Cibersegurança para Escritórios de Advocacia e Contabilidade no Brasil

Resposta direta

Escritórios de advocacia, contabilidade, despachantes e consultorias concentram dados sigilosos de muitos clientes — processos sob segredo de justiça, balanços, documentos fiscais e dados pessoais sensíveis — o que os torna alvos de alto valor para BEC (fraude do boleto/transferência), ransomware e vazamentos. A Decripte une o dever de sigilo profissional (OAB/CFC) às obrigações da LGPD (Lei 13.709/2018) com SOC 24x7, resposta a incidentes em menos de 1 hora, segregação de acesso por cliente e MFA. Comece pelo diagnóstico gratuito em decripte.com.br/intelligence-center.

Principais conclusões

  • Escritórios são alvos de alto valor: concentram dados sigilosos de dezenas ou centenas de clientes em um só ambiente, multiplicando o impacto de um único comprometimento e atraindo BEC, ransomware e exfiltração.
  • O sigilo profissional não é opcional: o Estatuto da OAB (Lei 8.906/1994) e o Código de Ética da advocacia, e o Código de Ética do Contador (Resolução CFC 803/1996), impõem dever de guarda — uma falha técnica vira também falha ética e disciplinar.
  • A LGPD (Lei 13.709/2018) se aplica integralmente: o escritório atua como controlador ou operador de dados pessoais e sensíveis, com obrigação de adotar medidas de segurança (art. 46) e de comunicar incidentes à ANPD e aos titulares (art. 48).
  • BEC é a fraude mais rentável contra escritórios: e-mail comprometido redireciona o pagamento de honorários, custas ou repasses para conta do golpista — prevenção exige MFA, DMARC/SPF/DKIM e verificação fora de banda de troca de dados bancários.
  • Ransomware tem dupla extorsão: paralisa o escritório e ameaça publicar os documentos sigilosos exfiltrados — backups imutáveis, EDR e segmentação reduzem o raio de explosão alinhados ao NIST CSF e ao MITRE ATT&CK.
  • Comece sem custo: o plano gratuito Gestão de Ameaças da Decripte (decripte.com.br/intelligence-center) mapeia vulnerabilidades, monitora ameaças e disponibiliza equipe e IA 24x7 — base para evoluir aos serviços pagos conforme o porte, do MEI ao Enterprise.

Por que escritórios de advocacia e contabilidade são alvos prioritários

Um escritório de advocacia ou de contabilidade é, na prática, um cofre de informações de terceiros. Em uma única rede convivem petições e provas sob segredo de justiça, contratos estratégicos, acordos sob cláusula de confidencialidade, balanços patrimoniais, declarações fiscais, folhas de pagamento, dados bancários e documentos pessoais de sócios e funcionários dos clientes. Essa concentração é exatamente o que atrai o criminoso: comprometer um escritório pequeno pode render acesso a dezenas ou centenas de empresas e pessoas físicas de uma só vez. No vocabulário de risco, o escritório é um alvo de cadeia de suprimentos — um ponto único cuja queda derruba muitos. É o mesmo raciocínio que faz fornecedores e prestadores de serviço serem visados como porta de entrada para alvos maiores.

Some-se a isso o perfil operacional do setor. Bancas e escritórios trabalham com prazos fatais, transações financeiras frequentes (honorários, custas, repasses de clientes, guias de tributos) e um fluxo intenso de e-mails com anexos vindos de fontes externas — clientes, partes contrárias, cartórios, órgãos públicos. Cada anexo é um vetor potencial de phishing e malware; cada transferência é uma oportunidade de fraude do boleto. A pressão por agilidade favorece o erro humano, que segue sendo o principal facilitador de incidentes. O criminoso explora justamente essa urgência: e-mails que imitam um juiz, um cliente ou o próprio sócio, pedindo ação imediata, têm taxa de sucesso desproporcional em ambientes de alta pressão.

Há ainda um agravante de maturidade. Muitos escritórios cresceram em estrutura jurídica e contábil sem acompanhar o mesmo investimento em tecnologia e segurança. É comum encontrar caixas de e-mail sem segundo fator de autenticação, servidores de arquivos onde qualquer colaborador enxerga as pastas de todos os clientes, backups na mesma máquina que pode ser sequestrada e ausência de qualquer plano de resposta a incidentes. Frameworks como o NIST Cybersecurity Framework (CSF 2.0) organizam essa lacuna em funções — Governar, Identificar, Proteger, Detectar, Responder e Recuperar — e deixam evidente que a maioria dos escritórios opera forte em 'Identificar' o próprio negócio, mas frágil em proteger, detectar e responder a ataques.

