top of page
12fd299c-b05f-4293-9d67-e93a92064c8c.png

Sequestro de Dados Digitais


O avanço exponencial da tecnologia trouxe inúmeros benefícios sociais e econômicos, mas também abriu espaço para novas modalidades de crimes, especialmente relacionados à segurança da informação. Entre estes, destaca-se o sequestro de dados digitais, prática cada vez mais comum e preocupante tanto no âmbito nacional quanto internacional.

 

O sequestro de dados digitais, também chamado de ransomware, é um dos crimes cibernéticos mais perigosos e recorrentes da atualidade. O objetivo dos atacantes é impedir o acesso a dados ou sistemas, exigindo pagamento por sua liberação, geralmente em criptomoedas. A repressão, o combate e a responsabilização dessas práticas envolvem elementos jurídicos nacionais e internacionais cada vez mais sofisticados.

 

No cenário atual, onde a vida pessoal e profissional migrou para o ambiente digital, um dos pesadelos mais recorrentes para empresas e indivíduos é o sequestro de dados digitais. Mais conhecido como ransomware, essa forma de ataque cibernético não apenas paralisa operações e causa prejuízos financeiros astronômicos, mas também impõe complexos desafios jurídicos, exigindo uma compreensão aprofundada das responsabilidades e medidas preventivas.

 

Para o blog DireitoForJuris, vamos desvendar o que é o ransomware, seus fundamentos jurídicos no Brasil, as explicações e exemplos práticos dessa ameaça, a jurisprudência dominante e a perspectiva do direito internacional sobre o tema.

 

1. O que é Sequestro de Dados Digitais?

 

 

O sequestro de dados, também conhecido como ransomware, consiste no acesso ilícito a sistemas informáticos com o objetivo de criptografar ou bloquear dados de uma pessoa física ou jurídica. Em seguida, os criminosos exigem pagamento de resgate para restabelecer o acesso à informação ou evitar a divulgação de dados sensíveis.

 

O ransomware é um tipo de software malicioso que, uma vez instalado em um sistema (computador, servidor, rede), criptografa os dados da vítima, tornando-os inacessíveis. Em seguida, os atacantes exigem um resgate (o "ransom", geralmente em criptomoedas para dificultar o rastreamento) em troca da chave de descriptografia. Se o pagamento não for realizado, os dados podem ser permanentemente perdidos ou, em casos mais recentes, vazados na internet, em uma tática conhecida como "dupla extorsão".

 

Essa ameaça não escolhe vítimas: grandes corporações, órgãos governamentais, hospitais, pequenas e médias empresas e até mesmo usuários domésticos podem ser alvos. O impacto vai além do custo do resgate, abrangendo perda de produtividade, danos à reputação, multas regulatórias e longos processos de recuperação.

 

  

2. Fundamentação Jurídica no Brasil

 

 O ordenamento jurídico brasileiro, embora ainda esteja consolidando o enfrentamento a crimes digitais, já contempla dispositivos voltados ao combate ao sequestro de dados:

 

a)    Código Penal

 

 

  • Artigo 154-A (invasão de dispositivo informático):


    Trazido pela Lei nº 12.737/2012 (Lei Carolina Dieckmann), tipifica como crime a invasão de dispositivo informático alheio, mediante violação indevida de mecanismo de segurança.

 

b) Lei Geral de Proteção de Dados (LGPD) — Lei 13.709/2018

 

A LGPD trouxe importantes instrumentos para garantir a proteção de dados pessoais, prevendo sanções administrativas e obrigações de segurança e notificação para os agentes de tratamento em casos de incidentes.

 

c) Marco Civil da Internet — Lei 12.965/2014

 

Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil, incluindo a inviolabilidade e sigilo das comunicações.

 

 

Direito Penal:

 

 

 

  Extorsão (Art. 158 do Código Penal): Esta é a tipificação criminal mais comum para o ransomware. O crime de extorsão consiste em constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa. No caso do ransomware, a "grave ameaça" reside na criptografia e na potencial perda ou vazamento dos dados, e a "vantagem econômica" é o resgate exigido.

