Ministério Publico do Estado de Mato Grosso
Centros de Apoio Operacional > Defesa do Consumidor >

Migalhas: Responsabilidade civil por falhas de atualização em softwares críticos — o caso CrowdStrike e a evolução normativa europeia

quarta-feira, 05 de novembro de 2025, 12h54

 

O nível de interdependência de empresas e organizações globais no ambiente virtual é imensurável, constituindo um importante desafio regulatório, sobretudo no que concerne à imputação de responsabilidade por danos.

 

O incidente da CrowdStrike, ocorrido em 19 de julho de 2024, é um bom exemplo dessa temática: uma falha na atualização do software de segurança Falcon Data Protection, que monitora continuamente os dispositivos do usuário final para detectar e responder a ameaças cibernéticas como ransomware e malware (detecção e resposta de endpoint - EDR), resultou na interrupção de diversos serviços ao redor do mundo.

 

1. O incidente CrowdStrike e Falcon

 

A atualização implementada pela CrowdStrike era incompatível com o sistema operacional Windows, gerando um conflito que impediu o funcionamento dos sistemas até que a correção fosse implementada, algumas horas depois. Com isso, bancos, emissoras de TV, serviços médicos e companhias aéreas  tiveram seus sistemas operacionais afetados, resultando em caos e atrasos generalizados - inclusive no Brasil.

 

Não apenas diversos sistemas ficaram inoperantes, mas também surgiram ataques oportunistas por meio de falsas comunicações de ferramentas de recuperação que coletavam dados e causaram outros danos indiretos aos usuários. O New York Times reportou o problema como um exemplo impressionante da frágil dependência que a economia global tem de determinados softwares e do efeito cascata que pode ocorrer quando as coisas dão errado1, destacando os impactos nos voos, em aeroportos, em serviços de emergência, emissoras de televisão e no mercado de ações.

 

Os impactos transfronteiriços de estruturas contratuais complexas demandam do aplicador do Direito um esforço exegético para compreender o alcance e a presença ou não dos pressupostos do dever de indenizar. Este caso elucida a gravidade do problema da imputação de responsabilidade por atualizações defeituosas de softwares, ao mesmo tempo que deixa uma clara lição quanto à importância de processos rigorosos de teste e validação para atualizações de software, especialmente para ferramentas de segurança que são amplamente implantadas em diversos ambientes.

 

2. Regime de responsabilidade civil brasileiro

 

No Brasil, a responsabilidade civil é usualmente analisada sob a perspectiva do direito civil em geral, com as vertentes da responsabilidade contratual ou extracontratual (CC, arts. 186, 389 a 397, et al); ou a ótica do direito do consumidor, sob as lentes da responsabilidade pelo fato ou vício do produto ou do serviço (CDC, arts. 12 a 25).

 

O que diferencia o caso CrowdStrike Falcon dos grandes incidentes anteriores é a inexistência de invasão por hackers ou crackers, mas uma falha do próprio sistema, o que, no Direito brasileiro, significa a inexistência de excludente de responsabilidade por fato de terceiro, uma vez que se trata de fortuito interno, ou seja, risco do empreendimento. A questão jurídica relevante para a ser, nesse contexto, o alcance da responsabilidade, a saber, se os prejuízos resultantes da interrupção do serviço prestado pelo usuário do sistema operacional afetado pela atualização defeituosa configurariam dano direto ou reflexo?

 

À luz do regime de segurança do produto e do serviço4 previsto nos arts. 12 e 14 do CDC, a atualização defeituosa que compromete o funcionamento do sistema configura defeito (fato do produto/serviço) quando frustra a legítima expectativa de segurança do usuário e gera danos5. Em tais hipóteses, a responsabilidade do fornecedor é objetiva, fundada no risco do empreendimento, não sendo afastada por fortuito interno.

 

O princípio da reparação integral (CDC, art. 6°, VI; CC, art. 944) assegura o ressarcimento dos prejuízos diretos e imediatos do evento lesivo6, mas o direito civil afasta, como regra geral, os danos reflexos ou por ricochete7. Assim, a classificação entre dano direto ou reflexo influencia na amplitude da reparação quando há perdas decorrentes da dependência entre sistemas ou plataformas.

