REGISTRO DOI: 10.69849/revistaft/ni10202510181750
Ana Regina Ferreira de Lacerda1
Vinicius Soares Rocha2
Andréia Alves de Almeida3
RESUMO
Durante a pandemia da COVID-19, o Brasil testemunhou uma intensificação significativa no uso da internet, impulsionada pela necessidade de adaptação a novas formas de trabalho, educação e consumo. Essa transformação digital, embora tenha proporcionado benefícios, também expôs vulnerabilidades no ambiente cibernético, resultando em um aumento alarmante de crimes digitais. Para tanto a problemática consiste em verificar se a estrutura jurídica é suficiente para combater e punir os cibercrimes, considerando o avanço da tecnologia e a digitalização de serviços financeiros? Quanto ao objetivo geral será analisar o aumento dos cibercrimes no Brasil, com ênfase nas fraudes digitais durante a pandemia da COVID-19 e no período pós-pandêmico, bem como as respostas jurídicas para enfrentá-los. E os objetivos específicos: Identificar os fatores que contribuíram para o aumento das fraudes digitais no Brasil durante a pandemia; examinar as mudanças legislativas e regulatórias no combate aos crimes cibernéticos no Brasil; avaliar a efetividade das leis atuais na punição e prevenção de fraudes digitais e analisar os desafios enfrentados pelas autoridades na investigação e repressão dos cibercrimes. Quanto a metodologia adota-se um estudo de natureza qualitativa e exploratória, voltada para o levantamento e a análise de dados normativos, doutrinários e estatísticos relacionados aos crimes digitais, através da pesquisa bibliográfica e à proteção da segurança da informação no Brasil e em modelos internacionais.
Palavras-chave: Cibercrimes. Fraudes digitais. COVID-19. Segurança da informação; Legislação brasileira. Crimes virtuais.
ABSTRACT
During the COVID-19 pandemic, Brazil experienced a significant increase in internet usage, driven by the need to adapt to new forms of work, education, and consumption. Although this digital transformation brought numerous benefits, it also exposed vulnerabilities in the cyberspace, leading to a worrying rise in digital crimes. The central issue of this study is to investigate whether the Brazilian legal framework is sufficient to combat and punish cybercrimes, considering the rapid advancement of technology and the digitalization of financial services. The main objective is to analyze the increase in cybercrimes in Brazil, focusing on digital frauds during the COVID-19 pandemic and the post-pandemic period, as well as the legal responses to address them. Specifically, the research aims to identify the factors that contributed to the rise in digital fraud, examine legislative and regulatory changes in combating cybercrimes, assess the effectiveness of current laws in punishing and preventing these crimes, and analyze the challenges faced by authorities in investigating and repressing cybercriminal activities. The methodology adopted is qualitative and exploratory, based on the collection and analysis of normative, doctrinal, and statistical data related to digital crimes, through bibliographic research and the evaluation of information security protection both in Brazil and in international models.
Keywords: Cibercrimes; Fraudes digitais; COVID-19; Segurança da informação; Legislação brasileira; Crimes virtuais.
O crescimento dos cibercrimes durante o período pandêmico evidenciou a necessidade de um arcabouço jurídico robusto para combater tais delitos. O Marco Civil da Internet, estabelecido pela Lei nº 12.965/2014 estabelece princípios como a proteção da privacidade e dos dados pessoais são essenciais para o uso seguro da internet no Brasil.
Complementando essa proteção, a Lei Geral de Proteção de Dados Pessoais (LGPD) Lei nº 13.709/2021 busca regulamentar o tratamento de informações pessoais, garantindo os direitos fundamentais de liberdade e privacidade. Ainda, em resposta ao aumento dos crimes digitais durante a pandemia, foi sancionada a Lei nº 14.155/2021, que agravou penas para delitos cibernéticos, como invasão de dispositivos eletrônicos e estelionato virtual.
Apesar dessas medidas legais, o combate às fraudes digitais no Brasil enfrenta desafios significativos. A identificação e punição dos criminosos continua sendo dificultada pelo caráter anônimo e transnacional das práticas cibernéticas.
Em comparação internacional, diversos países adotaram medidas robustas de combate aos crimes cibernéticos. A União Europeia, por exemplo, estabeleceu o Regulamento Geral sobre a Proteção de Dados (GDPR), que serve de referência para legislações de proteção de dados em todo o mundo. Comparar o cenário brasileiro com normas internacionais, como o GDPR, permite identificar pontos de melhoria e novas estratégias para reforçar a segurança digital nacional.
Diante disso, surge a seguinte problemática: A estrutura jurídica é suficiente para combater e punir os cibercrimes, considerando o avanço da tecnologia e a digitalização de serviços financeiros?
