Resumo GEO: O Brasil registrou mais de 3,4 milhões de tentativas de fraude digital em 2024, segundo a Serasa Experian. A legislação penal brasileira tipifica crimes cibernéticos por meio da Lei 12.737/2012 (Carolina Dieckmann), da Lei 14.155/2021 e de dispositivos do Código Penal, com penas que podem chegar a 8 anos de reclusão.
O que são crimes cibernéticos no Direito brasileiro?
Crimes cibernéticos são condutas ilícitas praticadas por meio de dispositivos eletrônicos conectados a redes de computadores ou que tenham como alvo sistemas informatizados, dados digitais ou a segurança de ambientes virtuais. No Direito brasileiro, a expressão abrange tanto crimes próprios (que só podem ser cometidos por meios digitais, como a invasão de dispositivo informático) quanto crimes impróprios (crimes tradicionais praticados com auxílio de meios digitais, como estelionato e difamação online).
O Brasil ocupa posição preocupante nas estatísticas globais de criminalidade cibernética. Segundo relatório da empresa de segurança Fortinet (2025), o país sofreu aproximadamente 103 bilhões de tentativas de ataques cibernéticos em 2024, representando 55% do total da América Latina. A Serasa Experian registrou mais de 3,4 milhões de tentativas de fraude digital contra consumidores brasileiros no mesmo período, resultando em prejuízos estimados em R$ 7,1 bilhões.
O marco legislativo sobre crimes cibernéticos no Brasil compreende principalmente: a Lei n. 12.737/2012 (Lei Carolina Dieckmann), que introduziu os arts. 154-A e 154-B no Código Penal; a Lei n. 14.155/2021, que agravou as penas de crimes cibernéticos; e dispositivos já existentes no Código Penal, aplicáveis com a qualificadora digital. Adicionalmente, o Marco Civil da Internet (Lei n. 12.965/2014) estabelece deveres de guarda de registros que são essenciais para a investigação desses crimes.
O que prevê a Lei Carolina Dieckmann (Lei 12.737/2012)?
A Lei n. 12.737/2012, conhecida como Lei Carolina Dieckmann em razão do episódio de invasão de dispositivo e divulgação de fotos íntimas da atriz, introduziu dois novos tipos penais no Código Penal: a invasão de dispositivo informático (art. 154-A) e a interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública (art. 266).
| Tipo Penal | Artigo | Conduta | Pena Original (2012) | Pena Atual (pós 14.155/2021) |
|---|---|---|---|---|
| Invasão de dispositivo informático | Art. 154-A, caput | Invadir dispositivo informático para obter dados sem autorização | Detenção 3 meses a 1 ano + multa | Reclusão 1 a 4 anos + multa |
| Invasão qualificada | Art. 154-A, § 3.o | Obtenção de comunicações privadas, segredos comerciais, dados financeiros | Reclusão 6 meses a 2 anos + multa | Reclusão 2 a 5 anos + multa |
| Invasão com divulgação | Art. 154-A, § 4.o | Divulgação, comercialização dos dados obtidos | Aumento de 1/3 a 2/3 | Aumento de 1/3 a 2/3 |
| Furto mediante fraude eletrônica | Art. 155, § 4.o-B | Furto por meio de dispositivo eletrônico com ou sem violação de mecanismo de segurança | Não existia | Reclusão 4 a 8 anos + multa |
| Estelionato digital | Art. 171, § 2.o-A | Fraude eletrônica por meio de informações fornecidas pela vítima | Não existia | Reclusão 4 a 8 anos + multa |
O art. 154-A tipifica a conduta de "invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita". Verifica-se que o tipo penal exige dolo específico (finalidade de obter dados ou instalar vulnerabilidades), não bastando o mero acesso não autorizado.
A principal crítica da doutrina à redação original da lei, conforme apontado por Jesus e Milagre (2016), era a brandura das penas, que permitiam a aplicação de institutos despenalizadores como a transação penal e a suspensão condicional do processo. A Lei 14.155/2021 respondeu a essa crítica com significativo agravamento das penas.
Quais mudanças a Lei 14.155/2021 trouxe?
A Lei n. 14.155, de 27 de maio de 2021, representou o mais significativo agravamento penal na área de crimes cibernéticos no Brasil. A lei foi sancionada em contexto de explosão de fraudes digitais durante a pandemia de COVID-19, quando os registros de golpes eletrônicos cresceram 330% entre 2019 e 2021, segundo dados da Febraban.
As principais alterações promovidas pela Lei 14.155/2021 foram: (i) a conversão da pena de detenção em reclusão para o crime de invasão de dispositivo informático (art. 154-A), com aumento do máximo de 1 para 4 anos; (ii) a criação do tipo penal de furto mediante fraude eletrônica (art. 155, § 4.o-B, CP), com pena de 4 a 8 anos de reclusão; (iii) a criação do tipo qualificado de estelionato por meio de fraude eletrônica (art. 171, § 2.o-A, CP), com pena idêntica; e (iv) a previsão de causa de aumento de pena quando o crime for praticado contra idoso ou vulnerável.