 

3. A nova diretiva europeia: new PLD - Product Liability Directive

 

O direito da união europeia avança no enfrentamento dessa problemática. A Diretiva (UE) 2024/2853, de 23 de outubro de 2024, relativa à responsabilidade decorrente dos produtos defeituosos colocados no mercado a partir de 9 de dezembro de 2026 (EU new PLD - Product Liability Directive)8, substitui a antiga diretiva 85/374/CEE, de 1985, modernizando o regime de responsabilidade civil para produtos digitais e sistemas de IA. A nova Diretiva estabelece expressamente que o software é um produto para efeitos de aplicação da responsabilidade objetiva, bem como que um programador ou produtor de software deverá ser considerado fabricante, incluindo os prestadores de sistemas de IA na acepção do regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho9 (Regulamento Europeu de Inteligência Artificial, aprovado em 13 de junho de 2024, conhecido como AI Act).

 

Fabricante do produto e fabricante do componente respondem solidariamente pelo mesmo dano (cf. art. 12). A nova diretiva também prevê, uma vez que as tecnologias digitais permitem aos fabricantes exercer controle sobre o produto digital após o momento da sua colocação no mercado ou da sua entrada em serviço, os fabricantes deverão continuar a ser responsáveis por defeitos que surjam após esse momento devido a software ou a serviços conexos sob o seu controle, seja sob a forma de atualizações ou evoluções ou sob a forma de algoritmos de aprendizagem automática. 

 

4. Considerações sobre o direito de regresso

 

Para o Direito brasileiro, parece-nos que no exemplo da Crowdstrike a relação de causalidade entre a falha do software e a interrupção dos serviços que utilizavam os sistemas da Microsoft é direta: o defeito na atualização comprometeu o desempenho dos sistemas e ocasionou, como consequência imediata, a paralisação do serviço. Trata-se, portanto, de dano direto, nos termos do CC, art. 403, que compreende as perdas e danos que são efeito necessário da inexecução da obrigação.

 

Mas enquanto a interrupção do serviço prestado pelo usuário diretamente afetado pela atualização defeituosa constitui dano direto (CC, art. 403), os efeitos em cadeia sobre terceiros (clientes do usuário, p. ex.) tendem a configurar danos reflexos. Em outras palavras, os prejuízos do usuário direto do sistema afetado seriam plenamente indenizáveis; como custos de reparo, indisponibilidade do sistema, necessidade de restauração. Mas os efeitos sobre terceiros (danos aos consumidores afetados pela interrupção dos serviços), configurariam danos reflexos ou mediatos, cuja reparação dependeria de comprovação autônoma do nexo causal e do âmbito da previsibilidade contratual.

 

Na relação consumidor-fornecedor, a responsabilidade é objetiva e solidária (CDC, art. 7º, parágrafo único). Uma vez paga a indenização ao consumidor, o fornecedor pode exercer regresso contra o efetivo causador dos danos, conforme a alocação contratual de riscos (limitação de responsabilidade, SLA, lei aplicável, foro/arbitragem) e as regras de direito internacional privado. Com isso, o consumidor prejudicado pelo serviço não prestado seria indenizado pelo contratante do software defeituoso (com base no regime de responsabilidade do CDC), mas o direito de regresso deste fornecedor-usuário contra a Microsoft ou a Crowdstrike dependeria do regime contratual com elas estabelecido.

 

5. A importância da governança algorítmica para a mitigação de riscos

 

A escolha do sistema operacional constitui um risco inerente à atividade econômica do fornecedor, a ensejar o dever de reparação integral de danos ao consumidor com base na responsabilidade objetiva do fornecedor de produtos e serviços, fundada na teoria do risco-criado. O direito de regresso deste fornecedor contra o verdadeiro causador do dano, por sua vez, rege-se pelo direito civil e invoca uma análise detida das disposições contratuais sobre direito aplicável, foro de eleição, juízo competente e limitação de responsabilidade contratual.

 

Ao desenvolvedor do software compete a implementação de protocolos de teste aprimorados previamente à implantação das atualizações, o desenvolvimento de mecanismos automatizados de reversão e o estabelecimento de planos robustos de recuperação de defeitos, além de planos de resposta e recuperação em caso de incidentes de segurança11. É igualmente recomendável ao contratante da solução digital a leitura dos termos e condições de uso ou licenças de softwares, para precificação também dos riscos inerentes a esse arranjo negocial complexo e interdependente.