Nesse contexto, duas hipóteses são levantadas. O aumento da utilização intensiva de transações online e serviços digitais durante o pico da pandemia de COVID-19 criou um ambiente propício para o aumento de fraudes cibernéticas no Brasil. A rápida digitalização da sociedade brasileira durante a pandemia superou a capacidade de implementação de medidas de segurança cibernética eficazes, contribuindo para o aumento de fraudes online e a exploração de temas relacionados a pandemia, como auxílios emergenciais, e informações de saúde, foram amplamente utilizadas por fraudadores para cometerem crimes cibernéticos no Brasil.
Dessa forma, o presente estudo tem como objetivo geral analisar se a atual estrutura jurídica brasileira é suficiente e eficaz para prevenir, combater e punir os cibercrimes, especialmente no contexto do avanço tecnológico e da digitalização dos serviços financeiros.
Já os objetivos específicos são: Identificar os fatores que contribuíram para o aumento das fraudes digitais no Brasil durante a pandemia; examinar as mudanças legislativas e regulatórias no combate aos crimes cibernéticos no Brasil; avaliar a efetividade das leis atuais na punição e prevenção de fraudes digitais e analisar os desafios enfrentados pelas autoridades na investigação e repressão dos cibercrimes.
Por outro lado, este estudo se justifica em razão do aumento dos crimes cibernéticos no Brasil durante e após a pandemia da COVID-19 evidencia a necessidade de compreender as mudanças no cenário digital e seus impactos na segurança da informação.
A intensificação do uso da internet e a rápida adaptação dos criminosos ao ambiente virtual expuseram fragilidades legislativas e institucionais, dificultando o enfrentamento eficaz desses delitos.
Apesar dos avanços legais, como o Marco Civil da Internet, a Lei Geral de Proteção de Dados e a Lei nº 14.155/2021, ainda existem desafios quanto à aplicação prática e à capacidade do sistema jurídico de acompanhar a evolução tecnológica. Nesse contexto, esta pesquisa busca analisar as dificuldades enfrentadas pelo Brasil no combate aos crimes cibernéticos e propor soluções que envolvam atualização legislativa, fortalecimento das instituições e maior conscientização sobre segurança digital.
O primeiro capítulo abordará a regulamentação e os desafios dos cibercrimes no Brasil, analisando a evolução legislativa, com destaque para o Marco Civil da Internet, a Lei Geral de Proteção de Dados e a Lei nº 14.155/2021. Serão discutidas também as dificuldades enfrentadas pelas autoridades na investigação, prevenção e repressão das fraudes digitais, especialmente diante do avanço tecnológico e da crescente sofisticação dos ataques.
O segundo capítulo tratará da proteção do consumidor e da segurança digital, examinando as vulnerabilidades dos usuários diante de golpes eletrônicos, as medidas preventivas adotadas por órgãos de defesa e instituições financeiras e a importância da conscientização da população sobre os riscos e cuidados no ambiente virtual.
Por fim, o terceiro capítulo abordará a experiência internacional no combate aos cibercrimes, analisando brevemente modelos bem-sucedidos de prevenção e repressão adotados por outros países e destacando possíveis estratégias que podem ser adaptadas ao contexto brasileiro.
A metodologia utilizada para o desenvolvimento deste estudo será de natureza qualitativa e exploratória, voltada para o levantamento e a análise de dados normativos, doutrinários e estatísticos relacionados aos crimes digitais e à proteção da segurança da informação no Brasil e em modelos internacionais. A pesquisa será realizada por meio de levantamento bibliográfico e documental, abrangendo doutrinas jurídicas pertinentes à temática dos cibercrimes, da segurança da informação e da proteção de dados pessoais, bem como da legislação brasileira e internacional aplicável à repressão dos crimes digitais.
A pesquisa bibliográfica consistirá na análise de livros, artigos científicos, teses e dissertações que abordam aspectos jurídicos relacionados aos crimes digitais, à proteção de dados e à segurança cibernética, permitindo uma base teórica sólida para a compreensão do tema.
2. REGULAMENTAÇÃO E DESAFIOS DOS CIBERCRIMES NO BRASIL
A regulamentação dos crimes cibernéticos no Brasil passou por um processo de evolução gradual, que acompanhou o avanço das tecnologias de informação e comunicação e a crescente utilização da internet para atividades pessoais, profissionais e financeiras. O primeiro marco relevante nessa trajetória foi a Lei nº 12.737/2012, conhecida como Lei Carolina Dieckmann (Brasil, 2012), que introduziu no Código Penal a tipificação de condutas ligadas à invasão de dispositivos informáticos, à interrupção de serviços telemáticos e à obtenção indevida de dados pessoais.
Essa lei representou um avanço importante ao reconhecer a especificidade das práticas criminosas digitais, ainda que tenha sido aprovada em resposta a um caso concreto de grande repercussão social. Ao mesmo tempo em que abriu caminho para a consolidação de um arcabouço jurídico sobre cibercrimes, evidenciou as dificuldades do ordenamento em acompanhar a velocidade com que novas modalidades de fraudes emergem no espaço virtual (Goulart; Dos Santos Cordova, 2024).
