Crimes cibernéticos no Brasil: as leis e o que fazer quando sua empresa é vítima
Resposta direta
O Brasil tipifica crimes cibernéticos pelo art. 154-A do Código Penal (inserido pela Lei 12.737/2012), que pune invasão de dispositivo com até 4 anos de reclusão, agravada pela Lei 14.155/2021, que também criou o estelionato eletrônico (art. 171, §2º-A) e o furto mediante fraude eletrônica (art. 155, §4º-B), aumentando penas para até 8 anos. Empresas vítimas devem preservar provas, registrar B.O. e, havendo dados pessoais expostos, notificar a ANPD.
Principais conclusões
- ›A Lei Carolina Dieckmann (Lei 12.737/2012) inseriu o art. 154-A no Código Penal e foi o primeiro marco específico contra invasão de dispositivos informáticos no Brasil.
- ›A Lei 14.155/2021 aumentou as penas do art. 154-A para até 4 anos, criou o estelionato eletrônico (art. 171, §2º-A, pena de 4 a 8 anos) e o furto qualificado mediante fraude eletrônica (art. 155, §4º-B, pena de 4 a 8 anos).
- ›O Marco Civil da Internet (Lei 12.965/2014) regula responsabilidade de provedores e determina guarda de logs de acesso por 1 ano, sendo ferramenta essencial para requisição judicial de dados.
- ›A LGPD (Lei 13.709/2018) obriga o controlador de dados a comunicar incidentes com risco relevante à ANPD e aos titulares afetados, no prazo de até 72 horas após a ciência do evento.
- ›A preservação imediata de evidências digitais — logs, prints com hash, imagens forenses — é decisiva para o sucesso de ações penais e civis; evidências coletadas sem cadeia de custódia podem ser inadmitidas.
- ›Delegacias Especializadas em Crimes Cibernéticos (como DRCI/SP, NUCIBER/RS e outras) e a delegacia eletrônica estadual permitem registro de B.O. online, facilitando a formalização do crime para fins processuais.
O que diz a Lei Carolina Dieckmann (Lei 12.737/2012)
A Lei 12.737, de 30 de novembro de 2012, popularmente chamada de Lei Carolina Dieckmann, inseriu no Código Penal Brasileiro o art. 154-A, que tipifica a conduta de invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança, com o fim de obter, adulterar ou destruir dados, ou instalar vulnerabilidades. Na redação original, a pena era de 3 meses a 1 ano de detenção, além de multa.
A lei foi um avanço importante porque, até sua promulgação, condutas como acesso indevido a e-mails e clonagem de perfis eram enquadradas de forma precária em tipos penais como violação de correspondência ou dano. Com a lei, ficou claro que o dispositivo informático — computador, tablet, smartphone — é patrimônio jurídico protegido. O art. 154-B estabelece a ação penal como pública condicionada à representação, exceto quando o crime é praticado contra a Administração Pública, empresa concessionária de serviços públicos ou contra instituição financeira.
As mudanças trazidas pela Lei 14.155/2021 e os novos tipos penais
A Lei 14.155, de 27 de maio de 2021, promoveu a reforma mais significativa do direito penal cibernético brasileiro desde 2012. No art. 154-A, a pena de invasão de dispositivo informático foi elevada para reclusão de 1 a 4 anos, e as causas de aumento passaram a contemplar a divulgação, comercialização ou transmissão dos dados obtidos para terceiros. Quando a invasão resulta em prejuízo econômico, o aumento é de 1/3 ao dobro da pena.
A lei criou também o estelionato eletrônico, inserindo o §2º-A ao art. 171 do Código Penal, que qualifica o estelionato praticado mediante utilização de redes sociais, contatos realizados por telefone ou envio de correio eletrônico, com pena de 4 a 8 anos de reclusão, mais multa. Além disso, o art. 155 passou a contar com o §4º-B, que tipifica o furto qualificado mediante fraude eletrônica — golpes que comprometem contas bancárias e carteiras digitais por meio de malware, phishing ou acesso remoto não autorizado —, com a mesma faixa de pena de 4 a 8 anos.
O rigor das penas reflete a realidade: o Brasil é um dos países com maior volume de ataques financeiros digitais no mundo. As novas qualificadoras não apenas aumentam a sanção esperada, como também permitem que o investigado responda preso durante a instrução penal se presentes os requisitos do art. 312 do CPP, algo inviável com as penas anteriores abaixo de 4 anos.
