Responsabilidade por ataques originados na rede da empresa: quando a infraestrutura corporativa é usada para cometer crimes cibernéticos

Muitas empresas ainda acreditam que a responsabilidade por crimes cibernéticos se limita ao autor direto da conduta — o hacker ou colaborador mal-intencionado. No entanto, a legislação e a jurisprudência mais recentes apontam que as empresas também podem ser responsabilizadas civilmente quando sua infraestrutura digital é usada para cometer ataques, fraudes ou invasões contra terceiros.

Mesmo sem intenção, a negligência na segurança da informação pode ser interpretada como contribuição indireta no delito. A falta de políticas de controle, proteção de dados e monitoramento de rede pode transformar a vítima em culpada.

Quando surge a responsabilidade da empresa?

A empresa pode ser responsabilizada quando:

Sua rede de internet é usada para realizar ataques cibernéticos (como DDoS, phishing ou invasões a sistemas);

Colaboradores utilizam equipamentos corporativos para cometer crimes digitais;

Há falhas graves na segurança que permitiram o uso indevido da infraestrutura;

A empresa ignora alertas técnicos e não adota medidas preventivas de segurança.

Nesses casos, pode-se entender que a empresa contribuiu para o crime por omissão, violando deveres de vigilância e proteção.

O que fazer ao descobrir um ataque originado na sua rede?

Isolamento imediato do incidente - desconecte os sistemas afetados, bloqueie os IPs envolvidos e preserve os registros de acesso.

Coleta e preservação de provas digitais - registre logs, prints, relatórios técnicos e comunicações internas que demonstrem a origem do ataque e a resposta adotada.

Comunicação às autoridades competentes - registrar boletim de ocorrência e cooperar com as investigações é essencial para afastar a suspeita de conivência.

Notificação às vítimas e à ANPD (quando aplicável) - em caso de vazamento relevante de dados, a empresa deve comunicar formalmente as vítimas e à Autoridade Nacional de Proteção de Dados.

Consultoria jurídica imediata - a atuação técnica de advogados especializados em cibercriminalidade garante que a empresa se posicione corretamente no processo.

Dúvidas frequentes

1. A empresa pode ser processada por falhas em segurança digital?

Sim. Ainda que a empresa não tenha participado do crime, pode ser responsabilizada civilmente por omissão ou negligência grave na segurança da informação e/ou proteção de dados pessoais.

2. E se o ataque foi cometido por um funcionário sem o conhecimento da empresa?

Se comprovado que não havia políticas de controle ou monitoramento, a empresa pode ser considerada corresponsável por falta de prevenção.

3. Quem pode ser responsabilizado?

A responsabilidade civil é atribuída à pessoa jurídica, mas pode alcançar diretores, gestores e até o setor jurídico, se houver descuido grave nas práticas de compliance digital e de proteção de dados.

Como a Margotti Advocacia pode ajudar?

A Dra. Alessandra Margotti atua na defesa e orientação de empresas envolvidas em incidentes cibernéticos, oferecendo:

Representação criminal e acompanhamento em inquéritos e ações penais e civis indenizatórias;

Elaboração de pareceres e relatórios jurídicos para investigação interna;

Implementação de políticas de compliance e segurança digital;

Apoio jurídico em casos de vazamento de dados e incidentes de rede;

Defesa técnica para evitar a responsabilização da empresa.

Conclusão

No cenário digital atual, não basta ser vítima: é preciso demonstrar diligência e capacidade de resposta. Ter políticas de segurança, registros de auditoria e suporte jurídico estruturado é o que separa uma empresa protegida de uma empresa responsabilizada.