Por muito tempo, o Direito Civil serviu como um porto seguro para empresas vítimas de incidentes cibernéticos. O argumento era quase padrão: o ataque de um hacker seria o equivalente moderno a um raio ou um terremoto - um caso fortuito externo, imprevisível e inevitável, capaz de romper o nexo de causalidade e afastar o dever de indenizar.
Contudo, em 2026, essa tese está com os dias contados. O Judiciário começa a consolidar um entendimento mais rigoroso: em um ecossistema digital hiperconectado, ser alvo de um ataque não é mais uma fatalidade estatística, mas um risco inerente à atividade empresarial.
A discussão jurídica está sofrendo uma migração pendular. Não se pergunta mais apenas: "A empresa foi atacada?". A pergunta de um milhão de reais (muitas vezes, literalmente) passou a ser: "Sua infraestrutura era previsivelmente atacável?".
Essa mudança de paradigma transforma o ataque cibernético de um fortuito externo para um fortuito interno. Assim como o STJ já consolidou na súmula 479 que fraudes bancárias cometidas por terceiros não eximem as instituições financeiras de responsabilidade, o mesmo raciocínio se expande aos poucos para o tratamento de dados pessoais em qualquer setor.
Sob a ótica da LGPD (especialmente o art. 46) e do CC, a segurança da informação deixou de ser um diferencial competitivo para se tornar o padrão de diligência mínima.
Se uma empresa opera com sistemas desatualizados, sem MFA - autenticação de múltiplos fatores ou sem uma política de governança de dados robusta, ela não é "vítima" de um hacker genial. Ela é, juridicamente, negligente em relação à vulnerabilidade que era plenamente previsível e evitável.
Imagine deixar a porta da frente de uma loja aberta, em uma rua movimentada, no meio da madrugada, e depois tentar convencer o seguro de que o furto foi uma "surpresa inevitável". No mundo digital, o raciocínio é o mesmo.
A ideia de que um ataque cibernético é um evento imprevisível, como um raio que cai do céu, está sendo atropelada pela realidade. Se a tecnologia para prevenir uma invasão já é tão acessível e conhecida quanto um cinto de segurança ou um extintor de incêndio, a omissão em adotá-la transforma o que seria um "caso fortuito" em uma escolha de risco.
Nesse novo cenário, o Judiciário parou de olhar apenas para a agilidade do invasor e começou a analisar a inércia do invadido. A conformidade com a LGPD, portanto, deixa de ser uma lista de tarefas burocráticas para se tornar uma prova de resistência: em um eventual processo, a pergunta de ouro não será mais sobre a autoria do ataque, mas sobre o quão difícil a empresa tornou a vida do invasor.
O ciberincidente perdeu seu status de "bilhete de saída" para a responsabilidade civil. No tribunal da era digital, o "azar" não é mais uma excludente de ilicitude aceitável quando a porta foi deixada encostada.
A autoridade e a sobrevivência das empresas agora dependem da capacidade de provar que, embora nenhum sistema seja um forte impenetrável, a empresa não era - por negligência técnica ou falta de governança - previsivelmente atacável. O ataque pode até ser uma fatalidade, mas a vulnerabilidade exposta é, cada vez mais, uma sentença de responsabilidade.