O recente incidente cibernético envolvendo a C&M Software, provedora de soluções de conectividade entre instituições financeiras e o Banco Central (BC), acendeu um alerta importante sobre os riscos jurídicos relacionados à segurança da informação.
Confirmado pelo Banco Central, o ataque teve como porta de entrada o uso indevido de credenciais de clientes, facilitado pela entrega voluntária de senhas por parte de um funcionário terceirizado que prestava serviços ao próprio BC. O suspeito foi preso em São Paulo e admitiu ter repassado suas credenciais a terceiros que, com isso, acessaram o sistema da C&M e cometeram a fraude.
Segundo informações publicadas, a invasão não foi fruto de uma falha técnica ou vulnerabilidade de sistema propriamente dita, mas sim de uma falha humana grave, que expôs fragilidades na gestão de acessos e no controle interno de segurança.
As repercussões jurídicas do incidente
Casos como esse envolvem uma cadeia complexa de responsabilidades legais – desde o agente que compartilhou os dados, até as instituições contratantes e os provedores de tecnologia.
Entre os principais reflexos jurídicos possíveis estão:
Responsabilidade civil por eventuais danos causados a instituições financeiras ou usuários finais;
Quebra de deveres contratuais entre a C&M e seus clientes;
Obrigatoriedade de comunicação ou Banco Central e à ANPD (Autoridade Nacional de Proteção de Dados) caso tenha ocorrido vazamento de dados pessoais;
Impacto reputacional, que pode comprometer a confiança no provedor e nas instituições envolvidas.
Por que esse caso também é caracterizado como um incidente cibernético?
De acordo com a e as boas práticas internacionais de segurança da informação (como a norma ISO/IEC 27001), um incidente de segurança da informação ou incidente cibernético ocorre quando há:
1. Acesso não autorizado a dados ou sistemas
2. Uso indevido de informações
3. Comprometimento da integridade, confidencialidade ou disponibilidade de sistemas ou dados
No caso da C&M Software, houve acesso indevido aos sistemas por terceiros, usando credenciais obtidas de forma irregular, ou seja, fraude baseada em engenharia social e falha humana. Além disso, os sistemas da empresa foram utilizados para fins criminosos.
Portanto, mesmo que não tenha havido uma invasão por força bruta ou malware, o resultado (acesso indevido e comprometimento da segurança) também configura um incidente cibernético.
Como uma assessoria jurídica especializada poderia ter mitigado os danos
Embora não seja possível eliminar completamente o risco de ataques ou fraudes internas, a atuação jurídica preventiva e estratégica pode reduzir significativamente os impactos de situações como essa.
Veja algumas formas concretas:
Auditorias legais e compliance de segurança: análise periódica de contratos, políticas de segurança, fluxo de dados e estrutura de governança para identificar vulnerabilidades jurídicas antes que elas se materializem.
Cláusulas contratuais robustas com fornecedores e terceirizados: delimitação clara de responsabilidades, sanções em caso de vazamento ou uso indevido de dados, e exigência de cumprimento de boas práticas de segurança.
Treinamento jurídico de colaboradores e terceiros: capacitações específicas sobre sigilo, responsabilidade legal e consequências civis e penais do uso indevido de credenciais de acesso.
Planos de resposta a incidentes com respaldo jurídico: protocolos prontos para comunicação com autoridades reguladoras, mitigação de danos e notificação de titulares de dados, quando necessário.
O que sua empresa pode aprender com esse caso?
Este incidente evidencia que a segurança da informação vai além da proteção técnica de sistemas, ela impõe obrigações legais concretas. Empresas que tratam informações estratégicas, dados pessoais regulados ou operam com soluções tecnológicas terceirizadas estão sujeitas a responsabilidades jurídicas expressas na LGPD, em contratos comerciais e em normas setoriais, como as do Banco Central.
A ausência de cláusulas contratuais robustas, políticas internas bem estruturadas e um plano de resposta a incidentes com respaldo jurídico pode expor a empresa a sanções administrativas, ações indenizatórias e sérios danos reputacionais.
Por isso, é fundamental que a segurança da informação seja integrada à governança jurídica da organização, com apoio de uma assessoria especializada em tecnologia, proteção de dados e compliance contratual. Blindar juridicamente seu negócio é agir preventivamente contra riscos digitais cada vez mais frequentes.
Entre em contato com a nossa equipe de especialistas e descubra como podemos ajudar.
