A realidade empresarial contemporânea não mais se debruça apenas sobre o papel e o carimbo, mas sobre o bit e o código, exigindo uma visão holística e estratégica diante de um cenário onde a extorsão digital e os crimes cibernéticos deixaram de ser meros incidentes de TI para se tornarem crises jurídicas de alta tensão.
Sob essa ótica, deve-se compreender que a ocorrência de um ransomware coloca o gestor diante de um dilema ético e legal que flerta perigosamente com a tipicidade, uma vez que a opção pelo pagamento de resgates em criptoativos pode, inadvertidamente, levar a empresa a ser mencionada em investigações criminais, pela mera transferência dos ativos para carteiras digitais ou contas bancárias comprometidas.
Portanto, a decisão de ceder à extorsão digital não deve ser vista apenas sob o prisma financeiro, mas como um ato que demanda lastro rigoroso em demonstração concreta de que não havia outra conduta a ser praticada em face do risco iminente de quebra da continuidade corporativa.
Todavia, a mera alegação de urgência não blinda o administrador de forma automática, sendo essencial que cada passo da gestão de crise seja devidamente documentado sob o rigor do compliance penal, garantindo que a atuação da diretoria não seja interpretada como uma colaboração espúria com organizações criminosas.
Sob outra ótica, a figura do garantidor ganha novos e complexos contornos com a ascensão do DPO - Data Protection Officer e dos diretores de tecnologia, que passam a carregar o dever jurídico de evitar o resultado criminoso por meio da implementação de protocolos robustos de segurança.
Nesse contexto, a omissão na proteção de dados sensíveis pode ser interpretada como dolo eventual ou cegueira deliberada, transmutando-se de uma infração administrativa para uma possível imputação de gestão temerária, especialmente quando o risco era previsível e a desídia expôs ativos de terceiros a ataques transnacionais.
Consequentemente, a interação com as autoridades policiais após um ataque cibernético exige uma cautela cirúrgica, pois a empresa, ao se apresentar como vítima, abre seus sistemas ao Estado e corre o risco latente da serendipidade, onde a busca por evidências do ataque revela irregularidades internas até então ocultas.
Por isso, a atuação deve ser preventiva e concomitante ao evento, com realizações de auditorias de defesa mesmo com o compartilhamento de logs com as autoridades públicas, de modo a garantir que a integridade do banco de dados seja preservada em um ambiente digital intrinsecamente hostil.