REGISTRO DOI: 10.69849/revistaft/ma10202504261019
José Henrique de Lima Rocha
RESUMO
O presente Trabalho de Conclusão de Curso tem como objetivo analisar a crescente utilização da inteligência artificial (IA) na prática de crimes cibernéticos e os desafios que essa realidade impõe ao ordenamento jurídico brasileiro. A pesquisa parte de uma contextualização histórica e conceitual da IA, destacando suas principais aplicações e impactos legais, e avança para o exame das modalidades de delitos virtuais potencializados por essa tecnologia, como phishing, deepfakes e invasões automatizadas. Também são discutidas as dificuldades em responsabilizar juridicamente os agentes envolvidos, frente à autonomia dos sistemas e à complexidade dos algoritmos. A metodologia empregada é qualitativa, com base em revisão bibliográfica e documental. Conclui-se que a legislação brasileira ainda é insuficiente para lidar com os riscos trazidos pela IA nos crimes digitais, sendo urgente a criação de marcos regulatórios específicos que promovam segurança jurídica, ética tecnológica e proteção aos direitos fundamentais.
Palavras-chave: Crimes cibernéticos. Inteligência artificial. Responsabilização jurídica. Marco Civil da Internet. Deepfake.
ABSTRACT
This undergraduate thesis aims to analyze the increasing use of artificial intelligence (AI) in the practice of cybercrimes and the challenges this reality poses to the Brazilian legal system. The research begins with a historical and conceptual overview of AI, highlighting its main applications and legal impacts, and then examines the types of virtual crimes enhanced by this technology, such as phishing, deepfakes, and automated intrusions. It also discusses the difficulties in holding involved parties legally accountable, considering the autonomy of AI systems and the complexity of their algorithms. The methodology adopted is qualitative, based on bibliographic and documentary review. The study concludes that Brazilian legislation is still insufficient to address the risks posed by AI in digital crimes, highlighting the urgent need for specific regulatory frameworks that ensure legal security, technological ethics, and the protection of fundamental rights.
Keywords: Cybercrimes. Artificial intelligence. Legal accountability. Brazilian Internet Bill of Rights. Deepfake.
1.INTRODUÇÃO
A ascensão da inteligência artificial (IA) no cenário contemporâneo tem provocado transformações profundas em diversas esferas da sociedade, com impactos significativos no campo do Direito, especialmente no que se refere aos crimes cibernéticos.
A capacidade das máquinas de simular processos cognitivos humanos e tomar decisões autônomas tem despertado preocupações não apenas no campo técnico, mas, sobretudo, no âmbito ético e jurídico, tais inovações, embora repletas de promessas, também representam riscos à privacidade, à segurança da informação e à responsabilização penal diante de condutas praticadas com o auxílio de tecnologias inteligentes.
Diante desse cenário, surge o seguinte problema de pesquisa: de que forma a utilização da inteligência artificial potencializa a prática de crimes cibernéticos e quais os desafios enfrentados pelo ordenamento jurídico brasileiro para responsabilização dos envolvidos? Esta questão reflete a complexidade em atribuir responsabilidade jurídica por atos praticados com o suporte da IA, sobretudo diante da sua autonomia operacional e do caráter transnacional de muitos delitos virtuais.
O objetivo geral deste trabalho é analisar como a inteligência artificial tem sido empregada na prática de crimes cibernéticos e quais os desafios legais e éticos enfrentados pelo sistema jurídico brasileiro no combate a essas práticas. Para isso, foram definidos como objetivos específicos: (i) contextualizar historicamente o desenvolvimento da IA e suas aplicações jurídicas; (ii) identificar as principais modalidades de crimes cibernéticos potencializados por sistemas de IA; (iii) examinar a legislação vigente no Brasil, como a Lei Carolina Dieckmann e o Marco Civil da Internet, e sua eficácia no enfrentamento desses delitos; e (iv) discutir os limites e possibilidades da responsabilização jurídica no uso da IA em práticas criminosas.
A escolha do tema justifica-se pela sua atualidade e relevância jurídica e social, a rápida incorporação da inteligência artificial nas dinâmicas do ciberespaço exige uma reflexão crítica sobre os limites do Direito Penal, da responsabilidade civil e das normas regulatórias frente a novos riscos sociais. Além disso, o tema encontra-se no centro de debates acadêmicos e legislativos, sendo imprescindível à formação do jurista contemporâneo para compreender os riscos e oportunidades envolvidos na interface entre tecnologia e Direito.
A metodologia adotada é de natureza qualitativa, com enfoque exploratório e revisão bibliográfica, foram analisadas doutrinas jurídicas, artigos científicos, legislações nacionais e internacionais, bem como estudos de caso sobre a aplicação prática da IA em contextos criminosos, a abordagem seguiu critérios de sistematização teórica, buscando compreender o fenômeno a partir de uma perspectiva multidisciplinar, considerando os campos da tecnologia, da ética e do Direito.
2. O DOMÍNIO DA INTELIGÊNCIA ARTIFICIAL NO DIREITO
O conceito de Inteligência Artificial (IA) surgiu em 1956, durante uma conferência em Dartmouth, EUA. A IA busca imitar funções cognitivas humanas, como raciocínio e tomada de decisão (Pascual, 2017), para os pesquisadores, a mente humana funciona como um computador, e o estudo de programas computacionais pode ajudar a entender e reproduzir processos mentais (Teixeira, 2019).
