Por Camila Pepe*

Falando sobre ataques cibernéticos, vamos imaginar duas situações:

Uma empresa de varejo localizada em São Paulo começa a notar um volume atípico de acessos em seu marketplace e, horas depois, verifica uma diminuição na venda de produtos por minuto. 

Em outro estado, uma indústria desliga um de seus colaboradores após constatar a realização de downloads diários contendo os planos de lançamento de um novo produto. 

Dias depois, esse mesmo colaborador ingressa como desenvolvedor de projetos no maior concorrente da indústria. 

Esses dois exemplos, entre muitos outros, refletem a realidade e os desafios enfrentados atualmente pelo mundo corporativo.

No Brasil, a preocupação é ainda maior

O país é hoje classificado como um dos principais alvos de ataques cibernéticos, e as penalidades aplicadas ainda não são suficientemente representativas. 

Além disso, a cultura de prevenção e preocupação com a segurança digital ainda se mostra tímida, especialmente diante das crescentes perdas financeiras associadas aos recentes ataques cibernéticos ocorridos no país.

Nesses casos — como em qualquer crise — o desafio é manter a organização interna e mitigar, na medida do possível, os riscos. Diante disso, é necessário analisar com mais profundidade o panorama brasileiro.

Nos dois exemplos mencionados, estamos, certamente, diante de condutas criminosas que podem gerar impactos financeiros e legais significativos para as empresas. 

No primeiro caso: invasão de dispositivo

Trata-se do crime de invasão de dispositivo informático, cuja pena prevista é de 1 a 4 anos de reclusão, além de multa. 

Há ainda um projeto de lei em discussão sobre a inclusão no Código Penal de crime quando tornarem-se inacessíveis, por qualquer meio, e com o fim de causar constrangimento, transtorno ou dano, sistemas ou dados informáticos alheios

O objetivo de trazer inclusive um aumento de pena nessas situações.

No segundo caso: concorrência desleal 

Neste, que envolve um ex-empregado descontente, a situação pode configurar concorrência desleal, crime cuja pena é de apenas 3 meses a 1 ano, além de multa, e cuja persecução penal depende exclusivamente de iniciativa da parte lesada.

Para que seja possível responsabilizar criminalmente os envolvidos, a empresa ainda deverá arcar com custos adicionais, como a contratação de uma investigação forense capaz de identificar o autor e a natureza do ataque. 

Sem a posse de tais informações não será possível qualquer tipo de responsabilização no âmbito criminal e, a depender do caso, a companhia não estará cumprindo com eventual responsabilidade regulatória no reporte de detalhes sobre o ataque.

Somado a isso, pesquisas indicam que, historicamente, as delegacias brasileiras não contam com servidores em número suficiente para atender à demanda por investigações. 

Isso acontece ainda que já existam delegacias especializadas em crimes cibernéticos espalhadas pelo país. Em outras palavras, ainda que estejamos diante de uma conduta criminosa, teremos dificuldade em responsabilizar os atacantes.

Diligência de reporte às autoridades deve ser considerada 

Por exemplo, se estamos falando de um ataque cibernético no sistema financeiro ou algo no setor de telecomunicação, os respectivos reguladores já possuem normativos que exigem o reporte no caso de um ataque com um detalhamento relevante de que tipo de informação deverá ser prestada.

Esse é um aspecto que merece uma atenção especial, na medida em que podemos ter a necessidade de reporte para autoridades diferentes sobre a mesma conduta, o que leva a necessidade de unicidade no discurso. 

Por exemplo, será que uma empresa do setor financeiro que seja de capital aberto deverá emitir um fato relevante no mesmo momento que comunicar o ataque ao Banco Central?

E as perdas financeiras sofridas pela empresa atacada? 

Em tese, existiria a possibilidade de recuperação dos valores perdidos. No entanto, se houver uma dificuldade significativa na identificação dos atacantes através do famoso “follow the money”, a empresa ficará sem qualquer possibilidade de reaver estes valores.

Como visto, são múltiplos os aspectos legais quando uma companhia se depara com uma crise em função de um ataque cibernético. 

A solução aqui deve ser uma dedicação para uma mudança de cultura corporativa no tema e a atuação de forma preventiva com a realização de treinamentos, estabelecimento de políticas eficazes, monitoramento das atividades de atacantes pelo mundo, entre outras. 

Além desse “dever de casa”, cabe a sociedade civil também acompanhar os trabalhos que estão sendo feitos através dos projetos de lei do Congresso Nacional e das iniciativas capitaneadas pela Frente Parlamentar de Apoio à Cibersegurança e Defesa Cibernética. 

Isto porque essas e outras iniciativas certamente buscarão recrudescer o aparato legislativo para combater os ataques e podem trazer mais obrigações para empresas dos mais diversos setores.

*Camila Pepe é sócia do escritório Stocche Forbes Advogados.