Marco Civil da Internet e a importância dos logs para investigações
A Lei 12.965/2014, conhecida como Marco Civil da Internet, estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil. Do ponto de vista forense, seu dispositivo mais relevante para empresas vítimas de crimes cibernéticos é a obrigação de guarda de registros: provedores de conexão devem manter logs de conexão por 1 ano; provedores de aplicação, por 6 meses. Esses dados podem ser requisitados por autoridade judicial para identificar o agressor.
Para a empresa vítima, o Marco Civil é uma ferramenta de acesso a evidências que estão sob controle de terceiros — hospedagem, ISP, plataformas de e-mail — por meio de ordem judicial. O art. 22 permite ao prejudicado requerer ao juiz a produção antecipada de provas para coleta dessas informações antes que o prazo de guarda expire. Isso torna a celeridade na formalização da denúncia um fator crítico: esperar semanas pode resultar na perda irreversível dos registros que identificariam o autor do ataque.
LGPD e as obrigações da empresa vítima de vazamento de dados
A Lei Geral de Proteção de Dados (Lei 13.709/2018) impõe ao controlador — a empresa que decide como e por que os dados pessoais são tratados — a obrigação de comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados qualquer incidente de segurança que possa acarretar risco ou dano relevante. A Resolução CD/ANPD nº 15/2024 estabelece que essa comunicação deve ocorrer em até 72 horas após a ciência do incidente.
O que configura 'risco ou dano relevante' inclui dados de saúde, financeiros, credenciais de acesso, dados de crianças e adolescentes, ou qualquer conjunto de dados cuja exposição possa gerar discriminação, fraude, dano à reputação ou prejuízo financeiro ao titular. A comunicação deve descrever a natureza dos dados afetados, o número aproximado de titulares envolvidos, as medidas tomadas para mitigar os danos e os canais de contato do encarregado (DPO). O descumprimento da obrigação de comunicação pode resultar em multa de até 2% do faturamento da empresa no Brasil, limitado a R$ 50 milhões por infração.
Importante ressaltar que a LGPD e a legislação penal são caminhos paralelos e não excludentes. Uma empresa pode simultaneamente registrar B.O. pelo crime de invasão de dispositivo (esfera penal), ativar o plano de resposta a incidentes, notificar a ANPD (esfera administrativa) e mover ação indenizatória contra o agressor (esfera civil), além de acionar seguro cibernético, se houver.
Como preservar provas digitais com validade jurídica
A cadeia de custódia é o conjunto de procedimentos que garante a integridade e a autenticidade de uma prova digital desde sua coleta até a apresentação em juízo. No Brasil, o art. 158-A do Código de Processo Penal, inserido pela Lei 13.964/2019 (Pacote Anticrime), consagrou a cadeia de custódia como requisito formal, tornando explícita a necessidade de documentar cada etapa de manuseio do vestígio. Provas coletadas sem esses procedimentos correm o risco de ser contestadas ou descartadas.
Na prática, a preservação começa com o isolamento imediato do sistema comprometido — desconectar da rede, sem desligar o equipamento se houver evidências voláteis em memória RAM. Em seguida, realiza-se a aquisição forense: cópia bit a bit do dispositivo com ferramentas certificadas (como FTK Imager ou dd com verificação de hash), gerando um arquivo imutável. O hash criptográfico (SHA-256 ou MD5) de cada arquivo coletado deve ser calculado e registrado imediatamente, servindo como impressão digital da evidência. Prints de tela devem ser acompanhados de metadados: data, hora (em UTC), nome do sistema operacional e versão do navegador.
O laudo pericial, produzido por profissional habilitado, documenta metodologia, ferramentas utilizadas, hash das evidências e conclusões técnicas. Esse documento é o que efetivamente instrui o inquérito policial e a eventual ação penal. A ausência de um perito forense experiente na fase inicial do incidente é um dos erros mais comuns que comprometem a viabilidade de processos criminais subsequentes.
Onde e como denunciar: delegacias especializadas e canais eletrônicos
O registro de Boletim de Ocorrência é o ato formal que dá início à persecução penal e é requisito processual para que o Ministério Público possa oferecer denúncia nos crimes de ação pública condicionada à representação, como a invasão de dispositivo do art. 154-A. Deve ser feito o quanto antes, pois preserva a data da ciência do crime e inicia o prazo para requisição judicial de logs.
