Deepfakes, Chatbots e a Lei 15.397: O que Mudou (e o que a Internet Entendeu Errado)
- Kaelly Cavoli

- 8 de jun.
- 5 min de leitura
Desde que a Lei 15.397 entrou em vigor, minha caixa de entrada virou um termômetro de pânico. Clientes apreensivos, empresas em estado de alerta, correntes de WhatsApp circulando interpretações cada vez mais criativas sobre o que teria, da noite para o dia, se tornado crime. A apreensão é legítima. A leitura que a acompanha, quase sempre, não é.
Meu papel aqui não é vender alarme, é separar o ruído da realidade jurídica. E a realidade jurídica é mais sóbria do que a histeria digital sugere: a Lei 15.397 não funciona como um botão de pânico contra a tecnologia. Ela é uma atualização técnica que finalmente deu moldura própria a condutas que, até então, viviam num limbo interpretativo, suspensas entre a difamação clássica do Código Penal e a realidade do ambiente digital. A questão é que ter tipo penal próprio não significa, em hipótese alguma, criminalização automática. É exatamente o oposto.
Nem todo deepfake configura crime, e é por isso que a defesa respira
A primeira distinção que precisa ficar clara é técnica. A manipulação sintética de imagem ou vídeo, por mais perfeita que seja a execução, não basta para configurar o crime. O novo tipo penal exige aquilo que a dogmática chama de elemento subjetivo especial do tipo, o popular dolo específico: a vontade dirigida e consciente de prejudicar a honra da vítima. Não é a falsidade que criminaliza. É a intenção que move a falsidade.
A consequência prática disso é decisiva. Imagine dois cenários tecnicamente idênticos: um deepfake em que o sócio de uma empresa aparece autorizando uma transferência bancária e um deepfake de conteúdo sexual envolvendo uma colega de trabalho, compartilhado sob o pretexto de brincadeira. Do ponto de vista da execução técnica, não há diferença entre eles. Do ponto de vista jurídico, há um abismo.
No segundo caso, a defesa terá um argumento robusto à disposição: a ausência do elemento subjetivo especial, a tentativa de deslocar a conduta para o terreno da culpa grave em vez do dolo. E isso impõe um ônus pesado à acusação. O Ministério Público precisará reconstruir o contexto, o histórico de conflito, o padrão de comportamento, as mensagens que revelem o propósito de destruir reputação. Sem esse conjunto probatório, a denúncia não se sustenta.
Para quem atua na defesa criminal, o dolo específico é praticamente um presente legislativo. Trata-se de uma barreira alta, e a acusação que não souber transpô-la com prova concreta de intenção verá a tese ruir já na fase de admissibilidade.
O fim do argumento "foi o bot, não eu"
Por anos convivemos com uma ficção jurídica constrangedora: a tentativa de imputar responsabilidade à máquina. O bot disparava ameaças e a culpa era do algoritmo; o chatbot assediava e a alegação era de que a inteligência artificial teria agido por conta própria. A Lei 15.397 sepultou esse argumento.
Ao tipificar o uso de chatbots programados para assédio, o legislador concentrou o foco em um elemento que diferencia qualitativamente a conduta automatizada da conduta humana: a escalabilidade. Um agressor humano cansa, dorme, se distrai. Um bot opera sem interrupção, assume identidades múltiplas e executa perseguição sistemática numa escala que nenhum indivíduo alcançaria sozinho. Foi essa potência lesiva ampliada que justificou o tipo autônomo.
O ponto que ainda demandará construção jurisprudencial, e que ocupará os tribunais superiores nos próximos meses, é a distinção entre desenvolvedor e operador. Se um programador cria uma ferramenta legítima de atendimento e um terceiro a reconfigura para disparar ameaças, sobre quem recai a responsabilidade penal? A resposta passa por nexo de causalidade e pela teoria da imputação objetiva, terreno em que ainda há espaço legítimo de discussão. O recado de fundo, contudo, é inequívoco: a responsabilidade penal é sempre humana, recaindo sobre quem programou, operou ou lucrou com a conduta. A máquina não delinque.
