Atribuição de responsabilidade civil por falhas de atualização em softwares críticos: O caso CrowdStrike e a evolução normativa europeia
terça-feira, 4 de novembro de 2025
Atualizado em 3 de novembro de 2025 09:14
O nível de interdependência de empresas e organizações globais no ambiente virtual é imensurável, constituindo um importante desafio regulatório, sobretudo no que concerne à imputação de responsabilidade por danos.
O incidente da CrowdStrike, ocorrido em 19 de julho de 2024, é um bom exemplo dessa temática: uma falha na atualização do software de segurança Falcon Data Protection, que monitora continuamente os dispositivos do usuário final para detectar e responder a ameaças cibernéticas como ransomware e malware (detecção e resposta de endpoint - EDR), resultou na interrupção de diversos serviços ao redor do mundo.
1. O incidente CrowdStrike e Falcon
A atualização implementada pela CrowdStrike era incompatível com o sistema operacional Windows, gerando um conflito que impediu o funcionamento dos sistemas até que a correção fosse implementada, algumas horas depois. Com isso, bancos, emissoras de TV, serviços médicos e companhias aéreas tiveram seus sistemas operacionais afetados, resultando em caos e atrasos generalizados - inclusive no Brasil.
Não apenas diversos sistemas ficaram inoperantes, mas também surgiram ataques oportunistas por meio de falsas comunicações de ferramentas de recuperação que coletavam dados e causaram outros danos indiretos aos usuários. O New York Times reportou o problema como um exemplo impressionante da frágil dependência que a economia global tem de determinados softwares e do efeito cascata que pode ocorrer quando as coisas dão errado1, destacando os impactos nos voos, em aeroportos, em serviços de emergência, emissoras de televisão e no mercado de ações.2
Os impactos transfronteiriços de estruturas contratuais complexas demandam do aplicador do Direito um esforço exegético para compreender o alcance e a presença ou não dos pressupostos do dever de indenizar. Este caso elucida a gravidade do problema da imputação de responsabilidade por atualizações defeituosas de softwares, ao mesmo tempo que deixa uma clara lição quanto à importância de processos rigorosos de teste e validação para atualizações de software, especialmente para ferramentas de segurança que são amplamente implantadas em diversos ambientes.3
2. Regime de responsabilidade civil brasileiro
No Brasil, a responsabilidade civil é usualmente analisada sob a perspectiva do direito civil em geral, com as vertentes da responsabilidade contratual ou extracontratual (CC, arts. 186, 389 a 397, et al); ou a ótica do direito do consumidor, sob as lentes da responsabilidade pelo fato ou vício do produto ou do serviço (CDC, arts. 12 a 25).
O que diferencia o caso CrowdStrike Falcon dos grandes incidentes anteriores é a inexistência de invasão por hackers ou crackers, mas uma falha do próprio sistema, o que, no Direito brasileiro, significa a inexistência de excludente de responsabilidade por fato de terceiro, uma vez que se trata de fortuito interno, ou seja, risco do empreendimento. A questão jurídica relevante para a ser, nesse contexto, o alcance da responsabilidade, a saber, se os prejuízos resultantes da interrupção do serviço prestado pelo usuário do sistema operacional afetado pela atualização defeituosa configurariam dano direto ou reflexo?
À luz do regime de segurança do produto e do serviço4 previsto nos arts. 12 e 14 do CDC, a atualização defeituosa que compromete o funcionamento do sistema configura defeito (fato do produto/serviço) quando frustra a legítima expectativa de segurança do usuário e gera danos5. Em tais hipóteses, a responsabilidade do fornecedor é objetiva, fundada no risco do empreendimento, não sendo afastada por fortuito interno.
O princípio da reparação integral (CDC, art. 6°, VI; CC, art. 944) assegura o ressarcimento dos prejuízos diretos e imediatos do evento lesivo6, mas o direito civil afasta, como regra geral, os danos reflexos ou por ricochete7. Assim, a classificação entre dano direto ou reflexo influencia na amplitude da reparação quando há perdas decorrentes da dependência entre sistemas ou plataformas.
3. A nova diretiva europeia: new PLD - Product Liability Directive
O direito da união europeia avança no enfrentamento dessa problemática. A Diretiva (UE) 2024/2853, de 23 de outubro de 2024, relativa à responsabilidade decorrente dos produtos defeituosos colocados no mercado a partir de 9 de dezembro de 2026 (EU new PLD - Product Liability Directive)8, substitui a antiga diretiva 85/374/CEE, de 1985, modernizando o regime de responsabilidade civil para produtos digitais e sistemas de IA. A nova Diretiva estabelece expressamente que o software é um produto para efeitos de aplicação da responsabilidade objetiva (13), bem como que um programador ou produtor de software deverá ser considerado fabricante, incluindo os prestadores de sistemas de IA na acepção do regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho9 (Regulamento Europeu de Inteligência Artificial, aprovado em 13 de junho de 2024, conhecido como AI Act).
