Porto Alegre
Santa Maria
São Paulo

Crime cibernético: o que é, tipos, penas e como denunciar

Crime cibernético: o que é, tipos, penas e como denunciar

23 de março de 2026

Compartilhe:
Índice Ocultar
1 O que é crime cibernético?
1.1 Crimes cibernéticos próprios
1.2 Crimes cibernéticos impróprios
2 Competência e jurisdição de crimes cibernéticos: quem investiga?
2.1 Competência da Polícia Federal e da Justiça Federal
2.2 Competência das Polícias Civis Estaduais
3 Quais as principais leis brasileiras sobre crimes cibernéticos?
3.1 Lei 12.737/2012
3.2 Lei 12.965/2014
3.3 Lei 13.718/2018
3.4 Lei 14.155/2021
3.5 Lei 14.811/2024
4 Principais tipos de crimes cibernéticos no Brasil e suas penas
4.1 Invasão de dispositivo informático
4.2 Estelionato digital
4.3 Fraude eletrônica
4.4 Divulgação não consentida de conteúdo sexual
4.5 Interceptação telemática ilegal
4.6 Crimes contra honra por meio digital
4.7 Deepfake em contexto eleitoral
5 Crimes cibernéticos empresariais: riscos e responsabilidades
6 Como denunciar um crime cibernético no Brasil?
6.1 Preservação de provas
6.1.1 Boletim de Ocorrência
7 Como se defender de uma acusação de crime cibernético?
7.1 Endereço de IP
7.2 Cadeia de custódia da prova digital
7.3 Perícia técnica
7.4 Direito comparado
8 Perguntas frequentes sobre crimes cibernéticos
8.1 O que é crime cibernético?
8.2 Quais são os crimes cibernéticos mais comuns no Brasil?
8.3 Como denunciar um crime cibernético no Brasil?
8.4 Qual a pena para estelionato digital no Brasil?
8.5 O que é a Lei Carolina Dieckmann?

O crime cibernético se tornou uma das principais categorias de ilícito penal no Brasil contemporâneo.

Em 2025, o país registrou crescimento expressivo de fraudes digitais, ataques a sistemas corporativos, extorsões por sequestro de dados e golpes financeiros praticados por meios eletrônicos.

A legislação brasileira evoluiu significativamente desde 2012, quando a Lei Carolina Dieckmann tipificou pela primeira vez a invasão de dispositivo informático, até 2021, quando a Lei 14.155 elevou substancialmente as penas para estelionato digital e fraude eletrônica.

O cenário regulatório continua em transformação!

A interseção entre crimes cibernéticos e inteligência artificial (deepfakes, manipulação de voz, perfis falsos) cria categorias de ilícitos que desafiam as tipificações existentes e antecipam reformas legislativas em curso.

Para empresas, advogados e cidadãos, compreender o que é crime cibernético, quais condutas estão tipificadas, quais penas se aplicam e como exercer direitos de defesa ou denúncia é condição de segurança jurídica no ambiente digital.

Vamos ao que interessa? Faça uma excelente leitura.

Botão WhatsApp – Barbieri Advogados
FALAR COM ADVOGADO ESPECIALISTA

O que é crime cibernético?

Crime cibernético, também denominado crime digital, crime virtual ou cibercrime, é toda conduta ilícita que envolve sistemas de informação, redes digitais ou dispositivos eletrônicos como objeto, meio ou instrumento da infração penal.

A definição abrange um espectro amplo de condutas, desde o acesso não autorizado a sistemas até fraudes financeiras sofisticadas operadas inteiramente em ambiente digital.

A doutrina jurídica brasileira distingue duas categorias fundamentais com implicações práticas relevantes:

  • Crimes cibernéticos próprios;
  • Crimes cibernéticos impróprios.

Crimes cibernéticos próprios

Os crimes cibernéticos próprios — também chamados puros — são aqueles cujo objeto material é o próprio sistema informático ou os dados nele armazenados.

