Tribunais Consolidam Responsabilidade Objetiva por Incidentes.

Os tribunais brasileiros têm atribuído aos controladores de dados a responsabilidade objetiva por incidentes de segurança por eventos que comprometem a confidencialidade, integridade ou disponibilidade dos dados.

Casos paradigmáticos:

> TJ-PR: Vazamento configirou dano moral por violar direitos protegidos pela LGPD
> TJ-MS: Reconhecimento de assédio por uso indevido de dados
> TRT-4: Invalidação de coleta de dados de geolocalização por violação de privacidade

Impacto.

A responsabilização não depende mais de culpa comprovada, mas do próprio fato da falha de segurança. Empresas devem estruturar programas preventivos robustos e manter documentação completa.

Maior Ataque Cibernético da História do Sistema Financeiro Brasileiro.

Um ataque hacker atingiu a C&M Software na noite de 1º de julho de 2025, causando prejuízos estimados entre R$ 500 milhões e R$ 1 bilhão. A ação comprometeu a infraestrutura da empresa que conecta instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB).

Modus operandi do ataque:
> Credenciais comprometidas: uso indevido de usuário e senha de clientes
> Insider threat: prisão do ex-funcionário João Nazareno Roque por facilitar acesso > Contas reservas: criminosos acessaram recursos depositados no Banco Central
> Conversão cripto: uso da SmartPay para converter valores em criptomoedas

Instituições afetadas:
> Soffy Soluções: R$ 270 milhões bloqueados judicialmente
> Banco Paulista, Credsystem, Banco Carrefour: operações Pix suspensas
> Igreja Bola de Neve: operações financeiras restritas
> Transfeera, Nuoro Pay: suspensão determinada pelo BC.

Resposta Regulatória:
Mudanças Estruturais no Sistema Pix
O Banco Central implementou mudanças estruturais: a partir de 2025, apenas instituições previamente autorizadas poderão integrar o sistema.

Medidas implementadas:
Autorização prévia para novos participantes
> Prazo até 2026 para organizações atuais se adequarem
> Regime de produção controlada para C&M
> Auditoria independente e comunicação direta obrigatória

Impacto sistêmico.
O caso forçou uma virada estratégica: a inclusão acelerada dá lugar a controle, qualidade e estabilidade.

ANPD Publica Agenda Regulatória 2025-2026.

A Autoridade Nacional de Proteção de Dados estabeleceu 15 iniciativas distribuídas em quatro fases, priorizando direitos dos titulares e padrões mínimos de segurança.

Principais iniciativas:
> Decisões automatizadas: regulamentação do artigo 20 da LGPD
> DPIAs padronizadas: avaliações de impacto com critérios normativos
> Dados biométricos: regras para impressão digital e reconhecimento facial
> Incidentes de segurança: clareza na notificação e relatórios técnicos
> Agregadores de dados: novas regras para empresas que consolidam informações

Impacto prático.
A ANPD suspendeu o reconhecimento facial da Meta com multa de R$ 50 mil por dia. Consultas públicas previstas para o segundo semestre de 2025.

Marco Legal da IA Tramita na Câmara.

O Senado aprovou em dezembro de 2024 o projeto que regulamenta a inteligência artificial. O texto segue para a Câmara dos Deputados.

Principais dispositivos:
> ANPD como coordenadora do Sistema Nacional de Regulação de IA (SIA)
> Classificação por níveis de risco: baixo, alto e excessivo
> Sanções de até R$ 50 milhões ou 2% do faturamento
> Proteção de direitos autorais: remuneração por uso de obras em treinamento
> Transparência obrigatória: sistemas de alto risco devem explicar decisões

Sistemas proibidos.
IA para “score” social governamental, armas autônomas e classificação de pessoas por comportamento social.

“Shadow AI” Expõe Dados Corporativos.

47% das empresas não monitoram o uso interno de IA generativa, criando brechas críticas para vazamento de dados confidenciais. Em 24% das organizações, colaboradores têm acesso irrestrito a IAs públicas.

