Quando um funcionário, ainda que de boa-fé, acaba caindo em um golpe de phishing utilizando o e-mail corporativo, o risco jurídico se estende para a empresa. O uso do domínio da empresa confere aparente legitimidade ao golpe e pode gerar impactos em cadeia, como vazamento de dados, fraudes contra terceiros e responsabilização por falhas de segurança.

O primeiro passo é conter o dano. Desabilite imediatamente o e-mail comprometido e bloqueie acessos à rede interna que possam ter sido afetados. Em seguida, realize uma varredura nos sistemas com apoio do setor de tecnologia da informação para identificar eventuais acessos indevidos, envio de e-mails fraudulentos ou alterações em bancos de dados.

Preservar provas é essencial. Mantenha cópias dos e-mails enviados, registros de logs de acesso e todas as evidências digitais que indiquem a ação maliciosa. Isso poderá ser determinante tanto para eventual notificação à autoridade nacional quanto para a defesa da empresa em demandas judiciais.

A depender do conteúdo acessado ou vazado, poderá ser necessário comunicar a Autoridade Nacional de Proteção de Dados. Isso exige avaliação criteriosa da equipe jurídica, pois o não envio da comunicação em casos exigidos pela LGPD pode gerar sanções administrativas e danos reputacionais.

Por fim, revise contratos com prestadores e colaboradores. Muitos instrumentos não preveem cláusulas claras sobre responsabilidade em caso de incidentes de segurança causados por falha humana. Adicionalmente, investir em treinamentos periódicos sobre golpes digitais é uma forma de reduzir a exposição da empresa, demonstrando diligência e boa-fé.

A empresa que adota medidas técnicas, contratuais e educacionais demonstra não apenas preocupação com a conformidade, mas também com a continuidade do negócio.