Prompt injection no sistema de Justiça: Um tema à espera de enquadramento penal

Em maio de 2026, três casos inéditos chegaram ao Judiciário brasileiro: advogados inseriram comandos ocultos em petições (texto em fonte branca sobre fundo branco) com o objetivo de manipular os sistemas de inteligência artificial utilizados pelo Poder Judiciário para análise prévia de petições nos processos judiciais. A técnica, conhecida como prompt injection, foi identificada primeiramente pelo sistema Galileu na 3ª vara do Trabalho de Parauapebas/PA, em seguida pela 3ª turma Recursal do TJ/PB e, dias depois, na 2ª vara Cível de Campo Grande, no Mato Grasso do Sul. Outros casos vem sendo relatados, nesse mesmo sentido, em diversos tribunais. O que os casos tinham em comum? Advogados constituídos nos autos, admitiram a inserção de comandos ocultos em suas manifestações e petições. Em maio de 2026, já houve o reconhecimento de uso de comandos invisíveis em 28 processos em tramitação no TJ/MS.

As respostas institucionais dos tribunais e tribunais superiores, até o momento, se limitaram às esferas processual, com aplicação do art. 77, §2º¹, do CPC e, no caso da OAB, seccional Pará, do Estatuto da Advocacia (lei 8.906/1994), art. 70, § 3º, que prevê a possibilidade do afastamento cautelar aos advogados que infringem ao código de ética profissional. No caso ocorrido na jurisdição do TRT-8, foi imposta às advogadas constituídas nos autos uma multa de R$ 84 mil e OAB determinou a suspensão cautelar das advogadas, sendo instaurado um ético-disciplinar.

Ao que se sabe, na esfera criminal, contudo, não houve qualquer denúncia ou inquérito, apesar de os membros do Ministério Público já terem se manifestado publicamente sobre a gravidade da conduta.

Além de injeção de comandos maliciosos, o Poder Judiciário já vinha sendo bombardeado nos autos processuais sob sua análise, por trechos de doutrina e jurisprudência inexistentes, além de referências a conteúdos incompatíveis com aqueles presentes nos autos. Isso ficou inadequadamente conhecido no jargão jurídico, em textos e palestras, como alucinação. Diz-se inadequadamente, pelo fato de que as IAs generativas trabalharem sob a lógica probabilística e que, por essa razão, quando manejadas exclusivamente por meio chats e agentes, produzem respostas que tem compromisso com a estatística e com a probabilidade e não com as verdades real ou processual, tão cortejada nos meios jurídicos.

O compromisso com a ética e a verdade dos documentos acostados ao processo judicial é universal e válido para todos os atores do sistema de justiça. Assim, a falta de zelo ou o ato deliberado em afetar o juízo de valor que se formará nos autos processuais e no curso do processo judicial é matéria já enfrentada preteritamente pelo regime jurídico brasileiro, mas que, diante do uso massivo, pelos atores do sistema de justiça, de ferramentas de inteligência artificial generativa ganha novos contornos que necessitam de regulação penal, cível, administrativa e éticas adequadas à cada esfera competente.

Não obstante as esferas cíveis, administrativas e éticas tenham sua relevância, diante do bem jurídico protegido - que é própria dignidade da justiça como um dos pilares do Estado Democrático de Direito - o silêncio penal levanta questões dogmáticas e práticas relevantes.

A fraude processual, tipificada no art. 347 do CP, prevê punição com detenção de três meses a dois anos para quem inova artificiosamente, na pendência de processo civil ou administrativo, o estado de lugar, de coisa ou de pessoa, com o fim de induzir o juiz ou perito a erro.

Art. 347/CP - Inovar artificiosamente, na pendência de processo civil ou administrativo, o estado de lugar, de coisa ou de pessoa, com o fim de induzir a erro o juiz ou o perito:

Pena - detenção, de três meses a dois anos, e multa.

Parágrafo único - Se a inovação se destina a produzir efeito em processo penal, ainda que não iniciado, as penas aplicam-se em dobro.

À primeira vista, o tipo parece moldado para o prompt injection, no entanto, a leitura atenta revela tipicidade estreita. Os núcleos verbais (alterar o estado de lugar, de coisa ou de pessoa) pressupõem atividade material sobre realidade externa ao processo: a manipulação do cenário de um acidente; a adulteração de documento que será objeto de perícia; a alteração do corpo de delito.

