Fraude Oculta no Judiciário: O Risco Criminal do Prompt Injection em Petições

1. Introdução

O Poder Judiciário brasileiro passa por sua revolução mais profunda desde a digitalização dos processos físicos. A transição do antigo modelo de papel para o Processo Judicial Eletrônico (PJe) pavimentou o caminho para a era da "Justiça 4.0". Hoje, a triagem automatizada de processos e o uso de ferramentas baseadas em Inteligência Artificial (IA) não são mais promessas para o futuro; são a realidade diária de magistrados, assessores, promotores e advogados. Bilhões de dados são processados mensalmente por algoritmos projetados para ler, classificar, resumir e agrupar demandas judiciais, buscando dar celeridade a um sistema historicamente sobrecarregado.

No entanto, toda inovação tecnológica traz consigo novas superfícies de ataque. À medida que os tribunais e as grandes bancas de advocacia passaram a depender de modelos de linguagem em grande escala (LLMs) para analisar peças processuais, criminosos e litigantes de má-fé encontraram uma brecha invisível ao olho humano, mas altamente eficaz contra as máquinas: o Prompt Injection (ou Injeção de Prompt).

O Prompt Injection no ambiente jurídico consiste na inserção deliberada de comandos ocultos ou camuflados no texto de uma petição, contestação ou recurso. O objetivo dessa manobra não é convencer o juiz por meio de argumentos legais legítimos, mas sim enganar o sistema de IA que fará a primeira leitura do documento. Ao processar o arquivo, a inteligência artificial absorve o comando oculto como se fosse uma ordem do seu próprio programador, passando a "alucinar", ignorar pedidos da parte contrária, omitir jurisprudências desfavoráveis ou resumir o caso de forma totalmente distorcida.

O que muitos profissionais do Direito ainda não compreenderam é que essa prática cruza a linha tênue entre a astúcia processual e a criminalidade. A manipulação maliciosa de algoritmos judiciais afeta diretamente a segurança jurídica digital e a administração da justiça. Trata-se de uma ameaça cibernética real que exige o olhar atento da perícia digital e a aplicação rigorosa do Direito Penal para garantir que a verdade processual não seja sequestrada por linhas de código invisíveis.

2. Desenvolvimento: Anatomia da Fraude

Para compreender a gravidade do Prompt Injection, é necessário afastar a visão de que a inteligência artificial lê um documento da mesma forma que um ser humano. Enquanto um assessor jurídico foca na estrutura visual, nas palavras formatadas e na lógica dos parágrafos, os modelos de IA extraem o texto bruto contido nos metadados e nas camadas subjacentes do arquivo digital. É exatamente nessa divergência de percepção que a fraude opera.

Os atacantes utilizam diferentes táticas de ocultação para injetar comandos maliciosos em arquivos PDF ou DOCX sem levantar suspeitas visuais. A técnica mais comum é o Text Camouflaging (ou Camuflagem de Texto), onde o fraudador escreve instruções imperativas utilizando uma fonte na cor branca sobre o fundo branco do documento. Para o juiz que lê a peça na tela ou impressa, o espaço parece em branco. Para a IA do tribunal, aquelas linhas textuais estão perfeitamente visíveis e operantes.

Outra modalidade ainda mais sofisticada é a Zero-Font Technique. Nela, os caracteres do comando malicioso são configurados com tamanho zero. O texto continua existindo na estrutura de código do documento, mas se torna microscopicamente invisível na interface gráfica. Há também o Metadata Poisoning (Envenenamento de Metadados), no qual as instruções de injeção são inseridas nas propriedades ocultas do arquivo, como nos campos de autor, título ou tags XMP, áreas frequentemente varridas por robôs de triagem automatizada.

Detalhamento Técnico de Extração: Como os Sistemas "Enxergam" o Arquivo

Para desmistificar o ataque, precisamos abrir a "caixa-preta" do formato PDF (Portable Document Format). Ao contrário do que a maioria dos usuários pensa, um PDF textual não é uma imagem estática, mas sim um arquivo estruturado baseado em objetos contendo uma linguagem descritiva derivada do PostScript. Dentro do código binário de um PDF, os elementos de texto são delimitados por operadores específicos conhecidos na engenharia de software como operadores de bloco de texto, representados pelas siglas BT (Begin Text) e ET (End Text).