A maioria dos estados brasileiros conta com delegacias especializadas em crimes cibernéticos: a DRCI (Delegacia de Repressão a Crimes de Informática) em São Paulo, o NUCIBER (Núcleo de Combate aos Cibercrimes) no Paraná, a DRCC (Delegacia de Repressão a Crimes Contra a Ordem Tributária, Econômica e Contra as Relações de Consumo) em Minas Gerais, e estruturas equivalentes nos demais estados. Essas unidades têm peritos capacitados para receber e analisar evidências digitais corretamente.
Para registros eletrônicos, cada estado disponibiliza delegacia online — em São Paulo é o site delegaciaeletronica.policiacivil.sp.gov.br; no Rio de Janeiro, o ddionline.pcerj.rj.gov.br. No âmbito federal, crimes que envolvam sistemas da União, redes bancárias em escala ou crime organizado transnacional podem ser reportados à Polícia Federal, que conta com a Unidade de Combate a Crimes Cibernéticos (CIPOC). Paralelamente, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), mantido pelo NIC.br, aceita notificações de incidentes e auxilia na coordenação da resposta, especialmente quando há abuso de infraestrutura de terceiros.
Como se adequar
- 1
Contenha o incidente sem destruir evidências
Isole imediatamente o sistema comprometido da rede, mas não o desligue caso haja processos ativos em memória RAM que possam conter artefatos forenses relevantes (credenciais, chaves de criptografia, conexões ativas). Documente o estado do sistema com fotos da tela e capturas com hash antes de qualquer intervenção.
- 2
Acione a equipe de resposta a incidentes e preserve os logs
Notifique o time interno de segurança ou um parceiro especializado (como a Decripte) imediatamente. Colete e armazene logs de firewall, SIEM, servidores de e-mail e endpoints com carimbo de tempo (timestamp UTC). Calcule o hash SHA-256 de cada arquivo de log coletado e registre em documento assinado.
- 3
Realize a aquisição forense com cadeia de custódia
Produza cópias bit a bit dos dispositivos envolvidos usando ferramentas forenses certificadas. Cada imagem deve ter seu hash verificado e registrado em formulário de cadeia de custódia (art. 158-A do CPP). Armazene as evidências originais em mídia imutável, lacrada, com controle de acesso e registro de quem as manuseou.
- 4
Registre o Boletim de Ocorrência na delegacia especializada
Apresente-se à delegacia de crimes cibernéticos do seu estado (ou use a delegacia eletrônica estadual) o mais cedo possível. Leve prints, hashes, relatório preliminar do incidente e, se possível, o laudo forense inicial. O B.O. abre a persecução penal e permite à polícia requisitar judicialmente logs de provedores antes que expirem.
- 5
Avalie a obrigação de notificar a ANPD e os titulares
Verifique se o incidente envolveu dados pessoais. Em caso positivo, avalie o risco ou dano potencial aos titulares. Havendo risco relevante, a empresa tem até 72 horas para comunicar a ANPD (via formulário no portal anpd.gov.br) e notificar os titulares afetados, conforme a Resolução CD/ANPD nº 15/2024. Documente o racional da avaliação de risco.
- 6
Reúna evidências para a ação civil indenizatória
Além da esfera penal, o prejudicado pode mover ação de indenização por danos materiais e morais contra o agressor. Para isso, produza com apoio jurídico uma memória de cálculo dos prejuízos: horas de indisponibilidade, custo de remediação, receita perdida, danos reputacionais e custos de notificação. O laudo forense com cadeia de custódia serve de prova em todas as esferas.
- 7
Ative o plano de recuperação e documente as lições aprendidas
Após a contenção e formalização legal, restaure os sistemas a partir de backups verificados, aplique os patches correspondentes à vulnerabilidade explorada e revise controles de acesso. Produza um relatório pós-incidente documentando causa-raiz, linha do tempo, impacto e melhorias implementadas. Esse documento reduz riscos futuros e demonstra à ANPD e a eventuais auditores a maturidade do programa de segurança.
Perguntas frequentes
Qual a diferença entre a Lei Carolina Dieckmann e a Lei 14.155/2021?