A peça processual não se enquadra nessas categorias. Ela se destina a narrar fatos e a formular pretensões, mas não constitui “lugar”, “coisa” ou “pessoa” no sentido técnico exigido no dispositivo penal. A inserção de comando oculto em petição ou até sobre provas – uma vez que a técnica de promp injection pode ocorrer sobre qualquer arquivo juntado aos autos do processo - opera, antes, sobre a ferramenta de processamento informacional utilizada pelo órgão julgador. Observe que as técnicas de prompt injection ou da falta de revisão e de curadoria dos documentos gerados pela IA, poderá impactar a ferramenta utilizada pelo Poder Judiciário, mas também a da parte oposta da relação processual, do Ministério Público, das procuradorias públicas, das defensorias ou do perito convocados a se manifestarem no feito.

A escala do prejuízo à jurisdição de um documento - com prompt injection ou com dados inverídicos gerados de derivação estatística da IA, sem a checagem adequada do responsável - tem um efeito dominó com possibilidade de afetar o bom exercício das atividades de outros órgãos ou pessoas que, conjuntamente com o magistrado, são responsáveis pela garantia das dignidade da justiça para o exercício da jurisdição.

Questionável também, seria a defesa do enquadramento no art. 154-A², CP, que tipifica a invasão de dispositivo informático alheio, com pena de reclusão de 1 a 4 anos. O obstáculo à sua adoção é evidente, pois as partes processuais são intervenientes legítimos, assim como os servidores públicos que peticionam pelo sistema processual eletrônico com credencial legítima, conferida pela própria OAB, TJ, MP, Defensorias, dentre outros, sem violar qualquer barreira de segurança.

Apesar do prompt injection explorar uma vulnerabilidade do sistema, não há, tecnicamente, invasão, mas uso desviado de acesso autorizado. Entretanto, a parte final do caput, que pune quem “instala vulnerabilidades para obter vantagem ilícita”, poderia inspirar construção  doutrinária  mais  ousada,  sustentando  que  o  prompt  malicioso  explora vulnerabilidade estrutural do modelo de linguagem da IA e dos sistemas. Trata-se, porém, de tese inovadora, sem amparo jurisprudencial e que provavelmente esbarraria no princípio da legalidade estrita, que veda interpretação extensiva de ilicitude penal, em desfavor do acusado. O prompt injection explora uma vulnerabilidade dos sistemas, como uma das práticas possíveis para ocultar conteúdos em arquivos, chamada tecnicamente de esteganografia, já bastante antiga e conhecida na área de Segurança da Informação, que com o uso massivo de ferramentas de IA, pelo atores do sistema de justiça, passou a ser usada também para atacar suas plataformas que usam a IA Generativa no Poder Judiciário. Ou seja, apesar de usar acessos válidos, se trata de um uso intencional e com desvio de finalidade de acesso autorizado – e portanto com dolo - para promover resultados indevidos na análise de peças processuais pelos sistemas de IA generativa do Poder Judiciário, obtendo ou não vantagem ilícita.

Esse panorama revela uma realidade preocupante: as consequências jurídicas atualmente aplicáveis a quem tenta fraudar o processo eletrônico judicial - por meio de comandos invisíveis ou de peças geradas por IA e não conferidas, assinando-as e protocolando-as a despeito dos erros graves que detêm - são notoriamente brandas.

A multa por ato atentatório à dignidade da justiça, prevista no CPC, embora pareça expressiva em números absolutos, é limitada a 20% do valor da causa e se converte em obrigação puramente patrimonial. Em ações que envolve valores expressivos, pode ser tornar insuficiente para desestimular o ilícito. As sanções disciplinares dos tribunais, as sanções de natureza ética dos órgãos de classe, ou ainda sanções correcionais de outros órgãos, ainda que possam culminar em suspensão, raramente atingem a exclusão do infrator dos quadros da organização. Não que a exclusão do infrator seja a meta a ser buscada de per si, no entanto, é necessário avaliar com clareza qual o bem jurídico que entendemos por “dignidade da justiça” no contesto da “justiça algorítmica”, em que ferramentas têm o poder de induzir a vontade do Estado Democrático de Direito, representada, no processo judicial, pelo Estado Juiz.