O que está em jogo vai além do prejuízo financeiro direto. Está em jogo o sigilo profissional, que é a base da relação de confiança entre advogado e cliente e entre contador e cliente. Um vazamento de estratégia processual pode arruinar uma causa; a exposição de um balanço pode destruir uma negociação ou um IPO; a divulgação de dados de um processo sob segredo de justiça pode configurar crime e responsabilização disciplinar. A reputação de um escritório se constrói em décadas e pode ser destruída por um único incidente mal conduzido. Por isso, para esse setor, cibersegurança não é custo de TI — é continuidade do negócio e proteção do ativo mais sensível que existe: a confiança.

Mapa de ameaças: BEC, vazamento de dados sigilosos e ransomware

A ameaça financeiramente mais cara para escritórios é o BEC (Business Email Compromise, ou comprometimento de e-mail corporativo). O golpe se desdobra em fases que correspondem a táticas catalogadas no MITRE ATT&CK: o criminoso obtém acesso a uma caixa de e-mail legítima (via phishing ou credencial vazada), observa as comunicações em silêncio por dias ou semanas (coleta de informação), aprende o tom e os fluxos de pagamento, e então intervém em um momento real — respondendo a um e-mail de honorários ou de repasse com novos dados bancários, redirecionando o pagamento para a conta do golpista. É a 'fraude do boleto' na sua forma mais sofisticada: não há malware visível, apenas uma mensagem que parece autêntica porque parte de uma conta verdadeira. Em escritórios de contabilidade, a variação clássica é o pedido falso de alteração de conta para pagamento de folha ou de tributos.

A segunda categoria é o vazamento de dados sigilosos. Pode ocorrer por exfiltração ativa de um invasor, por engenharia social, por um dispositivo perdido sem criptografia, por um e-mail enviado ao destinatário errado ou por um colaborador mal-intencionado (insider). O conteúdo exposto costuma ser devastador: processos sob segredo de justiça, dados pessoais sensíveis (saúde, biometria, dados de menores, convicções), estratégias de defesa, documentos fiscais e financeiros, segredos comerciais. Diferentemente de uma indústria que perde 'dados operacionais', o escritório perde a confiança de terceiros que confiaram a ele seus assuntos mais íntimos — e cada titular afetado tem direitos próprios sob a LGPD, o que multiplica a exposição jurídica do escritório.

A terceira grande ameaça é o ransomware, hoje quase sempre operado em modelo de dupla extorsão. Antes de cifrar os arquivos, o grupo criminoso copia (exfiltra) os documentos mais sensíveis; depois cifra tudo e exige resgate. A vítima enfrenta duas pressões simultâneas: a paralisação total da operação (sem acesso a processos, agenda de prazos, sistema contábil, e-mails) e a ameaça de publicação dos documentos sigilosos em sites de vazamento, caso o resgate não seja pago. Para um escritório, perder um prazo processual por indisponibilidade pode causar dano irreparável ao cliente; e ter documentos publicados configura violação de sigilo. O CERT.br e a literatura de resposta a incidentes são unânimes: pagar o resgate não garante a devolução nem impede a publicação, e alimenta o ecossistema criminoso — por isso a defesa correta é preventiva.

Em torno desses três grandes vetores orbitam ameaças facilitadoras: phishing e spear-phishing (e-mails-isca direcionados, porta de entrada de quase tudo), comprometimento de credenciais reutilizadas e vazadas, malware em anexos, ataques à cadeia de fornecedores de software jurídico/contábil e a falta de segregação de acesso, que transforma qualquer comprometimento individual em comprometimento total. Mapear esse cenário de forma estruturada — e não reativa — é o primeiro passo. O plano gratuito Gestão de Ameaças da Decripte (decripte.com.br/intelligence-center) faz exatamente esse mapeamento inicial de superfície de ataque e monitoramento, oferecendo ao escritório uma fotografia honesta do próprio risco antes que um criminoso a obtenha.

