Ataque cibernético no Banco do Nordeste pode configurar crime digital

O ataque cibernético que levou à suspensão temporária das transações via Pix no Banco do Nordeste, no último dia 27 de janeiro, levanta uma série de questionamentos jurídicos, regulatórios e criminais. O incidente ocorreu após a invasão de sistemas de um prestador de serviço terceirizado que integra a cadeia tecnológica da instituição financeira.

Em nota oficial, o banco informou que trabalha para restabelecer os serviços com segurança e reafirmou seu compromisso com a proteção das informações e a transparência com o mercado e os clientes.

Confira tabela e classificação dos campeonatos de futebol.

Ataque à cadeia de suprimentos amplia riscos

A advogada Aryell Lustosa, especialista em Direito Digital e Tecnologia, explica que o caso se enquadra nos chamados ataques à cadeia de suprimentos (Supply Chain Attacks). Nesse modelo, o criminoso não ataca diretamente o banco, mas explora vulnerabilidades em empresas terceirizadas que possuem acesso privilegiado aos sistemas principais.

“Esses fornecedores funcionam como um verdadeiro atalho para ambientes críticos. Eles intermediam dados, transações e integrações sistêmicas, o que amplia significativamente o impacto do ataque”, detalha.

Segundo a especialista, esse tipo de incidente evidencia que a segurança da informação não pode ser isolada. “Toda a cadeia operacional deve adotar padrões mínimos de proteção, monitoramento contínuo e planos de resposta a incidentes. Falhas em terceiros não afastam a responsabilidade legal da instituição principal”, alerta.

LGPD e dever de governança digital

De acordo com a Lei Geral de Proteção de Dados (LGPD), controladores e operadores devem adotar medidas técnicas e administrativas adequadas para proteger dados pessoais. Isso inclui a escolha criteriosa, fiscalização e alinhamento contratual com prestadores de serviço terceirizados.

A Autoridade Nacional de Proteção de Dados (ANPD) pode avaliar não apenas a ocorrência de vazamento de dados, mas também a gestão de riscos, governança e maturidade do compliance digital ao longo de toda a cadeia operacional.

Responsabilidade civil não pode recair sobre o consumidor

Segundo Aryell Lustosa, casos como o do Banco do Nordeste não devem gerar prejuízos ao correntista. “As instituições financeiras estão submetidas a um regime de responsabilidade objetiva, previsto no Código de Defesa do Consumidor, nas normas do Banco Central e na própria LGPD”, explica.

Ela reforça que ataques cibernéticos fazem parte do risco da atividade econômica bancária. “O consumidor não tem controle sobre infraestrutura tecnológica, sistemas de segurança ou contratos com terceiros. A responsabilização do cliente só seria possível em situações excepcionais, como fornecimento voluntário de senhas, o que não se aplica a este caso”, afirma.

Compliance digital e falha sistêmica

O compliance digital eficaz exige mapeamento de riscos, políticas de segurança da informação, controle rigoroso de acessos, auditoria de terceiros, monitoramento constante e planos estruturados de resposta a incidentes.

“Quando essas medidas são insuficientes, o problema deixa de ser pontual e passa a revelar uma fragilidade sistêmica, capaz de gerar responsabilização civil e atrair a atuação de órgãos reguladores como o Banco Central e a ANPD”, pontua a especialista.

Obrigação de notificação à ANPD

Empresas e instituições financeiras de grande porte devem comunicar incidentes de segurança à Autoridade Nacional de Proteção de Dados no prazo máximo de três dias, por meio do sistema SEI, sendo a comunicação realizada pelo encarregado de dados (DPO).

O registro deve conter informações como tipo de ataque, dados afetados, número de titulares impactados, medidas de segurança adotadas, riscos envolvidos e ações para mitigação dos danos.

Crime de invasão de dispositivo informático

No Brasil, a prática de invasão de dispositivo informático é crime desde 2012, conforme a Lei nº 12.737/2012, conhecida como Lei Carolina Dieckmann. A legislação prevê pena de detenção de três meses a um ano, além de multa.

“Do ponto de vista criminal, as penalidades recaem sobre os autores do ataque, que podem responder também por crimes como furto mediante fraude e associação criminosa. Já a empresa pode sofrer sanções administrativas caso fique comprovada falha na adoção das medidas exigidas pela LGPD”, explica Aryell.

Impacto reputacional preocupa setor bancário

Além das consequências jurídicas, o ataque cibernético gera um forte impacto reputacional. A confiança do consumidor é um dos principais ativos das instituições financeiras, e falhas operacionais ou comunicação inadequada podem levar clientes a migrar para outras instituições.

“O dano reputacional, embora imaterial, produz efeitos econômicos concretos e costuma ser um dos maiores custos associados a incidentes cibernéticos”, conclui a advogada.
 

DENÚNCIA 📲 (86) 99556-5443

✅ Siga o canal de notícias do gpiaui no WhatsApp