Quando um tribunal utiliza uma Inteligência Artificial para fazer a triagem ou o resumo de um processo, essa IA não "olha" para a tela. Antes de o modelo de linguagem (LLM) processar a petição, o sistema do tribunal executa um programa intermediário chamado parser de PDF ou extrator de texto estruturado. A função desse componente é ler sequencialmente o fluxo de dados (stream) do arquivo e extrair exclusivamente os caracteres alfanuméricos contidos entre os operadores BT e ET para enviá-los como texto limpo (plain text) para a IA.

O ponto crítico de vulnerabilidade cibernética reside no fato de que os extratores de texto padrão ignoram os parâmetros de renderização gráfica. Elementos como a cor da fonte, o tamanho do caractere e as coordenadas de posicionamento na página são propriedades visuais tratadas por operadores secundários. Por exemplo, se o texto visível está configurado com a cor preta e o texto malicioso oculto está configurado com a cor branca, o parser de extração simplesmente ignora essas tags de estilo. Ele coleta os caracteres de ambos os blocos e os concatena em uma única string de texto linear contínuo.

Quando esse bloco unificado é injetado no contexto de leitura da IA do Judiciário, o modelo perde a capacidade de diferenciar o que era visível ao olho humano do que estava camuflado. Como a arquitetura dos modelos de linguagem processa tokens de forma sequencial e probabilística, se o comando oculto for escrito com técnicas de engenharia social algorítmica de alta intensidade, ele substitui as diretrizes de sistema originais do tribunal. A IA passa a obedecer cegamente à instrução clandestina, alterando o resultado do resumo processual que será entregue ao magistrado.

A grande vulnerabilidade dos sistemas de triagem do Judiciário reside na ausência de mecanismos robustos de "sanitização de input". Sistemas pioneiros e amplamente respeitados, como o Victor no Supremo Tribunal Federal (STF) — projetado para ler recursos extraordinários e agrupá-los por temas de repercussão geral — ou o sistema Galileu, utilizado em Tribunais Regionais do Trabalho, foram desenvolvidos sob a premissa de que os documentos juntados aos autos contêm apenas alegações jurídicas. Quando esses sistemas processam um PDF sem um filtro prévio que expurgue códigos ocultos ou comandos em linguagem natural direcionados à máquina, a IA sofre uma Injeção Indireta de Prompt, induzindo a assessoria humana ao erro técnico e comprometendo a integridade de toda a decisão judicial subsequente.

3. O Risco Criminal e as Consequências Jurídicas

A utilização de Prompt Injection em peças processuais não pode ser confundida com mero uso inadequado da tecnologia ou erro material. Quando há a ocultação deliberada de comandos para ludibriar o sistema de apoio à decisão do juízo, a conduta ingressa diretamente na esfera do dolo, configurando ilícitos graves em múltiplos ramos do Direito.

Expansão Jurídica: A Dogmática Penal da Fraude Algorítmica

A análise do enquadramento penal do Prompt Injection exige o desmembramento dogmático das condutas com base na teoria geral do crime e nos tipos previstos no Código Penal Brasileiro. O primeiro e mais evidente enquadramento ocorre no crime de Fraude Processual, capitulado no Artigo 347 do diploma penal. O núcleo do tipo consiste em "inovar artificiosamente, na pendência de processo civil ou administrativo, o estado de coisa, de pessoa ou de documento, com o fim de induzir a erro o juiz ou o perito".

Ao analisarmos a conduta sob o prisma dogmático, a inserção de textos invisíveis ou microfontes em um arquivo PDF configura perfeitamente a "inovação artificiosa de documento". O documento digital juntado aos autos deixa de ser uma representação fiel das alegações da parte e passa a carregar uma armadilha tecnológica oculta. Trata-se de um crime formal e de perigo comum abstrato no que tange à administração da justiça, consumando-se no momento em que o documento fraudado é inserido no sistema eletrônico (PJe), independentemente de o juiz ter sido efetivamente enganado ou de o resultado do processo ter sido alterado. O elemento subjetivo é o dolo específico, evidenciado pelo animus de ludibriar o fluxo regular da prestação jurisdicional por meio do artifício sistêmico.

Avançando na dogmática criminal, deparamo-nos com o crime de Falsidade Ideológica, tipificado no Artigo 299 do Código Penal. Diferente da falsidade material, que ataca a estrutura física ou externa do documento, a falsidade ideológica recai sobre o conteúdo declaratório. O tipo penal pune o ato de "inserir ou fazer inserir declaração falsa ou diversa da que devia ser escrita, com o fim de prejudicar direito, criar obrigação ou alterar a verdade sobre fato juridicamente relevante".

