A expansão do ambiente digital no Brasil trouxe um aumento expressivo de condutas criminosas praticadas por meio de dispositivos eletrônicos e redes de internet.
O legislador respondeu a essa realidade com leis específicas, mas a interpretação e a aplicação dessas normas ainda geram dúvidas tanto para quem é investigado quanto para quem busca reparação como vítima.
Este artigo reúne os principais crimes cibernéticos previstos na legislação brasileira, as penas aplicáveis, as mudanças legislativas mais relevantes dos últimos anos e o funcionamento da investigação e da defesa nesses casos.
Crime cibernético próprio e impróprio: uma distinção necessária
Antes de analisar os tipos penais, é preciso compreender uma classificação que orienta toda a interpretação jurídica na área.
O crime cibernético próprio é aquele que só pode ser praticado no meio informático e digital. Sem esse ambiente, a conduta simplesmente não existe. É o caso da invasão de dispositivo informático, por exemplo.
O crime cibernético impróprio, por outro lado, é um delito já tipificado no ordenamento penal que passa a ser praticado com a utilização de recursos tecnológicos ou informáticos. O estelionato cometido por meio de aplicativo de mensagens é um exemplo claro: o crime de estelionato existia muito antes da internet, mas ganhou nova roupagem com ela.
Essa distinção tem reflexo direto na estratégia de defesa, na competência do juízo e na identificação da legislação aplicável ao caso concreto.
Lei Carolina Dieckmann: invasão de dispositivo informático
Até o final de 2012, o Código Penal brasileiro era praticamente analógico quando o assunto era o ambiente virtual. Se alguém invadisse o seu computador e copiasse seus arquivos sem autorização, mas não levasse o aparelho físico embora, a Justiça tinha imensa dificuldade para enquadrar a conduta como crime. Havia uma clara lacuna jurídica.
O cenário mudou drasticamente em 2011, quando arquivos pessoais da atriz Carolina Dieckmann foram copiados de seu computador particular por hackers. Sob a ameaça de ter suas fotos íntimas divulgadas, a atriz sofreu tentativas de extorsão. Como ela se recusou a pagar os valores exigidos, 36 fotos foram vazadas na internet, gerando enorme repercussão nacional.
Diante do clamor público e da exposição da vulnerabilidade digital de qualquer cidadão, o Congresso Nacional agilizou a tramitação de projetos de lei que tratavam de crimes cibernéticos.
O processo legislativo, que costuma ser lento, correu em ritmo recorde: a Lei 12.737 foi publicada em dezembro de 2012, entrando em vigor em março de 2013 e ficando conhecida popularmente pelo nome da atriz.
Passou-se a punir criminalmente a conduta de invadir dispositivo alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita.
As penas cominadas ao crime são de detenção de 3 meses a 1 ano, acrescida de multa. As penas podem ser aumentadas quando:
- A invasão resultar em prejuízo econômico;
- O crime for cometido contra o Presidente da República, governadores, prefeitos, Presidente do Supremo Tribunal Federal, Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal, ou contra dirigente máximo da administração direta e indireta federal, municipal ou do Distrito Federal;
- A invasão resulta em prejuízo econômico.
Se da invasão resultar a obtenção de conteúdo de comunicações privadas, segredos comerciais ou industriais, informações sigilosas ou o controle remoto não autorizado do dispositivo, a pena passa a ser de reclusão de 6 meses a 2 anos, com multa, se não constituir crime mais grave, podendo a pena ser aumentada de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
Lei 14.155/2021: uma mudança significativa
A Lei 14.155/2021 representou uma mudança significativa no campo dos crimes digitais no Brasil, pois alterouo Código Penal para agravar substancialmente as penas do crime de invasão de dispositivo informático e dos crimes de furto e estelionato cometidos de forma eletrônica ou pela internet.
As principais alterações foram:
- No estelionato (art. 171, § 2º-A, do CP): a prática de fraude com a utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento, ou por qualquer outro meio fraudulento análogo, passou a ser punida com reclusão de 4 a 8 anos, com multa. Antes da lei, essas condutas eram tratadas como estelionato simples, com penas muito inferiores.
- No furto (art. 155, 4º-B, do CP): o furto mediante fraude cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo, passou a ser punido com reclusão de 4 a 8 anos, além de multa.