Se a sociedade, representada no Poder Legislativo Federal, entender, e assim nós entendemos, que a dignidade da justiça clama por ampliação da sua proteção penal, pelo fato novo do uso massivo de ferramentas de IA generativa no sistema de justiça, o reforço da proteção penal, para além da proteção cível, administrativa e ética parece ser urgente. Atualmente, na ausência de tipificação penal específica, o sujeito processual infrator, sequer responde criminalmente.

Como dito, em ações de elevado valor econômico, o cálculo perverso se impõe: se a manobra passar despercebida, o ganho pode compensar o investimento no ilícito. Se for descoberta, a sanção é apenas pecuniária até 20% do valor da causa e, talvez, administrativa. O risco de internalização da lógica de que o crime compensa é real e tende a estimular a profissionalização desta prática criminosa e da litigância algorítmica predatória. Ressalte-se que os dados do Ministério da Justiça apontam que, nos último 5 anos, a criminalidade digital vem subindo enquanto a criminalidade violenta contra a pessoa, mostra tendência de queda, ano a ano.

Se a opção do Poder Legislativo for no sentido da inércia legislativa ou da negativa de ampliação da proteção da dignidade da justiça, que se encontra atacada por novas vias, uma possibilidade seria no enquadramento da conduta do uso da esteganografia, como modalidade de estelionato (fraude eletrônica), prevista no art. 171, §2º-A do CP, tendo em vista a gravidade da conduta e o problema da desproporcionalidade das sanções vigentes, uma vez que a descrição do fato típico no dispositivo é deliberadamente ampla (alcança fraudes praticadas mediante “qualquer outro meio fraudulento análogo”) e foi concebida pelo legislador justamente para responder às novas modalidades de engenho digital.

Essa solução não seria acolhida sem problemas. Debates poderiam ser travados quanto ao bem jurídico tutelado e à exigência de prejuízo patrimonial efetivo para subsunção do fato à norma, requisito atendido sempre que a manipulação se dê em ação de natureza econômica, mas não acolheria todos os tipos de ações.

Em ações sem conteúdo patrimonial, outras vias deveriam ser exploradas, mas nas hipóteses mais comuns (trabalhistas, cíveis de cobrança, indenizatórias), oferece resposta penal proporcional e tecnicamente sustentável.

No caso de normativa específica, a proposta legislativa pode ser estruturada como hipótese normativa de ampliação do tipo penal do estelionato informacional e da fraude processual algorítmica, considerando a manipulação dolosa de sistemas de IA generativa, mediante técnicas de indução semântica, esteganografia, prompt injection, manipulação de metadados, caracteres ocultos, embeddings maliciosos ou outras formas de interferência no processamento computacional destinadas a alterar o resultado analítico produzido por sistemas algorítmicos.

Vale destacar, que as técnicas esteganográficas podem ocorrer de forma oculta ou de forma visível. Argumentações expressas e visíveis nas peças processuais, com a finalidade de convencimento do magistrado, são comuns na rotina do processo e fazem parte das prerrogativas de atuação de advogados, defensores públicos, procuradores públicos e do Ministério Público. Não se caracterizam, desta forma, como ações antiéticas ou antijurídicas que mereçam o ataque pela via sancionatória da legislação vigente (cível, administrativa, ética ou penal).

No entanto, às melhores técnicas esteganográficas são as que, embora visíveis, produzem o resultado esperado, sem que possam ser tidas, a priori, como elementos ilícitos inseridos nos sistemas. Aqui estaríamos diante de um ilícito, travestido de ato lícito. Uma fronteira, que a jurisprudência e a doutrina deverão enfrentar em breve. E a pergunta de base para guiar a resposta adequada seria: o que diferenciaria a retórica do sofisma, no legítimo exercício do Direito de manifestação das parte no processo judicial?

Nesse sentido, uma norma deveria estar atenta a essas especificidades. Apresentamos, sem a pretensão de encerrar a discussão, uma proposta legislativa.

Art. XXX. Induzir, manipular, adulterar ou influenciar, mediante emprego de técnicas esteganográficas, algorítmicas, computacionais ou semânticas, sistema de inteligência artificial generativa ou sistema automatizado de processamento de informações, com a finalidade de produzir análise, interpretação, decisão, recomendação, classificação ou conclusão falsa, distorcida ou artificialmente direcionada, em benefício próprio ou de terceiro, ou em prejuízo alheio:

Pena – reclusão de 2 (dois) a 8 (oito) anos e multa.