Nesse cenário, a IA pode ser entendida como um campo que estuda e desenvolve programas que simulam processos mentais humanos, incluindo a capacidade de armazenar, manipular dados e resolver problemas complexos (Li; Du, 2017), a diferença fundamental entre inteligência humana e IA é que a última é alcançada por técnicas e sistemas artificiais, em contraste com a inteligência produzida biologicamente (Pascual, 2017).
A inteligência artificial (IA) tem evoluído rapidamente, ramificando-se em diversas áreas que imitam e ampliam as capacidades humanas, entre essas ramificações, as redes neurais, sistemas especialistas e a robótica se destacam como pilares importantes.
As redes neurais são uma das tecnologias mais fascinantes da IA, inspiradas no funcionamento do cérebro humano, elas são projetadas para aprender e fazer previsões com base em experiências passadas, utilizando algoritmos que imitam o modo como os neurônios se conectam e transmitem informações, um exemplo notável do uso de redes neurais é o reconhecimento facial, onde esses sistemas são capazes de identificar e verificar identidades com base em características faciais (Samek et al., 2017).
Por outro lado, os sistemas especialistas representam uma abordagem diferente para a IA sendo projetados para resolver problemas e tomar decisões em domínios específicos com base em uma base de conhecimento especializada, tais sistemas são extremamente úteis em áreas como a medicina, onde podem fornecer diagnósticos e recomendações baseadas em vastos bancos de dados de informações médicas (Mendes, 1997), cumpre ainda dimensionar que, essa especialização desses sistemas permite que eles forneçam conselhos com um nível de precisão e eficiência que muitas vezes supera a capacidade humana.
A robótica, por sua vez, abrange o design e a construção de robôs, que podem variar de sistemas simples a autônomos sofisticados, nem todos os robôs incorporam IA, alguns podem operar com sistemas programados básicos, enquanto outros são equipados com capacidades avançadas que lhes permitem interagir de maneira complexa com o ambiente e tomar decisões de forma autônoma, a robótica pode envolver desde tarefas simples, como a automação de processos industriais, até robôs autônomos que desempenham funções complexas e interagem de forma adaptativa com seu entorno (Pascual, 2017).
Tais ramificações da IA demonstram a amplitude e o potencial da tecnologia, desde a simulação de processos cognitivos humanos até a criação de sistemas especializados e robôs que atuam de forma independente.
2.1 A Inteligência artificial e suas implicações legais
A inteligência artificial (IA) tem demonstrado inúmeras vantagens ao facilitar as atividades cotidianas, porém, sua rápida evolução também traz desafios éticos que precisam ser enfrentados, a responsabilidade por incidentes, como o acidente fatal ocorrido em abril de 2018 no estado do Arizona, EUA, envolvendo um veículo autônomo da Uber, levanta questões urgentes sobre quem deve ser responsabilizado por essas tecnologias, a complexidade da responsabilidade é apenas uma das várias preocupações éticas que envolvem a IA
É fundamental questionar o papel da ética nas decisões que máquinas tomam de forma independente, a capacidade de veículos autônomos, robôs domésticos e outras máquinas de tomarem decisões apresenta desafios em distinguir a autonomia de ações humanas e de máquinas, enquanto os seres humanos são capazes de refletir e avaliar suas ações, a autonomia da IA ainda é limitada a processos probabilísticos, sem a capacidade de introspecção e avaliação moral (García, 2019).
O termo “autonomia” frequentemente associado à IA pode ser enganoso, pois até agora nenhuma máquina conseguiu explicar suas decisões como um ser humano, o que se observa em sistemas ditos autônomos é, na verdade, um comportamento automático, no qual as ações são predefinidas por programações estabelecidas, assim, a real autonomia ainda permanece exclusiva dos seres humanos, que agem com base em consciência e reflexão ética
A IA pode ser dividida em duas correntes principais: a IA fraca e a IA forte, a primeira refere-se a sistemas capazes de desempenhar tarefas específicas de maneira inteligente, como jogar xadrez, enquanto a segunda busca replicar a inteligência humana em sua totalidade, o que inclui a capacidade de agir de forma consciente e independente, embora ainda não seja claro se a IA forte pode ser efetivamente alcançada, sua possibilidade traz inúmeras preocupações éticas (Mello; Mulholland, 2020).
Quando se trata de IA fraca, a responsabilidade ética recai inteiramente sobre os desenvolvedores e operadores, uma vez que as máquinas agem apenas dentro dos limites de sua programação, já no caso da IA forte, ainda em discussão e desenvolvimento, as questões éticas se tornam mais complexas, pois há um debate sobre se tais sistemas poderiam algum dia adquirir autonomia genuína (García, 2019).
A rápida expansão da IA em diferentes setores, como veículos autônomos, reconhecimento de voz, planejamento autônomo e aprendizagem de máquina, destaca a importância de um debate ético sobre suas implicações, nesse cenário, o estudo da McKinsey e Company (2018) revela que 47% das empresas já adotaram algum tipo de IA em sua cadeia de valor, reforçando que a influência dessa tecnologia é crescente e exige uma avaliação rigorosa dos riscos e benefícios envolvidos.
3. A INTELIGÊNCIA ARTIFICIAL COMO MEIO PARA CRIMES CIBERNÉTICOS
Os crimes virtuais são infrações cometidas por meio digital, abrangendo desde ataques a dados até infrações de direitos autorais, fraudes e assédio online. Cassanti (2014) os define como crimes realizados no ambiente virtual, enquanto Silva e Silva (2015) os descrevem como qualquer delito envolvendo computadores ou redes.