 

  • Extorsão Indireta (Art. 160 do Código Penal): Outra possibilidade, embora menos comum, seria a extorsão indireta, que se configura quando alguém exige ou recebe, como garantia de dívida, abusando da situação de alguém, documento que pode dar causa a procedimento criminal contra a vítima ou contra terceiro.

 

  Invasão de Dispositivo Informático (Art. 154-A do Código Penal): A Lei nº 12.737/2012 (conhecida como "Lei Carolina Dieckmann") tipifica a invasão de dispositivo informático alheio, com o fim de obter, adulterar ou destruir dados ou informações sem autorização do titular. Este é o crime meio para que o ransomware possa ser instalado e executado.

 

  Crimes Patrimoniais (Furto/Roubo): Embora menos adequados, em algumas discussões doutrinárias, o roubo (subtração com violência/grave ameaça) ou furto (subtração sem violência/grave ameaça) de dados podem ser tangenciados, mas a extorsão é a figura penal que melhor se ajusta pela natureza do constrangimento e da exigência de vantagem.

 

Exemplos Práticos do Ataque e Seus Impactos

 

  • Empresa Varejista: Um funcionário clica em um link de phishing e instala ransomware. Os sistemas de vendas, estoque e faturamento são criptografados. A empresa não consegue mais vender, processar pagamentos ou acessar registros. Os atacantes exigem milhões de reais em Bitcoin. Se os backups não estiverem isolados, a paralisação pode durar dias ou semanas.

  • Hospital: Um ataque atinge os prontuários eletrônicos dos pacientes. Médicos não conseguem acessar informações críticas para diagnósticos e tratamentos. Além do caos operacional, há um risco direto à vida dos pacientes e uma violação gravíssima de dados sensíveis de saúde, sujeita a pesadas multas da ANPD e ações de indenização.

  • Advogado ou Escritório de Advocacia: Os documentos processuais, contratos e dados confidenciais dos clientes são criptografados. Além da paralisação dos serviços, há uma violação do sigilo profissional e um risco imenso de vazamento de informações sigilosas de clientes.

 

3. Sanções e Responsabilidade

 

A vítima pode buscar reparação civil e criminal, além de exigir providências administrativas perante a Autoridade Nacional de Proteção de Dados (ANPD) e outros órgãos competentes.

 

  • Responsabilidade Objetiva do Agente de Tratamento de Dados:


    A LGPD prevê indenização em caso de violação de dados quando houver falha de segurança.

 

Exemplo: Imagine uma clínica médica que, ao perceber que não consegue acessar os prontuários de seus pacientes, recebe uma mensagem exigindo pagamento em criptomoedas para liberação. Trata-se de sequestro de dados. O crime afeta tanto empresas privadas quanto órgãos públicos — impactando saúde, bancos, indústrias e serviços essenciais.

 

Outro cenário: Uma prefeitura tem seu sistema de folha de pagamento sequestrado. A paralisação causa prejuízo à administração pública e aos servidores, obrigando medidas judiciais e administrativas imediatas.

 

 

 4. Jurisprudência Dominante

 

A jurisprudência dos tribunais superiores vem consolidando o entendimento de que o sequestro de dados configura crime autônomo, com repercussões civis e administrativas, inclusive cabendo indenização pelos danos morais e materiais sofridos:

 

STJ, REsp 1.973.626 – MG (2022):“A invasão de dispositivos informáticos e o sequestro de dados, com exigência de pagamento de resgate por meio de criptomoedas, configura crime previsto pelo artigo 154-A do CP e enseja reparação por danos materiais e morais.”

 

TJSP, Apelação Cível nº 1000311-17.2020.8.26.0704:Empresa vítimas de ransomware obtém decisão de indenização por paralisação de atividades e vazamento de informações.

