Um novo espaço de análise, reflexão e pluralidade no
debate público sobre o sistema de justiça criminal











Em termos operacionais, o programa abre determinados ativos digitais (aplicações, APIs, infraestruturas) a testes conduzidos por pesquisadores independentes, mediante recompensa proporcional à criticidade da vulnerabilidade reportada. Trata-se de modelo contratual atípico, em regra estruturado por termos de uso unilaterais, que delimitam escopo, condutas autorizadas e critérios de elegibilidade. É exatamente nessa delimitação que reside o elemento apto a afastar a ilicitude do ato criminoso (Brandão; Rocha, 2019, p. 63): dentro do escopo, há autorização válida; fora dele, ela desaparece.
A licitude da atuação em programa de bug bounty não decorre da natureza técnica da atividade nem de qualquer reconhecimento institucional do mercado de cybersecurity. Decorre, exclusivamente, do consentimento da empresa titular do sistema e da aderência estrita aos limites desse consentimento. Rompida essa moldura, a mesma conduta que seria recompensada pode subsumir-se a tipos penais relevantes, com destaque para a invasão de dispositivo informático (art. 154-A do CP) e, em casos mais sensíveis, a extorsão (art. 158 do CP).
A prática revela o uso abusivo do consentimento. O agente ultrapassa deliberadamente o escopo, acessa dados sensíveis sem necessidade probatória, repete a exploração ou amplia artificialmente o impacto da falha, com a finalidade de elevar a recompensa ou criar posição negocial coercitiva contra a empresa. Nesses cenários, a autorização que antes excluía a tipicidade do acesso deixa de produzir efeitos, e a conduta volta a ser subsumível ao art. 154-A do CP, que exige para sua configura “autorização expressa ou tácita do usuário do dispositivo”.
A hipótese mais grave é a da vulnerabilidade convertida em mecanismo de pressão econômica. O pesquisador condiciona a não divulgação da falha, a interrupção da exploração ou a não comunicação a terceiros (autoridades, imprensa, clientes da empresa) ao pagamento de valor não previsto no programa. Aqui, a discussão deixa de orbitar a ilicitude do acesso e passa a tangenciar, com nitidez, o tipo do art. 158 do CP.
Paralelamente à hipótese descrita, a conduta poderá configurar outros crimes quando, além da invasão, atingir a esfera de proteção de outros bens jurídicos, sobretudo o furto, no caso de subtração de ativos digitais com valor econômico, ou o dano, quando houver a deterioração do próprio dispositivo informático (Masson, 2022, p. 338).
A adequação típica da prática do programa de bug bounty ao modelo legal e abstraído do crime de extorsão depende do preenchimento de suas elementares típicas: constrangimento por meio de grave ameaça, com a finalidade de obtenção de vantagem econômica indevida e o nexo entre a ameaça e a vantagem.
A ameaça, caracterizada como “um mal maior que o prejuízo patrimonial correspondente à vantagem exigida pelo extorsionário” (Hungria, 1958, p. 69), pode materializar-se na promessa de divulgação pública da vulnerabilidade, no vazamento de dados subtraídos durante o teste ou na continuidade da exploração. Em conformidade com os ensinamentos de Nelson Hungria (1958, p. 69-70):
Uma das mais frequentes formas de extorsão é a praticada mediante ameaça de revelação de fatos escandalosos ou difamatórios, para coagir o ameaçado a comprar o silêncio do ameaçador. É a chantage dos franceses, ou o blackmail, dos ingleses.
A zona cinzenta está na forma em que a comunicação do pesquisador foi feita. Há diferença relevante entre uma negociação agressiva dentro dos termos do programa e o instrumento de pressão econômica formulada como forma de chantagem de revelação da fragilidade do sistema.
No aspecto objetivo, a comunicação de uma vulnerabilidade a autoridades competentes (ANPD em hipóteses de risco a dados pessoais, CVM em sistemas de companhia aberta, Banco Central em ativos de instituição financeira) ou a divulgação pública da falha após prazo razoável de correção pode caracterizar exercício regular de direito ou cumprimento de dever legal. Conduta cuja realização é, em si, lícita (denúncia regulatória, divulgação responsável após coordinated disclosure, comunicação a clientes afetados) aparentando não tipificar o art. 158 do Código Penal.
Entretanto, não é necessário que o mal prometido pela ameaça seja injusto. Nas lições de Magalhães Noronha (1994, p. 262),
lembramos apenas que o dano de ameaça pode não ser, em si, injusto, porém assim se torna, pela injustiça do objetivo do agente. No caso, por exemplo, de quem possui provar inconcussas de crime cometido por alguém e o ameaça de denunciar à Justiça, se ele não lhe pagar determinada soma, haverá extorsão, por ser indevida a vantagem buscada.