Assim, os crimes virtuais são aqueles praticados no meio digital, permitindo a realização de atos ilegais, seja adaptando crimes tradicionais ou criando novos tipos de infrações.
Antes de abordar as espécies de crimes cibernéticos, é necessário compreender quem é a pessoa que pratica tais infrações, pois o agente que comete a conduta típica, antijurídica e culpável (elementos do crime) será processado, julgado e punido por suas ações da mesma forma que o sujeito que pratica atos criminosos no ambiente físico.
É importante considerar que, como explica Dobler (2023), o cibercriminoso é frequentemente estereotipado como um jovem devido à internet ser uma tecnologia relativamente recente, mas por outro lado, há quem considere qualquer pessoa com conhecimento em informática como um criminoso em potencial, no entanto, quando se trata de crimes virtuais, estes podem ser cometidos por hackers, crackers ou até mesmo por usuários comuns que, por meio de suas ações, infringem a lei, assim não se pode estabelecer um perfil estigmatizado do cibercriminoso.
Segundo Francisco (2024), os cibercriminosos são frequentemente associados aos hackers, conhecidos por seu conhecimento técnico, porém o autor esclarece que os verdadeiros criminosos da internet são os crackers, indivíduos que utilizam suas habilidades para quebrar sistemas de segurança, roubar dados e invadir redes com fins ilícitos, ou seja, qualquer pessoa com as habilidades necessárias pode ser um potencial criminoso.
Os crimes cibernéticos, em face de sua crescente complexidade e da pluralidade de manifestações, podem ser classificados de diversas formas, a depender da natureza da infração, do bem jurídico tutelado ou da modalidade de execução adotada. Dentre as classificações amplamente debatidas na literatura jurídica, destaca-se a proposta por Rodrigues da Costa (1997) e Pinheiro (2001), que subdivide os crimes informáticos em três categorias essenciais: crimes informáticos puros, mistos e comuns.
Os crimes informáticos puros, conforme delineado pelo autor, envolvem exclusivamente a infraestrutura do sistema de informática, sendo exemplificados por ataques como os vírus que corrompem dados armazenados em dispositivos computacionais, ou seja, o bem jurídico tutelado é diretamente a integridade e o funcionamento do sistema informático. Por sua vez, os crimes informáticos mistos configuram-se quando a infração não se limita ao sistema, mas afeta outros bens jurídicos, os quais são violados por intermédio do uso da tecnologia (Rodrigues da Costa, 1997; Pinheiro, 2001).
Finalmente, os crimes informáticos comuns, conforme categorizados, englobam infrações previstas no Código Penal, que, embora possam se utilizar da informática como meio para sua execução, não demandam a violação específica de sistemas computacionais, como é o caso de delitos como pedofilia, racismo e cyberbullying (Rodrigues da Costa, 1997; Pinheiro, 2001).
Outra relevante classificação advém de Vianna (2003), que propõe uma subdivisão pormenorizada consubstanciada em quatro categorias de delitos virtuais. A primeira delas, denominada de delitos informáticos impróprios, ocorre quando o computador é utilizado como mera ferramenta para a consumação do ilícito, sem que haja, no entanto, uma violação direta à inviolabilidade das informações armazenadas no sistema. Em contraste, os delitos informáticos próprios caracterizam-se pela tutela específica da inviolabilidade das informações automatizadas, sendo a integridade dos dados o bem jurídico central da norma penal (Vianna, 2003).
No campo dos delitos informáticos mistos, a classificação engloba infrações que, ao mesmo tempo em que protegem dados, tutelam outros bens jurídicos de natureza diversa. E os delitos informáticos mediatos ou indiretos consistem em crimes cuja consumação está condicionada ao uso da tecnologia como meio para a execução do ato ilícito, embora o bem jurídico violado não esteja necessariamente ligado à informática, configurando-se como crimes não informáticos que utilizam os meios digitais como instrumento de sua prática (Vianna, 2003).
De acordo com Simão Filho (2005), ao analisar os fatores criminógenos, a classificação proposta por Croze e Biscunth se destaca ao dividir os crimes de informática em duas categorias principais. A primeira, são dos atos dirigidos contra um sistema de informática, considerados o verdadeiro núcleo da criminalidade informática, pois envolvem ações que atentam diretamente contra o próprio material informático, como os suportes lógicos e os dados dos computadores.
A segunda categoria, por sua vez, engloba atos que atentam contra outros valores sociais ou bens jurídicos, cometidos com o auxílio de um sistema de informática. Nessa classificação, os crimes não envolvem diretamente o sistema informático, mas são facilitados ou consumados através do uso da tecnologia (Simão Filho, 2005).
Após a exposição das classificações doutrinárias dos crimes virtuais, conforme abordado por Furlaneto Neto e Guimarães (2003, apud Marra, 2019), é pertinente destacar o Décimo Congresso sobre Prevenção de Delitos e Tratamento de Delinquentes, realizado em Viena.
Neste evento, a Organização das Nações Unidas (ONU) identificou tipos específicos de crimes informáticos, como espionagem industrial, sabotagem de sistemas, vandalismo de dados, phishing, técnicas para violação de segredos de segurança, pornografia infantil, fraude no comércio eletrônico e lavagem de dinheiro, os quais evidenciam a crescente sofisticação das infrações no ambiente digital. (Furlaneto Neto e Guimarães, 2003, apud Marra, 2019).
