Em novembro de 2020, o Superior Tribunal de Justiça (STJ) sofreu ataque cibernético que criptografou seu acervo processual e paralisou suas atividades2. Em 2021, foi a vez do Tribunal Regional Federal da 3ª Região (TRF-3), do Tribunal de Justiça do Rio Grande do Sul (TJRS) 3 e do Ministério da Saúde4 também serem alvos de investidas similares, que afetaram seus sistemas críticos, como o de peticionamento eletrônico e o ConecteSUS, respectivamente, impactando nos serviços oferecidos por cada órgão.
Embora distintos na execução, todos esses ataques têm em comum a utilização de ransomware, que nada mais é senão uma modalidade de software malicioso (malware), que opera a partir de cibercriminosos explorando vulnerabilidades em dispositivos, servidores ou redes e infectando determinados alvos. Com isso, buscam bloquear parcial ou totalmente o funcionamento do sistema e, frequentemente, coletar informações sigilosas ou privadas, exigindo para sua liberação ou não divulgação dos dados capturados o pagamento de um resgate (ransom) – em geral em criptomoedas.
Embora órgãos públicos sejam alvos recorrentes, empresas privadas, instituições financeiras, hospitais, universidades, prestadoras de serviços essenciais e mesmo usuários domésticos enfrentam riscos elevados diariamente, dada a sensibilidade dos dados que possuem: sigilo bancário, médico, propriedade intelectual, dados pessoais etc.5.
Apesar dos avanços em cibersegurança nos últimos anos, a estrutura digital brasileira ainda revela fragilidades frente às galopantes evoluções dos ataques ransomwares.
Além das formas clássicas de ransomware – como o de criptografia e de bloqueio – nas quais os cibercriminosos utilizam de criptografia para tornar arquivos ou sistemas inacessíveis e exigem o resgate em troca da chave de descriptografia; ou simplesmente bloqueiam o dispositivo ou sistema, sem criptografia, demandando o pagamento para liberação do acesso6; táticas mais complexas como a dupla extorsão (double extortion) surgiram, combinando a criptografia de dados sensíveis com a ameaça de divulgação ou venda desses dados publicamente, caso não ocorra o pagamento. Ou a tripla extorsão (triple extortion), na qual se amplia ainda mais o alcance da chantagem, pressionando também clientes ou parceiros da vítima em busca de resgate.
Outro fator preocupante é o modelo Ransomware as a Service (RaaS), em que desenvolvedores oferecem ferramentas prontas a outros cibercriminosos sem conhecimento técnico avançado, expandindo o alcance e a frequência dos ataques7.
Essas abordagens intensificam a pressão sobre as vítimas e ampliam o impacto econômico dos ataques, consolidando o ransomware como uma das mais graves ameaças digitais e um desafio para as autoridades e para o Direito Penal.8
Juridicamente, a invasão de sistemas informáticos visando à obtenção, adulteração ou a destruição de dados sem autorização, com ou sem o uso de malwares, pode configurar crime de invasão de dispositivo informático, do art. 154-A do Código Penal.9 O §1º do mesmo artigo abrange condutas que inclusive alcançam quem desenvolve ou dissemina malwares, abarcando o modelo RaaS.
Contudo, o ransomware ultrapassa a mera invasão digital na medida em que impõe às vítimas o temor da perda definitiva de seus sistemas e dados, bem como as ameaça de exposição pública, constrangendo-as à entrega de quantias em troca da “libertação” de seus sistemas e dados.
Nessa configuração, o ransomware aproxima-se da figura complexa e pluriofensiva do crime de extorsão (art. 158 do Código Penal), pois além de invadir o sistema, absorvendo o crime do art. 154-A, causa lesão ao patrimônio da vítima (indevida vantagem econômica), e à sua integridade física (violência à pessoa) ou liberdade individual (grave ameaça)10.
A doutrina penal reconhece que, mesmo sem a violência física, a coação psicológica resultante da ameaça de divulgação de dados sensíveis ou da interrupção do acesso a informações essenciais constitui uma forma de constrangimento suficiente para configurar a extorsão.
Ademais, outras camadas de ilícito podem se somar à conduta inicial, especialmente se a vantagem almejada não for econômica. Despontam assim outros tipos penais como o constrangimento ilegal (art. 146 do Código Penal) ou mesmo estupro (art. 213 do Código Penal), se houver a exigência de compartilhamento de conteúdo íntimo ou a realização de ações violadoras da dignidade sexual da vítima.
