Ataques cibernéticos triplicam no Brasil em 2026: o marco legal em formação

TITLE: Ataques cibernéticos triplicam no Brasil em 2026: o marco legal em formação

SUMMARY: Incidentes cibernéticos contra órgãos públicos e instituições financeiras crescem mais de 300% em 2026, impulsionando debates sobre a Convenção da ONU e a adequação do arcabouço legal brasileiro.

IMAGE_URL: none IMAGE_SOURCE: CATEGORY_ID: 75

Introdução e Panorama dos Ataques em 2026

O Brasil registrou, no primeiro trimestre de 2026, um aumento superior a 300% nos ataques cibernéticos contra órgãos públicos e instituições financeiras, segundo dados da Polícia Federal e de empresas de segurança digital. Ciberataques a ministérios, tribunais, agências reguladoras e bancos comprometeram sistemas, expuseram dados pessoais de milhões de cidadãos e paralisaram serviços públicos essenciais por períodos prolongados.

Esse cenário de intensificação coincide com dois marcos normativos de grande relevância: a assinatura, pelo Brasil, da Convenção das Nações Unidas contra o Crime Cibernético (Convenção de Hanoi), em outubro de 2025; e a intensificação dos debates sobre a atualização do marco legal doméstico de cibersegurança, que inclui a Lei 12.737/2012, a Lei 14.155/2021 e a Política Nacional de Cibersegurança (Decreto nº 11.856/2023 e Decreto nº 12.573/2025).

O Cenário de Ameaças no Primeiro Trimestre de 2026

Entre os incidentes mais notórios registrados em 2026, destacam-se:

• Ataques de ransomware a órgãos da administração pública federal, com exigência de resgates em criptomoedas e vazamento de bases de dados sigilosas.
• Campanhas massivas de DDoS (Distributed Denial of Service) que tiraram do ar portais de serviços públicos e sistemas bancários.
• Violações de dados (data breaches) em empresas de grande porte dos setores de telecomunicações e saúde, com exposição de dados sensíveis de milhões de brasileiros.
• Ataques a infraestruturas críticas, incluindo sistemas de saneamento, energia e transportes.

O Brasil ocupa posição de destaque também como origem de ataques: dados do segundo semestre de 2025 indicaram mais de 470 mil ataques DDoSoriginados no país, colocando-o como liderança regional nesse tipo de ameaça.

A Convenção das Nações Unidas contra o Crime Cibernético

Em 25 de outubro de 2025, o Brasil assinou, em Hanói, a Convenção das Nações Unidas contra o Crime Cibernético, aberta à assinatura durante a Conferência das Partes da ONU. Trata-se do primeiro tratado internacional juridicamente vinculante de alcance universal dedicado à prevenção e ao combate aos crimes cibernéticos.

A negociação do instrumento durou cinco anos (2021–2024) e contou com a participação de mais de 140 países. Aprovada pela Assembleia Geral da ONU em dezembro de 2024, a Convenção entrou em um proceso de assinatura que reuniu mais de 70 países signatários iniciais, incluindo o Brasil.

Conteúdo e Escopo da Convenção

A Convenção estabelece:

1. **Tipificação de crimes cibernéticos:**包括 invasão de sistemas, interception illicit de dados, fraude eletrônica, abuso de menores online, e outras modalidades de crimes digitais.

2. Medidas de investigação e persecução: Autoriza técnicas especiais de investigação como entrega monitorada, acesso remoto a sistemas e cooperação entre autoridades policiais.

3. Cooperação internacional: Mecanismos de extradição, transferência de processos penais, assistência jurídica mútua e compartilhamento de provas eletrônicas entre Estados-partes.

4. **Proteção de dados e direitos fundamentais:**Prevenção de uso abusivo das disposições para violação de direitos humanos no ambiente digital.

Desafios para a Ratificação Brasileira

Após a assinatura, o tratado segue para ratificação pelo Congresso Nacional, nos termos do art. 49, I, da Constituição Federal. O proceso envolve a análise de compatibilidade com o ordenamento jurídico brasileiro e, eventualmente, a edição de legislação interna de adequação.

