Coluna produzida pelo escritório Chezzi Advogados esclarece dúvida acerca das exigências para prevenção de ataques de ransomware.

PERGUNTA: O que o Provimento n. 213, de 2026, do CNJ exige da serventia para enfrentar ataques de ransomware?

RESPOSTA: A digitalização progressiva dos acervos notariais e registrais trouxe consigo um paradoxo inerente: ao mesmo tempo em que amplia a eficiência, a acessibilidade e a segurança dos atos jurídicos, expõe as serventias extrajudiciais a ameaças cibernéticas de crescente sofisticação.

Entre essas ameaças, o ransomware é modalidade de ataque em que agentes maliciosos cifram os dados da vítima e exigem pagamento de resgate para restaurar-lhes o acesso, comprometendo, simultaneamente, a disponibilidade e a integridade do acervo digital.

Os ataques de ransomware são um problema grave, pois colocam em risco a previsibilidade de continuidade dos serviços, ampliam passivos e colocam sob tensão a confiança pública, elemento estruturante do serviço delegado.

É nessa perspectiva que se insere o Provimento n. 213, de 2026, do CNJ, que revogou expressamente o Provimento n. 74, de 2018, do CNJ, e inaugurou um novo marco regulatório voltado à segurança, integridade, disponibilidade, autenticidade, rastreabilidade e continuidade dos serviços extrajudiciais brasileiros.

As medidas de prevenção e mitigação de ataques cibernéticos devem ser compreendidas dentro dos parâmetros que essa norma estabelece como padrões mínimos de tecnologia da informação e comunicação aplicáveis às serventias de todo o país.

A norma impõe às serventias o dever de instituir diretrizes formais de continuidade operacional e preservação de dados, incorporadas à Política Interna de Segurança da Informação. A formalização técnica completa do Plano de Continuidade de Negócios (PCN) e do Plano de Recuperação de Desastres (PRD) deverá observar o cronograma progressivo de cinco etapas estruturado no Anexo IV do Provimento n. 213, de 2026, do CNJ.

Além disso, o art. 3.º, § 2.º, do Provimento n. 213, de 2026, do CNJ exige que esses planos contemplem a identificação e a avaliação de riscos, as medidas de mitigação correspondentes e as providências de curto prazo (até 30 dias) e de médio prazo (até 90 dias) para tratamento de incidentes e restauração da normalidade.

A continuidade do acervo e da prestação do serviço registral se sustenta na existência de cópias de segurança. Essas cópias, em cenário de ransomware, podem ser inúteis se forem atingidas no mesmo evento. O ataque tende a alcançar não apenas a base principal, mas também a própria via de recuperação, convertendo o backup em mera aparência de proteção.

A medida basilar, portanto, é manter cópias com isolamento e, sempre que possível, imutabilidade, de modo que o repositório de recuperação não esteja ao alcance do usuário comprometido nem submetido às mesmas credenciais e permissões do ambiente atacado.

O Provimento n. 213, de 2026, do CNJ endereça esse ponto com precisão. O art. 12, §§ 2.º a 6.º, disciplina o regime de cópias de segurança, exigindo que as rotinas de backup sejam aptas a assegurar a recuperação dos atos até o limite do objetivo de ponto de recuperação (RPO) aplicável à classe da serventia.

Mais do que isso, a norma determina que as cópias sejam mantidas em ambiente tecnicamente independente daquele utilizado para o processamento primário dos dados, com segregação física ou lógica apta a prevenir comprometimento simultâneo.

O atendimento ao RPO poderá ocorrer por meio de cópias incrementais, replicação contínua, recuperação em ponto específico no tempo (point-in-time recovery) ou tecnologia equivalente, não se confundindo com a periodicidade das cópias completas.

O Provimento n. 213, de 2026, do CNJ incorpora a necessidade de realização de testes para garantir a verificação periódica da restauração do backup. Da perspectiva de governança, é importante que a serventia documente esses testes registrando datas, responsáveis, itens restaurados, inconsistências encontradas e correções implementadas.

Essa evidência torna a diligência verificável e reduz a vulnerabilidade institucional ao improviso técnico em momento de crise.

A continuidade exige plano de contingência praticável, com gatilhos claros e capacidade de ser executado sob pressão. Em ataques de ransomware, a resposta inicial correta é, em regra, conter e preservar, evitando que a crise se amplifique por decisões precipitadas.