 

 

  Reconhecimento da Extorsão: Tribunais brasileiros, como o TJSP e o STJ, vêm enquadrando o sequestro de dados como forma de extorsão e, conforme o caso, também como invasão de dispositivo informático.

 

 

  Indenização por Falha de Segurança: Empresas vítimas que não conseguem comprovar a adoção de políticas eficazes de segurança têm sido condenadas a indenizar clientes pelos danos sofridos.

 

  STJ, REsp 1945483/DF (2021): Decisão que reconheceu o dever de indenizar e permitiu aplicação de sanções administrativas conforme a LGPD, em caso de sequestro e vazamento de dados sensíveis.

 

 

A "jurisprudência dominante" sobre ransomware no Brasil ainda está em construção, mas já é possível observar algumas tendências:

 

  1. Dificuldade de Atribuição e Recuperação: A complexidade técnica, o uso de criptomoedas e a natureza transnacional dos ataques dificultam a identificação e a responsabilização dos criminosos, bem como a recuperação dos valores pagos como resgate. A maioria dos casos não chega a uma condenação penal dos atacantes.

  2. Foco na Extorsão: As investigações e denúncias penais tendem a focar na tipificação do crime de extorsão, pois a exigência do resgate é o elemento mais claro e provável de ser comprovado.

  3. Responsabilidade Civil da Vítima (Controlador): O maior volume de decisões judiciais, especialmente na esfera cível, tem girado em torno da responsabilidade da empresa ou organização que foi vítima do ransomware e, em decorrência do ataque, causou prejuízos a terceiros (consumidores, titulares de dados).


    • Falha na Segurança: Tribunais têm entendido que a ocorrência de um ataque de ransomware que compromete dados pessoais ou causa interrupção de serviços essenciais pode configurar falha na segurança da informação por parte do controlador, mesmo que não haja dolo ou culpa grave. A LGPD impõe o dever de adotar medidas de segurança.


    • Danos Morais e Materiais: Há casos de condenação de empresas a pagar indenizações por danos morais e materiais a titulares de dados afetados por vazamentos decorrentes de ransomware, especialmente se a empresa não demonstrou ter adotado as medidas de segurança adequadas ou se demorou a comunicar o incidente.


  4. Debate sobre Pagamento do Resgate: Não há uma posição unificada sobre o pagamento do resgate. Autoridades de segurança pública e especialistas em cibersegurança geralmente desaconselham o pagamento, pois isso financia o crime e não garante a recuperação dos dados. Juridicamente, a decisão de pagar é da vítima, mas não a exime de suas responsabilidades perante a lei (especialmente a LGPD) caso ocorra vazamento de dados ou outras violações.

 

5. Exemplos Práticos


  • Sequestro em Hospitais:


    Diversos hospitais brasileiros já foram vítimas de ransomware, resultando em paralisação de consultas e procedimentos, o que além do prejuízo financeiro, pode causar risco à saúde pública.

  • Ataque a Escritórios de Advocacia e Empresas:


    Vazamento de informações sigilosas, segredos comerciais e dados de clientes, impactando diretamente a reputação e a operação das organizações.

 

6. Direito Internacional e Cooperação Jurídica

 

O combate ao sequestro de dados exige colaboração internacional, dada a natureza transnacional destes crimes:

 

  • Convenção de Budapeste sobre o Crime Cibernético (2001):


    Primeiro tratado internacional sobre crimes cometidos pela internet e outras redes digitais, ratificado por diversos países com o objetivo de harmonizar legislações e facilitar a cooperação policial e judiciária.


  • Exemplo Internacional — Caso do WannaCry (2017):


    Ataque massivo que afetou mais de 150 países, interrompendo serviços públicos, bancos e empresas. Levou à mobilização global para resposta, cooperação de agências de segurança cibernética e aprimoramento de regulações.

