A Contabilidade e o Risco Cibernético: Implicações para Profissionais do Direito e Empreendedores
A transformação digital trouxe um novo paradigma para a gestão contábil, tributária e financeira dos negócios. Juntamente com os avanços, surgem riscos significativos: os ataques cibernéticos. Para advogados e empreendedores, compreender os impactos contábeis, jurídicos e econômicos desses riscos não é apenas uma questão de segurança, mas de estratégia empresarial e conformidade legal.
O tema vem ganhando centralidade na governança corporativa, afetando diretamente a forma como os dados contábeis são armazenados, como as obrigações acessórias são cumpridas e como as empresas devem se posicionar frente a sinistros digitais. Neste artigo, exploramos as consequências desses eventos para a contabilidade, a responsabilidade legal das organizações, e os caminhos para mitigar riscos e preservar a saúde financeira do negócio.
O que são ataques cibernéticos e seu impacto na contabilidade
Ataques cibernéticos envolvem a intrusão não autorizada em sistemas digitais, com propósito de roubo, dano, sequestro ou exposição de dados. No contexto contábil, isso significa a violação de informações fiscais, financeiras, bancárias e de obrigações legais da empresa.
Empresas que possuem sistemas de escrituração contábil digital, uso de ERPs, softwares fiscais ou documentos eletrônicos (como a NFe e o SPED) estão particularmente vulneráveis. O risco não é apenas de indisponibilidade temporária, mas da integridade dos dados — um aspecto crucial para a veracidade da informação contábil, prevista no art. 1.179 do Código Civil.
Um ataque que compromete dados contábeis pode gerar inconsistências em demonstrações financeiras, problemas com o Fisco e até responsabilidades civis e penais para sócios e gestores, nos termos do art. 1.016, parágrafo único, do Código Civil.
Obrigações contábeis não cumpridas por falhas sistêmicas
A legislação tributária brasileira exige o envio de obrigações acessórias digitais como a ECD (Escrituração Contábil Digital) e ECF (Escrituração Contábil Fiscal), reguladas pela Instrução Normativa RFB nº 2003/2021. Quando o sistema empresarial sofre um ataque e não consegue processar e transmitir essas declarações, surgem penalidades.
O art. 57 da Medida Provisória nº 2.158-35/2001 prevê sanções pecuniárias para o descumprimento de obrigações acessórias, ainda que o motivo seja externo à vontade da empresa. Ainda que se trate de caso fortuito, será necessário comprovar cabalmente a ocorrência do incidente e demonstrar impossibilidade de resolução para eventual análise de exclusão de penalidade.
Além das multas, há prejuízos contábeis indiretos: aumenta o risco tributário, há incertezas na constituição legal dos tributos, e a confiabilidade da contabilidade como instrumento jurídico de prova é questionada.
A responsabilidade civil e penal por falhas na proteção de dados contábeis
A Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) impõe que empresas implementem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais (art. 46). Quando sistemas contábeis ou financeiros armazenam dados de pessoas físicas — como funcionários, fornecedores ou clientes — um ataque que resulte em vazamento pode gerar responsabilização direta.
O controlador dos dados (a empresa), segundo a LGPD, responde pelos danos patrimoniais, morais, individuais ou coletivos, causados por violação da legislação. Assim, dados contábeis como salários, CPF, contas bancárias e dívidas se tornam objetos de rígida tutela normativa.
O art. 927 do Código Civil, que estabelece a responsabilidade objetiva para atividades de risco, pode ser invocado em litígios judiciais, especialmente quando o tratamento de dados ocorre sem a devida diligência técnica.
Governança corporativa, compliance contábil e os controles internos
Gestores das empresas têm dever fiduciário de diligência, conforme estabelece o art. 1.011 do Código Civil. Esse dever se estende à esfera de segurança da informação, na medida em que a falha na prevenção de ataques cibernéticos pode comprometer o regular exercício da escrituração e afetar a idoneidade das demonstrações.
Implantar políticas de compliance contábil e gestão de riscos cibernéticos se tornou parte essencial da governança corporativa. Para contabilistas e advogados corporativos, isso significa rever contratos com fornecedores de cloud computing, reavaliar cláusulas de responsabilidade em serviços terceirizados e garantir a continuidade operacional dos sistemas financeiros.
Auditorias e testes de integridade nos registros contábeis são exigências cada vez mais comuns, à luz do que dita a NBC TA 315 (Norma Brasileira de Contabilidade sobre riscos de distorções relevantes) emitida pelo CFC. Empresas devem mostrar evidências documentadas do funcionamento efetivo de seus controles internos.
Impactos tributários de incidentes cibernéticos
A maioria dos tributos é apurada eletronicamente, inclusive via sistemas integrados com a Receita Federal, como o SPED. Um comprometimento nesses processos pode levar a erros em apurações de IRPJ e CSLL, regime do Simples Nacional, e cálculo de créditos de ICMS e PIS/COFINS.
Além de expor a empresa a glosas e autuações, a utilização de arquivos fiscais corrompidos pode ser interpretada como tentativa de fraude. Nesses casos, o art. 44 da Lei nº 9.430/96 autoriza a aplicação da multa de 75% sobre o valor do tributo não pago, que sobe para 150% em caso de dolo.
Logo, é obrigação da empresa manter cópias de segurança offline de suas bases fiscais e contábeis, além de protocolos documentados de contingência.
Registros contábeis do sinistro e cobertura securitária
Se ocorrer um ataque cibernético, os impactos patrimoniais devem ser registrados na contabilidade. Isso pode incluir perdas com multas, pagamentos de indenizações, danos a ativos intangíveis (como propriedade intelectual), custo de reprocessamento de dados e contratação emergencial de consultorias em TI.