No plano subjetivo, a linha divisória não está na ocorrência do acesso, mas na finalidade que orienta a conduta: testar e reportar, ou explorar e obter vantagem econômica. Na extorsão, esse elemento ganha contornos mais evidentes, porque a vantagem econômica não decorre do mecanismo institucional do programa, mas da imposição unilateral de condições pelo agente. A prova é predominantemente inferencial, reconstruída a partir de padrões de comportamento, comunicações estabelecidas e cronologia dos eventos.
Em nenhuma hipótese a vantagem exigida pode ser considerada como devida[1], por inexistir fundamento jurídico que legitime tal exigência. Apenas quando observados os termos e limites estabelecidos pelo programa de bug bounty é possível cogitar de remuneração legitimamente devida. Fora desse contexto, inexiste justificativa jurídica para o constrangimento da vítima visando à obtenção de vantagem econômica.
Esses casos costumam apresentar elevada complexidade probatória. Logs de acesso, registros de requisições, payloads utilizados e o histórico de comunicação entre pesquisador e empresa tornam-se centrais para delimitar o que era tecnicamente necessário à demonstração da falha e o que representou excesso deliberado. A cadeia de custódia e a interpretação técnica desses elementos pesam decisivamente, sobretudo quando a controvérsia chega ao juízo penal sem prévia depuração técnica.
A própria comunidade internacional de bug bounty, organizada em torno de plataformas como HackerOne e Bugcrowd, reconhece e classifica há anos um espectro de comportamentos abusivos sob rótulos como beg bounty (pesquisador que reporta falhas triviais ou inexistentes a empresas sem programa, exigindo recompensa) e bug bounty extortion (ameaça de divulgação para forçar pagamento). O fenômeno não é juridicamente novo, e há registros de tratativas judiciais nos Estados Unidos e na União Europeia. No Brasil, ainda há baixa litigância pública sobre o tema, o que tende a mudar conforme cresce a maturidade dos programas e a sofisticação técnica dos pesquisadores.
Há também um risco institucional que recai sobre a empresa operadora do programa. A reação desproporcional, qualificando como criminosa toda conduta ambígua, expõe a companhia a contraofensiva por denunciação caluniosa ou litigância abusiva. A reação leniente, por outro lado, incentiva práticas oportunistas e, no limite, extorsivas. O equilíbrio é precário e raramente trivial.
O Marco Civil da Internet (Lei 12.965/2014) incide sobre os programas de bug bounty em três dimensões (Brasil, 2014).
A primeira é a retenção de logs. Nos termos dos arts. 13 e 15 da lei, provedores de conexão guardam os registros de conexão por doze meses e provedores de aplicações mantêm os registros de acesso por seis meses. Na prática, todo teste conduzido sobre sistema sujeito ao MCI ocorre em ambiente auditável por força de lei, e a empresa já dispõe, por dever legal, do material probatório básico sobre a atuação do pesquisador.
A segunda envolve o art. 19 e os limites da autotutela empresarial. Como o provedor de aplicações somente responde por conteúdo gerado por terceiro se descumprir ordem judicial específica, não há instrumento extrajudicial eficaz para remover publicações de pesquisadores que divulgam falhas fora dos termos acordados. A reação passa necessariamente pelo Judiciário, o que reforça a importância dos acordos de não divulgação e da delimitação contratual do prazo de coordinated disclosure.
A terceira é a do art. 22, que autoriza a requisição judicial de registros de conexão e de acesso a aplicações para formação de conjunto probatório em investigação criminal. Como o pesquisador costuma atuar sob pseudônimo ou via VPN, sua identificação depende da combinação entre os registros da plataforma de bug bounty, os logs da empresa e, se necessário, requisição judicial ao provedor de conexão.
A depender da arquitetura do sistema, o pesquisador acessa ou pode acessar dados pessoais dos titulares cadastrados na plataforma. Quando isso ocorre, o enquadramento da conduta deixa de ser apenas penal e passa a envolver o regime da Lei Geral de Proteção de Dados (Lei 13.709/2018) (Brasil, 2018).
O consentimento da empresa para o teste não autoriza o pesquisador a tratar os dados pessoais armazenados no sistema. São esferas distintas: a autorização para acessar o sistema não implica autorização para coletar, copiar ou utilizar os dados nele contidos. A extração além do estritamente necessário à demonstração técnica da vulnerabilidade configura excesso sem amparo nas bases legais dos arts. 7º e 11 da LGPD.
Para a empresa, o acesso a dados pessoais durante o teste, sobretudo a dados sensíveis, pode caracterizar incidente de segurança sujeito à comunicação à Autoridade Nacional de Proteção de Dados (ANPD), nos termos do art. 48 da LGPD. A omissão, quando a comunicação for devida, soma sanções administrativas ao risco criminal e reputacional já existente.
