1. Introdução
A evolução da criminalidade contra instituições financeiras no Brasil demonstra uma transição paradigmática do ambiente físico para o digital. Historicamente, a segurança bancária era desafiada por assaltos a agências, explosões de caixas eletrônicos e ataques a carros-fortes. Contudo, a proliferação de tecnologias financeiras, como o Pix e as fintechs, redirecionou o foco criminoso para o ciberespaço, onde os prejuízos financeiros frequentemente superam os de delitos presenciais.
Esse novo cenário impõe não apenas um desafio técnico, mas também jurídico. O direito digital e informático, tanto no âmbito penal quanto processual, precisa avançar rapidamente - o que exige maior capacitação dos profissionais do Direito (incluindo juízes, promotores e advogados). Infelizmente, ainda se observa uma lacuna significativa: o Parlamento brasileiro dedica-se timidamente à proposição de leis capazes de enfrentar o crime cibernético de forma eficaz e contemporânea.
Alguns projetos em tramitação oferecem sinais de evolução positiva:
|
Projeto de Lei |
Ementa e Status |
|---|---|
|
PL 3027/25 (Senado) |
Cria os crimes de “interferência em sistema informático” e “inserção de dados falsos em sistema particular”; amplia tipos penais relacionados à invasão de dispositivo informático. |
|
PL 2294/25 (Câmara) |
Permite bloqueio e rastreamento de linhas telefônicas (fixas ou móveis) usadas em crimes cibernéticos, com objetivo de facilitar investigações. |
|
PL 1740/25 (Câmara) |
Tipifica o aliciamento digital de jovens (18–21 anos) para práticas criminais – prevenção ao recrutamento por redes criminosas. |
|
PL 2628/22 (ECA Digital) |
Proteção de crianças e adolescentes em ambientes digitais, com controles parentais, transparência e penalidades aplicáveis aos provedores. Aprovado na Câmara em agosto de 2025. |
|
PL Estadual – Piauí 2025 |
Estabelece Política Estadual de Prevenção e Combate a Fraudes Virtuais e Crimes Cibernéticos, promovendo integração entre órgãos públicos, educação digital e inovação tecnológica. |
Apesar dessas iniciativas, a marcha legislativa ainda é lenta e distante da urgência exigida pelos desafios do ciberambiente. É imprescindível que o Parlamento e o sistema de ensino jurídico acelerem seus esforços, incorporando legislação atualizada e formação contínua em direito digital, para garantir efetividade, segurança jurídica e tutela efetiva das vítimas diante da complexidade crescente dos crimes virtuais.
2. A insuficiência do aparato estatal, a escalada dos prejuízos, o comparativo criminal e o papel da cooperação técnica
Apesar do crescimento exponencial dos crimes cibernéticos, a estrutura de combate a essas infrações no Brasil ainda se mostra aquém das necessidades. Em 2024, fraudes digitais custaram mais de R$ 10 bilhões às vítimas, um aumento de 17% em relação a 2023. Estima-se que golpes virtuais tenham atingido cerca de 56 milhões de brasileiros, com prejuízos que, em casos específicos, como o golpe via Pix ou boletos falsos, alcançaram R$ 28,8 bilhões.
O Brasil figura entre os países mais visados por ciberataques, com média de 1.379 golpes por minuto e custo médio de violação de dados de R$ 6,75 milhões. Essa realidade contrasta com a limitada capacidade de investigação.
No âmbito da PF - Polícia Federal, a DCiber - Diretoria de Combate a Crimes Cibernéticos conta com pouco mais de 300 policiais especializados. Em 2023, foram registrados mais de 150 mil boletins de ocorrência relacionados a crimes virtuais, muitos deles sem investigação aprofundada por falta de efetivo e recursos.
Já a PC - Polícia Civil possui menos de 20 estados com delegacias especializadas em crimes cibernéticos, geralmente com menos de 15 investigadores por unidade. Enquanto São Paulo possui estrutura robusta, estados menores ainda dependem de delegacias comuns, sem expertise técnica.
Além da fragilidade estrutural, há um fator estratégico: os riscos e as punições são menores no ambiente digital. Crimes físicos contra instituições financeiras envolvem confronto direto e penas superiores a 15 anos. Já delitos digitais, como fraude eletrônica (Art. 171, §2º-A do CP) e invasão de dispositivo informático (Art. 154-A do CP), têm penas de 1 a 5 anos, frequentemente substituídas por restritivas de direito.
Em termos de custo-benefício, a balança é favorável ao criminoso digital. Nesse contexto, a cooperação técnica surge como via indispensável. A APECOF - Associação Nacional dos Peritos em Computação Forense já firmou convênios com a Defensoria Pública do Ceará (2024) e do Tocantins (2025), fortalecendo núcleos de investigação defensiva e ampliando o uso de perícia digital. Tais iniciativas demonstram que parcerias estratégicas entre peritos, defensores e instituições públicas podem otimizar investigações e promover justiça mais técnica e equilibrada.
3. Ataque cibernético vs. falhas de segurança: A centralidade do fator humano
A compreensão jurídica e técnica dos crimes cibernéticos exige a distinção entre um ataque hacker genuíno e incidentes decorrentes de falhas humanas ou de governança corporativa.
No primeiro caso, o agente criminoso explora vulnerabilidades técnicas do sistema, como falhas de software ou ausência de criptografia. Já nas ocorrências mais recentes, o cenário predominante tem sido o uso indevido de credenciais administrativas internas, muitas vezes obtidas por descuido, engenharia social ou negligência na gestão de acessos.