A invasão de dispositivo, o acesso não autorizado a redes, a instalação de malware e a interceptação ilegal de dados são exemplos dessa categoria: sem o sistema informático, a conduta não existe.

Crimes cibernéticos impróprios

Os crimes cibernéticos impróprios (também denominados comuns, praticados por meios digitais) são infrações já tipificadas no Código Penal e em leis especiais que encontram no ambiente digital apenas o meio de execução.

Confira exemplos de crimes cibernéticos impróprios:

  • Estelionato praticado por aplicativo de mensagens;
  • Extorsão por e-mail;
  • Difamação em redes sociais; e
  • Ameaça por mensagem eletrônica.

A conduta preexiste ao meio digital, que apenas amplifica seu alcance e dificulta sua investigação.

Competência e jurisdição de crimes cibernéticos: quem investiga?

A distinção é processualmente relevante porque determina, em parte, a competência para investigação e julgamento, as técnicas de produção de prova admissíveis e a estratégia de defesa mais adequada.

Competência da Polícia Federal e da Justiça Federal

Crimes cibernéticos que envolvam múltiplos estados da federação ou conexão internacional são, em regra, de competência da Polícia Federal e da Justiça Federal.

Competência das Polícias Civis Estaduais

Crimes cibernéticos circunscritos a uma jurisdição estadual são apurados pelas Polícias Civis Estaduais, preferencialmente nas delegacias especializadas em crimes digitais que vários estados já têm.

Quais as principais leis brasileiras sobre crimes cibernéticos?

O arcabouço legislativo brasileiro sobre crimes cibernéticos foi construído ao longo de uma década, por camadas sucessivas que respondem a cada nova modalidade criminosa identificada.

Compreender esse quadro normativo é o ponto de partida para qualquer análise jurídica da matéria. Abaixo, veja as principais leis que tratam sobre crimes cibernéticos:

  • Lei 12.737/2012;
  • Lei 12.965/2014;
  • Lei 13.718/2018;
  • Lei 14.155/2021;
  • Lei 14.811/2024.

Lei 12.737/2012

A Lei 12.737/2012, conhecida como Lei Carolina Dieckmann, em referência à atriz cujas fotos íntimas foram obtidas mediante acesso não autorizado ao seu computador, inaugurou a tipificação penal específica de crimes informáticos no Brasil.

Ela inseriu no Código Penal o artigo 154-A, que pune a invasão de dispositivo informático alheio sem autorização do titular, para obter, adulterar ou destruir dados ou informações ou instalar vulnerabilidades para obter vantagem ilícita:

Artigo 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita:
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.
Parágrafo 1º. Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
Parágrafo 2º. Aumenta-se a pena de 1/3 (um terço) a 2/3 (dois terços) se da invasão resulta prejuízo econômico.
Parágrafo 3º. Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 2 (dois) a 5 (cinco) anos, e multa.
Parágrafo 4º. Na hipótese do parágrafo 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
Parágrafo 5º. Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I – Presidente da República, governadores e prefeitos;
II – Presidente do Supremo Tribunal Federal;
III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.

A pena base é de detenção de 3 meses a 1 ano e multa, com agravamentos específicos conforme o resultado da conduta.

Lei 12.965/2014

O Marco Civil da Internet (Lei 12.965/2014) não é uma lei penal.

De qualquer forma, estabelece os direitos e deveres dos usuários e provedores no ambiente digital.

E, além disso, fundamenta a responsabilidade civil e administrativa por condutas ilícitas na internet, incluindo os crimes cibernéticos praticados por meio de plataformas e aplicações.

Sua relevância para a investigação criminal reside especialmente nas obrigações de guarda de registros de conexão e de acesso a aplicações pelos provedores, que constituem fonte probatória essencial na apuração de crimes digitais.

Lei 13.718/2018

A Lei 13.718/2018 tipificou os crimes contra a dignidade sexual praticados por meios eletrônicos, inserindo no Código Penal o artigo 218-C, que pune a divulgação, sem consentimento, de:

  • Cena de nudez;
  • Ato sexual; ou
  • Conteúdo de caráter íntimo por meios eletrônicos.