Principais riscos identificados:
> Exposição de dados confidenciais: informações sensíveis inseridas em sistemas externos
> Decisões sem supervisão: processos automatizados sem revisão humana
> Vieses algorítmicos: discriminação em processos críticos sem controle
> Falta de rastreabilidade: impossibilidade de auditar decisões tomadas

Modelo RaaS em expansão:
> Exposição de dados confidenciais: informações sensíveis inseridas em sistemas externos
> Decisões sem supervisão: processos automatizados sem revisão humana
> Decisões sem supervisão: processos automatizados sem revisão humana
> Vieses algorítmicos: discriminação em processos críticos sem controle
> Falta de rastreabilidade: impossibilidade de auditar decisões tomadas

Urgência de governança.
A tendência força empresas a implementarem controles rigorosos sobre dados inseridos em sistemas de IA, estabelecendo políticas claras de uso e investindo em treinamento sobre riscos algorítmicos.

Integração ESG e Automação.
Em 2025, as empresas que buscam excelência em compliance devem integrar práticas ESG, adotar tecnologias emergentes e desenvolver novas competências.

Principais tendências:
> Inteligência Artificial: análise de grandes volumes de dados em tempo real
> Automação de auditorias: processos mais ágeis e eficazes
> Cultura ética: engajamento da alta administração
> Análise de dados: competência essencial para 68,8% dos profissionais
> Regulamentação da IA: controles rigorosos para garantir uso ético

Entre confiança e vulnerabilidade

O ataque à C&M Software representa mais que um incidente de segurança. É a materialização de um risco sistêmico que poucos executivos conseguiram dimensionar adequadamente. Um bilhão de reais desviados através de uma empresa que operava na invisibilidade regulatória processando trilhões em transações como intermediária entre instituições financeiras e o Banco Central, o que revela uma arquitetura de risco que transcende uma dimensão puramente tecnológica.

A lógica econômica por trás da terceirização de infraestrutura crítica, que envoca constantemente o discurso da redução de custos operacionais, foco no core business e alocação de responsabilidades, criou uma perigosa ilusão de distribuição de riscos. Na realidade, o que observamos é uma concentração exponencial de vulnerabilidades em pontos singulares onde a interdependência sistêmica amplifica o impacto de qualquer falha. Grandes instituições financeiras construíram defesas
perimetrais e paralelamente mantiveram o acesso privilegiado de empresas que não possuíam os mesmos controles de governança e nem os mesmos níveis de accountability.

A prisão do ex-funcionário João Nazareno Roque ilustra uma complexidade ainda maior: a convergência entre fatores comportamentais, estruturas organizacionais e a exposição a risco legal. Setenta e sete por cento dos ataques mais devastadores envolvem um componente interno, revelando que a questão central de incidentes não reside na sofisticação dos controles técnicos, mas na capacidade de uma organização de identificar, monitorar e mitigar riscos humanos em posições críticas. Isso exige uma abordagem multidisciplinar que integre análise comportamental, estruturas de incentivo, controles de acesso e responsabilização; competências raramente encontradas em silos organizacionais tradicionais.

Simultaneamente, os tribunais brasileiros consolidaram uma mudança paradigmática que ressignifica completamente o cálculo de risco corporativo. O crescimento de 112% nas decisões judiciais sobre LGPD não é uma estatística isolada e sim o reflexo de uma transformação estrutural na interpretação da responsabilidade civil empresarial. A responsabilização objetiva por incidentes de segurança migrou do campo da intenção para o campo do resultado, criando um ambiente onde a demonstração de “melhores esforços” não constitui mais defesa suficiente. As empresas passam a responder pelos danos independentemente da sofisticação de seus controles preventivos, caso estes se provem inadequados ex post.

