Um recente ataque cibernético, que desviou quase R$ 1 bilhão de instituições financeiras por meio do sistema de pagamentos brasileiro, escancarou uma fragilidade crítica: a vulnerabilidade de cadeias tecnológicas intermediárias. O ataque não se deu diretamente contra o Banco Central, mas sim contra uma empresa terceirizada responsável por conectar fintechs e corretoras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix. Para o setor jurídico, em especial para escritórios que operam sob sigilo profissional, o episódio traz reflexões importantes sobre segurança, ética e responsabilidade institucional.
Ao contrário do que se imagina em ataques de grandes proporções, os criminosos não exploraram falhas técnicas sofisticadas. Eles se valeram de credenciais legítimas, supostamente obtidas por engenharia social. Um funcionário de uma empresa terceirizada teria vendido seu acesso por poucos milhares de reais. Com essas credenciais, os invasores conseguiram movimentar valores vultosos das chamadas contas de reserva das instituições financeiras — e não de contas de clientes finais.
O caso é um exemplo clássico de ataque à cadeia de suprimentos, em que a fragilidade de um elo menor abre caminho para um prejuízo em escala sistêmica. Ao transpor esse cenário para o ambiente jurídico, a analogia é inevitável. Escritórios de advocacia lidam diariamente com ativos intangíveis de enorme valor: informações estratégicas, dados pessoais, documentos sigilosos e investigações sensíveis. Em boa parte dos casos, esses dados estão armazenados ou trafegam por sistemas contratados de terceiros — provedores de e-mail, ferramentas de gestão, nuvens públicas ou privadas, softwares de colaboração.
A confidencialidade, pilar da relação entre advogado e cliente, depende hoje não apenas da conduta individual do profissional, mas da integridade de toda uma rede de parceiros. Quando um escritório negligencia a segurança da sua infraestrutura tecnológica, ainda que terceirizada, está sujeito a responsabilizações que extrapolam o campo reputacional. O dever fiduciário de proteger informações sensíveis passa a incorporar a responsabilidade pela escolha criteriosa de fornecedores e pela adoção de práticas mínimas de proteção.
Treinamentos periódicos sobre segurança digital, protocolos internos para controle de acesso e segmentação de permissões são medidas já conhecidas — mas nem sempre efetivamente implementadas. Da mesma forma, é essencial que contratos com fornecedores tecnológicos prevejam obrigações claras em termos de confidencialidade, armazenamento de dados e resposta a incidentes. Um ambiente jurídico que lida com informações de interesse econômico, político e pessoal precisa tratar a segurança da informação como tema central de sua governança.
A discussão extrapola o universo técnico da tecnologia da informação e alcança o campo da ética profissional. A Lei Geral de Proteção de Dados (LGPD) impõe obrigações específicas para quem coleta, trata e armazena dados pessoais. Escritórios de advocacia, mesmo quando não se percebem como "controladores" ou "operadores" de dados, estão sujeitos a essas obrigações — inclusive quando o vazamento se origina em um terceiro contratado. Não basta confiar na boa-fé de fornecedores. É preciso comprovar diligência.
Além da legislação, o próprio Código de Ética e Disciplina da OAB estabelece que é dever do advogado proteger o sigilo profissional, inclusive com a adoção de meios que resguardem informações contra acessos não autorizados. Isso inclui medidas técnicas e organizacionais compatíveis com o volume e a sensibilidade dos dados tratados. A omissão nesse campo pode ser interpretada como infração ética, especialmente diante de incidentes que comprometam a integridade de informações de clientes.
Se há uma lição central no episódio recente, é que a segurança da informação não pode mais ser tratada como responsabilidade exclusiva do setor de tecnologia — ou como um tema secundário. Para escritórios de advocacia, ela está no cerne da atividade profissional. Incorporar práticas de governança digital, revisar fluxos de dados e repensar modelos de acesso não é mais um diferencial, mas uma necessidade. A confiança, construída em anos de relação com o cliente, pode ser destruída em minutos por uma falha evitável.
O desafio não é técnico; é institucional. E, sobretudo, jurídico.
Elias Correa da Silva Junior é advogado sênior de Arystóbulo Freitas Advogados. Graduado em direito pela Fundação Getúlio Vargas.
Os artigos e reportagens assinadas não refletem necessariamente a opinião da editora, sendo de responsabilidade exclusiva dos respectivos autores.