Em um cenário de segurança cibernética, uma equipe de desenvolvimento de software, liderada pelo engenheiro Carlos, estava trabalhando en um novo sisterna de proteção de dados para uma instituição financeira. Durante a fase de testes, Ana, uma estagiária recém-contratada, identificou uma vulnerabilidade critica que pode-ria permitir acesso não autorizado a informações sensíveis dos clientes. Ana comunicou imediatamente a falha a Carlos, que, por sua vez, a instruiu a documentar o problema e a aguardar sua análise, pois estava sobrecarregado com outras tarefas urgentes. Passadas 48 horas, Carlos, ainda imerso em outras prioridades, não havia revisado o relatório de Ana nem tomado qualquer providência para corrigir a vulnerabilidade. Nesse interim, um ataque cibernético explorou exatamente a falha identificada, resultando na exfiltração de dados de milhares de clientes. A investigação subsequente revelou que a vulnerabilidade era de conhecimento da equipe e que a correção seria relativamente simples, mas foi negligenciada. A instituição financeira sofreu prejuízos significativos e a reputação da equipe foi severamente comprometida. Considerando o cenário apresentado e os princípios da teoria do crime, aplique os conceitos de tipo e tipicidade à conduta de Carlos e assinale a alternativa que qualifica sua ação sob a ótica penal.

Questão

Em um cenário de segurança cibernética, uma equipe de desenvolvimento de software, liderada pelo engenheiro Carlos, estava trabalhando en um novo sisterna de proteção de dados para uma instituição financeira. Durante a fase de testes, Ana, uma estagiária recém-contratada, identificou uma vulnerabilidade critica que pode-ria permitir acesso não autorizado a informações sensíveis dos clientes. Ana comunicou imediatamente a falha a Carlos, que, por sua vez, a instruiu a documentar o problema e a aguardar sua análise, pois estava sobrecarregado com outras tarefas urgentes. Passadas 48 horas, Carlos, ainda imerso em outras prioridades, não havia revisado o relatório de Ana nem tomado qualquer providência para corrigir a vulnerabilidade. Nesse interim, um ataque cibernético explorou exatamente a falha identificada, resultando na exfiltração de dados de milhares de clientes. A investigação subsequente revelou que a vulnerabilidade era de conhecimento da equipe e que a correção seria relativamente simples, mas foi negligenciada. A instituição financeira sofreu prejuízos significativos e a reputação da equipe foi severamente comprometida.

Considerando o cenário apresentado e os princípios da teoria do crime, aplique os conceitos de tipo e tipicidade à conduta de Carlos e assinale a alternativa que qualifica sua ação sob a ótica penal.

Alternativas

A) A negligência de Carlos em não priorizar a correção da vulnerabilidade demonstra uma falha no dever de cuidado objetivo, o que o expõe a uma responsabilização por imprudència, sem, contudo, configurar um tipo ativo doloso de violação de dados, mas sim uma omissão relevante para o desfecho.

B) A ausência de um dolo direto em causar a exfiltração de dados por parte de Carlos impede a configuração de um tipo penal doloso, direcionando a análise para a necessidade de um tipo culposo específico que abranja a omissão em seu dever de cuidado, o que demanda uma investigação aprofundada da previsibilidade.

C) A conduta de Carlos configura uma omissão imprópria, caracterizada pela negligência em seu dever de garante de proteger os dados, resultando em um tipo culposo de dano, onde a previsibilidade e a evitabilidade do resultado eram manifestas, estabelecendo a adequação típica indireta.

84%

D) A conduta de Carlos, ao não agir para mitigar a vulnerabilidade, demonstra uma falha no dever de cuidado, mas a ausência de intenção direta em causar o dano direciona a análise para a tipicidade culposa, sem que haja dolo na produção do resultado.

E) A conduta de Carlos, ao ter conhecimento da vulnerabilidade e não agir, pode ser interpretada como uma forma de aceitação do risco, aproximando-se da figura do dolo eventual, onde, embora não desejasse o resultado, ele o previu e se conformou com sua eventual ocorrência, configurando uma tipicidade complexa.