Gestão de Ameaças · Grátis

Os dados da sua empresa de advocacia e contabilidade já estão expostos? Descubra agora — de graça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

A LGPD (Lei 13.709/2018) se aplica integralmente a escritórios de advocacia, contabilidade, despachantes e consultorias, porque todos tratam dados pessoais em larga escala. Dependendo da operação, o escritório atua como controlador (quando define as finalidades, por exemplo ao gerir os próprios clientes) ou como operador (quando trata dados em nome de um cliente que é o controlador). Em ambos os papéis, o artigo 46 impõe a adoção de medidas técnicas e administrativas de segurança aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração e vazamento. O artigo 47 estende o dever de segurança ao longo de todo o tratamento, inclusive após seu término. Não existe 'isenção setorial': a atividade-fim jurídica ou contábil não afasta as obrigações de proteção de dados.

Quando ocorre um incidente que possa acarretar risco ou dano relevante aos titulares, o artigo 48 exige comunicação à ANPD (Autoridade Nacional de Proteção de Dados) e aos titulares afetados, em prazo razoável. A ANPD já regulamentou o tema com requisitos de conteúdo e prazo para a comunicação de incidentes de segurança, e mantém poder sancionatório que inclui advertência, publicização da infração e multa que pode chegar a 2% do faturamento, limitada a R$ 50 milhões por infração (art. 52). Para escritórios, a comunicação tem uma dimensão extra: muitos titulares afetados são clientes — pessoas e empresas que confiaram seus dados — de modo que a transparência exigida pela lei se cruza com o dever de lealdade e informação da relação profissional.

Acima e além da LGPD existe o sigilo profissional, que para o setor é uma obrigação central e historicamente anterior à lei de dados. Na advocacia, o sigilo é direito e dever previsto no Estatuto da OAB (Lei 8.906/1994) e detalhado no Código de Ética e Disciplina da OAB, abrangendo fatos confiados pelo cliente e a inviolabilidade do escritório e das comunicações; sua violação é infração ética sujeita a processo disciplinar, e o segredo de justiça (art. 189 do CPC) impõe restrições adicionais de acesso a autos. Na contabilidade, o sigilo está no Código de Ética Profissional do Contador (Resolução CFC 803/1996) e em normas correlatas do Conselho Federal de Contabilidade. A consequência prática é dupla: um vazamento técnico em um escritório não gera apenas exposição sob a LGPD, mas também responsabilização ética e disciplinar perante a OAB ou o CFC.

Boa parte das exigências legais e éticas pode ser traduzida para controles técnicos auditáveis usando normas reconhecidas. A ISO/IEC 27001 oferece um sistema de gestão de segurança da informação com controles de acesso, criptografia, gestão de incidentes e continuidade; o NIST CSF organiza a postura em funções de governança e resposta; o OWASP guia a proteção das aplicações e portais usados pelo escritório; e o MITRE ATT&CK e o CERT.br ancoram a detecção e a resposta em táticas reais de adversários. A Decripte trabalha justamente nessa ponte: transformar o 'dever de sigilo' e o 'dever de segurança' — abstratos no papel — em medidas concretas, mensuráveis e defensáveis perante a ANPD, a OAB e o CFC.

Como a Decripte protege escritórios na prática

A implementação da Decripte começa por onde o risco real está, não por onde a teoria sugere. O ponto de partida é o plano gratuito Gestão de Ameaças (decripte.com.br/intelligence-center), que mapeia a superfície de ataque do escritório — domínios, e-mails expostos, serviços publicados na internet, credenciais vazadas em bases de dados de incidentes — e monitora ameaças de forma contínua, com equipe e inteligência artificial atuando 24x7. Em poucos minutos, o escritório passa de uma percepção difusa de risco para um diagnóstico objetivo: o que está exposto, o que já vazou e onde estão as vulnerabilidades prioritárias. Esse retrato gratuito é a fundação sobre a qual se decide o que evoluir.

A partir do diagnóstico, os serviços pagos endereçam cada camada conforme o porte — do MEI ao Enterprise, fundada em 2019 e construída para escalar com o cliente. O SOC 24x7 monitora os ambientes em tempo integral e correlaciona eventos para flagrar comportamento anômalo (um login fora do horário, um acesso massivo a pastas de clientes, uma regra de encaminhamento de e-mail criada por um invasor). A Gestão de Vulnerabilidades identifica e prioriza correções com base em risco real. O Pentest simula o ataque de um adversário para validar as defesas antes que o criminoso o faça. A Preventiva/EDR instala detecção e resposta nos endpoints, isolando uma máquina infectada antes que o ransomware se espalhe. E a Borda/WAF protege os portais e aplicações que o escritório expõe a clientes.

