Tipificar sem nomear: a Lei 15.397/2026 e as lacunas dogmáticas do Direito Penal frente à engenharia social no cenário nacional

Em 2025, o Brasil registrou 2,8 milhões de tentativas de fraude no e-commerce, somando R$ 3 bilhões em valores potencialmente perdidos — com ticket médio das transações fraudulentas subindo para R$ 1.072,33, o que revela uma migração estratégica dos fraudadores para compras de maior valor agregado (Clearsale, 2025). No mesmo período, o país concentrou 84% de todas as atividades maliciosas detectadas na América Latina e no Canadá, com especial incidência sobre setores de varejo e serviços financeiros (Crowdstrike, 2025). A resposta do legislador brasileiro veio com a Lei 15.397/2026 (Brasil, 2026), sancionada em maio deste ano, que agravou penas da fraude eletrônica (art. 171, §2º-A, CP).

Diante da expansão dos crimes cibernéticos, esperava-se que a lei enfrentasse as lacunas dogmáticas há muito diagnosticadas pela doutrina, especialmente a ausência de tipificação precisa das condutas que integram os ataques de engenharia social e a indefinição sobre o momento de consumação do delito. A lei, contudo, frustrou essa expectativa. A pergunta que se impõe é: o que significa legislar sobre crimes cibernéticos sem efetivamente tipificá-los?

A resposta, como se pretende demonstrar, é negativa e a insistência do legislador nessa via revela não uma política criminal racional, mas o que Hassemer e Muñoz Conde (2020, p. 26) denominaram de Direito Penal simbólico: a produção legislativa como espetáculo de controle, destinada a tranquilizar a opinião pública sem enfrentar as causas estruturais do fenômeno que pretende combater.

O problema dogmático: a omissão tipificador a e momento de consumação

A engenharia social, no campo da cibersegurança, não é, em sua essência, um ataque técnico: é, antes, uma operação de persuasão psicológica. Kevin Mitnick, célebre hacker, cuja obra se tornou referência acadêmica sobre o tema, define engenharia social como a exploração sistemática do “elo mais fraco de qualquer sistema de segurança”: o ser humano. O atacante não invade o sistema; ele convence a pessoa que o opera a abrir a porta. Por isso, nenhuma camada de proteção técnica é suficiente contra um ataque de engenharia social bem executado, e nenhuma pena criminal torna a porta mais resistente (Mitnick; Simon, 2003, p. 3-6). Esse traço estrutural, a exploração do fator humano em vez de vulnerabilidades técnicas, é precisamente o que torna a engenharia social tão desafiadora para o Direito Penal: o objeto da conduta criminosa não é o sistema de segurança, mas a pessoa que o opera.

Um ataque de phishing direcionado ao consumidor do varejo eletrônico, por exemplo, fragmenta-se em múltiplas condutas: o registro de um domínio falso, a criação da página de captura de dados, o envio em massa de mensagens, a coleta das credenciais e, somente então, o acesso à conta e a subtração patrimonial. A pergunta que o legislador de 2026 deveria ter respondido é: em qual desses momentos nasce a relevância penal?

A Lei 15.397/2026 não criou novos tipos penais autônomos para o fenômeno. Ao optar pelo agravamento de penas de crimes já existentes, em especial o estelionato e a fraude informática, sem delimitar com precisão as condutas que integram o iter criminis dos ataques de engenharia social, o legislador desperdiçou a oportunidade histórica de estabelecer marcos dogmáticos claros. Ferrajoli (2014, p. 39) é preciso ao afirmar que o princípio de estrita legalidade designa a reserva absoluta de lei, que “é uma norma dirigida ao legislador, a quem prescreve a taxatividade e a precisão empírica das formulações legais”, acrescentando que “a lei não pode qualificar como penalmente relevante qualquer hipótese indeterminada de desvio, mas somente comportamentos empíricos determinados, identificados exatamente como tais”.

Agrava-se o problema da omissão quando se examina o momento da consumação do tipo penal. A criação de uma página de phishing, pela réplica visual de uma loja legítima, configura ato preparatório ou início de execução do estelionato? A distinção importa, afinal, atos preparatórios são, em regra, penalmente irrelevantes no Direito Penal Brasileiro (Masson, 2026, p. 264). Nessa seara, a Lei 15.397/2026 perdeu a oportunidade de resolver essa lacuna; ao concentrar-se no agravamento de penas já existentes, negligenciou a tarefa dogmaticamente mais urgente: a precisão conceitual dos marcos de imputação.