Especialistas advertem que dispositivos da Convenção podem conflitar com garantias constitucionais do devido processo legal, do direito à privacidade e da liberdade de expressão. A definição ampla de "crime cibernético" suscita preocupações sobre possível uso abusivo por Estados com históricos de repressão digital.

O Marco Legal Brasileiro de Cibersegurança

Lei 12.737/2012

Primeira lei brasileira a tipificar condutas criminosas no ambiente virtual, a Lei 12.737/2012 criminalizou a invasão de dispositivo informático, a obtenção fraudulenta de comunicações eletrônicas e a interferência illegal em sistemas. Com a alteração promoted pela Lei 14.155/2021, as penas foram majoradas e novos tipos penais foram acrescentados, incluindo a invasão de caixas postais eletrônicas.

Lei 14.155/2021

A legislação de 2021 aumentou as penas para fraudes eletrônicas e introduziu tipos específicos para estelionato virtual e furto mediante fraude digital. A lei respondeu ao crescimento exponencial de golpes financeiros durante a pandemia de COVID-19 e à expansão do sistema de pagamentos instantâneos Pix.

Decreto 11.856/2023 e a Política Nacional de Cibersegurança

O Decreto 11.856/2023 instituiu a Política Nacional de Cibersegurança (PNS), com o objetivo de fortalecer a capacidade do Estado brasileiro de prevenir, detectar, responder e recuperar-se de incidentes cibernéticos. A PNS define eixos como a proteção de infraestruturas críticas, a capacitação de recursos humanos, a articulação entre órgãos públicos e o setor privado, e a cooperação internacional.

O Decreto 12.573/2025, por sua vez, veio regulamentar aspectos específicos da PNS, fortalecendo o papel da ABIN (Agência Brasileira de Inteligência) e do GSI (Gabinete de Segurança Institucional) na coordenação das atividades de cibersegurança federal.

O Decreto-Lei de Proteção de Dados em Contexto de Cibersegurança

Em março de 2026, entrou em vigor nova legislação que fortalece as atribuições da ANPD (Autoridade Nacional de Proteção de Dados) no tocante à segurança cibernética. A norma ampliou competências para expedir diretrizes sobre incidentes de segurança com potencial de danos a titulares de dados pessoais, estabelecendo obrigações de comunicação em prazos reduzidos e requisitos mínimos de segurança para operações que envolvam dados sensíveis.

As sanções por descumprimento incluem multas simples de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, além de bloqueio ou eliminação dos dados objeto da violação.

A Intersecção entre Crimes Cibernéticos e Responsabilidade Civil

O ambiente jurídico nacional também registra avanço na articulação entre o direito penal cibernético e a responsabilidade civil. Decisões judiciais têm reconhecido o dever de indenizar de empresas que falham na proteção de dados pessoais de seus usuários, aplicando as disposições da LGPD (Lei 13.709/2018) em conjunto com o Código de Defesa do Consumidor.

A tese da responsabilidade objetiva das plataformas digitais por falhas de segurança encontra adeptos e críticos na doutrina jurídica nacional, reverberando debates presentes também na jurisprudência europeia (caso Georgiev, Tribunal de Justiça da União Europeia, 2023).

Perspectivas e Desafios

O triplescimento dos ataques cibernéticos em 2026 evidencia a fragilidade da infraestrutura digital brasileira frente a ameaças cada vez mais sofisticadas, frequentemente asociadas a grupos criminoso-estatais com capacidade de operação persistente e avançada (Advanced Persistent Threats — APTs).

Entre os desafios estruturais que se impõem ao país:

• Defasagem tecnológica de sistemas legados na administração pública.
• Insuficiência de profissionais qualificados em segurança cibernética.
• Fragmentação da governança entre múltiplos órgãos sem coordenação centralizada.
• Necessidade de harmonização entre a Convenção da ONU e as garantias constitucionais.
• Adequação das empresas privadas — especialmente prestadores de serviços essenciais — a padrões mínimos de segurança.

O desafio regulatório brasileiro consiste em construir um marco legal que seja simultaneamente efetivo na prevenção e persecução de crimes cibernéticos, respeitoso das garantias individuais e compatível com o cenário internacional de cooperação.