Posteriormente, a consolidação de princípios fundamentais sobre direitos e deveres no uso da internet ocorreu com a promulgação da Lei nº 12.965/2014, o Marco Civil da Internet. Esse diploma estabeleceu balizas como a neutralidade de rede, a proteção da privacidade e a inviolabilidade das comunicações, ao mesmo tempo em que regulamentou a guarda de registros de acesso e a responsabilidade dos provedores. Embora não trate especificamente de tipificação penal, sua contribuição para o combate aos crimes digitais está na criação de uma estrutura de governança da internet que fornece instrumentos para a investigação de ilícitos.
No entanto, desafios práticos persistem, sobretudo no equilíbrio entre a proteção da intimidade e a necessidade de coleta de provas para a persecução penal, uma tensão que se manifesta em disputas judiciais frequentes envolvendo pedidos de acesso a dados armazenados por plataformas digitais (Brasil, 2014).
A Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada em 2018 e em vigor a partir de 2020, trouxe uma dimensão adicional ao enfrentamento dos cibercrimes no Brasil. Regulamentando o tratamento de informações pessoais, a lei reforçou a importância da segurança da informação e da transparência na coleta e processamento de dados.
Ao estabelecer direitos aos titulares, como o acesso e a eliminação de dados, e ao criar obrigações rigorosas para empresas e instituições, a LGPD colocou a proteção de dados no centro da agenda regulatória. O impacto dessa legislação vai além do campo administrativo, pois fragilidades no cumprimento das exigências podem abrir espaço para incidentes de segurança que alimentam atividades criminosas. Apesar disso, o grande desafio é a aplicação efetiva da norma em um país de dimensões continentais e com baixo nível de cultura digital entre a população, o que exige investimentos constantes em educação e capacitação (Brasil, 2018).
Com o agravamento dos crimes cibernéticos, especialmente durante a pandemia de COVID-19, o legislador aprovou a Lei nº 14.155/2021, que modificou o Código Penal para aumentar as penas de delitos praticados por meios eletrônicos. Essa lei reforçou a punição de crimes como estelionato virtual e invasão de dispositivos informáticos, ampliando o alcance das normas diante da sofisticação das condutas criminosas.
Embora tenha sido um avanço, muitos especialistas apontam que o aumento da pena não é suficiente para conter a expansão desses delitos, uma vez que a impunidade ainda é grande, principalmente devido à dificuldade de identificar autores que atuam em ambiente digital transnacional. Nesse sentido, a lei sinaliza um esforço legislativo, mas também revela a necessidade de medidas integradas de investigação, prevenção e cooperação internacional (Brasil, 2021).
No campo das políticas públicas, um marco importante foi o Decreto nº 10.222/2020, que instituiu a Estratégia Nacional de Segurança e Defesa Cibernética, conhecida como E-Ciber. Essa estratégia estabeleceu diretrizes para o fortalecimento das capacidades nacionais em segurança cibernética, envolvendo órgãos governamentais, setor privado e a sociedade civil. Entre suas metas estão a promoção da resiliência de infraestruturas críticas, a capacitação de profissionais e a cooperação internacional. Apesar da relevância do decreto, a execução prática de suas ações enfrenta entraves, como a fragmentação institucional, a escassez de recursos e a falta de integração entre os diversos atores envolvidos na proteção do ciberespaço nacional. O desafio, portanto, não é apenas normativo, mas também de governança e implementação (Brasil, 2020).
A atuação da Autoridade Nacional de Proteção de Dados (ANPD), criada pela LGPD, também tem se mostrado essencial para a regulamentação e o monitoramento da segurança cibernética. Relatórios divulgados pela entidade apontam a necessidade de maior maturidade das organizações brasileiras em práticas de governança e gestão de dados, destacando que muitas empresas ainda não implementam mecanismos básicos de proteção. A ANPD tem buscado atuar de forma pedagógica, incentivando boas práticas, mas também dispõe de competência sancionatória, o que confere maior peso à sua atuação. Contudo, a limitação orçamentária e de pessoal compromete a capacidade de fiscalização ampla, revelando um desafio para a consolidação de uma cultura de proteção de dados que contribua para a redução dos crimes digitais (ANPD, 2023).
Estudos acadêmicos ressaltam que a efetividade da LGPD depende de uma compreensão sistêmica da cibersegurança. Para Mártin Marks Szinvelski e Taynara Silva Arceno, a proteção de dados pessoais só se torna real se acompanhada de práticas concretas de segurança da informação, como criptografia, controle de acessos e planos de resposta a incidentes. Segundo os autores, o cumprimento formal da lei sem a implementação de medidas técnicas adequadas não reduz o risco de vazamentos ou ataques cibernéticos, o que enfraquece a confiança da sociedade nas instituições. Esse argumento evidencia a necessidade de uma abordagem integrada, em que normas jurídicas e ferramentas tecnológicas caminhem juntas para garantir um ambiente digital mais seguro e menos propício a crimes (Szinvelski; Arceno, 2022).