A norma alcança tanto registros reais quanto conteúdo fabricado por inteligência artificial, incluindo deepfakes de natureza sexual, conforme já reconhecido pela jurisprudência e pela doutrina especializada.

Lei 14.155/2021

A Lei 14.155/2021 foi o marco legislativo mais significativo para o combate aos crimes financeiros digitais.

Ela inseriu no artigo 171 do Código Penal os parágrafos 2º-A e 2º-B, tipificando especificamente o estelionato digital, praticado mediante redes sociais, contatos eletrônicos ou qualquer meio que facilite comunicação com número indeterminado de pessoas.

Além disso, incluiu a fraude eletrônica, que é a que viola sistemas informatizados ou dispositivos de comunicação para obter vantagem ilícita.

As penas fixadas, de 4 a 8 anos de reclusão e multa, são significativamente superiores ao estelionato comum, refletindo a gravidade e a escala dos crimes digitais.

Lei 14.811/2024

A Lei 14.811/2024 aperfeiçoou o regime de proteção de crianças e adolescentes no ambiente digital, com regras específicas para conteúdo sexual gerado por inteligência artificial envolvendo menores.

A Lei Geral de Proteção de Dados (LGPD), Lei 3.709/2018, estabelece infrações administrativas e responsabilidade civil para violações de dados pessoais, com sanções aplicadas pela ANPD que podem ser cumuladas com responsabilização penal quando a violação configurar crime tipificado.

Principais tipos de crimes cibernéticos no Brasil e suas penas

O mapeamento dos tipos penais aplicáveis aos crimes cibernéticos mais frequentes é instrumento essencial tanto para a prevenção empresarial quanto para a defesa técnica especializada.

Confira as principais condutas, sua base legal e as penas correspondentes:

  • Invasão de dispositivo informático;
  • Estelionato digital;
  • Fraude eletrônica;
  • Divulgação não consentida de conteúdo sexual;
  • Interceptação telemática ilegal;
  • Crimes contra honra por meio digital;
  • Deepfake em contexto eleitoral.

Invasão de dispositivo informático

  • Artigo 154-A da Lei 12.737/2012: detenção de 3 meses a 1 ano e multa;
  • Pena aumentada de 1/3 a 2/3 se resultar em prejuízo econômico;
  • Pena de 1 a 4 anos se os dados obtidos forem utilizados para fins econômicos ou para cometer crimes.

Estelionato digital

  • Artigo 171, parágrafo 2º-A da Lei 14.155/2021: reclusão de 4 a 8 anos e multa, quando praticado mediante redes sociais, contatos eletrônicos ou qualquer meio que facilite a comunicação com número indeterminado de pessoas.

Fraude eletrônica 

  • Artigo 171, parágrafo 2º-B da Lei 14.155/2021: reclusão de 4 a 8 anos e multa, com aumento de 1/3 a 2/3 se a fraude envolve violação de sistema informático com comprometimento de dados de usuários;
  • Pena aumentada de 1/3 se o crime é praticado contra idoso.

Divulgação não consentida de conteúdo sexual 

  • Artigo 218-C, da Lei 13.718/2018: reclusão de 1 a 5 anos;
  • Inclui deepfakes sexuais;
  • Pena aumentada de 1/3 a 2/3 se o crime é praticado por agente que manteve relação íntima com a vítima ou com fim de obter vantagem econômica.

Interceptação telemática ilegal 

  • Artigo 10 da Lei 9.296/1996: reclusão de 2 a 4 anos e multa;
  • Pune quem realiza interceptação de comunicações em sistema de informática ou telemática sem autorização judicial.

Crimes contra honra por meio digital

  • Artigos 138, 139 e 140, CP: calúnia (6 meses a 2 anos), difamação (3 meses a 1 ano) e injúria (1 a 6 meses);
  • Penas aumentadas de 1/3 quando praticadas por meio de rede social, aplicativo de mensagens ou qualquer meio que facilite a divulgação.