No contexto digital, o documento eletrônico possui eficácia probatória plena conforme os Artigos 439 a 441 do Código de Processo Civil e a legislação de assinaturas digitais. Quando um advogado assina digitalmente uma petição que esconde comandos imperativos para neutralizar a IA da parte contrária ou do tribunal, ele atesta a validade jurídica de uma peça que, em verdade, possui uma finalidade espúria oculta. Há uma alteração dolosa da verdade sobre fato juridicamente relevante, pois o documento simula ser uma mera peça de defesa enquanto atua como um vetor de ataque cibernético. A lesividade jurídica é clara: atenta-se contra a fé pública documental e contra a lealdade que rege a relação processual.

Nos cenários de maior gravidade técnica — em que o prompt injection é estruturado para forçar o sistema do tribunal a vazar dados protegidos por segredo de justiça ou a executar códigos que capturem credenciais de acesso de magistrados —, a conduta transborda os crimes de falsidade e ingressa nos Crimes Cibernéticos. O enquadramento ocorre no Artigo 154-A do Código Penal (Invasão de Dispositivo Informático), com as qualificadoras de interrupção de serviço público e obtenção de informações sigilosas. A petição digital, neste caso específico, deixa de ser um meio de expressão jurídica e passa a ser classificada pericialmente como um exploit, ou seja, uma ferramenta de ataque cibernético utilizada para romper as barreiras de segurança lógica de um sistema computacional do Estado.

A resposta do Judiciário brasileiro a essa prática tem sido célere e rigorosa, criando precedentes históricos. Na Justiça do Trabalho da 8ª Região, o juízo da 3ª Vara do Trabalho de Parauapebas aplicou uma multa expressiva de 10% sobre o valor da causa, superando a cifra de 84 mil reais, em desfavor de profissionais que inseriram comandos ocultos em fonte branca para forçar a IA Galileu a ignorar as teses da defesa. O magistrado fundamentou a decisão na violação direta dos deveres de boa-fé e lealdade processual estabelecidos nos Artigos 5º e 77 do Código de Processo Civil.

Na esfera penal, o Superior Tribunal de Justiça (STJ) identificou tentativas coordenadas de Prompt Injection em mais de uma dezena de processos de natureza criminal. Os comandos buscavam alterar os resumos automatizados de pedidos de habeas corpus para induzir a concessão inadvertida de liberdades provisórias. Diante da gravidade da ameaça à segurança jurídica, a Presidência do STJ determinou a imediata instauração de inquérito policial junto às autoridades competentes para a identificação e responsabilização criminal dos envolvidos. Paralelamente, a Ordem dos Advogados do Brasil (OAB) tem sido oficiada para aplicar sanções ético-disciplinares, que incluem a suspensão preventiva do exercício profissional por evidente conduta incompatível com a advocacia.

4. Guia Prático: Como Identificar a Fraude (O Olhar do Investigador)

A detecção do Prompt Injection exige que os profissionais do Direito e os servidores do Judiciário adotem uma postura ativa de desconfiança digital. Contar apenas com a leitura visual tradicional do documento é o caminho mais seguro para se tornar vítima da fraude invisível. A investigação cibernética forense aponta métodos práticos que podem ser incorporados à rotina de auditoria das peças processuais.

O método mais simples e imediato de triagem manual é a técnica do "Selecionar Tudo". Ao abrir qualquer petição ou documento em formato PDF recebido da parte contrária, o operador deve utilizar o comando de teclado Ctrl+A (ou Cmd+A no ecossistema macOS). Essa ação força o leitor de PDF a destacar em azul todas as camadas de texto presentes no arquivo. Se blocos de texto ou frases desconexas aparecerem destacados em regiões que visualmente pareciam vazias ou nas margens do documento, há um forte indício de camuflagem por fonte branca.

Para uma análise mais profunda, recomenda-se a extração de texto limpo através de softwares de leitura de código ou editores de texto simples, como o Bloco de Notas ou o Notepad++. Ao converter o arquivo PDF para o formato de texto puro (.txt), todas as formatações de cor, tamanho de fonte e estilo são radionuclídeas e anuladas. O conteúdo oculto da Zero-Font Technique e do Text Camouflaging é forçado a subir para a superfície, revelando as instruções em linguagem natural que estavam mascaradas.