Fabricante do produto e fabricante do componente respondem solidariamente pelo mesmo dano (cf. art. 12). A nova diretiva também prevê, uma vez que as tecnologias digitais permitem aos fabricantes exercer controle sobre o produto digital após o momento da sua colocação no mercado ou da sua entrada em serviço, os fabricantes deverão continuar a ser responsáveis por defeitos que surjam após esse momento devido a software ou a serviços conexos sob o seu controle, seja sob a forma de atualizações ou evoluções ou sob a forma de algoritmos de aprendizagem automática. (50)
4. Considerações sobre o direito de regresso
Para o Direito brasileiro, parece-nos que no exemplo da Crowdstrike a relação de causalidade entre a falha do software e a interrupção dos serviços que utilizavam os sistemas da Microsoft é direta: o defeito na atualização comprometeu o desempenho dos sistemas e ocasionou, como consequência imediata, a paralisação do serviço. Trata-se, portanto, de dano direto, nos termos do CC, art. 403, que compreende as perdas e danos que são efeito necessário da inexecução da obrigação.
Mas enquanto a interrupção do serviço prestado pelo usuário diretamente afetado pela atualização defeituosa constitui dano direto (CC, art. 403), os efeitos em cadeia sobre terceiros (clientes do usuário, p. ex.) tendem a configurar danos reflexos. Em outras palavras, os prejuízos do usuário direto do sistema afetado seriam plenamente indenizáveis; como custos de reparo, indisponibilidade do sistema, necessidade de restauração. Mas os efeitos sobre terceiros (danos aos consumidores afetados pela interrupção dos serviços), configurariam danos reflexos ou mediatos, cuja reparação dependeria de comprovação autônoma do nexo causal e do âmbito da previsibilidade contratual.
Na relação consumidor-fornecedor, a responsabilidade é objetiva e solidária (CDC, art. 7º, parágrafo único). Uma vez paga a indenização ao consumidor, o fornecedor pode exercer regresso contra o efetivo causador dos danos, conforme a alocação contratual de riscos (limitação de responsabilidade, SLA, lei aplicável, foro/arbitragem) e as regras de direito internacional privado. Com isso, o consumidor prejudicado pelo serviço não prestado seria indenizado pelo contratante do software defeituoso (com base no regime de responsabilidade do CDC), mas o direito de regresso deste fornecedor-usuário contra a Microsoft ou a Crowdstrike dependeria do regime contratual com elas estabelecido.
5. A importância da governança algorítmica para a mitigação de riscos
A escolha do sistema operacional constitui um risco inerente à atividade econômica do fornecedor, a ensejar o dever de reparação integral de danos ao consumidor com base na responsabilidade objetiva do fornecedor de produtos e serviços, fundada na teoria do risco-criado10. O direito de regresso deste fornecedor contra o verdadeiro causador do dano, por sua vez, rege-se pelo direito civil e invoca uma análise detida das disposições contratuais sobre direito aplicável, foro de eleição, juízo competente e limitação de responsabilidade contratual.
Ao desenvolvedor do software compete a implementação de protocolos de teste aprimorados previamente à implantação das atualizações, o desenvolvimento de mecanismos automatizados de reversão e o estabelecimento de planos robustos de recuperação de defeitos, além de planos de resposta e recuperação em caso de incidentes de segurança11. É igualmente recomendável ao contratante da solução digital a leitura dos termos e condições de uso ou licenças de softwares, para precificação também dos riscos inerentes a esse arranjo negocial complexo e interdependente.
A governança algorítmica pressupõe a internalização de mecanismos de conformidade tecnológica, destinados a assegurar a transparência, a rastreabilidade e a auditabilidade das decisões automatizadas, bem como a previsibilidade quanto aos efeitos decorrentes de atualizações, integrações e falhas sistêmicas. Trata-se de exigência compatível com o dever de segurança previsto no art. 8º do CDC e com o princípio da confiança legítima que informa as relações de consumo em ambientes digitais12. A ausência de governança técnica e jurídica adequada pode converter falhas operacionais em eventos de responsabilidade civil por defeito do produto ou do serviço, na medida em que o fornecedor deixa de adotar as medidas preventivas esperadas de acordo com o estado da técnica.
O art. 12, 2., da Diretiva (UE) 2024/2853 (JOUE 18/11/2024) estabelece uma exceção ao direito de regresso no regime europeu de responsabilidade por produtos defeituosos, aplicável quando o defeito se origina em um componente de software integrado a outro produto. Ele determina que o fabricante do produto não poderá acionar regressivamente o desenvolvedor do software defeituoso se este for uma microempresa ou pequena empresa, conforme os critérios da Recomendação 2003/361/CE (isto é, menos de 50 empregados e faturamento limitado), e, cumulativamente, quando as partes tiverem convencionado contratualmente a renúncia a esse direito.