Do ponto de vista da jurisprudência, o Superior Tribunal de Justiça tem desempenhado papel central ao delimitar a responsabilidade civil em casos de vazamento de dados e fraudes eletrônicas. Em decisão recente, a corte afirmou que o titular de dados vazados deve comprovar o dano efetivo para pleitear indenização, posicionamento que gerou debate quanto à proteção dos consumidores. Embora a decisão busque evitar a proliferação de ações judiciais sem comprovação de prejuízo, críticos argumentam que ela pode enfraquecer a responsabilização de empresas que falham na proteção de dados pessoais. Esse entendimento demonstra como a regulamentação dos crimes cibernéticos no Brasil não se limita à produção legislativa, mas envolve também a interpretação judicial, que influencia diretamente a segurança jurídica e a confiança dos usuários (Brasil, 2023).
A fragilidade da infraestrutura digital brasileira é outro desafio recorrente. Relatório divulgado pelo Instituto Igarapé destacou que, apesar da criação da Estratégia Nacional de Segurança Cibernética, o Brasil ainda carece de mecanismos eficazes de coordenação entre instituições civis e militares, além de investimentos consistentes em tecnologia.
A ausência de uma cultura de cibersegurança torna o país vulnerável a ataques que comprometem tanto o setor público quanto empresas privadas. O documento também chama atenção para a importância da cooperação internacional, ressaltando que os crimes cibernéticos não conhecem fronteiras e exigem respostas articuladas entre diferentes países. Nesse sentido, a regulamentação nacional deve ser compreendida como parte de um esforço mais amplo de integração global (Hurel, 2021).
Os desafios são igualmente sentidos no setor empresarial, que se mostra um dos alvos mais frequentes dos criminosos virtuais. Pesquisa realizada em 2025 revelou que 79% das empresas brasileiras se consideram expostas a ataques de hackers, refletindo a percepção de insegurança no ambiente digital corporativo. Essa vulnerabilidade está associada tanto a falhas tecnológicas quanto à falta de treinamento dos colaboradores, que continuam sendo o elo mais frágil na cadeia de segurança. A regulamentação existente impõe responsabilidades às organizações, mas a resistência a investir em proteção de dados e a baixa maturidade em cibersegurança comprometem a eficácia das normas. Isso demonstra que, para além das leis, é necessário um esforço conjunto de conscientização e cultura de prevenção (CNN Brasil Money, 2025).
A carência de práticas robustas de proteção também é ressaltada em análises técnicas que apontam falhas na implementação de políticas de segurança em empresas e órgãos públicos. Muitos ainda carecem de protocolos básicos, como autenticação multifator, monitoramento constante e gestão de vulnerabilidades. A ausência desses mecanismos potencializa o risco de incidentes e amplia o espaço de atuação de criminosos digitais. Além disso, o descuido com a atualização de sistemas e a falta de planos de resposta a incidentes fragilizam a resiliência organizacional. Assim, o cumprimento da legislação precisa ser acompanhado de uma transformação cultural que valorize a cibersegurança como um elemento estratégico para o funcionamento de qualquer instituição (Escola Superior De Redes, 2024).
Do ponto de vista da repressão penal, a Polícia Federal tem enfrentado desafios expressivos na identificação e captura de hackers que atuam em redes internacionais. Casos recentes de prisões de criminosos responsáveis por ataques contra órgãos públicos e instituições financeiras revelam tanto a capacidade técnica das forças policiais quanto a dimensão das ameaças enfrentadas.
A transnacionalidade dos delitos impõe a necessidade de cooperação entre diferentes jurisdições, mas esbarra em entraves burocráticos e na diversidade de legislações nacionais. Mesmo quando há êxito na identificação dos suspeitos, a persecução penal enfrenta dificuldades devido à volatilidade das provas digitais e à velocidade com que os criminosos adaptam suas técnicas (Polícia Federal, 2024).
O conjunto de normas e práticas descrito evidencia que o Brasil avançou de forma significativa na regulamentação dos crimes cibernéticos, mas os desafios permanecem profundos. A existência de múltiplos marcos legais como a Lei Carolina Dieckmann, o Marco Civil, a LGPD e a Lei 14.155 e de políticas públicas como a Estratégia Nacional de Segurança Cibernética mostra que há um arcabouço em construção. Entretanto, a eficácia dessas medidas depende de sua articulação com fatores técnicos, institucionais e culturais.
A realidade dos cibercrimes é dinâmica e exige uma constante atualização do ordenamento jurídico, bem como a consolidação de uma cultura de proteção de dados e de prevenção a incidentes. Dessa forma, o combate efetivo às fraudes digitais no Brasil requer não apenas leis mais rigorosas, mas também um esforço coletivo de fortalecimento da governança cibernética, da cooperação internacional e da educação digital.