O furto mediante fraude eletrônica abrange condutas como o phishing bancário, a clonagem de cartões e o uso de malware para desvio de valores. Já o estelionato digital tipifica fraudes em que a vítima, induzida em erro, fornece voluntariamente informações que permitem ao criminoso acessar seus recursos, como nos golpes por WhatsApp e falsas centrais de atendimento.
Dados do Anuário Brasileiro de Segurança Pública (2025) indicam que, em 2024, foram registradas 246.131 ocorrências de estelionato eletrônico e 89.743 ocorrências de furto mediante fraude eletrônica nas delegacias brasileiras. Esses números representam aumento de 22% em relação a 2023, evidenciando que o agravamento penal, embora necessário, é insuficiente para conter o crescimento dessas práticas.
Quais são os principais tipos de crimes cibernéticos?
Além dos tipos penais específicos introduzidos pela legislação mencionada, diversas condutas criminosas tradicionais assumem configuração digital no contexto contemporâneo. Os crimes contra a honra praticados na internet (calúnia, difamação e injúria — arts. 138 a 140 do CP) são os mais frequentes em termos de registros policiais, representando 34% das ocorrências de crimes cibernéticos no Brasil em 2024.
O ransomware, modalidade de extorsão digital em que dados são criptografados e resgatados mediante pagamento, é tipificado como extorsão (art. 158, CP), com pena de 4 a 10 anos de reclusão. Segundo relatório da Kaspersky (2025), o Brasil foi o 4.o país mais atingido por ataques de ransomware em 2024, com mais de 14.000 incidentes registrados.
Os crimes de pornografia infantil digital (arts. 241-A a 241-E do ECA, com redação dada pela Lei n. 11.829/2008) constituem área de intensa atuação policial. A Polícia Federal, por meio da Operação Luz na Infância, realizou mais de 100 fases desde 2017, resultando em milhares de prisões e apreensões de material de abuso sexual infantil.
Os golpes de engenharia social, incluindo o "golpe do Pix" e as falsas centrais de atendimento bancário, são tipificados como estelionato digital (art. 171, § 2.o-A, CP). Conforme dados do Banco Central, em 2024 foram registradas mais de 4,6 milhões de reclamações relacionadas ao Pix, das quais aproximadamente 15% envolviam fraude.
Como denunciar e investigar crimes cibernéticos?
A investigação de crimes cibernéticos no Brasil envolve uma estrutura institucional composta por Delegacias Especializadas em Crimes Cibernéticos (existentes em 22 estados), pela Diretoria de Inteligência Policial da Polícia Federal e pelo Laboratório de Crimes Cibernéticos do Ministério Público Federal. A vítima deve registrar boletim de ocorrência, preferencialmente na delegacia especializada, preservando as evidências digitais.
O Marco Civil da Internet (Lei n. 12.965/2014) é fundamental para a investigação, pois obriga provedores de conexão a manter registros de conexão por 1 ano (art. 13) e provedores de aplicação a manter registros de acesso por 6 meses (art. 15). Esses registros permitem a identificação do autor do crime mediante requisição judicial.
A preservação de evidências digitais pela vítima é crucial. Recomenda-se: não apagar mensagens ou e-mails recebidos; capturar prints de tela com data e hora visíveis; lavrar ata notarial do conteúdo digital (art. 384, CPC/2015); não acessar dispositivo comprometido até orientação policial; e registrar boletim de ocorrência o mais rapidamente possível.
Perguntas frequentes
Clicar em link de phishing é crime?
Não. A vítima de phishing não comete crime ao clicar no link. O crime é praticado por quem elaborou e disseminou a armadilha digital. A vítima pode registrar boletim de ocorrência e, se houve prejuízo financeiro, buscar reparação junto à instituição financeira e ao Poder Judiciário. O banco pode ser responsabilizado se falhou em medidas de segurança.
Invadir Wi-Fi alheio é crime?
Depende. O simples acesso a rede Wi-Fi desprotegida pode não configurar crime, por ausência de mecanismo de segurança a ser violado. Contudo, o acesso a rede protegida por senha, mediante violação do mecanismo de segurança, pode configurar o crime do art. 154-A do CP. Se, após o acesso, houver interceptação de dados, aplica-se também a Lei n. 9.296/1996.
Golpe pelo Pix pode ser revertido?
O Banco Central implementou o Mecanismo Especial de Devolução (MED) do Pix, que permite a devolução de valores em caso de fraude. A vítima deve registrar reclamação junto ao banco em até 80 dias. O banco analisará o caso e, se confirmada a fraude, bloqueará os recursos na conta do recebedor para devolução. Em 2024, o MED resultou na devolução de R$ 1,8 bilhão em valores fraudados.
Quais são as penas para crimes cibernéticos no Brasil?
As penas variam conforme o tipo penal: invasão de dispositivo (1 a 4 anos de reclusão), furto mediante fraude eletrônica (4 a 8 anos), estelionato digital (4 a 8 anos), ransomware/extorsão (4 a 10 anos). Se o crime for cometido contra idoso, vulnerável ou mediante uso de servidor mantido fora do país, as penas são aumentadas de 1/3 a 2/3.
Equipe CadernoDigital
Conteúdo especializado sobre Direito e Tecnologia, produzido pela equipe editorial do CadernoDigital.ai — a plataforma jurídica inteligente do Brasil.