Rocco & Canonica – Advogados especialistas em direito digital
Instagram Envelope
Rocco & Canonica – Advogados especialistas em direito digital
Instagram Envelope
Anzol vermelho pendurado, simbolizando ataque de phishing e armadilhas digitais para capturar vítimas online

O que é phishing e como se proteger juridicamente

CONVERSE CONOSCO
Tempo de leitura: 5 minutos

O phishing é uma das formas mais comuns de fraude digital no Brasil e no mundo. Trata-se de uma técnica usada por criminosos para enganar pessoas e roubar dados pessoais, senhas bancárias, números de cartão de crédito e outras informações sensíveis — geralmente por meio de e-mails falsos, mensagens de texto, links maliciosos ou páginas que imitam sites legítimos. Apesar de parecer um golpe simples, o phishing causa prejuízos milionários todos os anos e afeta tanto pessoas físicas quanto empresas de todos os tamanhos. Entender como ele funciona é o primeiro passo para se proteger e, quando necessário, buscar reparação na Justiça.

O que é phishing e por que o nome?

O termo “phishing” vem do inglês e faz referência à pesca — a ideia é que o criminoso lança uma isca e espera que a vítima morda. Assim como um pescador usa iscas para atrair peixes, o golpista cria mensagens ou páginas convincentes para atrair pessoas desatentas. Por isso, o phishing é também chamado de “pescaria digital”.

Na prática, o ataque pode chegar de várias formas: um e-mail que parece ser do seu banco pedindo para atualizar sua senha, uma mensagem no WhatsApp com um link prometendo um cupom de desconto, ou até uma ligação telefônica de alguém se passando por funcionário de uma empresa. Portanto, o phishing não se limita apenas ao ambiente de e-mail — ele se adapta a qualquer canal de comunicação.

Como funciona o golpe de phishing na prática

Em geral, o phishing segue um roteiro relativamente previsível. Primeiro, o criminoso escolhe um alvo — pode ser uma pessoa específica ou um grupo amplo. Em seguida, ele cria uma mensagem ou página falsa que imita uma organização confiável, como um banco, uma loja virtual, um órgão público ou até mesmo uma rede social. Depois, a mensagem é enviada em massa ou direcionada à vítima com algum senso de urgência: “sua conta será bloqueada”, “você ganhou um prêmio”, “confirme seus dados agora”.

Quando a vítima clica no link e insere seus dados, essas informações vão direto para os criminosos. Consequentemente, o golpista pode usar esses dados para fazer compras, sacar dinheiro, contrair empréstimos no nome da vítima ou até vender as informações para terceiros.

Tipos mais comuns de phishing

  • Phishing por e-mail: o mais tradicional, com mensagens que imitam empresas conhecidas.
  • Smishing: phishing por SMS ou aplicativos de mensagem, como WhatsApp e Telegram.
  • Vishing: phishing por voz, realizado por ligações telefônicas fraudulentas.
  • Spear phishing: ataque direcionado a uma pessoa ou empresa específica, com informações personalizadas para parecer mais convincente.
  • Pharming: redirecionamento silencioso do usuário para um site falso, mesmo quando ele digita o endereço correto.

Além disso, existe o chamado clone phishing, em que o criminoso replica um e-mail legítimo que a vítima já recebeu anteriormente, substituindo apenas o link ou o anexo por uma versão maliciosa.

Phishing e a legislação brasileira

O Brasil conta com um arcabouço legal relevante para combater o phishing e responsabilizar os autores desse tipo de crime. A principal norma aplicável é a Lei nº 12.737/2012, conhecida como Lei Carolina Dieckmann, que tipificou a invasão de dispositivos informáticos e o furto de dados digitais.

Além dela, o Marco Civil da Internet (Lei nº 12.965/2014) estabelece princípios e responsabilidades para o uso da internet no Brasil, incluindo a proteção de dados e a privacidade dos usuários. Por outro lado, a LGPD — Lei Geral de Proteção de Dados — também entra em cena quando o phishing resulta no vazamento de dados pessoais, especialmente no caso de empresas que tiveram seus sistemas comprometidos. Para entender melhor os crimes dessa natureza, vale conferir nosso artigo completo sobre crimes cibernéticos: o que são e como funcionam na prática.

Do ponto de vista penal, o phishing pode configurar, dependendo do caso, os crimes de estelionato (art. 171 do Código Penal), furto mediante fraude (art. 155, §4º), e os crimes previstos na Lei nº 12.737/2012. Portanto, a depender da conduta praticada, a pena pode variar significativamente.

Responsabilidade civil das empresas em casos de phishing

Uma questão que muitos não sabem é que, em certos casos, as empresas também podem ser responsabilizadas por danos causados por phishing. Por exemplo, se um banco não adota medidas adequadas de segurança e um cliente é vítima de um golpe que utiliza o nome da instituição, essa empresa pode responder civilmente pelos prejuízos. O Código de Defesa do Consumidor e a jurisprudência do STJ têm reconhecido, em diversas ocasiões, a responsabilidade objetiva das instituições financeiras nesse tipo de situação.