3. PROTEÇÃO DO CONSUMIDOR E SEGURANÇA DIGITAL
A proteção em segurança da informação define‑se como o conjunto de políticas internas e procedimentos corporativos destinados a assegurar a conformidade com normas legais, regulatórias e melhores práticas de mercado. A adoção de uma estrutura de governança corporativa voltada à proteção de ativos digitais pressupõe a formalização de políticas de acesso, uso e monitoramento de recursos de TI, bem como a definição clara de responsabilidades e processos de escalonamento em caso de incidentes. Segundo Szinvelski e Arceno (2022), organizações que instituem comitês de governança alinhados a padrões internacionais apresentam maior eficácia na implementação de controles e na rápida resposta a ameaças.
Assim como preconizado pelo Regulamento n.º 2019/881, relativo à certificação da cibersegurança das tecnologias da informação e comunicação na União Europeia, a certificação da cibersegurança cumpre a função de assegurar ao titular dos dados que os produtos e serviços certificados estão de acordo com os padrões e requisitos estabelecido na rotina de certificação, com o intuito de proteger a disponibilidade, autenticidade, integridade e confidencialidade dos dados armazenados, transmitidos ou tratados. Não é possível definir requisitos de cibersegurança globais aplicáveis em todas as circunstâncias, em razão da ampla variedade de produtos produzidos e diferentes tecnologias, porém é possível estabelecer o nível de segurança da informação utilizado, escalonados em nível básico, nível substancial e nível elevado, cada qual compatível com determinados padrões de segurança e com o risco de vulnerabilidade (Szinvelski e Arceno, 2022, p. 14).
A certificação, nesse contexto, não apenas fortalece a confiança dos titulares e consumidores, mas também se revela como instrumento de accountability para as organizações, permitindo demonstrar diligência técnica e jurídica perante incidentes.
A adoção de níveis de conformidade distintos, como os previstos no Regulamento europeu, viabiliza maior aderência aos princípios da razoabilidade e da eficiência, permitindo que soluções tecnológicas e infraestruturas críticas se submetam a exigências compatíveis com seu grau de sensibilidade.
Além disso, o modelo europeu de certificação apresenta-se como referência relevante para o ordenamento brasileiro, sobretudo na construção de um futuro marco normativo sobre segurança digital, capaz de preencher lacunas ainda existentes na LGPD quanto à certificação voluntária ou compulsória em setores estratégicos.
As cláusulas contratuais dirigidas a terceiros e fornecedores de serviços de tecnologia desempenham papel crucial na mitigação de riscos, na medida em que estabelecem obrigações de confidencialidade, requisitos mínimos de segurança e prazos para notificação de incidentes. Hurel (2021) enfatiza que a inclusão de cláusulas de auditoria periódica e de penalidades específicas para descumprimento de acordos de nível de serviço (SLAs) reforça o compromisso das partes envolvidas e oferece instrumentos jurídicos para reparação de danos.
No que se refere à adoção de frameworks e normas técnicas, o NIST Cybersecurity Framework oferece metodologia baseada na identificação, proteção, detecção, resposta e recuperação, permitindo a elaboração de planos de ação adaptáveis ao porte e ao setor de atuação da empresa.
A Escola Superior de Redes ESR (2024) destaca que a certificação ISO/IEC 27001, ao exigir a implementação de um Sistema de Gestão de Segurança da Informação (SGSI), assegura a padronização de processos, a melhoria contínua e a avaliação periódica de riscos, conferindo credibilidade perante clientes e autoridades regulatórias.
A integração entre compliance, governança e frameworks técnicos demanda, ainda, programas de capacitação contínua de colaboradores, exercícios de simulação de incidentes (table‑tops) e auditorias internas e externas regulares. Conforme relato da ANPD (2023), empresas que adotam treinamentos semestrais e testes de invasão interna (pen tests) verificam redução de até 40 % no tempo médio de detecção e contenção de ataques, o que reforça a importância de uma cultura organizacional proativa em matéria de segurança.
Sintetiza‑se, por fim, que o presente capítulo analisou as políticas internas e estruturas de governança corporativa, as cláusulas contratuais com terceiros e fornecedores de TI e a aplicação de frameworks e normas técnicas como NIST e ISO/IEC 27001. No capítulo seguinte, será descrita a linha do tempo de ataques emblemáticos em estudos de caso corporativos, com identificação das falhas de controle, medidas de contenção e lições aprendidas.
4. JURISPRUDÊNCIA SOBRE CRIMES CIBERNÉTICOS
O Superior Tribunal de Justiça firmou entendimento no julgamento do caso Eletropaulo, ao assentar que o mero vazamento de dados não enseja automaticamente dano moral indenizável, sendo indispensável a demonstração do efetivo prejuízo suportado pela vítima. Naquela oportunidade, delineou‑se a necessidade de prova concreta dos danos, afastando condenações meramente com base na potencialidade lesiva da exposição de informações pessoais (Brasil, 2023).
