É legal pagar resgate de ransomware no Brasil?
Essa é a pergunta que ninguém na linha de frente decisória de uma organização quer ter que fazer.
Quase meia noite de uma sexta-feira, o CEO de uma empresa de médio porte já está no conforto da sua casa e só quer relaxar após um longo dia. Repentinamente, recebe uma ligação do responsável de Segurança da Informação:
“não sei o que fazer… os sistemas estão criptografados, a linha de produção parou, e na tela do servidor há uma mensagem de alerta pedindo um valor de resgate em criptomoeda para devolver o acesso e a operação de nossos sistemas… O atacante está dizendo na tela de bloqueio que o valor será triplicado em 3 dias 12 horas e 25 minutos…”.
Há setenta e duas horas no relógio. O jurídico interno e o DPO são convocados. A primeira pergunta, sem rodeios:
“mas e se a gente pagar, é crime?“
E essa cena catastrófica não é ficção, e muito menos é uma realidade restrita a corporações globais.
Na realidade, estamos tratando de uma situação corporativa cada vez mais comum. Dados da Check Point Research (CPR), divisão de inteligência de ameaça da Check Point Software, revelam que o Brasil está entre os dez países mais atingidos por ransomware no primeiro trimestre de 2026, com 2% de todas as vítimas publicadas em sites de vazamento operados por grupos criminosos.
No recorte brasileiro do Relatório do Cenário de Ameaças 2026, do FortiGuard Labs, foram registradas 141 vítimas confirmadas de extorsão por ataque de ransomware em 2025, colocando o país como o mais atingido da América Latina. Em escala global, foram 7.831 vítimas, alta de 389% comparado a 2024.
Ataques de ransomware cada vez menos são eventos raros, mas estão se tornando um risco corrente. E todo risco corrente exige resposta pensada antes da crise. A pergunta do CEO, portanto, pode ser a pergunta de muitos CEOs espalhados pelo país, e a resposta exige tirar três camadas que são recorrentemente confundidas:
-
- a licitude penal;
- os deveres regulatórios paralelos; e
- a decisão de governança, vertente que não se confunde diretamente com as outras duas.
O que a lei brasileira diz
A primeira pergunta, sempre, é se pagar configura crime.
No âmbito criminal, podem ser citados nessa conversa crimes que punem o cyber atacante.
1. O artigo 154-A do Código Penal, que criminaliza a invasão de dispositivo informático, descreve a conduta do atacante, mas não da vítima, de forma que quem paga o sequestro está na realidade sofrendo o crime.
2. O crime de estelionato (art. 171) pune quem obtém vantagem ilícita enganando outro, enquanto no ataque ransomware o engano está sendo praticado contra a empresa.
3. Já a extorsão (art. 158) pune quem constrange alguém mediante grave ameaça, e é a definição literal do que o atacante faz, e mostra justamente que quem paga está sendo coagido.
No Brasil, a ação de pagar o valor do sequestro de ransomware não é, por si só, um crime (ou fato típico, na linguagem do Direito Penal).
Contudo, enquanto dizer que “é ilegal” pode ser uma resposta tecnicamente imprecisa e curta demais para a pergunta, admitir que “é legal, então posso fazer” é uma resposta simplista que ignora várias outras camadas de risco.
A pergunta correta, portanto, não é se “pagar é crime?“, mas sim:
“ao pagar o resgate, posso estar cometendo outras irregularidades dependendo de como pago e para quem pago?”
E é aqui a resposta é mais cinza.
A Lei de Lavagem de Dinheiro (Lei 9.613/1998, art. 1º) exige a intenção de esconder a origem ou o destino do dinheiro. A empresa que paga está sob ameaça, e com recursos próprios e de origem lícita, não está praticando lavagem, não há intenção de esconder nada.
Mas quando entram intermediários que estruturam o pagamento para mascarar a operação corporativa, fragmentar valores entre carteiras ou ocultar o destinatário final, a discussão sobre a existência de lavagem de dinheiro pode mudar de tom.
A Lei contra Organizações Criminosas (Lei 12.850/2013, art. 2º) pune quem financia organização criminosa sabendo que está financiando. Contudo, o pagamento sob coação, sem ter como saber quem está do outro lado, não configura financiamento criminoso por si.
Contudo, considerando um cenário global, é importante destacar que existem grupos publicamente associados a estruturas estatais hostis ou a operações de terrorismo cibernético, e quando a empresa sabe que está pagando um desses grupos, a leitura jurídica muda. O conhecimento da identidade do atacante passa a importar.
Há ainda o regime internacional de sanções. A lista do OFAC (Office of Foreign Assets Control, vinculado ao Tesouro dos Estados Unidos) inclui grupos criminosos específicos, e a autarquia mantém uma advisory específica sobre o risco de sanções em pagamentos de ransomware, com orientações sobre o que considera fator mitigante caso uma empresa precise demonstrar diligência após o pagamento.