 

O combate ao sequestro de dados digitais ultrapassa fronteiras nacionais, exigindo cooperação internacional:


  • Convenção de Budapeste sobre Cibercrime (2001): Estabelece padrões mínimos e incentiva troca de informações, perseguição penal internacional e cooperação entre polícias e autoridades.


  • INTERPOL e Europol:


    Têm grupos de trabalho conjuntos para rastreamento de transações ilícitas em criptomoedas, identificação de quadrilhas transnacionais e bloqueio de pagamentos de resgate.


  • Sanções e Extradição:


    Diversos países adotam instrumentos de extradição e bloqueiam bens digitais, permitindo inclusive ações coordenadas para desmantelar organizações criminosas globais.

 

 

O ransomware é um problema sem fronteiras, e a resposta exige colaboração internacional:

 

  • Cooperação entre Agências: Organizações como Interpol, Europol e o FBI (nos EUA) coordenam investigações transnacionais, buscando identificar e desmantelar grupos de ransomware.

  • Consenso Contra o Pagamento: Vários governos e agências de segurança internacionais (como a Cybersecurity and Infrastructure Security Agency - CISA dos EUA) desaconselham fortemente o pagamento de resgates, e há debates sobre a possibilidade de criminalizar tais pagamentos em certas circunstâncias.

  • Sanções Econômicas: Alguns países têm imposto sanções financeiras a grupos de ransomware conhecidos, dificultando suas operações e o processamento dos resgates.

  • Harmonização Legislativa: A necessidade de harmonizar leis e procedimentos entre os países para facilitar a investigação e a persecução penal de crimes cibernéticos como o ransomware é um tema constante em fóruns internacionais.

 

 

7. Recomendações e Boas Práticas

 

  • Investir em segurança da informação, políticas de backup e atualização de sistemas.

  • Realizar treinamentos internos sobre prevenção e resposta a incidentes de segurança.

  • Adotar um plano de resposta a incidentes e de comunicação à ANPD e aos titulares em caso de violação de dados, conforme previsto na LGPD.

  • Firmar contratos claros com fornecedores de TI, com cláusulas sobre responsabilidade e confidencialidade.

 

O evento de sequestro de dados reforça a necessidade de compliance digital:


  • Política robusta de segurança cibernética: Backups isolados, atualizações regulares, autenticação multifator e treinamento de equipes.


  • Planos de resposta a incidentes e comunicação:

    Procedimentos definidos para notificação de incidentes à ANPD, clientes e autoridades, minimizando riscos jurídicos.


  • Auditorias periódicas e mapeamento de riscos:


    Demonstração de práticas de boa-fé e diligência pode evitar ou reduzir responsabilizações civis.

 

 

8. Conclusão

 

O sequestro de dados digitais representa um desafio crescente na sociedade da informação, exigindo atualização legislativa, doutrinária e jurisprudencial, além de atuação preventiva por parte de empresas, órgãos públicos e cidadãos.

 

A busca por soluções jurídicas e técnicas deve ser permanente, incluindo cooperação internacional e fortalecimento dos mecanismos de investigação, proteção e reparação de danos.

 

O sequestro de dados digitais representa desafio crescente para organizações e o Poder Público, envolvendo graves repercussões jurídicas e a necessidade de atualização constante de ferramentas regulatórias e de compliance. Para startups ou empresas inovadoras, atenção à legislação, investimento em proteção e atuação rápida em incidentes são fatores essenciais para proteção jurídica e reputacional.

 

A pergunta hoje não é se uma empresa ou indivíduo será alvo de um ataque de ransomware, mas quando. A complexidade técnica e as implicações jurídicas do sequestro de dados digitais tornam essencial uma abordagem proativa.

 

A cibersegurança e o Compliance legal não são custos, mas investimentos inadiáveis para a proteção dos dados, da reputação e da sustentabilidade de qualquer negócio ou atividade na era digital.

 

No DireitoForJuris, continuaremos a trazer informações e análises sobre os desafios jurídicos da tecnologia. Mantenha-se informado e seguro!

 

 

Comentários

bottom of page