Da mesma forma, plataformas digitais e marketplaces que permitem a circulação de links maliciosos podem, dependendo do contexto, responder por omissão. Ou seja, a responsabilidade jurídica no phishing não recai apenas sobre o criminoso — ela pode se estender a toda a cadeia de atores envolvidos.

O que fazer se você foi vítima

Antes de qualquer coisa, é preciso agir com rapidez. Quanto mais tempo passa, maiores podem ser os danos. Dessa forma, ao perceber que caiu em um golpe de phishing, siga os seguintes passos:

  • Troque imediatamente suas senhas — comece pelas contas bancárias e e-mails.
  • Entre em contato com seu banco e informe a situação para bloquear transações suspeitas.
  • Registre um Boletim de Ocorrência — pode ser feito online na maioria dos estados brasileiros, como pela Delegacia Eletrônica de São Paulo.
  • Guarde todas as evidências: prints, e-mails, mensagens, comprovantes de transação.
  • Consulte um advogado especializado em crimes cibernéticos para avaliar suas opções legais.

Além disso, em casos de roubo de identidade decorrente de phishing, é possível solicitar a inclusão do nome em sistemas de alerta e até iniciar ações judiciais para reversão de contratos firmados em seu nome por terceiros.

Como denunciar o phishing

No Brasil, você pode denunciar casos de phishing ao SaferNet Brasil, organização que recebe denúncias de crimes cibernéticos e as encaminha às autoridades competentes. Além disso, o CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) também recebe notificações sobre ataques e oferece orientações técnicas.

Para situações que envolvam dados pessoais expostos, a ANPD (Autoridade Nacional de Proteção de Dados) é o órgão responsável por fiscalizar o cumprimento da LGPD e pode ser acionada quando empresas falham na proteção dos dados de seus usuários.

Como se proteger no dia a dia

A prevenção ainda é a melhor estratégia. Portanto, adotar bons hábitos digitais pode fazer uma diferença enorme na sua segurança online.

  • Desconfie de e-mails ou mensagens com urgência excessiva — bancos e empresas sérias raramente pedem dados por esses canais.
  • Verifique sempre o endereço do remetente e o URL do link antes de clicar.
  • Use autenticação em dois fatores em todas as contas possíveis.
  • Mantenha seus softwares e antivírus atualizados — muitas ferramentas já identificam sites de phishing automaticamente.
  • Nunca forneça dados pessoais ou bancários por telefone, a menos que você mesmo tenha iniciado o contato.
  • Acesse sempre sites bancários digitando o endereço diretamente no navegador, sem clicar em links recebidos por e-mail.

Empresas, por sua vez, precisam investir em treinamento de equipes, políticas de segurança da informação e ferramentas de proteção. Afinal, um funcionário desinformado pode ser a porta de entrada para um ataque de phishing que comprometa dados de milhares de clientes.

Phishing e proteção de dados: a conexão com a LGPD

O phishing frequentemente resulta no vazamento ou no uso indevido de dados pessoais. Nesse cenário, a LGPD impõe obrigações claras às empresas: elas devem implementar medidas técnicas e administrativas para proteger os dados que coletam e armazenam. Caso uma empresa seja negligente e seus sistemas sirvam de vetor para um ataque de phishing, ela pode ser autuada pela ANPD e ainda responder civilmente às vítimas.

Ou seja, o phishing não é apenas um problema de segurança tecnológica — ele tem implicações jurídicas sérias, tanto para as vítimas quanto para as organizações que não se protegem adequadamente.

Precisa de ajuda jurídica? Fale com a Rocco & Canonica

Ser vítima de phishing é uma experiência estressante e, muitas vezes, financeiramente devastadora. No entanto, você não precisa enfrentar isso sozinho. A Rocco & Canonica — Advogados conta com uma equipe especializada em crimes cibernéticos, direito digital e proteção de dados, pronta para analisar o seu caso, identificar as melhores estratégias jurídicas e atuar tanto na esfera criminal quanto na cível para garantir a reparação dos seus prejuízos.

Se você foi vítima de phishing, teve seus dados roubados ou sua empresa sofreu um ataque digital, entre em contato conosco. Atuamos com seriedade, discrição e eficiência para proteger seus direitos no ambiente digital.

Rocco & Canonica — Advogados: soluções jurídicas inteligentes para um mundo cada vez mais conectado.

Compartilhe este conteúdo!

Share on whatsapp
Share on facebook
Share on twitter
Share on linkedin

Scott Rocco Dezorzi

Advogado Especialista em Direito Digital, Propriedade Intelectual e Proteção de Dados

Não perca nada que publicarmos aqui!

Inscreva-se em nossa newsletter.

Você se inscreveu com sucesso! Ops! Algo deu errado. Tente novamente.

Continua com dúvidas?

Entre em contato agora mesmo.

(48) 9 9218 4779 | @roccoecanonica
contato@roccoadvocacia.com.br

NOSSAS REDES

Instagram Envelope
INICIE UMA CONVERSA

PREFERE UM E-MAIL?

ROCCO & CANONICA - ADVOGADOS | CNPJ 53.414.110/0001-66 | OAB/SC nº 9554 | 2026 | TODOS OS DIREITOS RESERVADOS | POLÍTICA DE PRIVACIDADE | POLÍTICA DE COOKIES

Rolar para cima

Converse conosco!