O art. 6.º, IV, do Provimento n. 213, de 2026, do CNJ reforça essa exigência ao determinar que as políticas de gestão da serventia promovam a continuidade da prestação do serviço de forma adequada, ininterrupta, segura, eficaz e eficiente, em conformidade com planos de contingência e de continuidade de negócios, periodicamente revisados.

O plano deve também disciplinar o retorno controlado, isto é, a ordem de restauração, critérios de validação, verificação de integridade e monitoramento pós-incidente, evitando a reintrodução do agente malicioso e a recontaminação do ambiente.

O Provimento n. 213, de 2026, do CNJ também disciplina a gestão de incidentes de segurança da informação. O art. 11 impõe que as serventias mantenham procedimentos documentados contemplando identificação, classificação por gravidade, contenção, erradicação, recuperação e registro das ocorrências.

Incidentes críticos — como um ataque de ransomware que comprometa o acervo digital — devem ser comunicados à Corregedoria competente no prazo definido no Anexo II da norma, sem prejuízo da comunicação à Agência Nacional de Proteção de Dados — ANPD (Lei Federal n. 15.352, de 2026) quando houver risco ou dano relevante aos titulares de dados pessoais (art. 7.º, § 3.º, c/c Resolução CD/ANPD n. 15, de 2024).

A análise de causa raiz é obrigatória para todos os incidentes, o que traduz, na prática, a exigência de que a serventia não apenas reaja ao ataque, mas compreenda e documente como ele ocorreu.

A norma apresenta requisitos mínimos de infraestrutura que dialogam diretamente com a prevenção de ransomware. Entre eles estão previstos sistemas de alimentação elétrica ininterrupta, conectividade compatível com o porte econômico da unidade, mecanismos de firewall e segmentação de rede.

Esses controles, somados à autenticação multifator exigida pela norma, compõem uma camada essencial de defesa preventiva que reduz significativamente a superfície de ataque disponível ao invasor.

A arquitetura de alta disponibilidade, definida pelo Provimento n. 213, de 2026, do CNJ como aquela destinada a assegurar continuidade operacional mediante redundância de componentes, mecanismos automáticos de failover e redução significativa de indisponibilidade não planejada, constitui o horizonte técnico que a norma projeta para as serventias de maior porte.

O art. 7.º do Provimento n. 213, de 2026, do CNJ reforça esse elo ao dispor que o delegatário, interino ou interventor, na qualidade de responsável pelo tratamento de dados pessoais, deverá assegurar conformidade com a Lei Federal n. 13.709, de 2018 (LGPD), adotando medidas técnicas e organizacionais adequadas à proteção de dados.

Na prática, esse dever se materializa por meio de controles concretos: políticas internas de segurança, treinamento contínuo contra phishing e engenharia social, gestão de acessos com autenticação multifator e privilégio mínimo, todas essas ações com o devido registro para prestação de contas.

Para garantir a prevenção das serventias em casos de ataques cibernéticos é necessário contar com uma arquitetura mínima de resiliência sustentada por três compromissos verificáveis: (i) manter backups realmente recuperáveis, com isolamento e proteção contra alterações; (ii) testar restauração com periodicidade e evidência, identificando falhas antes que virem desastre; e (iii) operar com plano de contingência acionável, capaz de preservar atendimento mínimo e permitir retorno controlado.

O Provimento n. 213, de 2026, do CNJ converte esses compromissos em obrigações normativas estruturadas. Ao fixar parâmetros objetivos de RPO e RTO por classe, exigir segregação de cópias, impor testes documentados de restauração e determinar a formalização de PCN e PRD, a norma transforma o que antes era recomendação técnica em dever jurídico mensurável.

Integradas a uma governança de incidentes, à conformidade com a LGPD e a medidas efetivas de proteção de dados, essas providências concretizam o dever de assegurar disponibilidade e continuidade que inspira o novo marco regulatório, e reduzem, de modo objetivo, o risco de interrupção prolongada e de perda do acervo digital, preservando a previsibilidade e a confiança pública que legitimam a atividade extrajudicial.

*ATENÇÃO: As perguntas e respostas apresentadas nesta seção do Boletim do IRIB são produzidas pelo escritório Chezzi Advogados e não expressam, necessariamente, a opinião da Diretoria do IRIB e dos editores deste boletim. O conteúdo apresentado é de responsabilidade exclusiva de seus autores. Caso queira entrar em contato com o escritório, envie um e-mail para encarregado@chezzilaw.com.