Nota-se que, há mais de dez anos, tal cenário já impunha a necessidade de revisão das normas jurídicas vigentes, com o objetivo de adaptá-las aos novos modelos de criminalidade cibernética.
3.1 Ataques de Phishing: Como a IA Aperfeiçoa Técnicas Fraudulentas
Conforme discutido nas seções anteriores, a evolução da Inteligência Artificial (IA) nos últimos anos tem gerado um impacto considerável na segurança cibernética, impulsionando tanto a capacidade de proteção quanto à sofisticação dos ataques maliciosos.
Dentro deste cenário, destacam-se os ataques de phishing, uma técnica de engenharia social, amplamente reconhecida por sua capacidade de enganar usuários com o intuito de obter informações confidenciais, com o auxílio da IA, tais ataques tornaram-se mais automatizados, personalizados e eficazes, o que torna ainda mais desafiadora sua detecção e prevenção (Birthriya et al., 2025).
Fonseca (2009) classifica o phishing como uma das formas mais antigas e persistentes de ataque cibernético, desde a década de 1990, essa modalidade se mantém como um dos principais vetores de fraudes digitais, baseando-se na simulação de interações legítimas para induzir a vítima a fornecer dados pessoais ou financeiros.
Segundo Soares (2024), o phishing pode ser executado por meio de links falsificados, páginas fraudulentas ou arquivos maliciosos, com o objetivo final de roubo de dados ou obtenção de acesso indevido a informações confidenciais, tal técnica se configura, portanto, como uma estratégia de engenharia social que explora a confiança e os comportamentos humanos para alcançar fins ilícitos.
Importante observar que, frequentemente, a efetivação da fraude requer a coleta prévia de dados das vítimas, processo que é facilitado por métodos como o scraping. Ferreira Fredes (2022) cita o caso de 2020, no qual ocorreram o vazamento de dados de aproximadamente 235 milhões de usuários das plataformas YouTube, Instagram e TikTok, episódio que ganhou notoriedade no meio digital.
Entretanto, como expõe Belli (2023), o caso mais emblemático talvez seja o escândalo envolvendo a Cambridge Analytica, no qual informações extraídas de perfis do Facebook foram utilizadas para gerar perfis comportamentais de eleitores. No mesmo contexto, é relevante mencionar o fenômeno do Spear Phishing, que se distingue por sua abordagem direcionada a grupos específicos, como funcionários governamentais, clientes de empresas ou indivíduos com relevância estratégica, o objetivo desses ataques é acessar informações sensíveis e arquivos confidenciais, comprometendo a segurança das entidades visadas.
De acordo com Tonezer et al. (2023), existem diversas variações do phishing, cada uma com características e alvos distintos, um dos tipos mais comuns é o Scam, no qual os atacantes induzem a vítima a fornecer informações pessoais, como credenciais bancárias, senhas e dados de cartões de crédito. Isso ocorre geralmente por meio da abertura de links fraudulentos ou do download de arquivos maliciosos.
Outra variação, o Blind Phishing, caracteriza-se pelo envio massivo e aleatório de e-mails contendo armadilhas virtuais, com os criminosos confiando na possibilidade de que, em meio ao grande número de mensagens enviadas, ao menos uma vítima cederá ao golpe (Tonezer et al., 2023).
O Clone Phishing, por sua vez, baseia-se na reprodução de sites legítimos, com o intuito de enganar os usuários e obter informações sensíveis, como números de cartões de crédito. A vítima, ao acreditar estar interagindo com um site verdadeiro, acaba fornecendo seus dados pessoais sem suspeitar da fraude, após a interação, o usuário pode ser redirecionado para a página original sem perceber a violação (Tonezer et al., 2023).
Entre as formas mais sofisticadas, destaca-se o Whaling, que tem como alvo indivíduos de alto escalão corporativo, nessa modalidade, os criminosos utilizam-se de ameaças judiciais ou notificações empresariais fraudulentas para explorar a autoridade de figuras influentes, induzindo-as a cumprir exigências sem questionar a legitimidade da solicitação (Tonezer et al., 2023).
Outra variação relevante é o vishing, que se caracteriza pelo uso de chamadas telefônicas ou mensagens SMS com a intenção de enganar as vítimas, frequentemente, os infratores simulam bloqueios em cartões bancários e solicitam que as vítimas entrem em contato com um número fraudulento, induzindo-as a fornecer informações pessoais, como dados bancários e senhas (Tonezer et al., 2023).
Com o avanço das técnicas de deepfake, é possível observar que os ataques de phishing não se restringem mais aos tradicionais e-mails e mensagens de texto. A utilização da Inteligência Artificial (IA) para sintetizar vozes e imagens tem permitido que os criminosos realizem ataques cada vez mais sofisticados, como os ataques de vishing (phishing por voz), que recorrem a chamadas telefônicas fraudulentas e vídeos manipulados. Nesse sentido, os criminosos têm utilizado a IA para replicar as vozes de executivos e outras figuras de autoridade dentro de empresas, com o objetivo de persuadir funcionários a fornecer informações confidenciais ou realizar transferências financeiras.
Conforme elucidado pelo Instituto Brasileiro de Cibersegurança (2024), o vishing, ou phishing de voz, faz uso de softwares de síntese de voz para deixar mensagens de voz notificando a vítima sobre atividades suspeitas em suas contas bancárias ou de crédito. A mensagem, então, solicita que a vítima retorne a ligação para verificar sua identidade, comprometendo assim as credenciais de acesso à sua conta.