No combate direto às ameaças do setor, a Decripte implementa controles específicos. Contra o BEC, reforça-se a autenticação multifator (MFA) em todas as caixas de e-mail, configura-se corretamente SPF, DKIM e DMARC para impedir falsificação de domínio, e estabelece-se a regra de verificação fora de banda para qualquer mudança de dados bancários. Contra o ransomware, adota-se EDR, segmentação de rede para conter o raio de explosão e backups imutáveis e testados, isolados do ambiente principal. Contra o vazamento e o insider, aplica-se a segregação de acesso por cliente — cada colaborador enxerga apenas as pastas e processos de que precisa — somada a registro de auditoria e ao princípio do privilégio mínimo, tudo alinhado a ISO 27001 e NIST CSF.

Sobre essa base técnica, a Consultoria LGPD/ISO e o serviço de CISO-as-a-Service dão governança: mapeamento de dados (data mapping), elaboração de políticas de segurança e de retenção, relatório de impacto à proteção de dados quando aplicável, plano de resposta a incidentes documentado e adequação simultânea ao sigilo profissional da OAB e do CFC. Para escritórios que atuam com clientes de cripto e Web3, há ainda o serviço especializado. O resultado é uma postura de segurança que não apenas reduz a probabilidade de incidente, mas também produz a evidência de diligência que protege o escritório perante a ANPD e os conselhos profissionais caso o pior aconteça — porque demonstrar que se adotaram medidas razoáveis é parte da defesa.

Gestão de Ameaças · Grátis

Sua operação em advocacia e contabilidade aguenta um ataque hoje? Comece o diagnóstico gratuito.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Resposta a incidente com documentos sigilosos: cada minuto conta

Quando o incidente já aconteceu, a diferença entre um susto contornado e uma catástrofe está na velocidade e no método da resposta. A Decripte oferece Resposta a Incidentes com acionamento em menos de 1 hora, seguindo o ciclo consagrado de tratamento — preparação, identificação, contenção, erradicação, recuperação e lições aprendidas — alinhado às diretrizes do NIST e às orientações do CERT.br. As primeiras horas são decisivas: é nelas que se contém a propagação, se preservam evidências forenses e se evita que o invasor amplie o acesso ou conclua a exfiltração. Improvisar nesse momento, ou desligar máquinas sem método, costuma destruir as evidências necessárias para entender o que vazou e para sustentar a comunicação legal.

O primeiro objetivo técnico é a contenção sem destruição de provas: isolar os sistemas comprometidos da rede, revogar credenciais e sessões ativas, bloquear regras maliciosas de encaminhamento de e-mail e preservar logs e imagens forenses. Em paralelo, inicia-se a investigação para responder às perguntas que importam para um escritório: quais clientes foram afetados, quais documentos foram acessados ou copiados, se há dados pessoais sensíveis ou processos sob segredo de justiça no escopo, e por qual vetor o ataque entrou. Essa apuração é o que sustenta tanto a remediação técnica quanto a tomada de decisão jurídica subsequente.

A dimensão legal e ética roda em paralelo à técnica. Identificada a probabilidade de risco relevante aos titulares, organiza-se a comunicação à ANPD e aos titulares afetados nos termos do artigo 48 da LGPD, com o conteúdo e o prazo exigidos pela regulamentação. Quando os dados pertencem a clientes do escritório, há ainda o dever de informá-los com transparência e lealdade, respeitando o sigilo profissional — e, conforme o caso, avaliar comunicação à OAB ou ao CFC e a lavratura de boletim de ocorrência. Conduzir essa comunicação de forma precipitada, incompleta ou tardia agrava a situação tanto perante a autoridade quanto perante o cliente; conduzi-la de forma estruturada demonstra diligência e mitiga responsabilização.

A fase final — recuperação e lições aprendidas — restaura a operação a partir de backups confiáveis, valida que o invasor não permanece no ambiente e corrige a causa-raiz que permitiu o incidente. Em escritórios paralisados por ransomware, prioriza-se o restabelecimento dos sistemas críticos de prazos e processos para evitar dano irreparável a clientes. Cada incidente é documentado e convertido em melhorias concretas de controles, fechando o ciclo. Esse aprendizado realimenta o monitoramento contínuo do SOC e do plano gratuito, de modo que o escritório saia do episódio mais forte do que entrou — e com a evidência documentada de que agiu corretamente.