Essa inadequação estrutural entre o instrumental penal clássico e a criminalidade tecnológica não é, em si mesma, uma novidade. Susana Aires de Sousa, analisando o impacto da inteligência artificial sobre as categorias penais, observa que o desenvolvimento tecnológico desafia a tipicidade “de forma frontal e em primeiro lugar”, pois o que distingue esses novos produtos complexos é justamente “o risco que lhe é inerente, a sua imprevisibilidade e incontrolabilidade” (Sousa, 2020).

A fraude de SimSwap ilustra essa insuficiência com precisão ainda maior. Nessa modalidade, o criminoso obtém, por engenharia social, dados pessoais das vítimas, como nome, CPF, data de nascimento, e os usa para enganar a operadora de telefonia, solicitando a portabilidade do número para um chip sob seu controle (Charleaux; Marques, 2024). A partir daí, intercepta os códigos de autenticação em dois fatores (2FA) enviados por SMS e acessa contas bancárias, carteiras digitais e plataformas de e-commerce vinculadas àquele número (Birchall, 2026)[1]. A modalidade expandiu-se de forma preocupante no Brasil, acompanhando a tendência de migração de crimes para o ambiente digital documentada pelo Fórum Brasileiro de Segurança Pública no Anuário Brasileiro de Segurança Pública de 2025[2].

O que interessa ao Direito Penal, porém, é o momento que antecede o acesso às contas: a fase de aliciamento, em que o criminoso convence um funcionário da operadora, ou usa dados vazados — para viabilizar a troca do chip. Esse contato com a operadora mediante identidade falsa, antes de qualquer acesso patrimonial, tem aparência inequívoca de ato preparatório. Não há subtração; não há induzimento em erro da vítima imediata do patrimônio; não há, sequer, tentativa de estelionato nos termos do art. 14, II, do Código Penal, pois o início da execução ainda não se voltou diretamente contra o bem jurídico tutelado. Assim, a Lei 15.397/2026, ao não tipificar essa conduta de forma autônoma, deixa o sistema penal novamente sem resposta para o momento em que a intervenção seria mais eficaz e mais legítima.

A crítica político-criminal: risco invisível e resposta errada

Esse contexto não é novo, Ulrich Beck (2011, p. 23-60) identificou que a modernidade tardia produz perigos que escapam à percepção sensorial e às categorias de controle das instituições tradicionais. O risco cibernético é paradigmático nesse sentido: é invisível, desterritorializado e assimétrico. Um grupo criminoso operando a partir de servidores distribuídos em múltiplos países, atacando consumidores brasileiros durante uma promoção de Black Friday, não possui endereço físico rastreável e não transpõe fronteiras visíveis. O Direito Penal, construído sobre a metáfora territorial do Estado-nação e sobre a relação direta entre agente, conduta e resultado, não foi arquitetado para essa realidade.

A CrowdStrike (2025, p. 19) documenta que o Brasil foi, em 2024, o país mais afetado por ransomware e extorsão de dados na América Latina, com 119 vítimas registradas — seguido pelo México (45) e pela Argentina (29). Os setores mais visados incluíam tecnologia, serviços financeiros e varejo. O ecossistema clandestino que alimenta esses ataques opera com brokers de acesso que, em 2024, anunciaram o acesso à rede de 428 entidades latino-americanas, com queda expressiva no preço médio de US$ 3.385 (2023) para US$ 1.355 (2024), evidenciando escala industrial (Crowdstrike. 2025, p. 22). Nenhum agravamento de pena altera essa equação econômica.

A aplicação seletiva do Direito Penal tem, ademais, um efeito ideológico preciso. Baratta demonstra que o sistema punitivo opera seletivamente sobre os vulneráveis: “la aplicación selectiva del derecho penal tiene como resultado colateral la cobertura ideológica de esta misma selectividad” (Baratta, 2004, p. 174-175). No ambiente cibernético, essa seletividade adquire nova dimensão: os grandes operadores de ransomware e fraude ao varejo, organizações com estruturas empresariais, departamentos de desenvolvimento e estratégias sofisticadas de evasão, dificilmente serão alcançados por penas agravadas. Serão alcançados, quando muito, os agentes periféricos do ecossistema criminoso. A lei, portanto, não é apenas ineficaz; é seletivamente ineficaz.