Em paralelo, o smishing direciona-se aos dispositivos móveis, utilizando-se de mensagens de texto com o propósito de induzir as vítimas a revelarem credenciais de suas contas ou, ainda, a instalar malwares em seus dispositivos. O eFax, por sua vez, refere-se a uma versão digitalizada de um fax tradicional, sendo uma tecnologia que, embora não esteja diretamente associada aos ataques de phishing, se insere no contexto de vulnerabilidades digitais (Instituto Brasileiro de Cibersegurança, 2024).
Conforme expõem Santos e Vasconcelos (2024), o vishing, também denominado phishing por voz, caracteriza-se como uma modalidade de ataque cibernético que visa explorar as comunicações de voz para enganar as vítimas e obter informações confidenciais, nesse contexto, destacam-se diversas estratégias comumente empregadas pelos criminosos, entre as quais se incluem a engenharia social por voz.
Nesse caso, os atacantes se fazem passar por entidades reputáveis, como instituições financeiras, serviços de suporte técnico ou órgãos governamentais, utilizando-se de técnicas de manipulação psicológica para induzir as vítimas a revelarem dados sensíveis, tais como senhas, números de cartões de crédito ou informações bancárias (Santos; Vasconcelos, 2024).
Outra tática amplamente utilizada é o spoofing de chamadas, que consiste na ocultação da identidade real do criminoso, mascarando o número de telefone de origem e falsificando o identificador de chamadas (Caller ID). Tal prática tem como objetivo fazer com que a vítima acredite que a ligação provém de uma fonte legítima. Adicionalmente, técnicas como o VoIP (Voice over IP) podem ser empregadas para disfarçar a origem da chamada (Santos; Vasconcelos, 2024).
Em alguns casos, os criminosos recorrem a gravações de voz pré-gravadas ou à síntese de voz, a fim de criar chamadas de phishing mais convincentes, imitando a voz de uma figura de autoridade ou de um sistema automatizado, tornando a comunicação ainda mais persuasiva (Santos; Vasconcelos, 2024).
Por sua vez, o pharming refere-se à manipulação do sistema de nomes de domínio (DNS) com o intuito de redirecionar os usuários para sites fraudulentos, sem que estes percebam qualquer discrepância ao digitar a URL correta. Essa modalidade distingue-se por sua elevada periculosidade, uma vez que pode afetar um grande número de indivíduos simultaneamente (Tonezer et al., 2023).
Outra variação do phishing, conhecida como smishing, foca no envio de mensagens SMS com o objetivo de pressionar psicologicamente as vítimas. Essas mensagens frequentemente contêm falsas cobranças, promessas de prêmios ou notificações urgentes que demandam uma ação imediata da vítima (Tonezer et al., 2023).
Conforme assinalado por Santos e Vasconcelos (2024), o phishing pode ser concebido como um processo que se desdobra em cinco estágios essenciais: no estágio de planejamento, são identificados o alvo e as informações a serem obtidas; em seguida, ocorre o estágio de phishing, que envolve a coleta de dados confidenciais; no estágio de infiltração, o alvo responde ao ataque e revela as informações; no estágio de coleta e exploração de dados, o criminoso utiliza as informações extraídas para alcançar seus objetivos; por fim, ocorre a exfiltração, momento em que as evidências do ataque são removidas.
Observa-se que o impacto do ataque pode variar conforme o número de vítimas atingidas, sendo que a abordagem mais eficaz é aquela que foca em um único indivíduo. Diversas técnicas podem ser utilizadas, como a criação de sites falsos ou o envio de links maliciosos (Santos; Vasconcelos, 2024).
É importante ressaltar a relevância da engenharia social, que, ao contrário das abordagens técnicas, explora as vulnerabilidades humanas. Através de técnicas de influência e persuasão, os criminosos manipulam as vítimas de forma a convencê-las a fornecer informações sensíveis. Conforme destacado por Rosa et al. (2012), essa técnica envolve manipulação psicológica com o intuito de fazer com que a vítima confie no atacante e, por conseguinte, atenda às suas solicitações, sem perceber que está sendo alvo de um esquema fraudulento.
4. OS DESAFIOS LEGAIS E ÉTICOS NO COMBATE AO USO DE IA EM CRIMES CIBERNÉTICOS
A ascensão da inteligência artificial (IA) no contexto digital contemporâneo trouxe significativos desafios à responsabilização jurídica por crimes cibernéticos, a natureza autônoma e adaptativa desses sistemas levanta uma série de questionamentos sobre quem deve responder pelas condutas ilícitas mediadas por algoritmos, se os desenvolvedores, os operadores, os usuários ou, de maneira ainda controversa, os próprios sistemas automatizados.
Segundo Christian Lexcellent (2019), a IA representa um novo paradigma na relação entre homem e máquina, à medida que os sistemas passam a agir de forma cada vez mais independente, no entanto, o ordenamento jurídico tradicional, estruturado sobre a ideia de autoria humana consciente e voluntária, mostra-se insuficiente para lidar com ações praticadas por agentes não humanos, mesmo que estas tenham consequências jurídicas concretas.
Dessa forma, uma das principais dificuldades reside na identificação do nexo causal entre a ação do sistema inteligente e o resultado lesivo, de acordo com Blasimme e Vayena (2020), os algoritmos de aprendizado de máquina operam por meio de padrões probabilísticos e, muitas vezes, tornam-se verdadeiras “caixas-pretas”, o que significa que nem mesmo seus desenvolvedores conseguem prever com precisão os resultados de suas decisões, tal opacidade compromete o princípio da imputabilidade, exigido para a responsabilização penal.