A consultoria RG Cibersegurança estruturou um protocolo de verificação composto por cinco pontos fundamentais para mitigar o risco de manipulação algorítmica antes que qualquer documento seja submetido a uma inteligência artificial interna:

• Auditoria de Contraste: Utilização de ferramentas que invertem as cores do documento para expor textos ocultos em camadas claras.

• Inspeção de Metadados: Verificação das propriedades estruturais do arquivo PDF para buscar comandos embutidos nos campos de autoria e descrição.

• Sanitização por Conversão: Converter o arquivo PDF suspeito para uma imagem rasterizada (como .png ou .jpg) e, posteriormente, aplicar um sistema próprio e seguro de OCR (Reconhecimento Óptico de Caracteres). Esse processo destrói qualquer comando oculto injetado no código binário original.

• Análise de Tamanho de Arquivo: Desconfiar de petições textuais simples que apresentam tamanhos de arquivo desproporcionalmente grandes, o que pode indicar excesso de código embutido ou scripts ocultos.

• Isolamento de Input: Nunca colar trechos de petições da parte adversária diretamente em IAs generativas públicas ou corporativas sem antes passar o texto por um filtro de remoção de instruções imperativas.

5. Providências e Estratégias de Reação

Uma vez detectada a presença de um Prompt Injection em uma peça processual, a parte lesada ou o próprio servidor do tribunal deve agir de forma estratégica e imediata. A reação não deve se limitar a uma mera reclamação verbal nos autos; ela deve ser estruturada tecnicamente para garantir a punição do fraudador e a preservação do direito violado.

A primeira providência técnica obrigatória é a preservação da evidência digital. O documento fraudulento não deve ser alterado ou substituído no sistema. É fundamental realizar o cálculo do hash criptográfico (como o SHA-256) do arquivo PDF original. O hash funciona como uma impressão digital única do arquivo; qualquer alteração posterior de uma única letra mudará o código gerado, provando a integridade da prova. Recomenda-se a lavratura de uma Ata Notarial em Tabelionato de Notas ou a utilização de plataformas de registro em blockchain para certificar o conteúdo oculto e a forma como ele foi descoberto.

Com a prova preservada, a providência processual imediata é o protocolo de uma petição de Arguição de Falsidade ou de manifestação por Litigância de Má-Fé. O advogado deve expor de forma clara ao magistrado a anatomia da fraude perpetrada pela parte contrária, demonstrando como o comando oculto buscava induzir o juízo ao erro. Deve-se requerer a aplicação das multas máximas previstas no Código de Processo Civil, além da condenação por perdas e danos.

Na esfera administrativa e criminal, o padrão de reação exige o envio de ofícios detalhados. Deve ser encaminhada uma representação disciplinar formal ao Tribunal de Ética e Disciplina da seccional correspondente da OAB, acompanhada do laudo técnico ou da ata notarial que comprova a conduta do profissional. Simultaneamente, deve-se apresentar uma Notitia Criminis perante a autoridade policial competente ou ao Ministério Público para a abertura de inquérito policial visando apurar a prática dos crimes de fraude processual e falsidade ideológica. Se a fraude ocorreu contra a Justiça Federal ou do Trabalho, a competência para a investigação criminal será da Polícia Federal.

6. Governança Cibernética (Foco CIS Controls)

O combate ao Prompt Injection no Judiciário não pode depender exclusivamente de reações caso a caso; ele exige uma abordagem estruturada de Governança Cibernética. Adotar frameworks de segurança reconhecidos internacionalmente, como o CIS Controls (Center for Internet Security), é o caminho mais eficiente para que tribunais e departamentos jurídicos corporativos blindem seus sistemas de Inteligência Artificial antes que os ataques ocorram.

No contexto do CIS Control 2 (Inventário e Controle de Ativos de Software) e do CIS Control 16 (Defesa Contra Aplicações), as instituições devem implementar políticas rígidas de homologação e configuração de suas ferramentas de IA. As inteligências artificiais utilizadas para triagem e auxílio na confecção de minutas não podem ter acesso direto aos arquivos binários puros enviados pelos usuários externos. É imperativo configurar uma camada intermediária de segurança de software, cuja única função seja receber o PDF, extrair exclusivamente o texto visível e higienizar o conteúdo contra palavras-chave de comando (como "ignore", "delete", "considere como verdadeiro") antes de enviar os dados para o modelo de linguagem principal.