A finalidade do ataque e a natureza do alvo também influenciam na tipificação. Ciberataques contra o Estado, suas infraestruturas críticas e serviços essenciais com intuito de causar dano, obter dados estratégicos ou assumir o controle de sistemas podem configurar crimes contra a segurança dos meios de comunicação e transporte e outros serviços públicos (arts. 260 a 266 do Código Penal) ou crimes de terrorismo, conforme Lei n.º 13.260/2016.
Se, após o pagamento do resgate, o acesso não for restituído e houver novas exigências, cogita-se a ocorrência do estelionato (art. 171 do Código Penal), ou a hipótese de crime continuado.
Diante da complexidade dessas condutas, nota-se que a legislação penal brasileira carece de atualizações para dar conta da sofisticação dos delitos informáticos. É imperativo, portanto, o aprimoramento do ordenamento jurídico, bem como o investimento em capacitação de agentes públicos, em estrutura investigativa especializada, e, sobretudo, em cultura de cibersegurança tanto na esfera pública quanto privada.
Dessa forma, para além da resposta penal, é indispensável pensar na prevenção. Dados recentes apontam o Brasil foi o 7º país mais afetado por ataques ransomware em 2024, o que evidencia a urgência de medidas robustas de segurança digital11.
A prevenção exige ações técnicas e administrativas, voltadas ao monitoramento e neutralização das ameaças. Assim, dentre as primeiras medidas, destacam-se os backups periódicos e seguros – preferencialmente offline ou em nuvem segura – , garantindo acesso e recuperação dos dados comprometidos em caso de bloqueio.
Atualizações constantes do sistema operacional e softwares, o uso de programas oficiais, bem como de antivírus e firewalls confiáveis, mitigam os riscos de vulnerabilidades.
Outro pilar essencial é a conscientização dos usuários. Colaboradores treinados são capazes de reconhecer tentativas de ataque e evitar interações com links ou download suspeitos, tanto no ambiente profissional quanto pessoal.
No ambiente corporativo, a limitação de acessos e privilégios dos usuários na rede também contribui para reduzir a superfície de ataque e evita comprometimentos maiores. Ferramentas como autenticação multifatorial e gerenciadores de senhas devem ser adotadas como padrão, tanto em ambientes empresariais quanto domésticos.
Empresas e órgãos públicos que tratam dados pessoais têm deveres adicionais, previstos na Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) e, por isso, devem implementar planos de cibersegurança, bem como protocolos de resposta a incidentes12, a fim de evitar exposição pública e danos jurídicos, operacionais e reputacionais.
No aspecto jurídico, empresas ficam sujeitas a sanções da Autoridade Nacional de Proteção de Dados (ANPD), podendo ainda enfrentar ações judiciais dos titulares dos dados afetados e o descumprimento de cláusulas contratuais com parceiros ou clientes, gerando litígios e perdas financeiras13.
Em termos de impacto na reputação institucional, a resposta pública após ataque ransomware deve ser transparente, envolvendo comunicação clara com a imprensa e usuários afetados. O art. 48 da LGPD impõe notificação rápida à ANPD e aos titulares dos dados – além de outras obrigações setoriais conforme a atuação. Em paralelo, é essencial restaurar a infraestrutura tecnológica e assegurar a continuidade dos serviços.
Assim, diante da sofisticação crescente dos ataques e da magnitude dos danos possíveis, o enfrentamento ao ransomware requer estratégia de governança e prevenção, conscientização dos usuários sobre o mundo digital, respostas rápidas a incidentes e responsabilização efetiva e, sobretudo, soluções normativas e tecnológicas que primem pela proteção dos direitos fundamentais à privacidade, à segurança e à dignidade da pessoa humana em um ambiente digital cada vez mais interconectado e desafiador.