Empresas brasileiras com qualquer exposição transacional internacional, com fornecedores nos EUA, contas em dólar e operações com instituições financeiras que façam compliance OFAC, podem sofrer sanções secundárias se pagarem grupo listado.
A União Europeia mantém regime análogo desde 2019, instituído pela Decisão (PESC) 2019/797 e pelo Regulamento (UE) 2019/796, no âmbito do chamado EU Cyber Diplomacy Toolbox. O regime permite ao Conselho da UE congelar ativos e proibir trânsito de pessoas físicas e jurídicas responsáveis por ciberataques contra a União ou que prestem suporte financeiro, técnico ou material a esses ataques, o que alcança, em tese, quem facilite pagamentos para grupos listados.
Para as companhias brasileira com presença internacional, a pergunta não é apenas “é crime no Brasil?“, mas:
“estamos pagando alguém que vai nos queimar com nossos parceiros lá de fora?”
A síntese honesta, portanto, é que pagar ransomware não é crime tipificado no Brasil, mas é decisão que passa por múltiplas zonas de risco regulatório conforme o contexto.
Os deveres que o pagamento não elimina
Ainda que a conduta penal não seja um problema imediato, há um conjunto de deveres administrativos e regulatórios que continuam ativos e que costumam ser esquecidos no calor da decisão.
O dever de comunicação à ANPD previsto no art. 48 da LGPD não se extingue pelo pagamento do resgate, considerando que a Resolução CD/ANPD nº 15/2024 estabelece o prazo de três dias úteis para comunicar incidente que possa acarretar risco ou dano relevante aos titulares e essa obrigação é do controlador, independentemente de o atacante ter sido pago, de os dados terem sido devolvidos mediante acordo ou de a operação ter sido recuperada.
Empresas que pagam e silenciam violam o art. 48 e ampliam o risco de sanção administrativa pela ANPD, que pode incluir multa de até 2% do faturamento limitada a R$ 50 milhões por infração.
Nesse ponto, é importante salientar que o dever fiduciário dos administradores (arts. 153 a 159 da Lei das S.A. para sociedades anônimas e Código Civil para sociedades limitadas) impõe diligência, lealdade e atuação no interesse da companhia.
Aqui está uma armadilha que costuma escapar. É possível a interpretação que o dever pode ser violado tanto por pagar, quanto por não pagar, a depender do contexto.
O administrador que paga sem documentar a análise de risco e sem deliberação colegiada se expõe a responsabilização posterior por gestão temerária. Por outra ótica, existe a interpretação de que o administrador que se recusa a pagar por convicção pessoal, sem considerar a continuidade operacional, os danos a terceiros e a proteção da empresa, também pode ser questionado.
No fim do dia, o que protege a companhia é um processo decisório bem documentado e respaldado, considerando a importância de uma estrutura de governança ativa.
Para companhias abertas, há ainda o dever de divulgar fato relevante (Resolução CVM nº 44/2021) quando o incidente possa influir na cotação dos valores mobiliários. O timing dessa divulgação interage com o timing da decisão sobre pagamento de maneira complexa divulgar antes de decidir pode reduzir poder de negociação, enquanto divulgar depois pode caracterizar uso de informação privilegiada por quem decidiu primeiro.
Há, por fim, a interface com o seguro cyber. Diversas apólices usualmente exigem uma comunicação imediata à seguradora e aprovação prévia para pagamento de resgate. Pagar sem seguir o protocolo da apólice pode resultar em recusa de cobertura, transformando uma decisão tomada para minimizar o prejuízo financeiro e operacional no fator desse mesmo prejuízo.
Leia também: Software de Gestão de Privacidade: Essencial para sua Empresa
Por que o pagamento não é recomendado e o que os números dizem
Mesmo afastada a questão da licitude, o pagamento do preço do resgate em um ataque ransomware não é boa prática por razões que sustentam a posição majoritária da comunidade de segurança da informação e do mercado jurídico maduro de que não existem garantias ao se negociar com cyber criminosos.
Em pesquisa da Cybereason sobre esse tópico foi demonstrado que aproximadamente 54% das organizações que pagaram resgate relataram que parte ou todos os dados foram corrompidos durante a recuperação e 80% das que pagaram foram atacadas novamente, frequentemente pelo mesmo grupo criminoso, sendo que 68% sofreram segundo ataque em menos de um mês.
A notícia do pagamento do resgate circula entre grupos criminosos, quem pagou uma vez vira alvo recorrente. O primeiro ato de extorsão dos atacantes pode não ser o último, todas essas variáveis tem que estar no cálculo final.
