperação dos dados, o pagamento pode configurar financiamento de organização criminosa e não exime a empresa das obrigações de notificação previstas na LGPD.

Phishing e engenharia social

O phishing consiste no envio de comunicações fraudulentas (e-mails, mensagens, sites falsos) que se passam por fontes legítimas para induzir a vítima a fornecer informações sensíveis — senhas, dados bancários, credenciais de acesso a sistemas corporativos. A engenharia social é a técnica mais ampla de manipulação psicológica usada para obter acesso a informações ou sistemas.

No ambiente empresarial, as modalidades mais comuns incluem:

• Spear phishing: ataques direcionados a funcionários específicos, geralmente executivos ou profissionais com acesso a sistemas financeiros
• Business Email Compromise (BEC): comprometimento de contas de e-mail corporativas para desviar pagamentos ou obter informações confidenciais
• Vishing (voice phishing): golpes telefônicos que se passam por bancos, fornecedores ou órgãos governamentais

Espionagem industrial e roubo de segredos comerciais

A espionagem cibernética voltada ao roubo de segredos comerciais, propriedade intelectual e informações estratégicas é uma ameaça crescente. A conduta pode ser praticada por concorrentes, funcionários descontentes ou grupos criminosos contratados.

Além da tipificação pelo art. 154-A do CP (invasão de dispositivo), a espionagem industrial pode configurar:

• Concorrência desleal (art. 195 da Lei 9.279/96: Lei de Propriedade Industrial)
• Violação de sigilo profissional (art. 154 do CP): quando praticada por funcionário ou ex-funcionário
• Crime contra a ordem econômica: dependendo do impacto concorrencial

Fraudes em operações bancárias e financeiras

Golpes que envolvem boletos falsos, transferências fraudulentas via PIX, clonagem de WhatsApp de gestores para solicitar pagamentos e manipulação de sistemas de pagamento são responsáveis por prejuízos bilionários ao setor empresarial brasileiro.

Estratégias de defesa e prevenção

Medidas preventivas técnicas

• Implementação de autenticação multifator (MFA) em todos os sistemas corporativos
• Segmentação de rede para limitar o impacto de eventuais invasões
• Atualizações regulares de sistemas operacionais, softwares e firmware
• Backup em camadas (3-2-1: três cópias, dois tipos de mídia, uma off-site) com testes periódicos de restauração
• Monitoramento contínuo de tráfego de rede e logs de acesso
• Criptografia de dados sensíveis em trânsito e em repouso
• Testes de penetração (pentests) periódicos realizados por empresas especializadas

Medidas preventivas jurídicas e organizacionais

• Política de segurança da informação documentada e divulgada a todos os colaboradores
• Termos de uso e confidencialidade específicos para funcionários que acessam dados sensíveis
• Cláusulas contratuais com prestadores de serviço de TI sobre responsabilidades em caso de incidentes
• Treinamento periódico de colaboradores sobre identificação de phishing e engenharia social
• Plano de resposta a incidentes com procedimentos claros de contenção, análise e comunicação
• Adequação à LGPD: a conformidade com a Lei Geral de Proteção de Dados é complementar à segurança cibernética. Para um guia completo de adequação, consulte nosso artigo sobre LGPD para empresas

Preservação de evidências digitais

Quando um crime cibernético é detectado, a preservação adequada das evidências é indispensável tanto para a investigação criminal quanto para eventual ação judicial cível. Veja-se: as boas práticas incluem:

• Não desligar os equipamentos afetados (a memória RAM pode conter evidências voláteis essenciais)
• Registrar o estado dos sistemas por meio de capturas de tela e fotografias
• Preservar logs de acesso, e-mails e comunicações relacionadas ao incidente
• Isolar os equipamentos da rede sem desligá-los
• Contratar perícia forense digital por profissional habilitado
• Registrar ata notarial para conferir fé pública às evidências digitais
• Manter cadeia de custódia documentada para garantir a admissibilidade das provas em juízo

Procedimentos de comunicação e registro

Diante de um crime cibernético, a empresa deve:

1. Comunicar à ANPD se houver vazamento de dados pessoais (conforme exigência da LGPD, art. 48)
2. Comunicar aos titulares dos dados afetados
3. Registrar boletim de ocorrência em delegacia especializada em crimes cibernéticos (onde houver) ou em delegacia comum
4. Comunicar ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil)
5. Notificar a seguradora (quando houver seguro cyber)
6. Avaliar a necessidade de comunicação ao mercado (para empresas de capital aberto, conforme regulamentação da CVM)

A responsabilidade penal da empresa vítima

Um aspecto frequentemente negligenciado: paradoxalmente, a empresa vítima de um crime cibernético pode também ser responsabilizada: civil, administrativa e até criminalmente — quando a falha de segurança decorreu de negligência na proteção de dados de terceiros.

Se uma empresa armazena dados de clientes sem as devidas medidas de segurança e sofre uma invasão que resulta em vazamento desses dados, ela poderá responder:

• Administrativamente perante a ANPD: por descumprimento das obrigações da LGPD
• Civilmente perante os titulares: por danos morais e materiais decorrentes do vazamento
• Criminalmente: seus gestores podem ser investigados por crimes como invasão de dispositivo (na modalidade de “instalar vulnerabilidades”) ou por omissão penalmente relevante, quando tinham o dever legal de agir e não o fizeram

Para entender melhor as consequências de um vazamento de dados, leia nosso artigo sobre vazamento de dados e responsabilidade civil e criminal da empresa.

O papel da assessoria jurídica especializada

A defesa empresarial no ambiente digital exige uma abordagem multidisciplinar que integre segurança da informação, conformidade regulatória (LGPD, Marco Civil), e Direito Penal Empresarial. O advogado especializado atua em diversas frentes:

• Prevenção: elaboração de políticas, contratos e programas de compliance
• Resposta a incidentes: coordenação jurídica do plano de resposta, comunicação à ANPD e aos titulares
• Defesa criminal: representação de executivos investigados ou denunciados por crimes cibernéticos, seja na condição de autores ou de responsáveis por omissão
• Ações judiciais: medidas cautelares para preservação de evidências, ações de indenização contra os responsáveis, quebra de sigilo de dados para identificação de autores

Considerações finais

Os crimes cibernéticos representam uma ameaça concreta e crescente ao ambiente empresarial brasileiro. A proteção eficaz exige investimento simultâneo em tecnologia, processos e assessoria jurídica. Empresas que negligenciam qualquer uma dessas frentes ficam expostas não apenas aos prejuízos diretos dos ataques, mas também à responsabilização legal decorrente de falhas na proteção de dados de terceiros.

A pergunta que todo gestor deve se fazer não é se será alvo de um ataque cibernético, mas quando. E a resposta a essa pergunta se constrói antes do incidente, não depois.

---

Leia também:

• LGPD para empresas: guia de adequação
• Vazamento de dados: responsabilidade
• Marco Civil da Internet

O escritório SMARGIASSI Advogado, com atuação no Sul de Minas Gerais e em todo o Brasil, oferece assessoria jurídica especializada em Direito Penal Empresarial, proteção de dados e segurança corporativa. Se a sua empresa precisa de orientação sobre prevenção de crimes cibernéticos, resposta a incidentes ou defesa em processos relacionados, entre em contato pelo WhatsApp para uma consulta especializada.