Referências:
1 O presente tema também foi desenvolvido por Davi Tangerino e Gabriel Sobrinho Tosi no artigo “Implicações do ransomware no Direito Penal: definição, variantes e tipos penais”, publicado na revista digital JOTA, em 04/05/2025 e acessível em: https://www.jota.info/opiniao-e-analise/colunas/coluna-do- davi-tangerino/implicacoes-do-ransomware-no-direito-penal-definicao-variantes-e-tipos-penais
2 Ver mais: https://www.migalhas.com.br/quentes/335987/hacker-invade-stj–sequestra-dados-e-cobra- resgate
3 Ver mais: https://www.uol.com.br/tilt/noticias/redacao/2022/04/13/ministerio-da-saude-stj-e-mais- sistemas-do-governo-atacados-por-hackers.htm e https://tecnoblog.net/noticias/ataque-hacker-derruba- sistemas-tjrs-ransomware/ e https://g1.globo.com/rs/rio-grande-do-sul/noticia/2021/04/30/policia-civil- inicia-investigacao-sobre-ataque-ao-sistema-informatico-do-tj-rs.ghtml
4 Ver mais em: https://www.cnnbrasil.com.br/nacional/site-do-ministerio-da-saude-sofre-ataque-hacker- durante-madrugada-e-sai-do-ar/
5 NUNES, Duarte Rodrigues, O fenómeno do ransomware e o seu enquadramento jurídico-penal, Revista científica sobre Cyberlaw do Centro de Investigação Jurídica do Ciberespaço da Faculdade de Direito da Universidade de Lisboa, Lisboa, v. 8, set. 2019, fls. 15
6 F-Secure (2022), What is ransomware? A guide to malware-driven cyber extortion, acessível em https://www.f-secure.com/en/articles/what-is-a-ransomware-attack
7 IBM (2024), HOLDSWORTH, Jim e KOSINSKI, Matthew, What is ransomware as a service ?, acessível em https://www.ibm.com/think/topics/ransomware-as-a-service
8 Artic Wolf (2024), The Dangers of Double and Triple Extortion in Ransomware, acessível em https://arcticwolf.com/resources/blog/dangers-of-double-and-triple-extortion/
9 SOTO, Rafael Eduardo; SERRO, Bruna, Apontamentos ao delito de invasão de dispositivo informático, Revista Magister de Direito Penal e Processual Penal, n.º 58, Porto Alegre: Magnificat, 2014
10 MASSON, Cleber, Código Penal comentado, 2. ed. rev., atual. e ampl., Rio de Janeiro: Forense; São Paulo: MÉTODO, 2014, fls. 665
11 Ver mais: https://itshow.com.br/brasil-7-lugar-ranking-ransomware-2024 e https://www.cisoadvisor.com.br/brasil-em-7o-lugar-no-ransomware-em-2024
12 VALENTE, Victor Augusto Estevam, A proteção de dados no direito penal: uma análise crítica da criminalização nas perspectivas constitucional e de política criminal, 1ª ed, Belo Horizonte, D’ Plácido, 2022, pg. 260/261
13 ASSI, Marcos. Gestão de riscos com controles internos: ferramentas, certificações e métodos para garantir a eficiência dos negócios. São Paulo: Saint Paul, 2ª Edição, 2021, pg. 50-56
- Artic Wolf (2024), The Dangers of Double and Triple Extortion in Ransomware – https://arcticwolf.com/resources/blog/dangers-of-double-and-triple-extortion
- ASSI, Marcos. Gestão de riscos com controles internos: ferramentas, certificações e métodos para garantir a eficiência dos negócios. São Paulo: Saint Paul, 2ª Edição, 2021.
- F-Secure (2022), What is ransomware? A guide to malware-driven cyber extortion
– https://www.f-secure.com/en/articles/what-is-a-ransomware-attack
- IBM (2024), HOLDSWORTH, Jim e KOSINSKI, Matthew, What is ransomware as a service? – https://www.ibm.com/think/topics/ransomware-as-a-service
- MASSON, Cleber, Código Penal comentado, 2. ed. rev., atual. e ampl., Rio de Janeiro: Forense; São Paulo: MÉTODO, 2014
- NUNES, Duarte Rodrigues, O fenómeno do ransomware e o seu enquadramento jurídico-penal, Revista científica sobre Cyberlaw do Centro de Investigação Jurídica do Ciberespaço da Faculdade de Direito da Universidade de Lisboa, Lisboa, v. 8, set. 2019
- SOTO, Rafael Eduardo; SERRO, Bruna, Apontamentos ao delito de invasão de dispositivo informático, Revista Magister de Direito Penal e Processual Penal, º 58, Porto Alegre: Magnificat, 2014
- VALENTE, Victor Augusto Estevam, A proteção de dados no direito penal: uma análise crítica da criminalização nas perspectivas constitucional e de política criminal, 1ª ed, Belo Horizonte, D’ Plácido, 2022