Garantismo, prova digital e cadeia de custódia

Há um outro problema que raramente aparece no debate legislativo sobre crimes cibernéticos: a prova digital e sua cadeia de custódia. O modelo teórico garantista concebe o processo penal como “processo de cognição ou de comprovação, onde a determinação do fato configurado na lei como delito tem o caráter de um procedimento probatório do tipo indutivo, que, tanto quanto possível, exclui as valorações e admite só, ou predominantemente, afirmações ou negações das quais sejam predicáveis a verdade e a falsidade processual”, princípio do veritas, non auctoritas facit judicium (Ferrajoli, 2014, p. 41).

Nessa seara, como observa Geraldo Prado (2024, p. 245, citando Ramalho, 2017, p. 102), equiparar a prova digital às provas tradicionais é um enviesamento que encobre diferenças fundamentais “acerca do potencial de pessoas afetadas” e “das condições de manipulação e supressão de informações” que, dada a volatilidade da prova digital, arriscam a configurar elemento probatório insuscetível de submissão ao contraditório. No ambiente digital, a prova é por natureza volátil, facilmente adulterável e tecnicamente opaca para a maioria dos operadores do Direito. Um log de acesso, um endereço IP, um hash de arquivo — todos esses elementos podem comprovar a autoria de um ataque de phishing, mas somente se coletados, preservados e apresentados em conformidade com padrões forenses rigorosos. O Brasil ainda não possui uma legislação processual penal específica e suficientemente detalhada para a cadeia de custódia da prova digital e a Lei 15.397/2026 novamente silencia sobre o tema.

Essa omissão é mais grave do que parece. Susana Aires de Sousa (2020, p. 21) adverte que o desenvolvimento tecnológico propicia o aparecimento de “novos métodos qualificados a priori como científicos” e confronta os tribunais com o problema de sua admissibilidade, sendo essencial estabelecer “critérios de admissibilidade deste conhecimento novo, qualificado como científico”. Sem marcos claros de cadeia de custódia digital, a prova produzida em investigações de crimes cibernéticos permanece vulnerável a alegações de nulidade. O garantismo, aqui, não é obstáculo à punição do culpado — é a condição de possibilidade de uma condenação legítima.

A resposta que a lei não trouxe

Se o Direito Penal simbólico não resolve o problema, o que resolve? A literatura especializada aponta, de forma convergente, para eixos que a Lei 15.397/2026 ignorou.

O primeiro é a cooperação investigativa internacional efetiva. A maioria dos ataques de engenharia social ao varejo e fintechs brasileiras tem infraestrutura hospedada fora do país. A CrowdStrike (2025, p. 14) documenta que adversários como Odyssey Spider, Samba Spider e Plump Spider operam a partir do Brasil, mas com infraestrutura distribuída internacionalmente — e que novos adversários globais, como Aviator Spider (nigeriano) e Renaissance Spider (russo), passaram a atacar entidades brasileiras pela primeira vez em 2024. Tratados de cooperação em matéria penal existem, mas são lentos demais para o tempo real do crime digital.

O segundo é o investimento em capacidade técnica estatal. O relatório da CrowdStrike (2025, p. 22-23) registra que, em 2024, mais de 1 bilhão de credenciais pertencentes a organizações e indivíduos localizados na América Latina foram recuperadas em vazamentos de dados e logs de roubo vinculados a malware — com o Brasil liderando esse ranking. Nenhuma pena agravada substitui o perito que sabe rastrear um endereço de carteira de criptomoeda ou reconstruir a infraestrutura de um ataque de phishing.

O terceiro, e o mais negligenciado, é a educação digital como política pública. A engenharia social, por definição, explora o “elo humano” da cadeia de segurança. O bem jurídico — na precisa definição de Juarez Tavares (2018, p. 97, citado em Khader; França, 2024) — deve ser compreendido como “um dado relacionado à pessoa humana, como seu elemento de preferência e orientação, o qual adquire valor quando incorporado à respectiva norma de conduta, proibitiva ou mandamental”. Uma proteção efetiva do patrimônio digital coletivo exige que a pessoa seja o objeto final de proteção — não o sistema, não a norma, não a pena. Consumidores informados sobre técnicas de phishing são um obstáculo estruturalmente mais eficaz do que marcos penais agravados.