Deepfake em contexto eleitoral

  • Resolução TSE 23.748/2026: não configura crime autônomo, mas pode ensejar cassação de registro de candidatura ou de mandato, cumulada com responsabilidade civil.

É importante observar que condutas digitais podem ensejar responsabilização simultânea em múltiplas esferas: penal, civil e administrativa, especialmente quando envolvem violação de dados pessoais sujeitos à LGPD ou infrações ao Marco Civil da Internet.

Para uma análise específica do deepfake como instrumento de crime cibernético e suas implicações jurídicas, veja nosso artigo específico sobre o tema.

Crimes cibernéticos empresariais: riscos e responsabilidades

O ambiente corporativo é alvo prioritário de crimes cibernéticos pela combinação de ativos de alto valor — dados financeiros, segredos industriais, bases de clientes, sistemas de pagamento — e pela complexidade dos sistemas que amplifica as vulnerabilidades.

A compreensão dos crimes cibernéticos empresariais mais relevantes é o ponto de partida de qualquer programa de compliance digital eficaz.

O ransomware (sequestro de dados mediante criptografia e exigência de resgate) é o ataque mais custoso para empresas brasileiras.

A conduta configura, simultaneamente, o crime de extorsão mediante restrição de liberdade de dados (com fundamento analógico no artigo 158, CP) e invasão de dispositivo informático (art. 154-A, CP).

A decisão sobre o pagamento do resgate tem implicações jurídicas complexas: pode configurar financiamento ao crime organizado e não elimina a responsabilidade da empresa por violação de dados pessoais de terceiros.

A espionagem corporativa digital, que é o acesso não autorizado a sistemas para obtenção de segredos de negócio, estratégias comerciais ou dados de clientes, combina o crime de invasão de dispositivo informático com a violação de segredo empresarial prevista na Lei de Propriedade Industrial (artigo 195, incisos XI e XII, Lei 9.279/1996).

Quando praticada por ex-funcionários, pode caracterizar adicionalmente abuso de confiança e violação de cláusula de confidencialidade, com reflexos trabalhistas e civis além dos penais.

A fraude em sistemas de pagamento (manipulação de transações bancárias, transferências não autorizadas via sistemas corporativos, engenharia social direcionada a funcionários de tesouraria) está sujeita ao regime agravado da Lei 14.155/2021 e, quando envolver instituição financeira, pode alcançar o regime ainda mais severo da Lei 7.492/1986, que pune crimes contra o sistema financeiro nacional com penas de reclusão de até 12 anos.

A responsabilidade da pessoa jurídica em crimes cibernéticos é um ponto de particular atenção.

Embora a responsabilidade penal no Brasil seja, em regra, individual — atribuída à pessoa física que praticou a conduta —, a empresa pode responder civilmente pelos danos causados por seus funcionários ou sistemas, administrativamente perante a ANPD por violações de dados pessoais, e penalmente quando a conduta criminosa for praticada em seu nome e no seu interesse, nos moldes da Lei Anticorrupção e da Lei de Lavagem de Dinheiro.

O compliance digital — conjunto de políticas, controles internos e procedimentos que visam prevenir e detectar crimes cibernéticos e violações regulatórias — é a principal ferramenta de gestão desse risco.

Como denunciar um crime cibernético no Brasil?

A denúncia de crime cibernético exige atenção a dois aspectos simultâneos:

  • A preservação das provas digitais, que são voláteis e podem ser destruídas rapidamente; e
  • A identificação do canal de denúncia adequado conforme a natureza da conduta.

Preservação de provas

A preservação de provas é o primeiro passo, anterior à denúncia:

  • Capturas de tela que incluam a URL completa, data e hora visíveis, e os metadados do conteúdo devem ser feitas imediatamente;
  • Registros de log de acesso;
  • E-mails com cabeçalhos completos;
  • Histórico de transações e qualquer identificador do autor: endereço de e-mail, número de telefone, perfil em rede social, número de conta bancária utilizada (devem ser documentados).