Outro pilar essencial baseado no CIS Control 14 (Treinamento de Conscientização de Segurança) é a capacitação contínua do corpo técnico. Magistrados, assessores de gabinete e analistas judiciários precisam ser treinados para reconhecer que a IA é uma ferramenta de apoio, e não um revisor soberano. A política de governança deve estabelecer a obrigatoriedade da revisão humana detalhada sobre os resumos gerados por algoritmos, criando um protocolo onde qualquer discrepância entre o resumo da IA e as conclusões visíveis da petição resulte no bloqueio preventivo do documento para auditoria forense.

A governança cibernética aplicada ao Direito dita que a segurança da informação deve caminhar lado a lado com o procedimento legal. Somente através de barreiras técnicas de filtragem de dados e de uma cultura organizacional voltada para a segurança digital será possível usufruir dos benefícios da eficiência algorítmica sem abrir mão da integridade e da soberania das decisões judiciais.

7. Conclusão

A ascensão do Prompt Injection em peças jurídicas marca o fim da era da inocência tecnológica no Direito. A Inteligência Artificial, que surgiu como uma aliada indispensável para garantir a celeridade e a modernização do ecossistema judicial, tornou-se também um vetor para fraudes sofisticadas que desafiam a própria essência da justiça. A manipulação de algoritmos para induzir magistrados ao erro não é apenas uma infração ética; é um ataque cibernético direcionado contra a administração pública, passível de severas sanções criminais e financeiras.

Diante desse cenário de riscos invisíveis, a atuação preventiva e investigativa ganha um protagonismo sem precedentes. Advogados e tribunais não podem mais negligenciar a segurança jurídica digital de seus documentos e systems. A identificação precoce dessas ameaças, aliada a providências periciais rígidas e a uma governança baseada em frameworks internacionais como o CIS Controls, são as únicas garantias de que o processo eletrônico permanecerá íntegro e confiável.

A RG Cibersegurança permanece posicionada na vanguarda dessa proteção, unindo a expertise da investigação forense digital ao atendimento personalizado indispensável para blindar bancas de advocacia e instituições públicas contra os crimes algorítmicos do presente e do futuro. A tecnologia deve servir à justiça, e a segurança da informação é a guardiã dessa premissa.

8. Recursos Adicionais e Leitura Recomendada

Para compreender a fundo os aspectos técnicos, normativos e jurisprudenciais abordados neste artigo, recomendamos a consulta direta às fontes oficiais e plataformas de pesquisa jurídica listadas abaixo:

• Conselho Nacional de Justiça (CNJ): Para entender as regras de ética e governança de IA no Judiciário, consulte a íntegra da Resolução nº 332/2020 no portal oficial do CNJ.

  URL de Acesso: https://atos.cnj.jus.br/atos/detalhar/3429

• Tribunal Regional do Trabalho da 8ª Região (TRT-8): Para pesquisar o andamento, as decisões e a aplicação de multa por litigância de má-fé decorrente de manipulação do sistema Galileu (Processo ATOrd 0001062-55.2025.5.08.0130), utilize o portal de consulta pública do PJe do TRT-8.

  URL de Acesso: https://pje.trt8.jus.br/pjekz/gconsultas/

• Superior Tribunal de Justiça (STJ): Para acompanhar os desdobramentos de segurança, notas oficiais e as investigações criminais sobre o uso de injeção de comandos em processos penais, consulte o repositório de jurisprudência e notícias do tribunal.

  URL de Acesso: https://www.stj.jus.br/jurisprudencia/

• Tribunal de Justiça de Minas Gerais (TJMG): Para pesquisar precedentes relativos a fraudes digitais ocultas e litigância de má-fé algorítmica no estado de Minas Gerais (como o Processo 1000978-95.2025.8.13.0114), utilize o portal de consultas processuais do TJMG.

  URL de Acesso: https://www.tjmg.jus.br/

• Jusbrasil: Para análises doutrinárias, artigos científicos de juristas e compilações de julgados comentados sobre Prompt Injection e crimes cibernéticos no meio processual, acesse a plataforma de pesquisa jurídica unificada.

  URL de Acesso: https://www.jusbrasil.com.br/

Entre em contato

contato@rgciberseguranca.com.br

+5531986992842

© 2024. Todos os direitos reservados

Deixe sua mensagem para que possamos entender a sua necessidade