Com o avanço da transformação digital, as empresas passaram a depender cada vez mais de tecnologia para suas operações. No entanto, essa evolução também trouxe um aumento significativo nos riscos de crimes cibernéticos. Vazamento de dados, fraudes financeiras, sequestro de informações (ransomware) e invasões de sistemas estão entre as principais ameaças que podem comprometer a segurança corporativa. Nesse contexto, a atuação dos advogados torna-se fundamental para mitigar os danos legais e proteger as organizações das consequências jurídicas dessas ocorrências.

Diante de um ataque cibernético, a reação rápida de uma equipe de advogados especializados pode ser decisiva para minimizar os prejuízos. Para entender melhor as medidas essenciais nesses casos, consultamos especialistas no assunto.

Alexander Coelho, sócio do Godke Advogados e membro do Godke Data, explica quais ações imediatas as empresas devem tomar após um ataque cibernético:

• Conter o incidente: Isolar os sistemas comprometidos para evitar a propagação da ameaça.
• Preservar evidências: Registrar logs, snapshots e quaisquer outros dados que possam ajudar na investigação e na responsabilização dos criminosos.
• Notificar os responsáveis internos: Acionar a equipe de segurança cibernética e os gestores para iniciar o plano de resposta.
• Comunicar às autoridades competentes: Se houver comprometimento de dados pessoais, a empresa deve notificar a Autoridade Nacional de Proteção de Dados (ANPD) e outros órgãos reguladores do setor, conforme necessário.
• Avaliar a necessidade de notificação aos titulares: Caso o incidente represente risco ou dano relevante, a empresa deve informar os titulares de dados de maneira clara e objetiva, conforme exige a Lei Geral de Proteção de Dados (LGPD), sem causar alarmismo desnecessário.
• Avaliar os danos: A equipe de segurança deve identificar quais sistemas foram afetados e quais dados foram comprometidos.
• Executar o plano de resposta a incidentes: Restaurar backups, reforçar controles de segurança e implementar medidas para evitar novos ataques.

Diante desse cenário, advogados especializados em crimes cibernéticos desempenham um papel estratégico para reduzir os impactos de um ataque.

Lorena Lage, sócia do Lage & Oliveira Sociedade de Advogados, professora de Direito Digital da Uniarnaldo Centro Universitário, em Belo Horizonte, explica a importância do advogado, tanto antes quanto depois da ocorrência de um crime cibernético:

"O advogado mapeia todos os dados da empresa, orienta sobre quais informações devem ser mantidas, define suas finalidades e estabelece um período adequado de retenção, conforme a área e o tipo de dado. Com essas medidas, a empresa reduz os danos em caso de incidente."

Além disso, a especialista destaca que, nos casos em que não houve prevenção, o advogado é fundamental para guiar a tomada de decisões conforme a LGPD e as melhores práticas na comunicação com órgãos reguladores.

A atuação jurídica pode ainda se estender para além da esfera cível, abrindo caminho para investigações criminais contra os responsáveis pelos ataques.

Entre os diversos tipos de ataques existentes, Alexander Coelho e Lorena Lage destacam o ransomware como o mais prejudicial.

Alexander alerta para outro tipo de ameaça crescente: "O ataque mais danoso às empresas hoje é o ransomware. Esse tipo de crime criptografa os dados e exige um resgate financeiro para liberá-los, podendo paralisar completamente as operações. Além do impacto financeiro, há o risco de vazamento de informações sensíveis, danos à reputação e sanções regulatórias. Outro ataque extremamente perigoso é o Business Email Compromise (BEC), no qual criminosos se passam por executivos ou fornecedores para enganar funcionários e desviar grandes quantias de dinheiro. Empresas que não investirem em segurança cibernética e governança de dados estarão cada vez mais vulneráveis a essas ameaças."

Os especialistas enxergam 2025 como um ano de maior fiscalização dos crimes digitais, tanto para criminosos quanto para empresas que não estiverem devidamente regulamentadas.

Lorena Lage faz um alerta sobre o endurecimento das penalizações: "Em 2025, sem dúvidas, haverá um aumento na fiscalização e, consequentemente, na penalização, não só para os ataques, mas também para o descumprimento das regras de proteção de dados. A ANPD se estruturou nos últimos anos e, em 2024, publicou diversas diretrizes e normativas que as empresas devem seguir. Agora, em 2025, o órgão começou a implementar esse planejamento e já aplica punições. Inclusive, a ANPD se reservou o direito de analisar casos anteriores, referentes ao período em que ainda estava em fase de estruturação. Além disso, desde a publicação da LGPD em 2018 e sua vigência a partir de 2020, as empresas tiveram tempo hábil para se adequar."

Alexander Coelho também chama atenção para os desafios impostos pela evolução tecnológica, especialmente com o avanço da inteligência artificial: "No Brasil, a ANPD tem se mostrado ativa na imposição de sanções, e o próprio governo tem investido mais em políticas de segurança cibernética. Além disso, o avanço da inteligência artificial nas ameaças digitais exigirá das empresas uma postura ainda mais proativa para evitar penalidades e proteger suas operações."