Quando um algoritmo decide interromper o fornecimento de energia para milhares de consumidores, quem responde? A pergunta não é retórica — ela chega, cada vez mais cedo, às mesas de negociação entre concessionárias de energia, fornecedores de tecnologia e prestadores de cibersegurança. A inteligência artificial avança sobre infraestruturas críticas em velocidade que os instrumentos jurídicos tradicionais não acompanham. Por isso, os advogados empresariais que assessoram esse setor precisam construir, hoje, os marcos contratuais que vão decidir as disputas de amanhã.
O cenário é urgente. Pesquisa global da Schneider Electric aponta que o setor de energia caminha para quase 50% de operações totalmente autônomas até 2030. Nesse contexto, o Brasil ainda não conta com regulação específica para IA em infraestruturas críticas — o que torna o contrato o principal instrumento de proteção jurídica disponível. Além disso, os ataques cibernéticos ao setor elétrico cresceram 18% em 2025, segundo o relatório global Cyber Security Report 2026, da Check Point Software Technologies, chegando a quase 2.200 ocorrências mundiais. Para a advocacia empresarial, trata-se de um campo minado que exige competência técnica, visão sistêmica e, sobretudo, antecipação.
Quem responde quando a IA erra?
A automação de infraestruturas críticas transforma a lógica tradicional de responsabilidade contratual. Quando um sistema autônomo causa danos ou interrupção operacional, a identificação do responsável deixa de ser imediata: fornecedores, integradores, operadores e fabricantes de equipamentos podem ser acionados ao mesmo tempo. Por isso, distribuir esses riscos com clareza no contrato deixou de ser precaução e passou a ser necessidade estratégica — especialmente em um setor que opera sob dever legal de continuidade.
Fábio Cardoso Machado, sócio do Andrade Maia Advogados, defende que a proteção jurídica precede o incidente. "A alocação de responsabilidade precisa ser desenhada antes do incidente e como expressão contratual de um programa de governança — não como cláusula isolada que se aciona depois do dano", afirma. No setor elétrico, complementa, "concessionários e prestadores de serviços públicos essenciais respondem por um dever legal de continuidade do serviço, o que torna qualquer interrupção causada por IA um problema simultaneamente operacional, regulatório e indenizatório, com alto risco reputacional."
Daniela Poli Vlavianos, sócia do Poli Advogados e Associados, aponta ainda que a responsabilidade será, em muitos casos, compartilhada. Os contratos devem, portanto, "prever cláusulas específicas sobre accountability algorítmica, dever de auditabilidade, rastreabilidade das decisões automatizadas e obrigação de manutenção contínua do sistema" — especialmente quando a interrupção decorrer de falhas de treinamento do modelo ou de ausência de atualização de segurança.
Entre o vazio e a fragmentação regulatória
O ambiente normativo brasileiro para IA ainda está em formação — e essa incerteza preocupa o setor de energia. No entanto, os especialistas alertam que ausência de regulação específica não equivale a ausência de responsabilidade. O ordenamento vigente já oferece um arcabouço relevante, ainda que disperso. Ignorá-lo pode ser, portanto, tão arriscado quanto aguardar passivamente uma legislação que ainda não chegou.
Machado é enfático ao rejeitar a ideia de vazio regulatório. "Não podemos confundir incerteza regulatória com 'vazio regulatório'. A LGPD, o Código de Defesa do Consumidor, a Lei das Sociedades por Ações, o Código Civil, a legislação que disciplina a concessão e a prestação de serviços públicos e a regulação setorial específica de cibersegurança já alcançam, sem precisar mencionar 'IA', a maior parte dos riscos relevantes", defende. O que existe, segundo ele, é fragmentação — e a resposta é governança baseada em riscos e bem documentada, incluindo frameworks como o NIST AI Risk Management Framework e a ISO/IEC 42001.
Manuela Silva e Rodrigo Marques, do PG Advogados, reforçam que empresas brasileiras podem estar sujeitas a legislações estrangeiras a depender de suas operações. "Um exemplo relevante é o AI Act da União Europeia, que pode impor obrigações mesmo a organizações fora do território europeu", destacam. Por isso, os especialistas recomendam que boas práticas de governança e compliance regulatório sejam tratadas como ativo estratégico — não apenas como custo de conformidade.