A responsabilidade objetiva, tradicionalmente aplicada a atividades de risco, como no caso do Código de Defesa do Consumidor (Lei nº 8.078/1990), tem sido sugerida como alternativa para lidar com danos causados por IA, contudo, essa solução não resolve o problema da autoria nos crimes cibernéticos, especialmente em casos de deepfakes, spear phishing e ataques autônomos de malware, Fidelis e Soares (2023) advertem que, ao se permitir a expansão da responsabilidade objetiva sem critérios técnicos claros, corre-se o risco de punir injustamente agentes que não têm qualquer controle direto sobre os atos praticados por inteligências artificiais.
Além disso, a legislação brasileira ainda caminha lentamente na atualização de seus dispositivos, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e o Marco Civil da Internet (Lei nº 12.965/2014) fornecem diretrizes para a responsabilização em caso de vazamento ou uso indevido de dados, mas não tratam, de forma específica, dos crimes praticados por meio de IA. Como destaca Luca Belli (2023), a ausência de um marco regulatório claro sobre IA e cibersegurança deixa lacunas que são exploradas por agentes mal-intencionados.
No contexto internacional, alguns países vêm avançando na elaboração de normas específicas, a União Europeia, por exemplo, propôs em 2021 o Artificial Intelligence Act, que estabelece regras para o uso de IA com base no grau de risco que representam para os direitos fundamentais, no entanto, conforme Hartmann (2020), a adoção dessas diretrizes ainda esbarra em divergências políticas e econômicas, além de exigir infraestrutura técnica e jurídica para sua implementação local, o que não é realidade em muitos países, incluindo o Brasil.
Outro ponto sensível é a possibilidade de se atribuir responsabilidade penal a pessoas jurídicas que desenvolvem ou comercializam sistemas de IA utilizados para fins ilícitos. Tal ideia remete à teoria da responsabilidade penal da pessoa jurídica, consagrada em matéria ambiental pela Constituição de 1988, mas ainda pouco consolidada no campo da criminalidade cibernética, para Lopes (2024), o debate deve avançar no sentido de diferenciar a conduta dolosa da negligente, avaliando a previsibilidade dos riscos envolvidos no desenvolvimento e na comercialização de tecnologias inteligentes.
Não menos importante é a necessidade de cooperação internacional, uma vez que muitos crimes cibernéticos ultrapassam fronteiras físicas. Dobler (2023) argumenta que a efetiva responsabilização depende da harmonização legislativa entre os países e da existência de tratados que permitam a investigação e punição de condutas praticadas por atores localizados em diferentes jurisdições. Entretanto, a morosidade das negociações diplomáticas e os conflitos de soberania nacional ainda são obstáculos relevantes.
Ademais, a aplicação da IA na produção e disseminação de conteúdos falsos, como os deepfake, compromete a integridade de provas digitais. De Souza (2024) ressalta que vídeos manipulados podem ser utilizados para incriminar inocentes ou obscurecer a verdade dos fatos, o que coloca em xeque o devido processo legal e o direito à ampla defesa. Tal realidade exige a adoção de ferramentas forenses capazes de identificar adulterações, bem como normas que estabeleçam a validade probatória de conteúdos gerados por IA.
No campo doutrinário, Abrusio e Tonin (2024) defendem a necessidade de criação de um novo regime jurídico para a IA, que contemple regras específicas para responsabilidade civil, penal e administrativa. Os autores propõem, entre outras medidas, a exigência de auditorias regulares em algoritmos utilizados em setores sensíveis, como saúde, segurança pública e finanças, além da obrigação de transparência nos critérios de funcionamento desses sistemas.
É importante também considerar o papel do Judiciário na construção jurisprudencial sobre a matéria, ainda que de forma tímida, tribunais brasileiros têm se deparado com casos envolvendo IA, sobretudo relacionados à proteção de dados e falhas em sistemas automatizados. Segundo Magrani (2019), a ausência de precedentes sólidos dificulta a uniformização das decisões e gera insegurança jurídica, reforçando a necessidade de capacitação dos operadores do Direito.
5. CONSIDERAÇÕES FINAIS
A presente pesquisa permitiu compreender que o avanço acelerado da inteligência artificial tem provocado não apenas transformações positivas na sociedade, mas também desafios complexos no campo jurídico, especialmente no que se refere aos crimes cibernéticos, a IA, ao ser utilizada como ferramenta por cibercriminosos, têm potencializado a sofisticação, o alcance e a eficácia de ataques virtuais, dificultando a prevenção, a detecção e a responsabilização penal dessas condutas.
Verificou-se que o ordenamento jurídico brasileiro ainda carece de mecanismos específicos e atualizados para lidar com as novas formas de criminalidade digital mediada por inteligência artificial. Leis como a Lei Carolina Dieckmann e o Marco Civil da Internet representam importantes marcos legais, porém são insuficientes diante da complexidade técnica e da velocidade com que essas tecnologias evoluem, o desafio da responsabilização jurídica é agravado pelo caráter autônomo de muitos sistemas de IA, pela dificuldade em estabelecer o nexo de causalidade e pela possibilidade de transnacionalidade dos delitos.