O entendimento foi estabelecido pela Segunda Turma do Superior Tribunal de Justiça (STJ) ao dar provimento a recurso especial da Eletropaulo e, por unanimidade, reformar acórdão do Tribunal de Justiça de São Paulo (TJSP) que havia condenado a concessionária a pagar indenização por danos morais de R$ 5 mil, em virtude do vazamento dos dados de uma cliente. Na ação de reparação de danos, a cliente alegou que foram vazados dados pessoais como nome, data de nascimento, endereço e número do documento de identificação. Ainda segundo a consumidora, os dados foram acessados por terceiros e, posteriormente, compartilhados com outras pessoas mediante pagamento situação que, para ela, gerava potencial perigo de fraude e de importunações. O pedido foi julgado improcedente em primeiro grau, mas o TJSP reformou a sentença por entender que o vazamento de dados reservados da consumidora configurou falha na prestação de serviços pela Eletropaulo (Brasil, 2023).
O STJ ainda afirmou que os dados vazados se tratavam de dados de natureza comum e não de dados sensíveis, por isso mantiveram a decisão: “Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural. No presente caso, trata-se de inconveniente exposição de dados pessoais comuns, desacompanhados de comprovação do dano” (STJ, 2023), concluiu o ministro ao acolher o recurso da Eletropaulo e restabelecer a sentença.
PROCESSUAL CIVIL E ADMINISTRATIVO. INDENIZAÇÃO POR DANO MORAL. VAZAMENTO DE DADOS PESSOAIS. DADOS COMUNS E SENSÍVEIS. DANO MORAL PRESUMIDO. IMPOSSIBILIDADE. NECESSIDADE DE COMPROVAÇÃO DO DANO. I – Trata-se, na origem, de ação de indenização ajuizada por particular contra concessionária de energia elétrica pleiteando indenização por danos morais decorrentes do vazamento e acesso, por terceiros, de dados pessoais. II – A sentença julgou os pedidos improcedentes, tendo a Corte Estadual reformulada para condenar a concessionária ao pagamento da indenização, ao fundamento de que se trata de dados pessoais de pessoa idosa. III – A tese de culpa exclusiva de terceiro não foi, em nenhum momento, abordada pelo Tribunal Estadual, mesmo após a oposição de embargos de declaração apontando a suposta omissão. Nesse contexto, incide, na hipótese, a Súmula n. 211/STJ. In casu, não há falar em prequestionamento ficto, previsão do art. 1.025 do CPC/2015, isso porque, em conformidade com a jurisprudência do STJ, para sua incidência deve a parte ter alegado devidamente em suas razões recursais ofensa ao art. 1022 do CPC/2015, de modo a permitir sanar eventual omissão através de novo julgamento dos embargos de declaração, ou a análise da matéria tida por omissa diretamente por esta Corte. Tal não se verificou no presente feito. Precedente: AgInt no REsp 1737467/SC, Rel. Ministro Napoleão Nunes Maia Filho, Primeira Turma, julgado em 8/6/2020, DJe 17/6/2020. IV – O art. 5º, II, da LGPD, dispõe de forma expressa quais dados podem ser considerados sensíveis e, devido a essa condição, exigir tratamento diferenciado, previsto em artigos específicos. Os dados de natureza comum, pessoais mas não íntimos, passíveis apenas de identificação da pessoa natural não podem ser classificados como sensíveis. V – O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações. VI – Agravo conhecido e recurso especial parcialmente conhecido e, nessa parte, provido (Brasil, 2023).
A decisão do Superior Tribunal de Justiça reafirma uma diretriz interpretativa relevante no âmbito da Lei Geral de Proteção de Dados: a distinção entre dados pessoais comuns e dados sensíveis implica diferentes níveis de tutela jurídica. Ao estabelecer que o mero vazamento de dados comuns ainda que indesejável não enseja, por si só, a reparação por dano moral, a Corte reforça a necessidade de comprovação do prejuízo concreto sofrido pelo titular.
Tal posicionamento evita a presunção automática de dano e exige, para a responsabilização civil, a demonstração de nexo de causalidade e dano efetivo. Essa exigência revela a cautela do Judiciário em não banalizar o instituto da indenização e preserva a proporcionalidade entre a natureza da informação violada e a gravidade da consequência. Ao mesmo tempo, a decisão indica que o tratamento jurídico de dados sensíveis por envolver aspectos íntimos da personalidade demanda maior rigor e, eventualmente, poderia justificar a inversão do ônus da prova ou a presunção de dano, conforme o caso concreto.
Quanto à responsabilidade civil das pessoas jurídicas, verifica‑se que os tribunais têm admitido a configuração de dever de indenizar quando comprovado o defeito na segurança dos sistemas, mormente nos casos em que se demonstra omissão na adoção de medidas compatíveis com o estado da técnica. A jurisprudência tem condenado empresas à reparação de danos materiais e morais, sobretudo quando restou evidenciado violação de cláusulas contratuais de confidencialidade e obrigações legais estabelecidas pela LGPD.