As cláusulas que o contrato não pode ignorar
O crescimento dos ataques cibernéticos ao setor elétrico transformou a cibersegurança em obrigação contratual tão central quanto as cláusulas operacionais tradicionais. Ainda assim, muitos contratos do setor permanecem estruturados com obrigações estáticas, pensadas para riscos que evoluem diariamente. Esse descompasso produz brechas jurídicas — e, eventualmente, apagões.
Juliana Sene Ikeda, sócia do Campos Thomaz Advogados e especialista em direito digital, destaca a necessidade de instrumentos dinâmicos. "Com o aumento da sofisticação dos ataques — inclusive com uso de IA —, os contratos precisam prever respostas dinâmicas e atualizações constantes de segurança, não apenas obrigações estáticas", afirma. Entre os elementos que ela considera essenciais estão anexos específicos de segurança da informação e de incidentes, segregação de ambientes de TI e OT, e planos robustos de continuidade.
Vlavianos, por sua vez, acrescenta que SLAs de cibersegurança precisam ir além da disponibilidade do sistema. "Devem existir cláusulas específicas sobre gestão de acessos privilegiados, segmentação de redes industriais, atualização obrigatória de patches de segurança, retenção de logs auditáveis e continuidade operacional", aponta. Além disso, ela destaca que contratos modernos já incluem cláusulas de cooperação em investigações forenses e obrigação de suporte em procedimentos regulatórios decorrentes do incidente. Machado vai além e alerta para o risco da shadow AI — uso de IA por colaboradores fora dos sistemas corporativos: "Nenhum contrato evita ou cobre isso. Esse risco se controla com políticas internas, treinamento e monitoramento — não com contrato."
Dados operacionais: confidencialidade vai além do NDA
A integração de IA com sistemas industriais produz volumes massivos de dados que extrapolam a categoria de informações comerciais comuns. No setor de energia, esses dados descrevem vulnerabilidades de infraestrutura, padrões de consumo e comportamentos de rede — e podem revelar, em mãos erradas, muito mais do que segredos de negócio. Por isso, os instrumentos jurídicos de proteção precisam alcançar uma profundidade que o NDA tradicional, por si só, não oferece.
Machado aponta que o ponto mais sensível nos contratos com fornecedores globais está no destino dos dados durante o treinamento dos modelos. Para ele, cláusulas eficazes incluem "vedação ao uso secundário — em especial, ao uso para treinar modelos do fornecedor ou de terceiros; restrições à localização e à transferência internacional dos dados; direito de auditoria técnica sobre o tratamento; e regime claro de retenção e exclusão ao fim do contrato."
Manuela Silva e Rodrigo Marques, do PG Advogados, reforçam que a proteção eficaz começa antes da assinatura. "Com base no nível de maturidade identificado [do parceiro], é possível estruturar um plano de mitigação adequado, que pode incluir a celebração de acordos de confidencialidade, cláusulas contratuais específicas de proteção de dados, definição de obrigações de segurança, delimitação clara de responsabilidades, bem como acordos de nível de serviço", destacam. A combinação desses instrumentos, segundo eles, deve ser ajustada ao risco e à criticidade dos dados envolvidos.
Automação e emprego: os riscos que o jurídico precisa antecipar
A substituição de funções operacionais pela automação traz riscos trabalhistas concretos — e, muitas vezes, subestimados. Além da redução de postos de trabalho, a transição tecnológica abre frentes de litígio que vão de alegações de dispensa discriminatória ao chamado "assédio algorítmico". Estruturar juridicamente essa transição é, portanto, tão importante quanto negociar os contratos de tecnologia que a viabilizam.
Manuela Silva e Rodrigo Marques destacam um ponto de atenção específico: "o chamado 'assédio algorítmico', caracterizado pelo monitoramento excessivo e automatizado do desempenho dos empregados, inclusive fora do ambiente de trabalho, bem como pela imposição de metas potencialmente inatingíveis." Nesse cenário, políticas internas claras e amplamente divulgadas são condição mínima para reduzir exposição.