Nesse sentido, destaca-se a importância de avançar na construção de um marco regulatório próprio e moderno para o uso da IA, que contemple a ética, a transparência, a prestação de contas e a proteção de direitos fundamentais, além disso, é essencial fomentar a capacitação dos operadores do Direito para que possam interpretar e aplicar a legislação de maneira eficaz diante das novas demandas tecnológicas.
Portanto, conclui-se que o enfrentamento dos crimes cibernéticos potencializados pela IA exige uma abordagem multidisciplinar e cooperativa entre o Direito, a tecnologia e a sociedade, somente com legislações atualizadas, instrumentos jurídicos eficazes e uma atuação conjunta entre os poderes públicos, setor privado e sociedade civil será possível garantir segurança jurídica, proteção dos dados e respeito aos direitos fundamentais em uma era cada vez mais digital.
REFERÊNCIAS BIBLIOGRÁFICAS
ABRUSIO, Juliana; TONIN, Chiara. Inteligência artificial: desafios, regulação e governança. São Paulo: Editora Senac, 2024.
ASIMOV, Isaac. Histórias de robôs. L&PM Editora, Porto Alegre: 2010
BELLI, Luca. Cibersegurança: uma visão sistêmica rumo a uma proposta de marco regulatório para um Brasil digitalmente soberano. Rio de Janeiro: Editora FGV Direito Rio, 2023. Disponível em: https://www.researchgate.net/profile/ninadahora/publication/371753843_ciberseguranca_uma_visao_sistemica_rumo_a_uma_proposta_de_marco_regulatorio_para_um_brasil_digitalmente_soberano/links/655bd2d7b86a1d521bfab9ac/ciberseguranca-uma-visao-sistemica-rumo-a-uma-proposta-de-marco-regulatorio-para-um-brasil-digitalmente-soberano.pdf. Acesso em: 02 mar. 2025.
BISPO, Adrielle da Silva; BINTO, Emanuel Vieira. Crimes cibernéticos: da ineficácia da Lei Carolina Dieckmann na prática de crimes virtuais. Revista Ibero-Americana de Humanidades, Ciências e Educação, v. 9, n. 11, p. 354–369, 2023. Disponível em: https://periodicorease.pro.br/rease/article/view/12291. Acesso em: 15 mar. 2025.
BLASIMME, Alessandro; VAYENA, Effy. The Ethics of AI in Biomedical Research, Patient Care and Public Health. In: DUBBER, Markus D.; PASQUALE, Frank; DAS, Sunit (eds.). The Oxford Handbook of Ethics of Artificial Intelligence (Forthcoming), 2020.
BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 – Código Penal; e dá outras providências. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm. Acesso em: 15 mar. 2025.
BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 – Código Penal; e dá outras providências. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm. Acesso em: 12 mar. 2025.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 09 mar. 2025.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília: 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 23 de set. de 2024.
CASSANTI, Moisés de Oliveira. Crimes virtuais, vítimas reais. Rio de Janeiro: Editora Brasport, 2014.
CHAVES JUNIOR, A.; GUASQUE, B.; PÁDUA, T.S.A. Segregação racial e vieses algorítmicos: máquinas racistas no âmbito do controle penal. Revista Brasileira de Direito, Passo Fundo, v. 19, n. 2, p. e4768, set. 2023.
COSTA, Marco Aurélio Rodrigues. Crimes de informática. Revista Jus Navigandi, Teresina, ano 2, n. -2249, 5 mai. 1997. Disponível em: https://jus.com.br/artigos/1826. Acesso em: 11 fev. 2025.
COWLS, Josh. Deciding How to Decide: Six Key Questions for Reducing AI’s democratic Deficit In: BURR, Christopher; MILANO, Silvia (eds.). The 2019 Yearbook of the Digital Ethics Lab. Cham: Springer, 2020, p. 101-116.
DA SILVA, Patrícia Santos; SILVA, Matheus Passos. Direito e crime cibernético: análise da competência em razão do lugar no julgamento de ações penais. Brasília: Editora Vestnik, 2015.
DANAHER, John. The rise of the robots and the crisis of moral patience. AI & Society, n. 34, p. 129–136, 2019.
DE ALMEIDA SOUZA, Jaqueline Patrícia; DE MORAES, Maria José.
Fortalezas e fragilidades no uso da inteligência artificial na cibersegurança. Revista Tecnológica da Fatec de Americana, v. 9, n. 02, p. 25-40, 2021. Disponível em: https://fatec.edu.br/revista/index.php/RTecFatecAM/article/view/284. Acesso em: 24 fev. 2025.
DE SOUZA, Carlos Eduardo. Verdade Algorítmica: Desvendando Fake News Nas Redes Sociais. São Paulo: Editora Estação das Letras e Cores, 2024.
DOBLER, Kellen. Cooperação internacional em matéria penal e o crime cibernético no Brasil. 2023. 159 f. Dissertação (Mestrado em Direito) – Faculdade de Direito, Universidade do Estado do Rio de Janeiro, Rio de Janeiro, 2023. Disponível em: https://www.bdtd.uerj.br:8443/handle/1/22382. Acesso em: 11 fev. 2025.
FERREIRA FREDES, Andrei. Liberdade de expressão, direito à informação e redes sociais: regulação constitucionalmente adequada sobre a moderação de conteúdo na construção de um espaço virtual democrático e plural. 2022. 312 f. Tese (Doutorado em Direito) – Universidad de Granada, 2022. Disponível em:https://digibug.ugr.es/bitstream/handle/10481/75946/101953%281%29.pdf?sequence=4&isAllowed=y. Acesso em: 02 mar. 2025.
