top of page
12fd299c-b05f-4293-9d67-e93a92064c8c.png

Ransomware Ameaças digitais

O ransomware tornou-se uma das ameaças cibernéticas mais relevantes e devastadoras do cenário atual, afetando empresas, órgãos públicos e indivíduos.

 

Com elevado potencial de dano, seu tratamento jurídico exige análise sob múltiplos ângulos: penal, cível e administrativo, além de uma compreensão dos mecanismos internacionais de cooperação no combate à criminalidade digital.

 

O ransomware tornou-se uma das principais ameaças digitais à segurança de empresas, governos e cidadãos. Esse tipo de malware criptografa dados e exige pagamento (“resgate”) para a devolução do acesso, configurando um crime com relevantes impactos jurídicos, financeiros e reputacionais.

 

Esse tipo de ataque cibernético tem paralisado empresas, hospitais, órgãos governamentais e indivíduos em todo o mundo, causando prejuízos bilionários e expondo a vulnerabilidade de sistemas e dados. Mas o que exatamente é o ransomware e como o Direito, tanto nacional quanto internacional, busca combatê-lo?

 

O termo "ransomware" é uma junção de "ransom" (resgate) e "software". Trata-se de um tipo de software malicioso que, uma vez instalado em um computador ou rede, criptografa (codifica) todos os arquivos e dados, tornando-os inacessíveis. Em seguida, o agressor exige um pagamento, geralmente em criptomoedas (como Bitcoin, pela dificuldade de rastreamento), em troca da chave de descriptografia para que a vítima possa reaver seus dados.

 

Como funciona na prática?

 

O ransomware geralmente se propaga por meio de:

 

  1. Phishing: E-mails ou mensagens com links maliciosos ou anexos infectados.

  2. Exploração de Vulnerabilidades: Falhas de segurança em sistemas operacionais, softwares ou redes.

  3. Malvertising: Anúncios online maliciosos que redirecionam para sites que instalam o ransomware automaticamente.

  4. RDP (Remote Desktop Protocol) Desprotegido: Acessos remotos sem autenticação forte que são facilmente invadidos.

 

Uma vez dentro do sistema, o ransomware se espalha, criptografa os dados e exibe uma "nota de resgate" informando sobre a criptografia e as instruções para o pagamento, geralmente com um prazo.

 

A Tática da "Dupla Extorsão": Além de criptografar os dados, muitos grupos de ransomware passaram a exfiltrar (copiar) as informações antes da criptografia. Se a vítima se recusa a pagar o resgate pela chave, os criminosos ameaçam ou publicam os dados roubados em fóruns da dark web, aumentando a pressão e o dano reputacional.

 

Fundamentos Jurídicos

 

 No Direito Brasileiro, não há uma tipificação específica para ransomware, mas diversas normas legais permitem enquadrar e punir condutas relacionadas.

 

O ordenamento jurídico brasileiro dispõe de dispositivos legais para repressão do ransomware e responsabilização de seus autores:

 

  • Código Penal (CP): 

    • Art. 158 — Extorsão: Aplica-se ao ransomware quando o agente exige vantagem indevida ameaçando causar dano (no caso, bloqueio de dados essenciais).

    • Art. 154-A — Invasão de dispositivo informático (Lei 12.737/2012, Lei Carolina Dieckmann): Prevê sanções para quem invade dispositivos ou sistemas eletrônicos para obter, adulterar ou destruir dados.

  • Lei nº 12.737/2012 (Lei Carolina Dieckmann): Introduziu o art. 154-A no Código Penal, criminalizando a invasão de dispositivos informáticos para obter, adulterar ou destruir dados ou instalar vulnerabilidades. É comum aplicar esse artigo a ataques de ransomware.

  • Lei nº 14.155/2021: Agravou penas para fraudes eletrônicas e inseriu qualificadoras para crimes cometidos com uso de informações obtidas por meio de dispositivos eletrônicos.

  • Estelionato (Art. 171, CP): Pode ser utilizado quando há obtenção de vantagem ilícita por meio de fraude, como nos casos de extorsão por resgate.

  • Extorsão (Art. 158, CP): Aplica-se quando o agente exige vantagem indevida sob ameaça (neste caso, a não liberação dos dados).

  • Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018): Prevê a responsabilidade civil de empresas em casos de vazamento e/ou sequestro de dados pessoais, mesmo quando causado por ransomware.

 

Além disso, o Marco Civil da Internet (Lei nº 12.965/2014) confere parâmetros sobre guarda e fornecimento de registros digitais, essenciais para investigação e responsabilização.

 

O ransomware geralmente chega por meio de e-mails maliciosos, anexos ou links comprometidos. 

 

Ao ser executado, criptografa todos os arquivos do computador ou servidor, tornando-os inacessíveis, e exige o pagamento (normalmente em criptomoedas) como condição para o envio da chave de descriptografia.

 

Exemplo prático:

 

Em 2023, um hospital privado no Brasil teve seu sistema de prontuários bloqueado por ransomware, impedindo o atendimento de pacientes.

 

Os criminosos exigiram pagamento em Bitcoin para liberar o acesso, gerando investigações criminais e sanções administrativas pela ANPD (Autoridade Nacional de Proteção de Dados) pela exposição de dados sensíveis.

 

 

Explicação e Exemplos Práticos: 

 

Ransomware é um malware que bloqueia o acesso do usuário ao seu sistema ou arquivos pessoais, exigindo um pagamento (geralmente em criptomoedas) para restabelecer o acesso. Os criminosos enviam e-mails com links ou arquivos maliciosos, exploram vulnerabilidades de sistemas desatualizados ou sequestram informações após invadir redes corporativas.

