Campanha Vórtx Institucional

PUBLICIDADE

Responsabilidade civil do administrador por falha no dever de fiscalização

Conteúdo de Marca
M2 Law

Redação Capital Aberto

Na madrugada do último sábado, celulares em diversas cidades de oito estados brasileiros dispararam um alerta extremo, mesmo formato usado para enchentes e tempestades, trazendo apenas uma palavra sem qualquer instrução: misantropia [1].  

Pouco depois, a Defesa Civil Nacional confirmou que o sistema havia sido invadido e operado remotamente por alguém alheio à estrutura oficial, tirou a plataforma do ar e acionou a Polícia Federal para apurar a origem do ataque [2] [3]. 

A pergunta que esse episódio deixa aberta, e que vale, ponto por ponto, para qualquer empresa brasileira (companhia aberta ou fechada, ou mesmo sociedade limitada), não é apenas técnica. É uma pergunta sobre um dever jurídico específico: quem detinha, sobre aquele sistema, o dever de vigiar, e essa pessoa exerceu esse dever de forma demonstrável? A resposta intuitiva é "a instituição". 

A resposta que a CVM vem consolidando em sua jurisprudência administrativa, ainda timidamente absorvida pelo mercado fora do universo das companhias abertas, segue direção diversa: a responsabilidade recai sobre a pessoa física a quem competia o dever de vigiar e que, comprovadamente, dele se omitiu. 

O ponto de partida continua sendo o mesmo de sempre: o artigo 158 da Lei das S.A. estabelece que o administrador não responde pessoalmente pelos atos regulares de gestão, mas responde civilmente pelos prejuízos que causar quando agir, dentro de suas atribuições, com culpa ou dolo, ou quando violar a lei ou o estatuto social [4].  

Essa estrutura, em vigor desde 1976, sempre conviveu com a business judgment rule, a presunção de que decisões de negócio tomadas de boa-fé, de forma informada e no interesse da sociedade não devem ser revistas pelo Judiciário ou por reguladores apenas porque o resultado foi ruim.  

O insucesso empresarial, isoladamente considerado, jamais configurou, por si só, responsabilidade pessoal do administrador. 

O que mudou não foi a letra da lei, mas o grau de precisão com que a doutrina vem decompondo o dever de diligência do artigo 153, e do correspondente artigo 1.011 do Código Civil para as sociedades limitadas, em subdeveres autônomos: o dever de se informar sobre os negócios e riscos da companhia, o dever de investigar fatos sinalizados como red flags, e o dever de vigiar, que compreende a fiscalização geral e rotineira da atividade da companhia, com intensidade variável conforme a posição do administrador e a relevância da matéria.  

É justamente o terceiro subdever, o de vigiar, que está no centro do episódio da Defesa Civil: a pergunta não é se algum órgão da estrutura "informou mal" ou deixou de investigar um alerta específico, mas se existia, sobre o sistema invadido, uma rotina de vigilância capaz de detectar o acesso indevido antes que ele se concretizasse. 

Foi exatamente essa lógica que a CVM aplicou no julgamento do caso Sadia, ao separar a decisão de negócio mal-sucedida, protegida pela business judgment rule, da omissão no dever de vigiar os próprios sistemas de controle interno da companhia, que não goza dessa proteção.  

No Processo Administrativo Sancionador CVM nº 18/2008, julgado em 14 de dezembro de 2010, o Colegiado puniu o diretor financeiro e os conselheiros que integravam os comitês de risco da Sadia S.A. não por terem decidido mal sobre as operações de hedge cambial que geraram bilhões de reais em perdas, mas por infração aos artigos 153 e 160 da Lei das S.A.: o dever de vigiar, no caso, havia sido atribuído a esses comitês, previstos na própria política interna da companhia, e eles simplesmente deixaram de se reunir [6]. 

Essa mesma lógica, construída originalmente para fraude contábil e descontrole financeiro, migra sem dificuldade para o terreno de incidentes cibernéticos e proteção de dados, porque o que a CVM puniu em Sadia não foi a ausência de conhecimento sobre um risco específico, mas a ausência de uma estrutura de vigilância capaz de captá-lo. 

Essa é exatamente a mesma pergunta que cabe fazer diante de qualquer incidente cibernético relevante: não importa o objeto da vigilância, mas a existência comprovada de uma rotina de supervisão sobre ele. 

A LGPD intensificou essa dinâmica ao impor ao controlador, no artigo 48, o dever de comunicar à Autoridade Nacional de Proteção de Dados e aos titulares afetados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante [5].  