A Lei 12.737/2012 (Carolina Dieckmann) criou o crime de invasão de dispositivo informático no art. 154-A do Código Penal, com pena original de 3 meses a 1 ano de detenção. A Lei 14.155/2021 reformou esse artigo, elevando a pena para reclusão de 1 a 4 anos, e acrescentou dois novos tipos qualificados: o estelionato eletrônico (art. 171, §2º-A, pena de 4 a 8 anos) e o furto mediante fraude eletrônica (art. 155, §4º-B, pena de 4 a 8 anos). A lei de 2021 representa um endurecimento significativo da resposta penal a crimes financeiros digitais.
Uma empresa que sofreu ataque ransomware é obrigada a notificar a ANPD?
Depende. A obrigação de notificação à ANPD surge quando o incidente pode acarretar risco ou dano relevante aos titulares de dados pessoais afetados, conforme a Resolução CD/ANPD nº 15/2024. Um ransomware que criptografou dados sem exfiltração comprovada pode ser avaliado como risco menor, enquanto um ataque com exfiltração confirmada de dados financeiros, de saúde ou de crianças gera obrigação inequívoca de comunicação em até 72 horas após a ciência do incidente. A empresa deve documentar o raciocínio da avaliação de risco em ambos os casos.
Phishing que captura senhas bancárias se enquadra em qual crime?
O phishing bancário pode configurar simultaneamente múltiplos crimes: invasão de dispositivo (art. 154-A do CP, se houver acesso não autorizado ao sistema bancário ou ao dispositivo da vítima), estelionato eletrônico (art. 171, §2º-A, pela indução em erro via mensagem eletrônica) e furto qualificado mediante fraude eletrônica (art. 155, §4º-B, se resultar em transferência patrimonial da conta da vítima). O enquadramento definitivo depende das circunstâncias fáticas e da análise do Ministério Público.
Provas digitais coletadas pela própria empresa têm valor em juízo?
Sim, desde que coletadas com metodologia forense adequada e documentação de cadeia de custódia. O art. 158-A do CPP estabelece requisitos formais para a cadeia de custódia. Evidências coletadas de forma desordenada — sem hash, sem registro de quem as manuseou, sem data e hora verificáveis — podem ser contestadas pela defesa. Por isso, recomenda-se envolver um perito forense independente o quanto antes, pois o laudo por ele produzido tem presunção técnica de idoneidade e maior poder persuasivo perante o juízo.
Qual o prazo para registrar B.O. e não perder os logs dos provedores?
O Marco Civil da Internet (Lei 12.965/2014) obriga provedores de conexão a guardar logs por 1 ano e provedores de aplicação por 6 meses. Esses prazos começam a contar a partir do registro do acesso, não da data do crime. Na prática, logs de um ataque ocorrido há 5 meses em um provedor de aplicação podem já ter sido excluídos. Registrar o B.O. e pedir à delegacia que requisite os dados judicialmente o mais rápido possível — idealmente em até 30 dias — aumenta significativamente a chance de obter as evidências necessárias.
O que acontece se a empresa não cumprir o prazo de 72 horas para notificar a ANPD?
O descumprimento do prazo de comunicação é uma infração autônoma à LGPD, sujeita às sanções do art. 52, que incluem advertência, multa simples de até 2% do faturamento bruto da empresa no Brasil no último exercício (limitado a R$ 50 milhões por infração) e publicização da infração. A ANPD pode aplicar sanções cumulativas. Além disso, a omissão na comunicação pode agravar a responsabilidade civil da empresa perante os titulares afetados, pois demonstra descuido no cumprimento das obrigações legais de proteção de dados.
Fontes
- Lei nº 12.737, de 30 de novembro de 2012 — Dispõe sobre a tipificação criminal de delitos informáticos
- Lei nº 14.155, de 27 de maio de 2021 — Agrava penas dos crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet
- Lei nº 12.965, de 23 de abril de 2014 — Marco Civil da Internet
- Lei nº 13.709, de 14 de agosto de 2018 — Lei Geral de Proteção de Dados Pessoais (LGPD)
A Decripte implementa a conformidade — sem você montar um time interno.
Diagnóstico de aderência, controles técnicos auditáveis, pentest e documentação para o regulador/auditor. Ou comece de graça vendo o que já está exposto.