§1º A pena será aumentada de metade até dois terços se:

I – o fato envolver processo judicial, administrativo, arbitral ou licitatório;

II – houver utilização de dados públicos, dados sigilosos ou dados protegidos;

III – o agente atuar mediante automação, rede coordenada ou sistema escalável;

IV – houver potencial de causar dano coletivo, institucional, à administração pública ou a administração da justiça.

§3º A tentativa é punível.

§4º Se a conduta decorrer de negligência grave, imprudência qualificada ou imperícia na inserção, validação, auditoria ou supervisão de comandos destinados ao processamento algorítmico, expondo terceiros a dano relevante, a pena será de detenção de 6 (seis) meses a 2 (dois) anos e multa.

§5º Não há crime quando, de forma visível, sujeito processual legitimamente constituído, no exercício de suas prerrogativas institucionais, exerce argumentações ou retórica para o convencimento do julgador, na análise das peças processuais.

A justificativa político-criminal pode sustentar que a atual redação do CP brasileiro não contempla adequadamente condutas emergentes de manipulação indireta – visíveis ou ocultas -de sistemas de IA generativa, especialmente quando o dano decorre da corrupção deliberada do processo inferencial algorítmico, e não apenas da falsidade documental tradicional.

Do ponto de vista dogmático, a proposta aproxima-se de figuras híbridas entre estelionato informacional, fraude processual, falsidade ideológica digital, sabotagem informacional, manipulação ilícita de sistemas automatizados. A inclusão da modalidade culposa exigiria cautela técnica, porque o Direito Penal brasileiro tradicionalmente restringe crimes culposos às hipóteses expressas e materialmente justificadas. Nesse ponto, talvez seja mais adequado prever culpa grave qualificada, responsabilidade administrativa, agravante específica ou tipo autônomo ligado à violação de dever técnico de supervisão algorítmica.

Há ainda uma discussão relevante sobre tipicidade fechada versus conceitos abertos tecnológicos. Para evitar obsolescência legislativa, recomenda-se utilizar expressões tecnicamente  amplas  (“quaisquer  mecanismos  destinados  a  alterar  indevidamente  o comportamento inferencial do sistema”), evitando limitar o tipo penal apenas à “esteganografia”, já que as técnicas evoluem rapidamente.

Quanto à conduta de assinar e protocolar documento gerado por IA generativa, contendo erros e informações incorretas embora com a aparência de verossimilhança, conhecida como alucinação algorítmica, essa mereceria, desde já, uma descrição de fato típico penal própria.

Nesse caso, a legislação inovadora deveria ter um descritivo penal que considerasse o dolo ainda que eventual, de indução em erro ou a culpa, quando houver violação relevante do dever de validação humana, mediante negligência de validação ou imprudência no uso de ferramentas de IA generativa, especialmente quando há aparência de credibilidade documental para produzir efeitos jurídicos, econômicos, administrativos ou reputacionais.

O fundamento central na legislação penal não estaria na mera utilização de IA, o que seria incompatível com os princípios da neutralidade tecnológica e da liberdade científica, mas sim no uso de conteúdo algoritmicamente verossímil - uma vez que atende aos critérios estatísticos das LLMs, mas que não atende aos critérios de veracidade e compatibilidade exigidos no processo judicial -, como também na violação do dever de validação humana em contextos de relevância jurídica ou institucional (human in the loop). Estaríamos diante de situações que se aproximariam de: falsidade ideológica, fraude documental, fraude probatória e violação de dever técnico de verificação.

Nossa proposta de formulação normativa seria:

Art. XXX. Apresentar, subscrever, protocolar, divulgar ou utilizar como próprio documento, parecer, manifestação técnica, prova, informação ou conteúdo produzido total ou parcialmente por sistema de inteligência artificial generativa, contendo informação falsa, inexata, inexistente, fabricada ou não verificável, quando o agente: I – souber da inconsistência;

II-deixar de realizar validação técnica mínima exigível;

III – induzir terceiros a erro mediante aparência de verossimilhança algorítmica: Pena – reclusão de 1 (um) a 5 (cinco) anos e multa.