Em casos empresariais graves, a contratação de perito digital especializado para realizar a coleta forense — com observância da cadeia de custódia prevista no artigo 158-A do Código de Processo Penal — é recomendável para garantir a admissibilidade da prova em processo judicial ou policial.

Boletim de Ocorrência

O boletim de ocorrência pode ser registrado presencialmente na Delegacia de Crimes Cibernéticos do estado — a maioria das capitais brasileiras já conta com unidades especializadas.

Ou, então, pode ser registrado online, pelo portal da Polícia Civil estadual, para crimes digitais que não exijam flagrante.

A Polícia Federal é competente para crimes de âmbito federal:

  • Ataques a sistemas do governo federal;
  • Crimes financeiros com conexão interestadual ou internacional;
  • Crimes eleitorais; e
  • Crimes praticados a partir do exterior.

A SaferNet Brasil — plataforma sem fins lucrativos que opera em parceria com a Polícia Federal e o Ministério Público Federal — recebe denúncias de crimes contra os direitos humanos na internet, incluindo pornografia infantil, racismo, xenofobia e discurso de ódio.

Em casos que envolvam dano imediato e risco de continuidade da conduta, como ataques em andamento, extorsão ativa ou disseminação viral de conteúdo ilícito, o caminho mais eficaz é a ação judicial com pedido de tutela de urgência para remoção cautelar do conteúdo e identificação do autor.

O Judiciário brasileiro tem respondido com celeridade crescente a esses pedidos, especialmente quando instruídos com evidência técnica adequada.

Como se defender de uma acusação de crime cibernético?

A defesa técnica em processos de crimes cibernéticos exige conhecimento simultâneo de direito penal e de tecnologia da informação, combinação que poucos profissionais dominam e que determina, em grande medida, o resultado do processo.

Algumas especificidades do processo penal digital merecem atenção particular. A atribuição de autoria com base em endereço IP é o ponto mais vulnerável da acusação em crimes cibernéticos.

Botão WhatsApp – Barbieri Advogados
AGENDAR ATENDIMENTO COM ADVOGADO ESPECIALISTA

Endereço de IP

Um endereço IP identifica uma conexão de internet, não necessariamente um indivíduo: redes Wi-Fi compartilhadas, roteadores domésticos ou empresariais acessados por múltiplos usuários, conexões via VPN, redes Tor e endereços IP dinâmicos atribuídos pelo provedor tornam a identificação do autor real muito mais complexa do que a acusação frequentemente apresenta.

A defesa técnica deve, em todos os casos, questionar a cadeia de custódia da prova digital e a metodologia de atribuição de autoria.

Cadeia de custódia da prova digital

A cadeia de custódia da prova digital, regulada pelo artigo 158-A do Código de Processo Penal, incluído pela Lei 13.964/2019, exige que sejam documentados todos os procedimentos de coleta, acondicionamento, transporte, armazenamento, preservação e análise de evidências digitais, de forma a garantir a autenticidade e a integridade do material probatório.

Violações na cadeia de custódia podem ensejar a nulidade da prova e, em consequência, do processo.

Perícia técnica

A perícia técnica especializada é instrumento de defesa fundamental.

Em crimes cibernéticos, a perícia pode demonstrar a impossibilidade técnica de a conduta ter sido praticada do modo descrito na denúncia, identificar falhas nos métodos de investigação digital utilizados, revelar adulterações nos logs utilizados como prova e apresentar hipóteses alternativas tecnicamente sustentadas.

A nomeação de assistente técnico pela defesa — profissional de sua confiança para acompanhar a perícia oficial e apresentar laudo divergente — é direito garantido pelo artigo 159, parágrafo 3º, do Código de Processo Penal e deve ser exercido em todos os casos de maior complexidade técnica.

Direito comparado

A perspectiva do direito comparado é relevante em casos com conexão internacional.