Essa convergência entre escalada de riscos operacionais e endurecimento das decisões judiciais cria uma dinâmica econômica perversa: o custo da conformidade preventiva passa a ser
sistematicamente menor que o custo da não-conformidade reativa. O Brasil registrou 960 ataques de ransomware em um único mês, com custo médio de R$ 13 milhões por incidente, enquanto 77% desses ataques exploram vulnerabilidades antigas, isto é, falhas conhecidas, documentadas, com correções disponíveis, mas negligenciadas por cálculos equivocados de custo-benefício.

O caso C&M, portanto, funciona como um prisma através do qual podemos observar a decomposição a lógica tradicional de gestão de riscos corporativos. A compartimentalização entre compliance,segurança operacional, gestão de pessoas e estratégia econômica, ainda predominante na maioria das organizações, se torna progressivamente inadequada para lidar com riscos sistêmicos que operam na intersecção dessas disciplinas.

A infraestrutura digital brasileira está sendo testada por atores criminosos cada vez mais profissionais, enquanto a sociedade e o Judiciário se tornam cada vez menos tolerantes à negligência dissimulada por uma “inevitabilidade tecnológica”. Entre essas duas forças, só prosperarão as organizações capazes de desenvolver uma visão integrada de governança, onde questões jurídicas informam decisões operacionais, onde riscos humanos são monitorados com a mesma sofisticação que riscos técnicos, e onde a responsabilização legal é incorporada como variável estratégica desde o desenho dos processos.

A C&M nos ensinou que a confiança (ainda que contratualmente definida) sem verificação nada mais é do que uma vulnerabilidade adormecida. Mais que isso: nos mostrou que a governança de dados na era digital exige uma orquestração sofisticada entre direito, tecnologia, economia e gestão de pessoas; uma competência que poucos executivos conseguem desenvolver internamente, mas que se tornará progressivamente determinante para a sobrevivência organizacional.

Surge, paralelamente a tudo isso, uma nova categoria de risco que a maioria dos executivos ainda não consegue dimensionar adequadamente: o shadow AI. Quarenta e sete por cento das organizações não monitoram o uso interno de IA generativa, permitindo que colaboradores insiram dados confidenciais em sistemas externos, automatizem decisões sem supervisão jurídica e criem vieses algorítmicos em processos críticos. A IA generativa não é apenas uma simples ferramenta de produtividade, pois se transformou em um vetor de exposição legal que pode gerar responsabilização por discriminação algorítmica, vazamento de dados e decisões automatizadas que violem direitos fundamentais.

> Prof. Dr. Bernardo Grossi.

> Auditar cadeia de fornecedores críticos

O caso C&M expôs como terceiros podem comprometer todo o sistema. Mapeie fornecedores com acesso a dados sensíveis, exija certificações de segurança e implemente monitoramento contínuo.

> Implementar programa anti-insider threat

Com 77% dos ataques tendo componente interno, estruture controles de acesso privilegiado, monitoramento de comportamento anômalo e processos de desligamento seguro.

> Acelerar a gestão de vulnerabilidades

77% dos ataques exploram falhas antigas. Implemente ciclos automáticos de atualização, descontinue sistemas legados e adote ferramentas de mapeamento contínuo.

> Estruturar governança para IA generativa

Com 47% das empresas não monitorando uso interno, crie políticas claras sobre dados que podem ser inseridos em IAs públicas e controles de acesso baseados em função.

> Preparar documentação para responsabilização objetiva

Tribunais consolidaram responsabilidade objetiva por incidentes. Mantenha registros detalhados de medidas de proteção, logs de acesso e evidências de diligência prévia.

> Fortalecer resposta a ransomware

Com 960 ataques em fevereiro e custo médio de R$ 13 milhões, priorize backups imutáveis, simulações de ataque e treinamento de equipes.

> Antecipar agenda regulatória da ANPD

15 iniciativas incluem DPIAs padronizadas e regras para dados biométricos. Inicie adequações antes das consultas públicas.

> Integrar cibersegurança à governança corporativa

Torne proteção de dados pauta permanente do conselho de administração, com métricas de risco e planos de contingência validados.