O outro lado do balcão: o cliente cujos dados sigilosos vazam

É fácil tratar segurança de escritório como um problema interno de TI, mas o verdadeiro centro de gravidade está fora dele: na pessoa ou na empresa que confiou seus assuntos mais sensíveis ao profissional. Quando um documento sigiloso vaza, quem sofre o dano primeiro é o titular. Pode ser a pessoa física cujos dados de saúde, situação financeira ou processo familiar foram expostos; pode ser a empresa cuja estratégia de defesa, balanço ou negociação caiu na mão de um concorrente ou de um extorsionista. Para esse cliente, a confiança depositada no escritório — a expectativa de que seus dados estariam protegidos sob sigilo — foi quebrada por uma falha que ele não cometeu e não tinha como prevenir.

Os direitos do titular nessa situação são concretos. A LGPD lhe assegura, entre outros, o direito de ser informado sobre o tratamento e sobre incidentes que o afetem (art. 18 e art. 48), de acessar seus dados, de exigir correção e, conforme o caso, eliminação. O titular também pode buscar reparação por dano material ou moral decorrente do vazamento, e o escritório controlador ou operador responde por isso. Para o cliente pessoa física, o vazamento de dados sensíveis pode abrir caminho para fraudes de identidade, extorsão, constrangimento e abertura indevida de crédito — danos que se prolongam muito além do dia do incidente. Por isso a transparência e a rapidez na comunicação não são apenas exigências legais: são atos de respeito a quem confiou.

Há um ponto de virada que muda a relação de poder a favor do cliente: ele pode e deve perguntar como seu escritório protege seus dados. Perguntar se há MFA no e-mail, se os acessos são segregados por cliente, se existem backups e plano de resposta a incidentes, se há adequação à LGPD e como o sigilo profissional é operacionalizado tecnicamente. Um escritório que leva segurança a sério responde a essas perguntas com naturalidade e evidências; um que se atrapalha sinaliza risco. Essa exigência, vinda dos próprios clientes, é o que mais rápido eleva a maturidade de segurança de todo o setor — porque transforma proteção de dados de custo invisível em diferencial competitivo visível.

Para os escritórios que querem estar do lado certo dessa conversa, o caminho começa simples e sem custo. O plano gratuito Gestão de Ameaças da Decripte (decripte.com.br/intelligence-center) dá ao escritório, em minutos, a mesma fotografia que um criminoso teria do seu risco — e a chance de corrigir antes. A partir daí, a evolução é proporcional ao porte e ao apetite de risco, do MEI ao Enterprise, com SOC 24x7, resposta a incidentes em menos de 1 hora, pentest, EDR, WAF e consultoria LGPD/ISO. Proteger o escritório é, no fim, proteger cada cliente que confiou nele — e essa é a única promessa de sigilo que se sustenta no mundo digital.

Termos do setor

BEC (Business Email Compromise)
Fraude na qual um criminoso compromete ou falsifica um e-mail legítimo para redirecionar um pagamento real — honorários, custas, repasses, folha ou tributos — para a conta do golpista. É a forma sofisticada da 'fraude do boleto/transferência': não há malware visível, apenas uma mensagem que parece autêntica por partir de uma conta verdadeira. Defesa: MFA, SPF/DKIM/DMARC e verificação fora de banda de dados bancários.
Sigilo profissional
Dever ético e legal de guardar segredo sobre os fatos e dados confiados pelo cliente. Na advocacia, está no Estatuto da OAB (Lei 8.906/1994) e no Código de Ética e Disciplina; na contabilidade, no Código de Ética do Contador (Resolução CFC 803/1996). Sua violação gera responsabilização disciplinar perante OAB ou CFC, além das consequências da LGPD. É a base da relação de confiança entre o profissional e seu cliente.
Segredo de justiça
Regime processual que restringe o acesso aos autos de determinados processos a um número limitado de pessoas, previsto no art. 189 do Código de Processo Civil, em casos como interesse público, intimidade, direito de família e arbitragem confidencial. Para o escritório, significa que os documentos desses processos exigem proteção reforçada — seu vazamento pode configurar crime e violação de sigilo, além de dano grave à parte protegida.
MFA (Autenticação Multifator)
Mecanismo que exige mais de um fator para autenticar o acesso — tipicamente algo que você sabe (senha) somado a algo que você tem (código de aplicativo, token) ou algo que você é (biometria). É o controle isolado que mais reduz o comprometimento de contas, pois neutraliza senhas vazadas ou roubadas. Essencial em e-mail, sistema jurídico/contábil, banco e nuvem de arquivos do escritório.
Segregação de acesso
Prática de garantir que cada usuário tenha acesso somente aos dados e recursos estritamente necessários ao seu trabalho (princípio do privilégio mínimo), em vez de acesso amplo a tudo. Em escritórios, evita que um único acesso comprometido — ou um insider mal-intencionado — exponha a carteira inteira de clientes. Acompanhada de registro de auditoria, é um controle central da ISO 27001 e do NIST CSF.
Dado pessoal sensível
Categoria especial de dado pessoal definida pela LGPD (art. 5º, II): informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso/filosófico/político, dados de saúde, vida sexual, dados genéticos ou biométricos. Por seu potencial de discriminação e dano, recebe proteção e bases legais mais rígidas — e é exatamente o tipo de dado que escritórios manuseiam em processos e atendimentos.