O estudo de casos corporativos tem por escopo delinear cronologicamente incidentes de infiltração virtual de grande repercussão, iniciando-se pela identificação do vetor inicial de ataque, seguido pela progressão do comprometimento e pelas etapas de exfiltração de dados. Em 2024, a Operação Data Breach da Polícia Federal evidenciou a infiltração em sistema de grande empresa de telecomunicações, cuja linha do tempo revelou fase de reconhecimento de rede, implantação de backdoor e campanha de exfiltração prolongada. Paralelamente, relatório da ANPD apontou, em igual ano, aumento significativo no tempo médio de detecção, indicando deficiências na monitoração contínua das infraestruturas corporativas.
A identificação de falhas nos controles ressalta a insuficiência de segmentação de rede e a ausência de mecanismos de detecção comportamental. Conforme levantamento da Escola Superior de Redes, ataques de ransomware em 2023 exploraram vulnerabilidades em sistemas legados que permaneciam sem atualização de patches de segurança, permitindo ao invasor movimento lateral até os servidores de dados críticos (ESR, 2024). Além disso, verficou‑se que a falta de autenticação multifator em acessos administrativos constitui ponto de evasão frequente, facilitando o escalonamento de privilégios.
As medidas de contenção adotadas pelas organizações envolvem isolamento imediato das sub‑redes afetadas, execução de planos de resposta a incidentes baseados em frameworks reconhecidos e acionamento de equipes de resposta a emergências digitais (CSIRT). Relatório da CNN Brasil Money demonstrou que 79% das empresas brasileiras se dizem expostas a hackers (CNN Brasil Money, 2025).
O levantamento, feito com 248 empresas brasileiras de diversos portes e setores, ainda revela que 66,5% dos negócios apontam a cibersegurança entre os cinco maiores riscos corporativos. Entre as principais vulnerabilidades citadas pelos entrevistados no estudo se encontram o phishing (69%) ataque que tenta roubar dinheiro ou identidade, revelando informações pessoais e o ransomware (67%) tipo de software malicioso que emprega criptografia, evitando que a vítima tenha acesso aos dados. Mesmo com essa preocupação frequente, apenas 25% das empresas possuem algum tipo de seguro cibernético ou um a cada quatro negócios (CNN Brasil Money, 2025).
Sintetiza‑se que o presente capítulo detalhou a linha do tempo de ataques emblemáticos, identificou falhas de controle e pontos de evasão, descreveu as medidas de contenção e remediação adotadas pelas empresas e expôs as principais lições aprendidas, bem como os impactos financeiros e reputacionais. No capítulo subsequente, proceder‑se‑á à discussão integrada dos resultados técnico‑jurídicos e à proposição de indicadores de desempenho para avaliação contínua da segurança e conformidade legal.
Consolida-se, portanto, que a jurisprudência nacional, seja no âmbito do STJ, têm delineado parâmetros claros para a aplicação das tipificações penais e a atribuição de responsabilidade civil em decorrência de crimes cibernéticos. No capítulo seguinte, proceder-se-á à avaliação comparativa das ferramentas e políticas de compliance e governança de segurança da informação adotadas por organizações para mitigar os riscos identificados.
CONSIDERAÇÕES FINAIS
A análise realizada ao longo deste estudo permite concluir que, embora o ordenamento jurídico brasileiro tenha avançado significativamente no enfrentamento aos crimes cibernéticos, a estrutura jurídica atual ainda se mostra insuficiente para prevenir, combater e punir tais delitos de maneira plenamente eficaz, especialmente diante da rápida evolução tecnológica e da crescente digitalização dos serviços financeiros e sociais.
Observou-se que o conjunto normativo brasileiro — composto pelo Marco Civil da Internet, pela Lei Geral de Proteção de Dados e pela Lei nº 14.155/2021 — constitui base importante, mas que a efetividade dessas normas ainda é limitada pela carência de mecanismos técnicos e institucionais de investigação, pela escassez de profissionais especializados e pela baixa integração entre órgãos públicos e privados.
Verificou-se também que a digitalização intensificada durante o período pandêmico ampliou a exposição da população a fraudes eletrônicas, sem que houvesse, em contrapartida, a criação de políticas de segurança cibernética compatíveis com a nova realidade digital. Essa lacuna revela que a legislação, embora necessária, é insuficiente sem a implementação de estratégias de prevenção, capacitação e cooperação internacional.
A comparação com modelos internacionais demonstra que países que investem em educação digital, certificação de segurança e protocolos de resposta integrada obtêm resultados mais eficazes na contenção de cibercrimes, indicando que o Brasil precisa avançar não apenas no campo legal, mas também na governança tecnológica e na cultura de segurança da informação.
Assim, conclui-se que o combate aos cibercrimes deve ser compreendido como um esforço multidimensional, que exige atualização constante do ordenamento jurídico, fortalecimento institucional e participação ativa da sociedade civil e do setor privado. Somente por meio de uma estrutura jurídica dinâmica, adaptada à realidade digital e sustentada por políticas públicas de prevenção e cooperação, será possível assegurar a proteção efetiva dos direitos fundamentais e reduzir o impacto das fraudes cibernéticas no país.