§1º A pena será aumentada de metade até dois terços se:

I – o documento for utilizado em processo judicial, administrativo, arbitral ou licitatório;

II – houver potencial lesão à administração pública, à administração da justiça ao sistema financeiro ou à fé pública;

III – se a conduta envolver parecer técnico, perícia, auditoria, laudo, ou documento subscrito por profissional sujeito a dever legal de verificação.

§2º Se a conduta decorrer por culpa, por imprudência no uso de ferramentas de IA ou por negligência grave na revisão, validação ou auditoria do conteúdo produzido por inteligência artificial generativa, a pena será de detenção de 6 (seis) meses a 2 (dois) anos e multa.

§3º Não há crime quando inexistir potencial concreto de indução relevante em erro.

A tipificação destas condutas penais exigem cautela para evitar a criminalização do uso de IA generativa como regra, ou ainda evitar a responsabilidade penal objetiva e a punição de meros erros técnicos sem dolo, culpa grave ou que não gerem efetivo dano à sociedade.

Ao mesmo tempo, em ambientes profissionais regulados - como advocacia, auditoria, medicina, perícia, magistratura, engenharia, contabilidade - a omissão de verificação justifica o tratamento mais severo, em razão do dever técnico qualificado de diligência diante da potencial e grave afetação dos bens jurídicos protegidos.

Ambas as condutas são, em verdade, pluriofensivas, pois atingem o patrimônio das partes, a administração da justiça, a integridade de sistemas públicos e privados, além da confiança na jurisdição. Os bens jurídicos tutelados seriam múltiplos, como a fé pública digital, integridade documental, liberdade cognitiva e a confiabilidade dos ambientes decisórios, mediados por ferramentas de IA.

Definir como o Direito Penal brasileiro responderá a essa nova fronteira da litigância de má-fé é debate que ainda está por ser feito, e que merece análise aprofundada antes que os primeiros julgados consolidem entendimentos sem o devido amadurecimento doutrinário.

A omissão do Ministério Público nos casos já amplamente noticiados não pode se entendida como precedente silencioso de tolerância, mas talvez represente uma lacuna normativa penal que precisa ser sanada.

A transformação algorítmica do sistema de justiça impõe ao Direito Penal contemporâneo o desafio de proteger não apenas documentos, patrimônios ou sistemas informáticos isoladamente considerados, mas também a própria integridade cognitiva dos ambientes decisórios mediados por inteligência artificial.

Em uma realidade em que comandos ocultos, manipulações semânticas e conteúdos artificialmente verossímeis podem interferir na formação da convicção judicial, a tutela da dignidade da justiça passa necessariamente pela preservação da autenticidade informacional, da confiança institucional e da transparência dos processos inferenciais automatizados.

O enfrentamento jurídico dessas novas formas de fraude não pode decorrer de respostas improvisadas ou analogias expansivas, incompatíveis com o princípio da legalidade penal, mas exige amadurecimento doutrinário, responsabilidade institucional e reflexão legislativa proporcional à gravidade dos riscos produzidos pela litigância algorítmica maliciosa.

A omissão normativa, diante desse cenário, representa não apenas um déficit regulatório, mas potencial fragilização da própria legitimidade do Estado Democrático de Direito, em ambientes crescentemente mediados por sistemas de inteligência artificial.

Cabe à doutrina, à magistratura e aos órgãos de persecução penal construírem, desde já, os contornos de uma resposta firme e proporcional, sob pena de o processo eletrônico, conquista civilizatória do Poder Judiciário brasileiro, ser progressivamente corrompido pela inventividade dos que dele se aproveitam para fins ilícitos.

______________________

1 Art. 77/CPC. Além de outros previstos neste Código, são deveres das partes, de seus procuradores e de todos aqueles que de qualquer forma participem do processo:

[...]

§ 2º A violação ao disposto nos incisos IV e VI constitui ato atentatório à dignidade da justiça, devendo o juiz, sem prejuízo das sanções criminais, civis e processuais cabíveis, aplicar ao responsável multa de até vinte por cento do valor da causa, de acordo com a gravidade da conduta.

2 Art. 154 – A – Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita:

Pena – Reclusão, de 1(um) a 4(quatro) anos e multa [...]

§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena – reclusão, de 2 (dois) a 5 (cinco) anos, e multa.