Essa comunicação obriga a empresa a reconstruir toda a cadeia decisória que antecedeu a falha: na prática, um inventário de quem sabia do risco, quem deveria saber e quem deixou de agir, inventário que tende a apontar exatamente para quem detinha o dever de vigiar.  

O caso do alerta da Defesa Civil ilustra isso com nitidez: a apuração em curso não se concentra em saber se houve invasão, fato já presumido, mas em reconstruir quem teve acesso às credenciais utilizadas, em que circunstância esse acesso foi obtido ou compartilhado, e se havia rotina de vigilância capaz de detectá-lo [3]. 

Uma pergunta prática decorre dessa exigência: como uma estrutura de vigilância “demonstrável” se traduz em controles concretos? O ordenamento brasileiro oferece, no setor financeiro, o catálogo mais detalhado disponível para responder a essa pergunta, ainda que se trate de uma analogia e não de norma aplicável: as regras a seguir vinculam apenas instituições autorizadas a funcionar pelo Banco Central, não empresas em geral.  

A Resolução CMN nº 5.274/2025 e a Resolução BCB nº 538/2025 exigem dessas instituições supervisão ativa, e não meramente formal, do risco tecnológico por parte da administração, com avaliação periódica de fornecedores críticos, testes de invasão realizados anualmente por profissionais independentes e planos de continuidade efetivamente testados, e não apenas aprovados em ata [8].  

O regulador foi além: a Resolução BCB nº 498/2025 tornou obrigatória a contratação de seguro de responsabilidade civil e de riscos operacionais, incluindo fraude e segurança cibernética, para prestadores de serviços de tecnologia da informação no Sistema de Pagamentos Brasileiro [8][11].  

Nada disso vincula o administrador de uma indústria, uma varejista ou uma holding familiar sem regulação setorial equivalente. O que essas normas oferecem ao administrador fora do setor financeiro não é uma obrigação, mas um vocabulário: convertem em controles nomeados e auditáveis o mesmo padrão que a CVM, desde o caso Sadia, exige sob a rubrica do dever de vigiar do artigo 153.  

A diferença é que o administrador fora do setor financeiro não tem onde copiar a lista. Ele precisa construir, por conta própria, a prova de que sua supervisão esteve à altura do risco que administrava. 

Essa métrica não fica restrita às sociedades anônimas. O Código Civil, no artigo 1.011, impõe ao administrador de sociedade limitada o mesmo padrão de conduta, o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios, e o artigo 1.016 estabelece que os administradores respondem solidariamente perante a sociedade e terceiros prejudicados por culpa no desempenho de suas funções [10].  

O Enunciado nº 220 da III Jornada de Direito Civil do Conselho da Justiça Federal fecha essa porta de saída: a responsabilidade solidária do artigo 1.016 se aplica a toda sociedade limitada, mesmo quando o contrato social remete supletivamente às normas das sociedades anônimas.  

Na prática, isso significa que a maioria das empresas brasileiras, qualquer que seja seu tipo societário, já responde pelo mesmo padrão de supervisão que a CVM exige das companhias abertas. 

Essa migração de parâmetro muda a forma como o risco é subscrito. A apólice de D&O nasceu para proteger o patrimônio pessoal do administrador contra reclamações por decisões de negócio, o terreno clássico da business judgment rule.  

O mercado brasileiro de seguros cibernéticos confirma a direção dessa mudança: segundo dados da CNseg, o ramo arrecadou R$ 70,5 milhões em prêmios nos primeiros nove meses de 2021, R$ 123,1 milhões em 2022, R$ 152,9 milhões em 2023, R$ 165,6 milhões em 2024 e mais de R$ 173 milhões no mesmo período de 2025, um salto de 145% em quatro anos, com indenizações pagas de R$ 28 milhões somente entre janeiro e setembro de 2025 [11].  

Esse crescimento, segundo a Federação Nacional de Seguros Gerais (FenSeg), reflete um mercado em maturação, com subscrição cada vez mais refinada, o que na prática significa seguradoras exigindo evidências concretas de governança de risco tecnológico, e não apenas declarações de boa intenção, antes de precificar o risco de uma apólice de D&O.  

Campanha Vórtx Institucional

PUBLICIDADE

Para a subscrição, já não basta perguntar pelo porte e pela complexidade do negócio administrado. A pergunta que importa agora é se existe uma estrutura de governança, documentada e auditável, capaz de provar, em juízo, que o dever de vigiar foi de fato exercido. 