 

A governança algorítmica pressupõe a internalização de mecanismos de conformidade tecnológica, destinados a assegurar a transparência, a rastreabilidade e a auditabilidade das decisões automatizadas, bem como a previsibilidade quanto aos efeitos decorrentes de atualizações, integrações e falhas sistêmicas. Trata-se de exigência compatível com o dever de segurança previsto no art. 8º do CDC e com o princípio da confiança legítima que informa as relações de consumo em ambientes digitais12. A ausência de governança técnica e jurídica adequada pode converter falhas operacionais em eventos de responsabilidade civil por defeito do produto ou do serviço, na medida em que o fornecedor deixa de adotar as medidas preventivas esperadas de acordo com o estado da técnica.

 

O art. 12, 2., da Diretiva (UE) 2024/2853 (JOUE 18/11/2024) estabelece uma exceção ao direito de regresso no regime europeu de responsabilidade por produtos defeituosos, aplicável quando o defeito se origina em um componente de software integrado a outro produto. Ele determina que o fabricante do produto não poderá acionar regressivamente o desenvolvedor do software defeituoso se este for uma microempresa ou pequena empresa, conforme os critérios da Recomendação 2003/361/CE (isto é, menos de 50 empregados e faturamento limitado), e, cumulativamente, quando as partes tiverem convencionado contratualmente a renúncia a esse direito.

 

A previsão europeia (que não encontra disposição semelhante no Direito brasileiro) reflete uma tendência voltada à proporcionalidade na alocação de riscos tecnológicos. A finalidade dessa regra é proteger o ecossistema de inovação digital europeu, no qual startups e pequenas empresas de software desempenham papel central, mas possuem baixa capacidade financeira e técnica para suportar ações regressivas de grandes fabricantes.

 

Ao limitar o regresso, a diretiva promove uma distribuição equilibrada dos riscos tecnológicos, incentivando a cooperação entre agentes da cadeia digital e evitando a transferência desproporcional de responsabilidades. Em termos práticos, trata-se de um mecanismo de política pública que busca compatibilizar a responsabilidade objetiva do fabricante perante o consumidor com a proteção da inovação e da concorrência justa no mercado de softwares e sistemas de IA.

 

Assim, no cenário de incidentes tecnológicos como o ocorrido com a atualização da Crowdstrike, impõe-se a distinção entre a responsabilidade primária do fornecedor direto ao consumidor afetado, fundada na teoria do risco, e a responsabilidade regressiva do fornecedor em face do desenvolvedor do software, cuja delimitação dependerá das cláusulas contratuais vigentes entre as partes e do regime jurídico aplicável à cadeia de fornecimento.

 

Tal estrutura de responsabilização reforça a necessidade de políticas de governança de risco digital e de cláusulas claras sobre limitação de responsabilidade, padrões de segurança, auditorias independentes e planos de continuidade de negócios, instrumentos indispensáveis à mitigação dos efeitos jurídicos de falhas em sistemas críticos.

 

Em suma, o incidente da CrowdStrike evidencia a vulnerabilidade estrutural dos ecossistemas digitais interdependentes e a necessidade de repensar a alocação de riscos nas cadeias de fornecimento de software. No Brasil, a interrupção do serviço decorrente de atualização defeituosa configura dano direto (CC, art. 403), ensejando responsabilidade objetiva do fornecedor (CDC, arts. 12 e 14).

 

Já os prejuízos em cadeia a terceiros podem constituir danos reflexos, cuja reparação dependerá da prova do nexo causal e da previsibilidade contratual. A nova Diretiva (UE) 2024/2853 e o AI Act indicam um caminho de equilíbrio entre responsabilidade e inovação, reforçando a importância da governança algorítmica e de cláusulas contratuais de mitigação de risco no mercado global de softwares críticos.

 

Fonte: Migalhas

08/10/2019 MPRR consegue na Justiça condenação de empresa de refrigerantes por danos morais coletivos

04/10/2019 Concessionária de água: TJMT mantém condenação por cobrança indevida

03/10/2019 Prestadoras recebem recorde de votos para os Conselhos de Usuários

03/10/2019 Aberta CP sobre medicamentos isentos de prescrição

01/10/2019 Empresas de telefonia assinam Código de Conduta de telemarketing

01/10/2019 Conheça os direitos dos idosos nas relações de consumo

01/10/2019 ANS disponibiliza ao consumidor consulta e emissão de comprovante de dados cadastrais

30/09/2019 Congresso mantém veto contra gratuidade das bagagens em voos

30/09/2019 Consea permanece extinto após a manutenção do veto de Bolsonaro

30/09/2019 MJSP e Febraban lançam sistema para regular crédito consignado

topo