REFERÊNCIAS
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD. ANPD publica o segundo Relatório de Ciclo de Monitoramento. Portal Gov.br – ANPD, Brasília, 08 dez. 2023. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-o-segundo-relatorio-de-ciclo-de-monitoramento. Acesso em: 25 set. 2025.
BRASIL. Decreto nº 10.222, de 23 de outubro de 2020. Institui a Estratégia Nacional de Segurança e Defesa Cibernética (E‑Ciber). Diário Oficial da União: Seção 1, p. 1–3, 26 out. 2020. Disponível em: http://www.in.gov.br/web/dou/-/decreto-n-10.222-de-23-de-outubro-de-2020-279777081. Acesso em: 25 set. 2025.
BRASIL. Lei nº 12.737, de 30 de dezembro de 2012. Altera o Código Penal e institui crimes informáticos (Lei “Carolina Dieckmann”). Diário Oficial da União: Seção 1, p. 3, 31 dez. 2012. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm. Acesso em: 25 set. 2025.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil (Marco Civil da Internet). Diário Oficial da União: Seção 1, p. 1–5, 24 abr. 2014. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 25 set. 2025.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais (Lei Geral de Proteção de Dados – LGPD). Diário Oficial da União: Seção 1, p. 1–15, 15 ago. 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 25 set. 2025.
BRASIL. Lei nº 14.155, de 29 de maio de 2021. Altera dispositivo do Código Penal relativo a crimes cibernéticos (art. 154‑A). Diário Oficial da União: Seção 1, p. 1–2, 31 maio 2021. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/lei/L14155.htm. Acesso em: 25 set. 2025.
CNN Brasil Money. 79 % das empresas brasileiras se dizem expostas a hackers, mostra pesquisa. 04 jun. 2025. Disponível em: https://www.cnnbrasil.com.br/economia/negocios/79-das-empresas-brasileiras-se-dizem-expostas-a-hackers-mostra-pesquisa/. Acesso em: 25 set. 2025.
ESCOLA SUPERIOR DE REDES. Práticas de privacidade e segurança de dados em TI: considerações e como fazer! Blog ESR/RNP, 24 out. 2024. Disponível em: https://esr.rnp.br/seguranca/praticas-de-privacidade-e-seguranca-de-dados-em-ti/. Acesso em: 25 set. 2025.
GOULART, Luiz Carlos Shishito; DOS SANTOS CORDOVA, Maiko Giordani. Ciberdelitos: uma análise jurídica dos crimes digitais. Editora Dialética, 2024.
HUREL, Louise Marie. Cibersegurança no Brasil: uma análise da estratégia nacional. Rio de Janeiro: Instituto Igarapé, abr. 2021. Disponível em: https://igarape.org.br/wp-content/uploads/2021/04/AE-54_Seguranca-cibernetica-no-Brasil.pdf. Acesso em: 25 set. 2025.
POLÍCIA FEDERAL. PF prende hacker suspeito de invadir sistemas da PF e de outras instituições internacionais. Portal Gov.br – Polícia Federal, Brasília, 16 out. 2024. Disponível em: https://www.gov.br/pf/pt-br/assuntos/noticias/2024/10/pf-prende-hacker-suspeito-de-invadir-sistemas-da-pf-e-de-outras-instituicoes-internacionais. Acesso em: 25 set. 2025.
SUPERIOR TRIBUNAL DE JUSTIÇA – STJ. Titular de dados vazados deve comprovar dano efetivo ao buscar indenização, decide Segunda Turma. Comunicação STJ, Brasília, 17 mar. 2023. Disponível em: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2023/17032023-Titular-de-dados-vazados-deve-comprovar-dano-efetivo-ao-buscar-indenizacao–decide-Segunda-Turma.aspx. Acesso em: 25 set. 2025.
SZINVELSKI, Mártin Marks; ARCENO, Taynara Silva. A cibersegurança no tratamento de dados pessoais: a chave‑de‑ouro para efetividade da Lei Geral de Proteção de Dados (Lei n.º 13.709/2018). Revista da AGU, Brasília‑DF, v. 21, n. 2, p. 163–182, abr./jun. 2022. Disponível em: https://revistaagu.agu.gov.br/index.php/AGU/article/view/2487/2308. Acesso em: 25 set. 2025.
1Acadêmico de Direito. Artigo apresentado à faculdade Unisapiens de Porto Velho como requisito para obtenção ao título de Bacharel em Direito. E-mail:
2Acadêmica de Direito. Artigo apresentado à faculdade Unisapiens de Porto Velho como requisito para obtenção ao título de Bacharel em Direito. E-mail:
3Professora Orientadora. Doutora em Ciência Jurídica DINTER entre FCR e UNIVALI. Mestre em Direito Ambiental pela UNIVEM/SP. Especialista em Direito Penal UNITOLEDO/SP Especialista em Segurança Pública e Direitos Humanos pela UNIR. Especialista em Direito Militar pela Verbo Jurídico/RJ. E-mail: almeidatemis.adv@gmail.com.