Fraude digital qualificada: a orquestração como agravante
Se há um acerto técnico evidente na nova lei, está na figura da fraude digital qualificada. O legislador compreendeu que o crime patrimonial contemporâneo já não se resume a um link de phishing tosco. Ele se estrutura em camadas sincronizadas.
O cenário típico é o seguinte: a vítima recebe um e-mail que reproduz com fidelidade a comunicação corporativa legítima; em seguida, uma chamada de vídeo na qual a imagem do superior hierárquico, gerada por deepfake, confirma a operação em tempo real; por fim, acessa um ambiente que clona a interface bancária verdadeira para a captura dos dados. Tudo coordenado.
Essa multiplicação de camadas enganosas revela um grau de premeditação e sofisticação que extrapola em muito o estelionato simples do artigo 171 do Código Penal. A qualificadora, nesse sentido, não pune apenas o resultado, pune a engenharia que o tornou possível. A sofisticação técnica passa a operar como indício forte da periculosidade do agente e da intencionalidade qualificada da conduta.
Os quatro equívocos que precisam parar de circular
O primeiro é a ideia de que qualquer deepfake virou crime. Não virou. Sem o dolo específico de ofender a honra, a conduta não se enquadra no tipo.
O segundo é a crença de que compartilhar desinformação se tornou crime sob esta lei. Também não. O tipo exige sistematização, no caso dos chatbots, ou engenharia social coordenada, no caso da fraude. Repassar um boato em grupo de família segue sendo um problema, mas não este crime.
O terceiro é a confusão sobre punir a inteligência artificial. Não há como. A responsabilidade penal pressupõe um sujeito humano, e a lei é clara ao direcioná-la a quem desenvolveu, operou ou se beneficiou.
O quarto é o medo de que a sátira tenha sido proibida. Não foi. A evidência de que se trata de paródia é, na prática, a tese defensiva mais sólida que existe, justamente porque o tipo exige a comprovação de que a finalidade era a destruição reputacional, e não a crítica ou o humor.
A nova exposição das plataformas
Há um aspecto que raramente aparece nos comentários leigos, mas que altera de forma concreta a rotina de quem cuida de compliance: a Lei 15.397 ampliou o dever de diligência das plataformas digitais. Soma-se ao regime de responsabilidade já desenhado pelo Marco Civil da Internet a exigência de prazos mais curtos para identificação e remoção de conteúdo enquadrado nos novos tipos. A inércia diante de uma notificação qualificada pode gerar responsabilização. Para o mercado, a governança digital deixou de ser diferencial competitivo e passou a ser condição de sobrevivência.
A prova digital como última fronteira da verdade
O desenho final desses crimes ainda será dado pelos tribunais superiores, que precisarão pacificar questões deixadas em aberto: o nexo entre código-fonte e intenção, a fronteira entre desenvolvedor e operador, a linha que separa a culpa grave do dolo. Até lá, a orientação estratégica é objetiva.
Para a vítima, não basta afirmar que houve um deepfake ou que houve assédio por bot. É indispensável preservar a prova forense desde o primeiro momento: URLs, metadados, registros de horário e, sobretudo, o padrão de comportamento que demonstre a sistematização do ataque. A trilha digital é a espinha dorsal de qualquer acusação bem-sucedida.
Para a defesa, o trabalho começa no dia um e tem um nome: dolo. Onde a acusação não conseguir demonstrar intenção específica e qualificada, a imputação se desfaz.
Vivemos uma transição em que imagem, voz e vídeo perderam o status de prova absoluta da realidade. Em uma sala de audiência, o que pesará não será mais o que se viu na tela, e sim a trilha digital capaz de revelar quem produziu a conduta e com qual propósito a produziu. A Lei 15.397 é séria e merece ser levada a sério. Só não é, nem de longe, tão simples quanto as redes insistem em fazer parecer.