É comum supor que esse vetor de exposição só interessa a empresas listadas, e que companhias fechadas, sociedades limitadas familiares e estatais fora da regulação da CVM estariam a salvo dele.  

A suposição não resiste ao exame do fundamento legal da responsabilidade. O registro na CVM jamais integrou a causa de pedir de uma ação de responsabilidade civil contra administrador; o fundamento sempre residiu na culpa, no dolo ou na violação da lei, do estatuto ou do contrato social, tanto nas sociedades anônimas quanto nas limitadas.  

Uma companhia fechada ou uma sociedade limitada que sofra incidente cibernético relevante sujeita-se à idêntica reconstrução probatória sobre a cadeia de vigilância.  

É razoável supor que, sem o escrutínio público que disciplina as companhias abertas, a sociedade fechada tenha menos incentivo a manter essa trilha de governança documentada, ainda que isso não tenha sido objeto de levantamento empírico. 

O episódio da Defesa Civil sintetiza, em escala nacional, a mesma pergunta que a CVM fez no caso Sadia: existia, sobre o sistema comprometido, uma estrutura de vigilância capaz de detectar a falha antes que ela se concretizasse?  

Um sistema crítico de comunicação foi comprometido porque, em algum ponto da cadeia de acesso, essa vigilância não foi suficiente para impedir que alguém sem vínculo legítimo o operasse.  

A pergunta que todo administrador deveria dirigir a si mesmo não é se a empresa possui política de segurança da informação registrada em algum documento interno, mas se ele, pessoalmente, disporia de trilha de auditoria, e não de mera boa intenção declarada, para demonstrar que o dever de vigiar foi efetivamente exercido.  

É essa demonstração, e não a ausência de incidentes, que separa hoje o administrador protegido pela business judgment rule do administrador pessoalmente exposto. 


[1] "Alerta falso da Defesa Civil de 2026", disponível em https://pt.wikipedia.org/wiki/Alerta_falso_da_Defesa_Civil_de_2026

[2] Agência Brasil, "Sistema da Defesa Civil é suspenso após invasão e disparo falso", 20 de junho de 2026, disponível em https://agenciabrasil.ebc.com.br/meio-ambiente/noticia/2026-06/sistema-da-defesa-civil-e-suspenso-apos-invasao-e-disparo-falso

[3] Idem; a Secretaria Nacional de Proteção e Defesa Civil informou ter acionado a Polícia Federal para investigar a autoria e a extensão do ataque cibernético. 

[4] Lei nº 6.404/1976, arts. 153 e 158. Art. 158, caput: "O administrador não é pessoalmente responsável pelas obrigações que contrair em nome da sociedade e em virtude de ato regular de gestão; responde, porém, civilmente, pelos prejuízos que causar, quando proceder: I - dentro de suas atribuições ou poderes, com culpa ou dolo; II - com violação da lei ou do estatuto." 

[5] Lei nº 13.709/2018 (LGPD), art. 48, caput: "O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares." 

[6] Comissão de Valores Mobiliários, Processo Administrativo Sancionador nº 18/2008 (caso Sadia), julgado em 14 de dezembro de 2010, Relator Diretor Alexsandro Broedel Lopes. Disponível em https://conteudo.cvm.gov.br/export/sites/cvm/sancionadores/sancionador/anexos/2010/20101214_PAS_1808.pdf

[8] Resolução CMN nº 5.274/2025 e Resolução BCB nº 538/2025, que dispõem sobre a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem pelas instituições autorizadas a funcionar pelo Banco Central; Resolução BCB nº 498/2025, que torna obrigatória a contratação de seguro de responsabilidade civil e de riscos operacionais (incluindo fraude e segurança cibernética) para prestadores de serviços de tecnologia da informação no âmbito do Sistema de Pagamentos Brasileiro. 

[10] Código Civil (Lei nº 10.406/2002), arts. 1.011 e 1.016; Enunciado nº 220 da III Jornada de Direito Civil do Conselho da Justiça Federal. 

[11] Revista Apólice, "Seguro cibernético avança no Brasil e deixa de ser nicho", 19 de dezembro de 2025, com base em dados da Confederação Nacional das Seguradoras (CNseg) e declarações de Victor Perego, membro da Subcomissão de Linhas Financeiras da Federação Nacional de Seguros Gerais (FenSeg). Disponível em https://revistaapolice.com.br/2025/12/seguro-cibernetico-cresce-no-brasil-e-demonstra-amadurecimento-do-mercado/.