Por onde começar

  1. Faça o diagnóstico gratuito da sua exposição: rode o plano Gestão de Ameaças em decripte.com.br/intelligence-center para mapear domínios, e-mails expostos, credenciais já vazadas e vulnerabilidades, e estabeleça uma linha de base honesta do seu risco antes de investir em qualquer ferramenta.
  2. Ative MFA (autenticação multifator) em todas as caixas de e-mail e sistemas críticos — e-mail, sistema jurídico/contábil, banco, nuvem de arquivos. O segundo fator é a barreira que mais reduz o comprometimento de conta e neutraliza a maioria das credenciais vazadas.
  3. Blinde o e-mail contra falsificação e BEC: configure SPF, DKIM e DMARC no domínio, revise e remova regras suspeitas de encaminhamento automático, e treine a equipe para desconfiar de pedidos urgentes de mudança de dados bancários.
  4. Implemente a regra de verificação fora de banda: qualquer alteração de conta bancária para pagamento de honorários, custas, folha ou tributos deve ser confirmada por um canal diferente do e-mail (telefonema para número já conhecido), antes de efetivar o pagamento.
  5. Segregue o acesso por cliente: aplique o princípio do privilégio mínimo para que cada colaborador veja apenas as pastas, processos e dados de que precisa, com registro de auditoria — evitando que um único acesso comprometido exponha toda a carteira.
  6. Estruture backups imutáveis e testados: mantenha cópias isoladas do ambiente principal, criptografadas e fora do alcance de um ransomware, e teste a restauração periodicamente — backup que nunca foi restaurado não é backup confiável.
  7. Documente um plano de resposta a incidentes e contrate resposta rápida: defina quem aciona quem, como conter sem destruir evidências e como comunicar à ANPD e aos titulares (art. 48 da LGPD). A Resposta a Incidentes da Decripte atende em menos de 1 hora.
  8. Adeque-se à LGPD e ao sigilo profissional com governança contínua: faça o mapeamento de dados, políticas de segurança e retenção, e alinhamento à OAB/CFC com a Consultoria LGPD/ISO ou o CISO-as-a-Service — convertendo o dever legal e ético em controles auditáveis e defensáveis.

Perguntas frequentes

Escritório de advocacia ou de contabilidade precisa cumprir a LGPD?

Sim, integralmente. A LGPD (Lei 13.709/2018) se aplica a qualquer organização que trate dados pessoais, e escritórios tratam grandes volumes de dados pessoais e sensíveis de clientes, sócios e funcionários. O escritório atua como controlador (quando define finalidades, por exemplo na gestão dos próprios clientes) ou como operador (quando trata dados em nome de um cliente controlador). Em ambos os papéis há dever de adotar medidas de segurança (art. 46) e de comunicar incidentes relevantes à ANPD e aos titulares (art. 48). A atividade jurídica ou contábil não cria isenção; o sigilo profissional da OAB e do CFC convive com a LGPD e a reforça.

Como evitar a fraude do boleto e a fraude de transferência (BEC)?