A previsão europeia (que não encontra disposição semelhante no Direito brasileiro) reflete uma tendência voltada à proporcionalidade na alocação de riscos tecnológicos. A finalidade dessa regra é proteger o ecossistema de inovação digital europeu, no qual startups e pequenas empresas de software desempenham papel central, mas possuem baixa capacidade financeira e técnica para suportar ações regressivas de grandes fabricantes. Ao limitar o regresso, a diretiva promove uma distribuição equilibrada dos riscos tecnológicos, incentivando a cooperação entre agentes da cadeia digital e evitando a transferência desproporcional de responsabilidades. Em termos práticos, trata-se de um mecanismo de política pública que busca compatibilizar a responsabilidade objetiva do fabricante perante o consumidor com a proteção da inovação e da concorrência justa no mercado de softwares e sistemas de IA.
Assim, no cenário de incidentes tecnológicos como o ocorrido com a atualização da Crowdstrike, impõe-se a distinção entre a responsabilidade primária do fornecedor direto ao consumidor afetado, fundada na teoria do risco, e a responsabilidade regressiva do fornecedor em face do desenvolvedor do software, cuja delimitação dependerá das cláusulas contratuais vigentes entre as partes e do regime jurídico aplicável à cadeia de fornecimento. Tal estrutura de responsabilização reforça a necessidade de políticas de governança de risco digital e de cláusulas claras sobre limitação de responsabilidade, padrões de segurança, auditorias independentes e planos de continuidade de negócios, instrumentos indispensáveis à mitigação dos efeitos jurídicos de falhas em sistemas críticos.
Em suma, o incidente da CrowdStrike evidencia a vulnerabilidade estrutural dos ecossistemas digitais interdependentes e a necessidade de repensar a alocação de riscos nas cadeias de fornecimento de software. No Brasil, a interrupção do serviço decorrente de atualização defeituosa configura dano direto (CC, art. 403), ensejando responsabilidade objetiva do fornecedor (CDC, arts. 12 e 14). Já os prejuízos em cadeia a terceiros podem constituir danos reflexos, cuja reparação dependerá da prova do nexo causal e da previsibilidade contratual. A nova Diretiva (UE) 2024/2853 e o AI Act indicam um caminho de equilíbrio entre responsabilidade e inovação, reforçando a importância da governança algorítmica e de cláusulas contratuais de mitigação de risco no mercado global de softwares críticos.
_______
1 NY Times. Outage for Microsoft Users Knocks Out Systems for Airlines and Hospitals in Chaotic Day. Data: 19 de julho de 2024. Atualização: 24 de julho de 2024. Disponível aqui. Acesso: 7 out 2025. Tradução livre.
2 Os principais destaques foram para: a) impacto nos Voos: Companhias aéreas dos EUA, como Allegiant Air, American, Delta, Spirit e United, relataram grandes interrupções na noite de ontem, com muitos passageiros retidos; b) caos em Aeroportos: Aeroportos ao redor do mundo, incluindo Hong Kong, Sydney, Berlim e Amsterdã, também foram afetados, com longas filas e sistemas de check-in inoperantes.
c) interrupções no 911: Nos EUA, a falha afetou linhas de emergência 911 em vários estados, mas a maioria dos problemas foi resolvida nesta manhã (19/07); d) problemas em Emissoras: Emissoras internacionais de TV, como TF1 e Canal+ na França, relataram problemas e não conseguiram ir ao ar devido à falha; e) serviços não Afetados: Alguns serviços básicos, incluindo bancos, hospitais e supermercados, aparentemente não foram afetados pela falha nos Estados Unidos; f) impacto no Mercado de Ações: As ações da CrowdStrike caíram cerca de 12,5% no início do pregão, enquanto as ações da Microsoft caíram mais de 1,8%.
3 BANERJEE, Priyant. CrowdStrike Cyber Incident vs. Past Major Cyber Incidents: Analysis and Solutions. India, IJFMR, v. 6, Issue 4, July-August 2024. DOI 10.36948/ijfmr.2024.v06i04.25310.
