CompartilharComentarSiga-nos no
A A
A crescente digitalização dos serviços financeiros e empresariais tornou a segurança cibernética um fator crítico para a proteção de dados e a confiabilidade dos sistemas. Uma das estratégias mais eficazes para mitigar vulnerabilidades é a adoção de programas de bug bounty, os quais incentivam especialistas em segurança da informação a identificar e relatar falhas em sistemas computacionais de maneira ética e legal, são os chamados hackers do bem.
Empresas como Google, Microsoft, Facebook e Tesla, além de diversos órgãos públicos de outros países como os EUA, possuem programas de bug bounty consolidados, são programas em que pesquisadores de segurança, participantes de organizações lícitas, fazem testes de invasão e extração de informações de forma controlada, com um processo de revisão estruturado, para validar e corrigir vulnerabilidades de maneira eficiente das empresas que aderiram ao programa.
Quem não se lembra do filme “Prenda-me se for capaz”, em que o Frank – interpretado pelo Leonardo DiCaprio – um famoso golpista que sempre escapava do FBI, é preso no final, mas acaba sendo recrutado pelo FBI para ajudar a combater crimes de falsificação, usando sua expertise em fraudes? Pois é, são situações em que a expertise do atacante em explorar as vulnerabilidades, nos casos dos cibercrimes, pode ter grande serventia para empresas e governos.
Entretanto, o recente incidente com o vazamento de dados do Banco Neon, no qual o atacante solicitou uma recompensa do banco por ter descoberto uma vulnerabilidade que deixava expostos dados de 30 milhões de clientes, tais como nome completo, sexo, e-mail, CEP, CPF, CNPJ, telefone, celular, profissão, nome da mãe, renda, saldo, situação na Receita Federal, perfil de conta, número da conta, fotos (selfies), imagens de documentos, históricos de compras (movimentações de pagamento via pix, por exemplo), solicitações, notificações e o modelo do aparelho celular do cliente em que o aplicativo Neon está instalado, levanta a questão se a prática do bug bounty seria reconhecida na legislação brasileira.
Neste artigo, exploraremos o cenário brasileiro e internacional dos programas de bug bounty, destacando suas diferenças em relação a práticas ilícitas, abordando a regulamentação vigente.
O que é Bug Bounty?
Bug Bounty refere-se a programas institucionais em que empresas ou governos contratam especialistas para testar a segurança de seus sistemas em troca de compensações financeiras. Esses programas possuem diretrizes que garantem a legitimidade das interações entre empresas e pesquisadores de segurança, incluindo:
- Escopo definido: Identificação clara dos sistemas que podem ser testados.
- Condições de participação: Normas sobre permissões, canais de comunicação e práticas aceitáveis.
- Critérios de recompensa: Estrutura que estabelece valores a serem pagos com base na gravidade das vulnerabilidades encontradas.
Mas quais as vantagens de instituir os programas de Bug Bounty?
Essa estratégia permite o aprimoramento contínuo da segurança da organização ao detectar falhas antes que criminosos possam explorá-las. Na prática, pode ser uma alternativa mais acessível em relação a auditorias de segurança convencionais, reduzindo os custos operacionais. Além disso, permite estabelecer um vínculo positivo entre especialistas de segurança e organizações, fortalecendo a cooperação com a comunidade de segurança.
Existe uma regulamentação internacional de Bug Bounty?
Na esfera internacional, países como os Estados Unidos, França, Alemanha e Holanda possuem regulamentações mais flexíveis que permitem a realização de testes de segurança em ambientes controlados, garantindo respaldo jurídico para especialistas que participam de bug bounties. Muitas dessas nações utilizam plataformas especializadas, como HackerOne e Bugcrowd, que oferecem diretrizes claras e mecanismos de proteção legal para os pesquisadores.
Por outro lado, países como China, Rússia e Emirados Árabes adotam políticas mais restritivas, exigindo muitas vezes autorização governamental prévia para não serem consideradas invasões criminosas de sistemas, devendo o pesquisador ter um cuidado maior para não incorrer em um problema legal.
A falta de padronização global para programas de bug bounty representa um desafio para pesquisadores, que precisam compreender as leis locais antes de realizarem testes de segurança para evitar repercussões jurídicas indesejadas. Assim, não existe um padrão global para atuação destes profissionais pesquisadores de vulnerabilidades que precisam avaliar as regras de cada país que pretendem atuar.