BEC é quando um e-mail comprometido (ou falsificado) é usado para redirecionar um pagamento legítimo para a conta do golpista. A defesa combina três camadas. Técnica: MFA em todas as contas de e-mail e configuração correta de SPF, DKIM e DMARC para impedir falsificação do domínio. Processo: regra de verificação fora de banda — toda mudança de dados bancários é confirmada por telefonema a um número já conhecido, nunca apenas por e-mail. Pessoas: treinar a equipe a desconfiar de urgência e de novos dados de pagamento. A Decripte implementa e monitora essas defesas; o diagnóstico inicial é gratuito em decripte.com.br/intelligence-center.

Vazou um processo sob segredo de justiça ou documento sigiloso. O que fazer?

Acione resposta a incidentes imediatamente, sem desligar máquinas de qualquer jeito (isso destrói evidências). As prioridades são: conter (isolar sistemas, revogar credenciais e sessões, bloquear regras maliciosas de e-mail), preservar evidências forenses e investigar o que foi acessado ou copiado e quais titulares foram afetados. Em paralelo, avaliar a comunicação à ANPD e aos titulares (art. 48 da LGPD), informar os clientes afetados respeitando o sigilo profissional e, conforme o caso, comunicar OAB/CFC e registrar boletim de ocorrência. A Resposta a Incidentes da Decripte atende em menos de 1 hora para conduzir esse processo com método.

O sigilo profissional já não basta? Por que preciso de cibersegurança?

O sigilo profissional é uma obrigação ética e legal (Estatuto da OAB, Lei 8.906/1994 e Código de Ética; Código de Ética do Contador, Resolução CFC 803/1996), mas é um dever, não uma proteção técnica. Ele diz que você deve guardar segredo; não impede que um ransomware cifre seus arquivos, que um e-mail comprometido vaze documentos ou que um acesso indevido copie a pasta de um cliente. A cibersegurança é o que torna o sigilo efetivo no mundo digital: MFA, segregação de acesso, EDR, backup e monitoramento são os controles que cumprem, na prática, a promessa de confidencialidade que o sigilo exige.

Quanto custa proteger um escritório pequeno? Existe opção gratuita?

Sim. A Decripte oferece o plano gratuito Gestão de Ameaças (decripte.com.br/intelligence-center), que mapeia vulnerabilidades, monitora ameaças e disponibiliza equipe e inteligência artificial 24x7 — um ponto de partida real, sem custo, ideal para escritórios pequenos e despachantes começarem a entender e reduzir o próprio risco. A partir daí, os serviços pagos escalam conforme o porte e o apetite de risco, do MEI ao Enterprise. O modelo evita o erro comum de comprar ferramentas caras antes de saber onde está o risco: primeiro você diagnostica de graça, depois investe no que importa.

Como impedir que um colaborador veja os dados de todos os clientes?

Aplicando segregação de acesso com o princípio do privilégio mínimo: cada pessoa só enxerga as pastas, processos e dados de que precisa para o seu trabalho, e cada acesso fica registrado em log de auditoria. Isso reduz drasticamente o impacto tanto de um colaborador mal-intencionado (insider) quanto de um comprometimento de credencial, porque uma única conta invadida deixa de dar acesso à carteira inteira. É um controle previsto em ISO 27001 e NIST CSF, e a Decripte estrutura sua implementação no e-mail, na nuvem de arquivos e nos sistemas jurídico/contábil do escritório.

Ransomware paralisou o escritório. Devo pagar o resgate?

A orientação consolidada do CERT.br e da prática de resposta a incidentes é não pagar: o pagamento não garante a devolução dos dados nem impede a publicação dos documentos exfiltrados (a dupla extorsão), e financia o crime. A resposta correta é técnica e jurídica: acionar resposta a incidentes para conter e investigar, restaurar a operação a partir de backups imutáveis e testados, comunicar ANPD e titulares quando aplicável e corrigir a causa-raiz. A melhor defesa, porém, é preventiva — EDR, segmentação e backups isolados evitam que o ataque chegue ao ponto do resgate. A Decripte cobre prevenção e resposta.

Planos indicados para Advocacia e Contabilidade

Serviços da Decripte mapeados para as ameaças e regulamentações do seu setor — do diagnóstico gratuito ao SOC gerenciado.

A Decripte implementa a segurança do seu setor — sem você montar um time interno.

Pentest, SOC 24x7, resposta a incidentes e conformidade, com SLA e relatórios executivos. Ou comece de graça vendo o que já vazou da sua empresa.