Por Antônio Carlos Magro Júnior

Conforme define o Código Penal[1], extorsão é o crime por meio do qual alguém constrange o outro, mediante violência ou grave ameaça, com a finalidade de obter para si ou para terceiro uma vantagem indevida.

A extorsão cibernética – também denominada extorsão digital ou criptoviral –, por sua vez, consiste na prática do mesmo crime, mas em meio digital, notadamente no ambiente da rede mundial de computadores, a internet.

Tal prática criminosa tem sido comum, e consiste no seguinte: a pessoa mal-intencionada invade um celular, computador ou rede da vítima e, utilizando-se de um programa malicioso, a exemplo do chamado ransomware, tem acesso ao banco de dados e os bloqueia por meio de criptografia. Tais dados, por sua vez, somente poderão ser acessados por seus proprietários com a utilização de um código, denominado chave de decriptamento.

E justamente para fornecer essa chave de decriptamento, o criminoso exige o pagamento de uma quantia em dinheiro, sob a ameaça de que os dados permanecerão bloqueados, ou pior, poderão ser divulgados na internet, expondo assim todo seu conteúdo.

A extorsão digital tem atingido pessoas físicas, órgãos públicos, e especialmente uma infinidade de empresas. Segundo relatório Symantec[2],  as empresas representam 81% de todas as infecções por ransomware, o que evidentemente causa enorme preocupação, posto que o prejuízo representa bilhões de dólares no mundo inteiro.

Pois bem. É certo que, a apuração do crime de extorsão cibernética é da competência da Justiça Penal, assim como a punição dos responsáveis. Mas é  evidente que a extorsão digital tem importantes reflexos também no âmbito do direito civil.
 
Isso porque a proteção de dados é de responsabilidade de quem os guarda. Há legislação mundo afora, inclusive, que obriga as empresas a notificarem os clientes afetados pela invasão criminosa[3].

Tal exigência, contudo, não se verifica no Brasil. A proteção de dados e as obrigações daí decorrentes são objeto de diversas normais legais, desde o texto da Constituição Federal, em que estão previstos os direitos e garantias fundamentais dos cidadãos, até as medidas protetivas presentes no Código de Defesa do Consumidor.

Assim, pode a empresa vítima de extorsão cibernética vir a ser demandada judicialmente, para fins de pagamento de indenização a seus clientes. De qualquer forma, como não poderia deixar de ser, deverá a parte interessada efetivamente comprovar em juízo o dano que experimentou, seja de ordem material ou moral.

Especificamente quanto aos danos morais, nossos Tribunais têm interpretado que não é o caso de indenização na modalidade in re ipsa, vale dizer, aquela em que se presume haver o prejuízo[4]. Assim, a prova do dano relatado deverá ser produzida pela parte prejudicada.

De outro lado, não podemos perder de vista que a própria empresa pode experimentar danos, como a perda de negócios em razão do impedimento de acesso aos dados de seus clientes, ou mesmo àqueles necessários ao exercício de sua atividade.

Em conclusão, entendemos ser a prevenção o melhor remédio. É imperativo que tenham as empresas um eficiente sistema de proteção contra invasões cibernéticas.

Esse sistema de proteção, inclusive, servirá para impedir, ou ao menos mitigar, eventual responsabilização da empresa por terem os dados sob sua guarda sido vazados, na medida em que poderá demonstrar que empregou todos os recursos possíveis e razoáveis para a proteção de tais dados constantes de seus arquivos.

Além disto, várias são as seguradoras que atualmente oferecem contratos específicos para as hipóteses de crimes digitais. Indicados contratos, ao contemplar perdas diretas do segurado, oferecem cobertura para extorsão cibernética e até indenização por interrupção do negócio.

A depender do porte da empresa e seu ramo de atividade, as sugestões acima apresentadas são recomendadas, para que não sofram com uma publicidade negativa, sobre ter seu banco de dados sido vazado. Afinal, como certa vez disse Warren Buffet, “são necessários 20 anos para construir uma reputação e apenas cinco minutos para destruí-la”.
 

[1] Artigo 158, caput.

[2] https://www.symantec.com/security-center/threat-report – dados globais.

[3] Como o que ocorre nos limites dos países que compõem a União Europeia (General Data Protection Regulation, em vigor desde 25/05/2018).

[4] Exemplificativamente, como ocorre em ações de indenização por danos morais por inscrição indevida em cadastro de inadimplentes.