No cenário de extorsão, a posse de dados pessoais amplia o poder de coerção do agente. A ameaça de divulgação de dados de titulares identificáveis é meio de execução do crime do art. 158 do CP e, em paralelo, conduta sancionável pela ANPD, com responsabilidade civil autônoma perante os próprios titulares (arts. 42 e 44 da LGPD). A empresa passa a ter obrigações simultâneas nas esferas criminal, regulatória e cível.
A maior parte dos programas de bug bounty é operada com mediação de plataformas especializadas, como HackerOne e Bugcrowd. Elas não integram o vínculo principal entre empresa e pesquisador, mas exercem função juridicamente relevante: definem regras de elegibilidade, hospedam as comunicações, autenticam a identidade dos participantes e gerenciam o fluxo de pagamentos.
A plataforma não é garantidora do comportamento dos pesquisadores cadastrados. Na qualidade de provedora de aplicações, porém, sujeita-se ao regime do art. 19 do MCI, cuja lógica pode ser invocada em ações cíveis contra plataformas que, cientes de comportamento abusivo, deixaram de adotar medidas cabíveis. A transposição desse regime para o contexto de bug bounty é discutível e ainda não há precedente consolidado no Brasil.
O aspecto mais prático é o probatório. As plataformas detêm registros decisivos: comunicações entre pesquisador e empresa, histórico de reportes, dados de identificação e eventuais mensagens que evidenciem a transição da negociação regular para a exigência coercitiva. Como HackerOne e Bugcrowd são sediadas nos Estados Unidos, o acesso a esses dados em investigação criminal pode exigir cooperação via carta rogatória ou MLAT, de modo que os registros mantidos pela própria empresa contratante tendem a ser mais úteis e céleres.
Sob a LGPD, as plataformas que tratam dados de pesquisadores brasileiros ou monitoram sistemas localizados no Brasil sujeitam-se à lei por força do art. 3º, incisos I e II, com obrigações de tratamento, eventual necessidade de instrumento contratual de proteção de dados (DPA) com as contratantes brasileiras e possibilidade de fiscalização pela ANPD. Esses deveres são frequentemente ignorados nos contratos com as plataformas e merecem atenção antes de qualquer incidente.
BRANDÃO, Cláudio; ROCHA, Sidney Cassio Alves. O delito de invasão de dispositivo informático e os testes de segurança (PenTests). Jornal de Ciências Criminais, São Paulo, v. 2, n. 2, p. 61-28, jul./dez/ 2019
BRASIL. Decreto-Lei nº 2.848, de 7 de dezembro de 1940. Código Penal. Diário Oficial da União, Rio de Janeiro, 31 dez. 1940.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil. Diário Oficial da União, Brasília, DF, 24 abr. 2014.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018.
FRAGOSO, Heleno Cláudio. Lições de direito penal: parte especial (arts. 121 a 167). São Paulo: J. Bushatsky, 1958.
HUNGRIA, Nelson. Comentários ao Código Penal. 2. ed. Rio de Janeiro: Forense, 1958. v. 7.
MASSON, Cleber. Direito penal: parte especial (arts. 121 a 212). 15. ed., rev., atual. e ampl. Rio de Janeiro: Método, 2022.
NORONHA, E. Magalhães. Direito Penal: dos crimes contra a pessoa. 26. ed. São Paulo: Saraiva, 1994. v. 2.
[1] “A vantagem deve ser indevida, o que significa vantagem a gente o agente não tem direito, pois se tivesse êle direito à vantagem, o crime a identifica-se seria o exercício arbitrário das próprias razões (art. 345 C. p.)” (Fragoso, 1958, p. 207).
Esta obra é disponibilizada sob a licença Creative Commons Atribuição 4.0 Internacional (CC BY 4.0), permitindo uso, compartilhamento, adaptação e finalidade comercial, desde que seja dado crédito adequado ao autor.
Advogado, DPO e Compliance Officer na Legitimuz Tecnologia. Com mais de 13 anos de experiência em direito empresarial, é MBA pela USP/Esalq e atua também como sócio da Hannickel Advogados, com foco em proteção de dados, compliance regulatório e direito digital. Certificado pela IAPP com as credenciais CIPP/E, CIPM, CDPO/BR e FIP, foi vencedor do prêmio Compliance On Top em 2023, 2024 e 2025. Professor convidado na Opice Blum Academy e na FACAMP, integra a Comissão Especial de Games, Apostas e Entretenimento da OAB-SP. Co-autor de obras sobre inteligência artificial e cibersegurança.
Encontrou um erro?
Nos ajude a melhorar! Envie sua correção abaixo 👇