- Na invasão de dispositivo (art. 154-A do CP): o crime passou a ser punido com reclusão de 1 a 4 anos, além de multa, aumentando-se também as penas de reclusão de 2 a 5 anos, e multa, se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas ou o controle remoto não autorizado do dispositivo invadido (§3º).
- Competência territorial: a lei estabeleceu que os casos de fraude eletrônica passariam a ser processados, em regra, no local do domicílio da vítima, o que simplificou a fixação da competência jurisdicional em muitos casos.
Lei 15.397/2026: a mudança mais recente
Em maio de 2026 entrou em vigor a Lei nº 15.397/2026, que alterou o Código Penal para majorar as penas previstas para os crimes de furto e estelionato, destacando-se as seguintes modificações:
- No furto (art. 155, §4º-B, do CP): o furto mediante fraude cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo passou a ser punido com reclusão de 4 a 10 anos, além de multa.
- No estelionato (art. 171, §2º-A, do CP): a fraude eletrônica com a utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos, envio de correio eletrônico fraudulento, duplicação de dispositivo eletrônico ou aplicação de internet, ou por qualquer outro meio fraudulento análogo, passou a ser punida com reclusão de 4 a 8 anos, e multa.
Estelionato digital e fraude bancária online
As modalidades de estelionato praticado no ambiente digital mais frequentes são:
- Phishing: criação de páginas falsas ou envio de mensagens que simulam instituições financeiras para capturar dados de acesso, informações pessoais ou informações bancárias ou de cartões;
- SIM swap: clonagem de chip de telefonia para interceptar tokens de autenticação para acesso a contas bancárias, e-mails ou redes sociais;
- Engenharia social: manipulação psicológica das vítimas para que revelem informações confidenciais ou realizem transferências, explorando gatilhos emocionais como a urgência, medo e confiança;
- Fraudes em aplicativos de pagamento instantâneo (Pix).
Nesses casos, dependendo da conduta concreta, pode haver concurso entre a fraude eletrônica(art. 171, § 2º-A), a invasão de dispositivo (art. 154-A) e outros tipos penais relacionados ao sistema financeiro.
Como a polícia investiga crimes cibernéticos
A investigação de crimes cibernéticos envolve, em regra, as Delegacias Especializadas em Crimes Cibernéticos, presentes em vários estados, e pode contar com o suporte de unidades federais como a Polícia Federal, quando há conexão com crimes de competência federal ou transnacional.
Os principais meios de investigação são:
- Análise de logs de acesso e endereços de IP junto a provedores de internet;
- Perícia forense em dispositivos eletrônicos apreendidos;
- Quebra de sigilo telemático mediante ordem judicial;
- Cooperação com plataformas digitais para obtenção de dados de usuários;
- Rastreamento de transações financeiras vinculadas às condutas investigadas.
A identificação do agente por meio de IP é um ponto sensível: a atribuição de um endereço IP a uma pessoa física exige cautela técnica e jurídica, pois IPs podem ser compartilhados, mascarados por VPN ou falsificados. A defesa atua com frequência sobre essa fragilidade probatória.
Como funciona a defesa nesses casos
A defesa técnica em crimes cibernéticos exige conhecimento jurídico combinado com compreensão dos aspectos tecnológicos envolvidos. Entre os pontos mais relevantes para a atuação defensiva estão:
- Verificação da cadeia de custódia das provas digitais obtidas na investigação;
- Análise crítica dos laudos periciais produzidos durante a investigação;
- Contestação da validade de provas obtidas sem autorização judicial ou fora dos limites da ordem expedida;
- Discussão sobre autoria, uma vez que a mera titularidade de um dispositivo ou de um endereço IP não é suficiente para configurar responsabilidade penal;
- Avaliação de possíveis causas de extinção de punibilidade, atenuantes e acordos penais cabíveis, como o Acordo de Não Persecução Penal (ANPP).
A fase investigativa é especialmente crítica. Manifestações precipitadas ou a ausência de acompanhamento jurídico desde o início podem comprometer significativamente a posição do investigado.
A FAOA Advocacia atua na defesa de pessoas investigadas ou acusadas por crimes cibernéticos, desde a fase do inquérito policial até os recursos em tribunais. O escritório também representa vítimas e terceiros prejudicados, incluindo pedidos de desbloqueio de valores e restituição de bens apreendidos.
Leia também: Concussão: o que é, como se diferencia da corrupção e da extorsão, e quais são os critérios para sua configuração
Para saber mais sobre a nossa atuação, acesse a página de contato da FAOA.