O exemplo da C&M Software, em que quase R$ 1 bilhão foi movimentado de forma ilícita, demonstra que a maior vulnerabilidade não é técnica, mas humana. A carência de profissionais qualificados em cibersegurança agrava o problema. Até 2025, o Brasil precisará de 530 mil profissionais de TI, mas forma menos de 60 mil por ano. Essa lacuna força instituições a absorver mão de obra inexperiente em funções críticas, ampliando os riscos.
Outro agravante é a ausência de autenticação multifator (DFA/2FA) em grandes transações. Sem essa camada, basta a quebra de uma senha para desviar valores vultosos. Segundo o Relatório IBM Security 2024, 80% das violações de dados decorrem de credenciais comprometidas.
|
Critério |
Ataque Hacker Genuíno |
Falha Humana/Organizacional |
|---|---|---|
|
Origem |
Vulnerabilidade técnica explorada |
Uso indevido de credenciais |
|
Exemplo |
Exploit em falha zero-day |
Caso C&M Software |
|
Conhecimento exigido |
Elevado |
Baixo a médio |
|
Fator predominante |
Tecnologia |
Humano |
|
Risco p/ criminoso |
Alto |
Baixo |
|
Impacto financeiro |
Elevado, mas localizado |
Altíssimo |
|
Prevenção |
Patchs, criptografia, monitoramento |
Treinamento, gestão de acessos, DFA/2FA |
|
Enquadramento jurídico |
Art. 154-A, CP |
LGPD, Marco Civil, responsabilidade civil/administrativa |
Essa diferenciação é essencial: ataques técnicos configuram crime cibernético em sentido estrito, enquanto falhas humanas revelam deficiências de governança e ensejam responsabilidade civil e administrativa.
4. Desafios investigativos, fragilidade estrutural e limitações do Judiciário
O combate aos crimes cibernéticos enfrenta desafios técnicos, estruturais e institucionais. A escassez de investimentos, a ausência de infraestrutura e a falta de pessoal especializado alimentam a percepção de impotência estatal diante da sofisticação criminosa.
Outro gargalo é a fragilidade procedimental. Muitas vezes, agentes não observam a cadeia de custódia (art. 158-B, CPP) nem as diretrizes da ABNT NBR ISO/IEC 27037:2013, o que compromete a validade das provas digitais.
Embora o Brasil possua ferramentas forenses como o Ávila Forensic e o IPED, seu impacto é limitado pela falta de profissionais treinados e laboratórios equipados.
No plano internacional, a adesão à Convenção de Budapeste (2023) foi um avanço, mas a cooperação em rastreamento de criptomoedas e ativos digitais ainda é lenta.
Do ponto de vista judicial, a preparação também é insuficiente. Magistrados e membros do MP carecem de formação continuada em provas digitais, o que retarda processos e fragiliza decisões. Apesar da existência de leis modernas (lei Carolina Dieckmann, Marco Civil, LGPD), o Judiciário não está plenamente preparado para a complexidade dos crimes digitais.
5. A disparidade punitiva, a lentidão investigativa e o atrativo econômico do cibercrime
A lentidão investigativa e a dificuldade em rastrear fluxos financeiros ilícitos levam as autoridades a alcançar apenas o elo mais fraco da cadeia criminosa, como no caso da C&M Software.
Essa morosidade, somada à carência de recursos, reforça o cálculo criminoso:
- Risco reduzido de flagrante;
- Baixo custo operacional;
- Potencial de lucro bilionário em poucas horas.
A sequência de ataques recentes ao sistema Pix ilustra o cenário:
- 2/7/2025 - C&M Software: desvio de mais de R$ 1 bi;
- 29/8/2025 - Sinqia: prejuízo estimado em R$ 710 mi;
- 2/9/2025 - Monetarie (Monbank): desvio de R$ 4,9 mi, parcialmente recuperado;
- 4/9/2025 - Tentativa frustrada contra outra fintech.
Comparando com o assalto ao Banco Central de Fortaleza (2005) - R$ 164,7 mi desviados com mais de 30 pessoas, túnel de 80 metros e risco físico altíssimo - os crimes digitais mostram-se muito mais atrativos:
|
Aspecto |
Banco Central (2005) |
Ataques Digitais (2025) |
|---|---|---|
|
Valor |
R$ 164,7 mi |
De R$ 4,9 mi a R$ 1 bi |
|
Envolvidos |
+30 pessoas |
Pequenos grupos/indivíduos |
|
Risco físico |
Altíssimo |
Muito baixo |
|
Complexidade |
Meses de escavação e logística |
Acesso a credenciais ou sistemas |
|
Tempo |
Meses |
Horas ou dias |
|
Recuperação |
< 10% |
Mínima, especialmente em cripto |
|
Pena |
> 15 anos |
1–5 anos |
Esse comparativo demonstra que o cibercrime é mais lucrativo, menos arriscado e punido de forma desproporcionalmente branda, o que consolida sua atratividade.
6. Considerações finais e propostas de aperfeiçoamento
A transposição dos crimes financeiros para o digital não é apenas fenômeno tecnológico, mas questão de segurança jurídica e política pública.
Superar os desafios exige:
- Investimento em capacitação de recursos humanos;
- Aquisição de tecnologias forenses de ponta;
- Ampliação de delegacias especializadas;
- Revisão legislativa das penas cibernéticas;
- Expansão de parcerias técnicas (como as da APECOF);
- Capacitação permanente do Judiciário.
Assim como no passado o assalto armado simbolizava afronta à ordem pública, hoje os ataques digitais configuram ameaça à soberania digital e à estabilidade econômica do país, exigindo resposta estatal e jurídica à altura de sua complexidade.