Ikeda reforça que a legislação brasileira não proíbe a automação, mas protege o trabalhador contra efeitos abusivos — "inclusive prevendo a necessidade de negociação em demissões em massa." Nesse contexto, o papel do jurídico é coordenar com o RH "programas de requalificação, políticas de transição transparente e a eventual revisão contratual de funções e responsabilidades", o que reduz tanto o risco de passivo quanto o risco reputacional. Machado, por sua vez, lembra que programas de requalificação bem desenhados "reduzem litigiosidade, demonstram diligência do empregador e fortalecem a defesa em ações coletivas" — enquanto programas meramente formais podem virar prova em sentido contrário.
Quando a lei do contrato encontra a soberania regulatória
Contratos de automação e cibersegurança com fornecedores globais carregam uma tensão estrutural difícil de resolver: é comum eleger foro arbitral internacional e lei estrangeira, mas a operação ocorre em ativo essencial brasileiro, sujeito à soberania regulatória nacional. Conciliar essas duas dimensões é o núcleo do desafio jurídico — e ignorar essa tensão costuma criar, não resolver, novos litígios.
Vlavianos alerta que fornecedores internacionais frequentemente tentam "impor legislação estrangeira, arbitragem internacional obrigatória e limitação ampla de responsabilidade." O problema, segundo ela, é que parte dos impactos jurídicos ocorrerá em território brasileiro — perante órgãos reguladores nacionais e consumidores afetados. Ela também destaca a crescente importância das cláusulas de step-in rights, "permitindo que a operadora assuma temporariamente o controle técnico do ambiente em caso de falha grave do fornecedor internacional."
Machado aponta outra zona de risco: a extraterritorialidade do AI Act europeu, que "pode alcançar fornecedores e operações ainda que o contrato indique outra jurisdição." Além disso, lembra que "determinações de autoridades brasileiras em incidentes que afetem o sistema elétrico nacional prevalecem sobre arranjo contratual estrangeiro, e isso precisa estar expressamente previsto." Ikeda, por sua vez, resume o consenso prático: a maioria dos grandes contratos internacionais prevê arbitragem em disputas, "para que se consigam experts no tema debatido e maior facilidade na execução de decisões em múltiplas jurisdições" — desde que o compliance com normas locais esteja garantido.
Seguros cyber: proteção real ou sensação de segurança?
O mercado brasileiro de seguros cibernéticos cresceu, mas ainda enfrenta lacunas relevantes para o setor de energia. O problema não está na ausência de produtos — está na distância entre o que as apólices prometem e os riscos que elas efetivamente alcançam. Para empresas que operam infraestruturas críticas, essa diferença pode ser medida em apagões, multas regulatórias e responsabilidade civil perante terceiros.
Machado identifica três pontos críticos na revisão de apólices. Primeiro, "exclusões clássicas — guerra, terrorismo, ataques patrocinados por Estado, propriedade intelectual — podem deixar de fora justamente o cenário mais provável em ataque a infraestrutura crítica." Segundo, a cobertura para danos físicos decorrentes de falha digital "costuma ser zona cinzenta e exige negociação específica." Terceiro, riscos relacionados à IA aparecem frequentemente como cobertura silenciosa: "não excluídos, mas também não claramente cobertos, o que gera insegurança no momento do sinistro."
Ikeda confirma esse diagnóstico: no setor de energia, ataques digitais podem gerar impacto físico — "apagões, danos a equipamentos." Por isso, o advogado deve realizar "uma revisão detalhada das apólices e orientar seus clientes sobre exclusões e a possível necessidade de contratação de coberturas adicionais e específicas." Manuela Silva e Rodrigo Marques, do PG Advogados, recomendam que a análise seja feita de forma multidisciplinar — "envolvendo advogado especializado em Direito Digital, equipe de Segurança da Informação e o Encarregado de Dados (DPO)." Na prática, já identificaram "propostas de seguros com lacunas relevantes, como a ausência de cobertura para danos morais decorrentes de incidentes envolvendo dados pessoais, sejam eles causados por falha humana ou por ataques cibernéticos."