 

Exemplo:


  • Uma clínica médica tem todo seu banco de dados criptografado após a invasão por ransomware. Os criminosos exigem valor financeiro para liberar a senha da descriptografia. Caso a empresa pague e o serviço não seja restituído, pode haver um estelionato além do crime informático. Se houver vazamento de dados de pacientes, a LGPD e outras normas de proteção à privacidade também são acionadas.

 

 

Jurisprudência Dominante

 

Os tribunais nacionais vêm reconhecendo a responsabilidade objetiva das empresas por incidentes envolvendo ransomware, principalmente quando demonstrada falha na segurança dos sistemas de informação.

 

  • TJSP, Apelação Cível 1004161-02.2021.8.26.0664: Hospital condenado a indenizar paciente por vazamento de informações decorrentes de ataque de ransomware, reconhecendo ausência de mecanismos adequados de proteção de dados.

  • STJ, REsp 1766605/SC: Discorre sobre a responsabilidade civil objetiva de empresas por falhas de segurança digital e enfatiza a aplicação da teoria do risco do empreendimento.

 

Na esfera criminal, aumentam as condenações por invasão de dispositivo informático e por extorsão praticada mediante sequestro de dados digitais, com base nos dispositivos acima citados.

 

  Responsabilidade do autor:

Os tribunais vêm reconhecendo o enquadramento das condutas de ransomware como extorsão e/ou invasão de dispositivo informático, além de associação criminosa em casos de atuação em grupos organizados.

 

  Responsabilidade da vítima (empresa):

Jurisprudência tem reconhecido a responsabilidade civil de empresas vítimas, especialmente de setores sensíveis (saúde, finanças), quando comprovada a ausência de medidas razoáveis de segurança da informação.

 

  TJSP, Apelação Cível 1041537-87.2021.8.26.0100:Empresa condenada a indenizar cliente por vazamento de dados após ataque ransomware por deficiência em políticas de proteção de dados.

 

  STJ, REsp 1945483/DF (2021):Ratifica que invasão e sequestro de dados por meio eletrônico justificam reparação civil e sanções administrativas pela ANPD.

 

 

Direito Internacional

 

Ataques de ransomware frequentemente atravessam fronteiras, tornando-se desafio global. O principal instrumento internacional é a Convenção de Budapeste sobre o Crime Cibernético, da qual o Brasil solicitou adesão. Ela busca harmonizar a legislação penal e facilitar a cooperação entre países para investigar e punir crimes digitais.

 

  • Diretrizes Europeias (GDPR): Reforçam a necessidade de reação rápida e notificação de incidentes.

  • FBI, Europol, Interpol: Mantêm centrais de alerta e colaboração internacional para rastrear e combater gangues de ransomware, muitas vezes sediadas em países fora da jurisdição das vítimas.

  • ONU e G20: Promovem debates sobre regulação, prevenção e mecanismos de resposta a ataques em escala global.

  • Convenção de Budapeste (2001):


    Marco internacional reconhecido para combate ao cibercrime, encorajando harmonização legislativa, cooperação de polícia e judiciária e agilizando trocas de informações entre países.

  • Iniciativas multilaterais (ex: INTERPOL, Europol):


    Promovem operações coordenadas, bloqueio de pagamentos (criptomoedas) e identificação de hackers em diferentes jurisdições.

  • Sanções internacionais:


    Países como Estados Unidos e União Europeia adotam bloqueios e perseguições a grupos hackers acusados de ransomware, com extradição e confisco de ativos digitais.

 

A ausência de padrões legais universais dificulta a persecução penal transnacional, mas a chamada “cooperação jurídica internacional” (cartas rogatórias, acordos de auxílio mútuo) tem evoluído no combate a ransomware.

 

Medidas Preventivas e Compliance

 

  • Política de backup eficiente: Backups frequentes, testados e separados dos sistemas conectados.

  • Educação digital: Treinamento contínuo dos colaboradores sobre e-mails phishing e comportamento seguro.

  • Planos de resposta a incidentes: Procedimentos claros para comunicação, mitigação e reporte às autoridades, conforme LGPD e regulação setorial.

  • Responsabilização e registro: Provedores de serviços digitais devem registrar e preservar logs, colaborar com investigações e adotar protocolos de “privacy by design”.

 

 

Considerações Finais e Desafios

 

  • Prevenção: Empresas e administrações públicas devem implementar padrões rígidos de segurança da informação, realizar backups regulares e treinar equipes para identificar tentativas de ataque.

  • Prova digital: A coleta eficiente de logs e registros digitais é essencial para investigação e responsabilização dos autores.

  • Responsabilidade legal: O Poder Judiciário já reconhece a responsabilidade civil pelos danos causados em incidentes desse tipo, podendo gerar significativas condenações por danos materiais e morais.

  • Cooperação Internacional: Desafios persistem devido à atuação transnacional dos criminosos, exigindo parcerias e legislações harmonizadas.

 

O ransomware representa risco crescente e demanda postura proativa das organizações, alinhando medidas técnicas, jurídicas e estratégicas contra ataques e em favor da resiliência digital. Para startups ou empresas inovadoras, manter a conformidade com as melhores práticas e legislações vigentes é fundamental para evitar perdas, sanções e danos à reputação.

Comentários

bottom of page