A Convenção de Budapeste sobre Crimes Cibernéticos — o principal instrumento de cooperação penal internacional na matéria — foi assinada pelo Brasil em 2021 e ratificada em 2023, passando a integrar o ordenamento jurídico nacional.

Suas normas sobre preservação e entrega de dados eletrônicos em cooperação internacional, jurisdição em crimes digitais transnacionais e responsabilidade dos provedores têm impacto direto em processos que envolvam servidores ou autores no exterior.

Para empresas com operações na União Europeia, a interface com o AI Act europeu e com o GDPR acrescenta camadas adicionais de responsabilidade regulatória que devem ser consideradas na estratégia de compliance e defesa.

A defesa especializada em crimes cibernéticos é o elemento que mais influencia o resultado do processo.

E isso não apenas pela qualidade jurídica dos argumentos, mas pela capacidade de dialogar com a prova técnica, questionar as metodologias de investigação digital e apresentar ao juiz uma narrativa tecnicamente fundamentada que coloque em perspectiva as limitações e ambiguidades dos meios de prova utilizados.

Para uma análise mais aprofundada sobre a prova digital e sua utilização no processo, veja nosso artigo sobre blockchain como meio de prova no processo civil brasileiro.

Perguntas frequentes sobre crimes cibernéticos

O que é crime cibernético?

Crime cibernético é toda conduta ilícita que envolve sistemas de informação, redes digitais ou dispositivos eletrônicos como objeto, meio ou instrumento da infração penal. A doutrina distingue crimes cibernéticos próprios, cujo objeto é o próprio sistema informático, como a invasão de dispositivo, e crimes cibernéticos impróprios, que são crimes comuns praticados por meios digitais, como o estelionato digital. No Brasil, o marco legal fundamental é a Lei 12.737/2012 (Lei Carolina Dieckmann), que tipificou pela primeira vez a invasão de dispositivo informático no Código Penal.

Quais são os crimes cibernéticos mais comuns no Brasil?

Os crimes cibernéticos mais frequentes são:

  • Estelionato digital e fraude eletrônica;
  • Invasão de dispositivo informático; 
  • Deepfake e divulgação não consentida de conteúdo sexual;
  • Ransomware e extorsão digital;
  • Crimes contra a honra em ambiente digital; e
  • Violação de dados pessoais com infração à LGPD.

No contexto empresarial, destacam-se fraudes em sistemas de pagamento, espionagem corporativa digital e ataques a infraestruturas críticas.

Como denunciar um crime cibernético no Brasil?

As principais vias de denúncias de um crime cibernético são:

  • Delegacia de Crimes Cibernéticos do estado (presencialmente ou por boletim de ocorrência online);
  • Polícia Federal para crimes federais ou com conexão interestadual e internacional;
  • SaferNet Brasil para crimes contra os direitos humanos na internet.

Antes de denunciar, é fundamental preservar provas digitais: capturas de tela com metadados, URLs completas, registros de data e hora. E também considerar a contratação de perito digital para coleta forense com cadeia de custódia adequada.

Qual a pena para estelionato digital no Brasil?

O estelionato digital tem pena de reclusão de 4 a 8 anos e multa. A fraude eletrônica tem a mesma pena base, aumentada de 1/3 a 2/3 se resulta em comprometimento de dados de usuários. Essas penas são significativamente superiores ao estelionato comum (1 a 5 anos), e o crime admite pena adicional de 1/3 se a vítima é idosa.

O que é a Lei Carolina Dieckmann?

A Lei 12.737/2012, conhecida como Lei Carolina Dieckmann, tipificou no Código Penal o crime de invasão de dispositivo informático (artigo 154-A): “Invadir dispositivo alheio sem autorização, para obter, adulterar ou destruir dados ou instalar vulnerabilidades para obter vantagem ilícita. Pena base de detenção de 3 meses a 1 ano e multa, com agravamentos se há prejuízo econômico ou uso dos dados para fins criminosos”. A lei foi o marco inaugural da legislação penal específica sobre crimes cibernéticos no Brasil.

< Voltar para Blog