Conclusão

 A Lei 15.397/2026 tipifica com imprecisão, agrava sem instrumentalizar e responde ao século XXI com a gramática punitiva do século XIX. O varejo digital brasileiro continuará sendo alvo preferencial da criminalidade cibernética não por falta de leis, mas por falta das políticas certas. O Direito Penal, enquanto ultima ratio, deve reservar sua intervenção para os casos em que a prova é robusta, a autoria é identificável e a pena tem alguma capacidade preventiva real. Fora dessas condições, o que se produz não é segurança, é a ilusão dela.

Referências

BARATTA, Alessandro. Criminología crítica y crítica del derecho penal: introducción a la sociología jurídico-penal. 1. ed. Buenos Aires: Siglo XXI Editores, 2004.

BECK, Ulrich. Sociedade de risco: rumo a uma outra modernidade. 2. ed. São Paulo: 34, 2011.

BRASIL. Lei 15.397, de 04 de maio de 2026. Altera o Código Penal. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2023-2026/2026/lei/l15397.htm. Acesso em: 4 maio 2026.

CLEARSALE. Mapa da Fraude 2025. São Paulo: Serasa Experian; Clearsale, 2025. Disponível em: https://www.serasaexperian.com.br/conteudos/mapa-da-fraude-2025/. Acesso em: 5 maio 2026

CROWDSTRIKE. Relatório sobre o Cenário de Ameaças na América Latina 2025. CrowdStrike Intelligence, 2025. Disponível em: https://www.crowdstrike.com/pt-br/resources/reports/crowdstrike-2025-latin-america-threat-landscape-report/. Acesso em: 5 maio 2026.

FERRAJOLI, Luigi. Direito e Razão: teoria do garantismo penal. 4. ed. rev. São Paulo: Revista dos Tribunais, 2014.

KHADER, Eliana; FRANÇA, Gisela. O conceito de Bem Jurídico na doutrina de Juarez Tavares. Boletim IBCCRIM, São Paulo, v. 32, n. 374, jan. 2024. Disponível em: https://publicacoes.ibccrim.org.br/index.php/boletim_1993/article/view/795. Acesso em: 5 maio 2026.

INTERNET CRIME COMPLAINT CENTER (IC3). 2024 Internet Crime Report. Washington, D.C.: Federal Bureau of Investigation, 2025. Disponível em: https://www.ic3.gov/AnnualReport/Reports/2024_IC3Report.pdf. Acesso em: 5 maio 2026.

FÓRUM BRASILEIRO DE SEGURANÇA PÚBLICA. 19º Anuário Brasileiro de Segurança Pública. São Paulo: FBSP, 2025. Disponível em: https://forumseguranca.org.br/publicacoes/anuario-brasileiro-de-seguranca-publica/. Acesso em: 5 maio 2026.

MASSON, Cleber. Direito Penal: Parte geral arts. 1 a 120. 20. ed, rev., atual. e ampl. Rio de Janeiro: Método, 2026.

MITNICK, Kevin D.; SIMON, William L. A arte de enganar: controlando o fator humano na segurança da informação. São Paulo: Pearson Makron Books, 2003.

PRADO, Geraldo. Esboço de proposta sobre dispositivo de controle da investigação digital: o “aspecto dinâmico da prova digital”. Revista do Sistema Único de Segurança Pública, Brasília, v. 3, n. 1, p. 240-261, jul./dez. 2024.

SOUSA, Susana Aires de. Um Direito Penal desafiado pelo desenvolvimento tecnológico: alguns exemplos a partir das neurociências e da inteligência artificial. Revista da Defensoria Pública da União, Brasília, n. 14, p. 21-37, jul./dez. 2020.

TAVARES, Juarez. Fundamentos de Teoria do Delito. Florianópolis: Tirant lo Blanch, 2018.

Notas

[1] O FBI reportou, em 2024, perdas de aproximadamente US$ 26 milhões decorrentes de ataques de SIM swap nos Estados Unidos

[2] A edição registra o “crescimento dos estelionatos eletrônicos” e dos “crimes no entorno digital” como uma das principais tendências da segurança pública brasileira em 2024. A edição registra o “crescimento dos estelionatos eletrônicos” e dos “crimes no entorno digital” como uma das principais tendências da segurança pública em 2024 (Fórum Brasileiro de Segurança Pública, 2025).