FIDELIS, Vanderson Cadete; SOARES, Douglas Verbicaro. Os desafios do ordenamento jurídico brasileiro frente às deepfakes. Revista Pensamento Jurídico, v. 17, n. 1, 2023. Disponível em: https://ojs.unialfa.com.br/index.php/pensamentojuridico/article/view/711. Acesso em: 22 fev. 2025.
FLORIDI, Luciano. What the near future of Artificial Intelligence Could Be In: BURR, Christopher; MILANO, Silvia (eds.). The 2019 Yearbook of the Digital Ethics Lab. Cham: Springer, 2020, p. 127-142
FONSECA, Paula Fernanda. Gestão de segurança da informação: o fator humano. 2009. Monografia (Pós-Graduação em Redes e Segurança de Computadores) – Pontifícia Universidade Católica do Paraná, Curitiba, 2009. Disponível em: http://cursosavante.com.br/cursos/curso533/conteudo7486.pdf. Acesso em: 03 mar. 2025
FRANCISCO, João. A criminalidade informática: análise do sistema jurídico angolano. Revista Eletrônica de Direito Penal e Política Criminal, v. 12, n. 1/2, p. 15-36, 2024. Disponível em: https://seer.ufrgs.br/redppc/article/view/137821. Acesso em: 11 fev. 2025.
HARTMANN, Fabiano. Inteligência artificial e direito: convergência ética e estratégica. Curitiba: Alteridade, 2020.
IBSEC. Ataques de phishing: o que são e como funcionam? 2024. Disponível em: https://ibsec.com.br/ataques-de-phishing-o-que-sao-e-como-funcionam/. Acesso em: 3 mar. 2025.
JÚNIOR, Dioclécio Campos. Desconstrução da humanidade: Reflexões sobre o mundo atual. São Paulo: Editora Chiado Brasil, 2019.
LEITE DA SILVA, Júlio Cezar Barreto. Guerra cibernética: a guerra no quinto domínio, conceituação e princípios. Esc Guerra Naval, Rio de Janeiro, v. 20, n. 1, p. 193-210, jan./jun. 2014.
LEXCELLENT, Christian. Artificial Intelligence versus Human Intelligence: Are Humans Going to Be Hacked? Cham: Springer, 2019.
LI, D.; DU, Y. Artificial Intelligence with Uncertainty. Florida, USA: CRC Press – Taylor & Francis Group, 2017.
LOPES, Líliam dos Reis. Crimes cibernéticos e direito penal: a regulação e a resposta jurídica ao crime no ambiente digital. IOSR Journal of Business and Management (IOSR-JBM), v. 26, n. 11, ser. 8, nov. 2024, p. 01-11. Disponível em: www.iosrjournals.org. Acesso em: 22 fev.2025.
MAGRANI, Eduardo. Entre Dados e Robôs: A Ética Das “Coisas”: da Ética do Discurso e Racionalidade Comunicativa ao Novo Materialismo de Sistemas Sociotécnicos. 2 ed. Porto Alegre: Arquipélago, 2019.
MAIA FILHO, Mamede Said e JUNQUILHO, Tainá Aguiar. Projeto Victor: perspectivas de aplicação da inteligência artificial ao direito. R. Dir. Gar. Fund., Vitória, v. 19, n. 3, p. 219- 238, set./dez. 2018.
MENDES, R. D. Inteligência artificial: sistemas especialistas no gerenciamento da informação. Ciência da Informação, Brasília, v. 26, n. 1, p. 39-45, jan./abr. 1997.
MONTEL, Izadora Fonseca; DE PAIVA, Jaqueline de Kassia Ribeiro. Crimes cibernéticos: panorama legislativo. Revista Ibero-Americana de Humanidades, Ciências e Educação, v. 10, n. 11, p. 4495-4523, 2024. Disponível em: https://periodicorease.pro.br/rease/article/view/17070. Acesso em: 12 mar. 2025.
PASCUAL, D. Á. Inteligencia artificial: un panorama de algunos de sus desafíos éticos y jurídicos. Girona: Universitat de Girona, 2017.
PEREIRA, Arthur Martins; DA COSTA ADANIYA, Mário Henrique Akihiko. Proteção de bens digitais contra pirataria e plágio: tendências futuras e os problemas enfrentados. Revista Terra & Cultura: Cadernos de Ensino e Pesquisa, v. 40, n. especial, p. 187-208, 2024. Disponível em: http://publicacoes.unifil.br/index.php/Revistateste/article/view/3161. Acesso em:
PINHEIRO, Reginaldo César. Os crimes virtuais na esfera jurídica brasileira. Revista IBCCrim, v. 101, p. 18-19, abr. 2001. Disponível em: https://arquivo.ibccrim.org.br/site/boletim/pdfs/Boletim101.pdf. Acesso em: 11 fev. 2025.
ROSA, Adriano Carlos Moraes; SILVA, Clayton Silvestre da; CHAIM, Daniel Faria; CARVALHO, Roberto José; CHIMENDES, Vanessa Cristhina Gatto. Engenharia social: o elo mais frágil da segurança nas empresas. Revista Brasileira de Contabilidade e Gestão, Ibirama, v. 1, n. 2, p. 29–40, 2012. Disponível em: https://www.revistas.udesc.br/index.php/reavi/article/view/2840. Acesso em: 5 mar. 2025.