4 MARQUES, Claudia Lima, Contratos no código de defesa do consumidor, 8. ed. São Paulo: Revista dos Tribunais, 2015.
5 Dentre os julgados sobre o tema, cita-se, por exemplo: Ementa: DIREITO DO CONSUMIDOR. APELAÇÃO CÍVEL. VÍCIO OCULTO. SMARTPHONE. DEFEITO APÓS ATUALIZAÇÃO DE SOFTWARE. RESPONSABILIDADE DO FORNECEDOR. TEORIA DA VIDA ÚTIL DO PRODUTO. DANO MATERIAL. DANO MORAL. RECURSO PROVIDO. I. CASO EM EXAME Apelação Cível interposta por consumidora contra sentença que julgou improcedente pedido de indenização por danos materiais e morais em razão de defeito apresentado em smartphone Samsung Galaxy A71 após atualização de software. A autora alegou que o aparelho nunca sofreu quedas ou uso inadequado e que a fabricante recusou o reparo sob o fundamento de que o produto estava fora da garantia contratual. Requereu a restituição do valor pago pelo aparelho e indenização por danos morais. II. QUESTÃO EM DISCUSSÃO Há duas questões em discussão: (i) definir se o defeito apresentado no smartphone configura vício oculto, sujeitando o fabricante à obrigação de reparo mesmo após o término da garantia contratual; (ii) estabelecer se a negativa de reparo pela fabricante caracteriza dano moral indenizável. III. RAZÕES DE DECIDIR A responsabilidade do fornecedor por vício oculto não se restringe ao prazo da garantia contratual, devendo ser considerada a vida útil do produto, conforme entendimento consolidado pelo Superior Tribunal de Justiça (STJ). O ônus da prova quanto à inexistência de vício oculto recai sobre o fornecedor, nos termos do art. 12, § 3º, do Código de Defesa do Consumidor (CDC), especialmente quando há indícios de que o defeito decorreu de atualização de software promovida pela própria fabricante. A recusa da fabricante em reparar o aparelho sem demonstrar a inexistência do vício caracteriza falha na prestação do serviço e impõe o dever de indenizar o consumidor pelos danos materiais correspondentes ao valor do produto. O dano moral se configura diante da frustração da legítima expectativa do consumidor e da prática abusiva da fabricante, que inviabilizou o uso do aparelho em período inferior à sua vida útil, impondo a necessidade de aquisição de novo produto. O valor da indenização por danos morais deve observar os critérios da razoabilidade e proporcionalidade, considerando a gravidade da conduta do fornecedor e a extensão do dano sofrido pelo consumidor. IV. DISPOSITIVO E TESE Recurso provido. Tese de julgamento: A responsabilidade do fornecedor por vício oculto persiste durante a vida útil do produto, não se limitando ao prazo de garantia contratual. Cabe ao fornecedor o ônus de comprovar que o defeito não decorreu de vício oculto, nos termos do art. 12, § 3º, do CDC. A negativa injustificada de reparo por parte do fornecedor configura falha na prestação do serviço e enseja indenização por danos materiais. A prática de conduta abusiva que frustra a legítima expectativa do consumidor e inviabiliza o uso do produto durante sua vida útil configura dano moral indenizável. Dispositivos relevantes citados: CDC, arts. 12, § 3º, e 26, § 3º; CPC, art. 85, § 2º. Jurisprudência relevante citada: STJ, REsp nº 1.787.287/SP, Rel. Min. Ricardo Villas Bôas Cueva, Terceira Turma, j. 14.12.2021. (TJES. Acórdão. Processo nº 5006025-42.2024.8.08.0021. Órgão Julgador: Órgão Julgador: 4ª Câmara Cível. Relator (a): Luiz Guilherme Risso. Data do julgamento: 13/05/2025.)
6 SANSEVERINO, Paulo de Tarso Vieira, Princípio Da Reparação Integral: Indenização Do Código Civil, São Paulo: Editora Saraiva, 2010.
7 SILVA, Rafael Peteffi da; JUNIOR, Otavio Luiz Rodrigues, Daño reflejo o por rebote: pautas para un análisis de derecho comparado, Revista de Direito Civil Contemporâneo, v. 7, p. 207-240, 2016.
8 Diretiva (UE) 2024/2853 do Parlamento Europeu e do Conselho de 23 de outubro de 2024 relativa à responsabilidade decorrente dos produtos defeituosos revoga a Diretiva 85/374/CEE do Conselho.
9 Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho, de 13 de junho de 2024, que cria regras harmonizadas em matéria de inteligência artificial e que altera os Regulamentos (CE) n.° 300/2008, (UE) n.° 167/2013, (UE) n.° 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e as Diretivas 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (Regulamento da Inteligência Artificial) (Texto relevante para efeitos do EEE).
10 BERGSTEIN, Laís; MARQUES, Claudia Lima, Socialização de riscos e reparação integral do dano no Direito Civil e do Consumidor no Brasil, Conpedi Law Review, v. 3, n. 1, p. 250-278, 2017.
11 BANERJEE, Priyant. CrowdStrike Cyber Incident vs. Past Major Cyber Incidents: Analysis and Solutions. India, IJFMR, v. 6, Issue 4, July-August 2024. DOI 10.36948/ijfmr.2024.v06i04.25310.
12 MIRAGEM, Bruno, Abuso de direito e proteção da confiança, [s.l.]: Revista dos Tribunais, 2015.