E no Brasil, quais são os aspectos legais do Bug Bounty?
O Brasil conta com regulamentações como o marco civil da internet (lei 12.965/14), que estabelece parâmetros para o uso da internet no Brasil, incluindo a responsabilidade de provedores e usuários, e a LGPD (lei 13.709/18) que regulamenta a proteção de dados pessoais. A LGPD, por exemplo, exige medidas de segurança das organizações para proteger os dados dos titulares, assim a busca das vulnerabilidades é uma forma de alcançar a conformidade com as regulamentações, permitindo que as organizações atendam às exigências legais e normativas de proteção de dados com maior eficiência. Nesse sentido inclusive, recentemente o STJ, no REsp 2147374 de dezembro de 2024, destacou a necessidade de medidas de governança para o cumprimento da LGPD, sendo que a empresa vítima precisa evidenciar que a exposição dos dados seja exclusivamente devido ao ataque cibernético.
Entretanto, o CP no art. 154-A (conhecido como lei Carolina Dieckmann) criminaliza o acesso não autorizado a sistemas informatizados, o que significa que hackers éticos devem obter permissão explícita antes de testar sistemas, pois são criminalizados os acessos não autorizados a sistemas informatizados. Portanto, diferentemente de países como os EUA e a União Europeia, o Brasil ainda carece de uma regulamentação específica para programas de bug bounty, o que pode dificultar a adesão institucional e a segurança jurídica para pesquisadores de segurança que atuam no país em como proceder ao encontrar vulnerabilidades em sistemas nacionais. De qualquer modo, o bug bounty não é ilegal no Brasil, desde que seja realizado com autorização explícita, dentro do escopo definido e em conformidade com as leis vigentes.
O Banco Neon foi um caso de Bug Bounty?
Em fevereiro de 2025, um hacker divulgou publicamente alguns dados de clientes do Banco Neon, alegando ter encontrado uma falha de segurança e que não teria recebido o devido respeito e reconhecimento do banco, mesmo após ter pedido primeiro uma recompensa diretamente ao banco por ter descoberto e alertado sobre a vulnerabilidade. O próprio hacker sustentou, em uma entrevista a um canal de notícias de tecnologia, que não devolveu os dados e informou as vulnerabilidades ao banco, pois, se assim tivesse feito, todo o seu trabalho de pesquisa das vulnerabilidades não seria remunerado. Mas essa conduta estaria enquadrada nas diretrizes de um programa de bug bounty?
Na verdade, os protocolos de divulgação responsável não foram seguidos, pois o hacker não tinha permissão formal do banco para realizar testes no sistema. Além disso, a exposição dos dados de clientes viola a LGPD, pois causa um dano aos titulares, bem como pode afetar a credibilidade da organização e causar danos irreversíveis. A notificação prévia ao banco, condicionando a revelação da vulnerabilidade ao pagamento da recompensa, impede a adoção de medidas corretivas antes da exposição pública. Desse modo, a prática pode configurar o crime de invasão de dispositivo informático previsto no CP.
O incidente envolvendo o Banco Neon destaca a importância de protocolos bem estabelecidos para a realização de testes de segurança, evitando práticas ilegais e garantindo que vulnerabilidades sejam corrigidas antes que possam ser exploradas por terceiros não vinculados à empresa.
Como as organizações brasileiras devem se portar?
Diante do crescimento de ameaças cibernéticas, para viabilizar um ecossistema favorável, seria essencial que tivéssemos regulamentações específicas que estruturassem a atividade do pesquisador legalizado de vulnerabilidades, e assim tivéssemos a segurança jurídica para quem vai contratar e para os pesquisadores, para atuarem de maneira ética dentro dos programas de bug bounty.
Enquanto não temos esse cenário ideal de regulamentação específica para bug bounty, por mais bem intencionados que sejam os hackers do bem, caso estes atuem fora de programas de bug bounty adotados pelas organizações, estarão infringindo a legislação brasileira. Como dito acima, o bug bounty não é ilegal no Brasil, mas precisa ser realizado com autorização explícita, dentro do escopo definido e em conformidade com as leis vigentes.
Helio Ferreira Moraes
Coordenador da Comissão de Tecnologia do CCBC. Sócio do PK – Pinhão & Koiffman Advogados.