A norma contábil NBC TG 25 trata das contingências. Evento como ataque hacker pode ser tratado como uma provisão, caso seja provável e mensurável, ou como passivo contingente, se houver incerteza significativa. Cada situação exigirá julgamento profissional.
Além disso, há seguro cibernético com cobertura contábil. Empresas podem contratar apólices que cubram não apenas o atendimento emergencial, mas também despesas relacionadas à recomposição dos registros contábeis e fiscais. Recomenda-se que os contratos de seguro sejam previamente analisados por um advogado tributarista ou empresarial, pois muitas apólices contêm cláusulas excludentes que invalidam a proteção em casos de negligência.
Créditos fiscais e incentivos para prevenção de riscos cibernéticos
Empresas tributadas pelo Lucro Real podem considerar despesas com segurança da informação, softwares, treinamentos e consultorias como dedutíveis na apuração do IRPJ e da CSLL, desde que comprovadamente necessárias à atividade-fim da empresa e devidamente registradas na contabilidade como despesas operacionais, conforme o art. 299 do RIR/2018 (Regulamento do Imposto de Renda).
Em alguns estados, há também programas de incentivo à digitalização protegida, com créditos de ICMS para aquisição de tecnologias destinadas à segurança fiscal.
Para empreendedores, isso representa não apenas uma forma de se proteger, mas também uma oportunidade de planejar tributariamente os investimentos em infraestrutura digital. O planejamento tributário, nesse caso, deve ser elaborado com apoio técnico contábil e aval jurídico.
Recomendações estratégicas para advogados e profissionais contábeis
Advogados devem orientar seus clientes empresariais sobre cláusulas de responsabilidade em contratos com fornecedores de tecnologia e segurança digital. A alocação do risco deve ser clara e prever consequências em caso de vazamento ou indisponibilidade dos dados contábeis.
Contadores, por sua vez, devem atualizar seus sistemas e processos visando à integridade da informação contábil. Devem manter rotinas de backup, auditorias independentes, e procurar apoio em empresas especializadas em segurança da informação.
Além disso, cooperar com as áreas jurídicas e de TI na formulação de políticas internas de segurança e resposta a incidentes se torna imperativo. A prevenção é menos custosa do que a remediação — e gera vantagem competitiva, inclusive na percepção do mercado e dos investidores.
Conclusão
A contabilidade deixa de ser apenas um instrumento de registros para se tornar, também, um ativo estratégico na proteção de dados, na prevenção de riscos e na construção de confiança. Profissionais do Direito e empreendedores que compreendem essa transformação estarão mais preparados para enfrentar os desafios da era digital e tirar proveito das oportunidades de inovação com responsabilidade e segurança jurídica.
Perguntas e respostas comuns
1. Um ataque cibernético pode ser usado como justificativa para não entregar obrigações acessórias no prazo?
Sim, mas será necessário comprovar documentalmente o fato, demonstrar os impactos no sistema e protocolar petição junto à Receita para análise individual do caso. A simples alegação não isenta penalidades automaticamente.
2. Despesas com segurança da informação são dedutíveis do imposto de renda?
Sim, no regime do Lucro Real, despesas ordinárias e necessárias à atividade-fim, como contratação de soluções de TI para proteção de dados contábeis, são dedutíveis desde que devidamente registradas na contabilidade.
3. Um sócio pode ser responsabilizado por ataque cibernético sofrido pela empresa?
Sim. Se ficar comprovado que houve negligência na gestão, ausência de controles ou violação ao dever de diligência, o sócio gestor pode ser responsabilizado civilmente pelos prejuízos decorrentes.
4. O que fazer contábil e juridicamente após um ataque cibernético?
Acionar equipe técnica para contenção, registrar em ata os procedimentos realizados, informar autoridades se envolver dados pessoais (conforme LGPD), reconstituir os dados e registrar os impactos conforme normas NBC TG 25. Recomenda-se também consulta jurídica.
5. Existe norma contábil específica sobre riscos cibernéticos?
Não existe uma norma exclusiva, mas normas como a NBC TA 315 (identificação e avaliação de riscos) e NBC TG 25 (provisões, passivos contingentes) são aplicáveis para tratar os efeitos contábeis de ataques cibernéticos.
Aprofunde seu conhecimento sobre o assunto na Wikipedia.
Este artigo foi escrito utilizando inteligência artificial a partir de uma fonte e teve a curadoria de Vanessa Figueiredo Graça, contadora com ênfase em Auditoria e advogada, com mais de 25 anos de experiência no mercado. Pós-graduada em Direito Tributário, Processo Tributário e Contratos, Vanessa é especialista em áreas fiscais, tributárias, gestão contábil estratégica e recursos humanos. Ao longo de sua carreira, liderou a contabilidade de centenas de empresas de pequeno, médio e grande portes, desenvolvendo soluções personalizadas e eficientes para otimização tributária e conformidade fiscal. À frente de uma equipe altamente especializada, Vanessa foca em atender empreendedores e advogados, oferecendo planejamento tributário estratégico e gestão contábil adaptada às necessidades do mercado jurídico. Na IURE DIGITAL, Vanessa utiliza sua vasta expertise para oferecer uma consultoria contábil moderna, auxiliando advogados e seus clientes em processos como abertura de empresas, regularização fiscal e gestão financeira. Sua abordagem prática e assertiva transforma desafios tributários em oportunidades de crescimento, contribuindo diretamente para a sustentabilidade e o sucesso dos negócios.
Assine a Newsletter no LinkedIn Advocacia como Negócio.