Explicação

1) Tipo e tipicidade (aplicação ao caso)

  • Tipo penal (tipo) é o modelo legal de conduta proibida (descrição abstrata na lei).
  • Tipicidade é o “encaixe” do fato concreto nesse modelo legal: adequação formal (descrição) e, em regra, também uma leitura material (relevância do ataque ao bem jurídico).

No enredo, Carlos não pratica um ato comissivo de invasão/exfiltração; ele deixa de agir após ter ciência técnica de uma vulnerabilidade crítica e de uma correção simples. O resultado (exfiltração) ocorre por ação de terceiros, favorecida pela não atuação de quem tinha domínio organizacional para impedir/mitigar.

2) Conduta de Carlos: omissão penalmente relevante

A questão pede qualificação “sob a ótica penal” usando conceitos de tipo/tipicidade. Aqui, o ponto central é que a conduta descrita é de omissão:

  • Carlos tinha ciência do risco (vulnerabilidade crítica comunicada e documentada).
  • Tinha possibilidade de agir (a correção era “relativamente simples”).
  • Sua inação por 48h, em contexto de proteção de dados em instituição financeira, caracteriza violação de um dever de agir.

Quando a omissão é juridicamente relevante e o omitente ocupa posição de garante, fala-se em omissão imprópria (comissiva por omissão): o agente responde como se tivesse causado o resultado, desde que:

  1. tivesse dever jurídico de impedir o resultado (posição de garante),
  2. tivesse capacidade de impedir,
  3. e o resultado fosse evitável com a ação devida.

No caso, Carlos é líder/engenheiro responsável pelo sistema de proteção de dados (posição funcional que, no enunciado, o coloca como responsável pela contenção do risco identificado). Isso sustenta a ideia de dever de garante no contexto descrito.

3) Elemento subjetivo: por que culposo (na moldura do enunciado)

O enunciado enfatiza que a correção foi negligenciada e que ele estava “sobrecarregado” e não revisou o relatório. Isso aponta mais para culpa por negligência (violação do dever objetivo de cuidado) do que para um querer/assumir o resultado.

  • Previsibilidade: a falha era crítica e poderia permitir acesso não autorizado.
  • Evitabilidade: havia medida simples possível.

Logo, a adequação típica tende a ser indireta por omissão imprópria, com imputação culposa do resultado (se houver tipo penal que admita forma culposa no caso concreto — a questão, porém, é teórica e pede a qualificação pela tipicidade, não a indicação de artigo específico).

4) Por que a alternativa C é a melhor

A alternativa C reúne exatamente os elementos esperados pela teoria do crime no recorte pedido:

  • identifica omissão imprópria (comissiva por omissão);
  • menciona dever de garante;
  • enquadra como tipo culposo (negligência), com previsibilidade e evitabilidade manifestas;
  • e aponta a adequação típica indireta (típica das hipóteses omissivas impróprias).

5) Por que as demais ficam menos adequadas

  • A e D descrevem culpa/dever de cuidado, mas não enfrentam bem a estrutura de omissão imprópria/garante (essencial para a tipicidade omissiva que “equivale” à causação).
  • B é genérica e condiciona demais (“necessidade de tipo culposo específico”), sem qualificar tecnicamente a omissão relevante no plano da tipicidade.
  • E sugere dolo eventual (aceitação do risco). Pelo enunciado, há mais sinais de negligência/adiamento por sobrecarga do que de conformação com o resultado.

Alternativa correta: (C).

direito-penalomissao-impropriateoria-do-crimetipicidade

Questões relacionadas

Ver últimas questões

Comece a estudar de forma inteligente hoje mesmo

Resolva questões de concursos e vestibulares com IA, gere simulados personalizados e domine os conteúdos que mais caem nas provas.

Ter acesso ilimitado

Cancele quando quiser.