O cenário operacional também evoluiu. O modelo original do ransomware era criptografar e exigir resgate pela chave de descriptografia. Os atacantes adicionaram, depois, a exfiltração de dados, criando a dupla extorsão. Em seguida, passaram a contatar parceiros e clientes da vítima diretamente, em modelo de tripla extorsão.
Um exemplo desse modelo de ataque é o caso da clínica de psicoterapia Vastaamo, na Finlândia, no qual não somente um resgate foi exigido da clínica, mas também foi exigido somas menores de profissionais de saúde e pacientes, os quais receberam pedido de resgate individualmente por e-mail, com ameaças de publicação da sessão do terapeuta (dado pessoal sensível).
Pagar resolve, na melhor das hipóteses, o retorno dos dados criptografados. Mas e nas outras frentes? O dado vazado já circula. O parceiro já foi notificado. A reputação já foi atingida.
Não é um processo de tomada de decisão fácil, mas há caminhos para se tomar a melhor decisão de forma documentada.
A pergunta certa é: quem decide e como decide?
Tudo isso conduz à pergunta que estava por trás da pergunta inicial do CEO. Mais importante do que “pagar é crime?” é como essa decisão é tomada?
A decisão sobre pagamento de ransomware geralmente é uma decisão final da diretoria, não do CISO, não do DPO e muito menos do advogado externo. No entanto, esses personagens podem e devem subsidiar a decisão final, para depois o alto escalão bater o martelo.
Os deveres fiduciários dos administradores os colocam no centro da responsabilidade, e a tentativa de transferir essa decisão para órgãos técnicos ou consultivos costuma falhar tanto no plano da governança quanto no plano da responsabilização posterior.
O papel do advogado e do DPO é municiar a decisão. Isso significa entregar à diretoria, em tempo hábil:
1. Um mapa dos riscos jurídicos concretos do caso, não em abstrato, mas considerando o atacante identificado (se há indícios de grupo sancionado), a forma de pagamento exigida, as jurisdições envolvidas e a exposição internacional da companhia.
2. Uma análise dos deveres regulatórios paralelos que se mantêm ativos independentemente do pagamento, como a comunicação à ANPD e aos titulares de dados, o fato relevante se for uma empresa de capital aberto, a comunicação à seguradora e a notificação a clientes B2B contratualmente exigida.
3. Um registro documentado do processo decisório, quem foi escutado durante essa tomada de decisão, quais informações estavam disponíveis em cada momento, quais alternativas foram consideradas e qual o racional da decisão final. Esse registro é o que pode proteger a administração em uma eventual fiscalização posterior.
4. Uma comunicação coerente com posicionamento anterior da empresa, se a companhia já se manifestou publicamente contra pagamento, mudar de postura tem custo reputacional adicional. Se nunca se posicionou, a decisão atual cria o precedente.
O que o advogado não pode fazer, eticamente, é intermediar o pagamento, orientar estruturas para esconder a operação dos reguladores ou mesmo tomar essa decisão pelo cliente. Essas fronteiras protegem tanto o profissional quanto a empresa.
Conclusão
Voltando à cena da madrugada, nosso personagem, o CEO, depois de ouvir o jurídico, tomou sua decisão, qualquer que tenha sido. Pagou ou não pagou. O que define se a decisão foi bem ou mal tomada será o processo que levou até ela e o que a fundamentou.
De qualquer maneira, a recomendação majoritária de quem atua na linha de frente da Segurança da Informação e do Direito Digital é não pagar.
Não há qualquer garantia técnica, enquanto subsiste a alta probabilidade de novos ataques, há custo de recuperação que supera o resgate e há cenário regulatório que se complica em vez de se resolver. A posição majoritária de mercado é não pagar, e essa posição é defensável tanto técnica quanto eticamente.
Mas a decisão final pertence a quem responde pelo negócio. E quando essa decisão tiver que ser tomada, no calor de uma madrugada, com setenta e duas horas no relógio, com a ameaça de aumentar o preço do resgate, o que vai diferenciar uma boa governança de uma ruim é a qualidade da preparação e o plano de resposta a incidentes estruturado em tempos de serenidade.
Os grandes diferenciais podem estar em na arquitetura de governança, na estrutura de comitê de crise pré-definida, no fluxo de notificação à ANPD pronto para ativar e na cláusula de incidente bem desenhada nos contratos com fornecedores. O registro disciplinado de tudo o que foi considerado e decidido faz diferença.
Uma empresa que faz o dever de casa de compliance em tempos calmos vai ter a vida facilitada quanto passar por tormentas.
A pergunta que deve ser feita em organizações de todo tamanho na verdade é: “estamos suficientemente preparados para não precisar decidir sob pressão sem os subsídios adequados?“.

