Um caso recente envolvendo um funcionário do Google acusado de utilizar informações internas confidenciais para realizar apostas volta a colocar em pauta uma pergunta central para as organizações: como prevenir o uso indevido de acessos legítimos?

O ponto mais relevante não é apenas o valor envolvido nem a empresa afetada. A verdadeira lição de compliance é que nem sempre é necessário um ataque externo para gerar um risco legal, financeiro ou reputacional. Às vezes, o risco começa dentro da própria organização, quando uma pessoa com acesso autorizado utiliza informações sensíveis para um fim indevido.

O que aconteceu no caso Google

De acordo com as informações públicas do caso, Michele Spagnuolo, engenheiro de segurança da informação do Google, foi acusado pelo Departamento de Justiça dos Estados Unidos de fraude e lavagem de dinheiro após supostamente usar informações internas confidenciais para realizar apostas na plataforma Polymarket.

O caso teria envolvido dados relacionados ao Year in Search, o relatório anual do Google sobre os termos mais pesquisados do ano. Por ter acesso antecipado a informações ainda não públicas, o colaborador teria realizado apostas com base em resultados que já conhecia, obtendo ganhos estimados em aproximadamente US$ 1,2 milhão.

O Google respondeu afastando o colaborador de suas funções e ressaltando que o uso de informações confidenciais para benefício pessoal constitui uma violação grave de suas políticas internas.

Além do caso específico, o episódio permite analisar um desafio que atravessa empresas de todos os portes: como gerenciar o risco interno quando os acessos são legítimos, mas o uso da informação não é.

O verdadeiro ponto crítico: o acesso era legítimo

Um dos aspectos mais importantes do caso é que não se tratou de uma falha de segurança tradicional.

Não houve, segundo o que foi divulgado, um ataque hacker, uma intrusão externa nem uma violação sofisticada de sistemas. A informação estava disponível por meio de uma ferramenta interna acessível a colaboradores autorizados.

Isso muda o eixo da análise.

O problema não foi apenas tecnológico. Foi ético, organizacional e de compliance. A situação mostra que uma empresa pode ter políticas, sistemas e controles e, ainda assim, enfrentar riscos quando uma pessoa usa de forma indevida um acesso que lhe foi concedido para o cumprimento de suas funções.

Pontos-chave para as empresas

Este caso deixa diversas lições aplicáveis a qualquer organização:

• O risco interno pode ser tão relevante quanto o risco externo.
• Os acessos legítimos também precisam de controle, rastreabilidade e monitoramento.
• Um Código de Ética não é suficiente se não se traduz em critérios práticos.
• As novas plataformas digitais podem criar zonas cinzentas de conduta.
• O Canal de Denúncias continua sendo uma ferramenta essencial de detecção precoce.
• A capacitação contínua ajuda as pessoas a compreender limites, responsabilidades e consequências.

Três lições de compliance que este caso deixa

1. O risco interno é tão real quanto o externo

Muitas organizações investem grandes recursos na prevenção de ataques externos: ataques cibernéticos, intrusões, vazamentos de dados ou acessos não autorizados.

Essa proteção é necessária, mas não suficiente.

Os incidentes também podem ter origem dentro da empresa. Um colaborador pode ter acesso legítimo a informações confidenciais, conhecer os processos internos e identificar onde existem pontos vulneráveis.

Por isso, a prevenção de riscos organizacionais deve contemplar tanto ameaças externas quanto internas. Isso implica revisar controles de acesso, permissões, segregação de funções, rastreabilidade de operações e mecanismos de monitoramento sobre informações sensíveis.

Uma pergunta útil para as áreas de Compliance e Auditoria Interna é: A organização consegue detectar quando uma pessoa utiliza informações internas de uma forma que não corresponde à sua função?

2. Um Código de Ética sem capacitação é apenas um documento

A maioria das empresas possui políticas sobre confidencialidade, conflitos de interesse e uso responsável da informação. No entanto, o desafio está em fazer com que essas regras sejam compreendidas na prática.

Não basta dizer que é proibido usar informações confidenciais para benefício pessoal. As pessoas precisam entender o que isso significa em cenários concretos.

Por exemplo:

• utilizar informações internas para apostas ou investimentos;
• compartilhar dados não públicos com terceiros;
• aproveitar informações comerciais antes de sua divulgação;
• usar ferramentas internas para fins alheios ao trabalho;
• monetizar dados conhecidos em razão do cargo ocupado na empresa.

As novas plataformas digitais, os mercados preditivos, a inteligência artificial e outras formas de monetização de informação podem gerar situações que nem sempre estão previstas em políticas antigas.

Quando as políticas não evoluem no ritmo do negócio, surgem zonas cinzentas. E essas zonas cinzentas costumam se tornar focos de risco.

3. O Canal de Denúncias é uma ferramenta essencial de detecção precoce

Incidentes graves raramente surgem de forma repentina.

Antes que uma conduta indevida se torne uma crise, costumam existir sinais: mudanças de comportamento, uso incomum de sistemas, comentários internos, conflitos de interesse, acessos repetidos a informações sensíveis ou decisões sem explicação clara.

Muitas vezes, esses sinais são percebidos primeiro por colegas de trabalho, líderes diretos ou equipes próximas, antes de chegarem à alta direção.

Por isso, um canal de denúncias seguro, independente e confiável é uma peça central de qualquer programa de compliance. Ele permite que as pessoas reportem suspeitas ou preocupações sem medo de retaliação e facilita que a organização investigue antes que o problema se agrave.

Um canal de denúncias eficaz não deve ser visto apenas como uma obrigação formal. É uma ferramenta de gestão de riscos.

Por que este caso não se aplica apenas a grandes empresas de tecnologia

Seria um erro interpretar esse episódio como um problema exclusivo de empresas globais ou do setor tecnológico.

Toda organização lida com informações sensíveis. Podem ser:

• dados financeiros;
• listas de clientes;
• preços e margens comerciais;
• negociações confidenciais;
• contratos;
• estratégias de expansão;
• decisões corporativas não públicas;
• investigações internas;
• informações trabalhistas;
• dados de fornecedores;
• relatórios de auditoria.

Em todos esses casos, o risco não está apenas em alguém acessar a informação. O risco também aparece quando uma pessoa autorizada utiliza essa informação para um fim diferente do permitido.

Uma empresa de médio porte, uma empresa familiar, uma organização regional ou uma multinacional podem enfrentar o mesmo tipo de desafio: proteger informações sensíveis sem paralisar a operação diária.

O que deve incluir um programa de compliance frente ao risco interno

Um programa de compliance eficaz não se limita a ter políticas escritas. Precisa combinar prevenção, formação, monitoramento, canais de reporte e investigação.

Código de Ética aplicável na prática

O Código de Ética deve explicar de forma clara quais condutas são permitidas, quais são proibidas e quais critérios devem ser aplicados em situações ambíguas.

Deve também contemplar temas como confidencialidade, conflitos de interesse, uso de informações internas, relacionamento com terceiros, presentes, incentivos, fraude, integridade e denúncias.

Por isso, na Resguarda desenvolvemos dois recursos práticos e gratuitos:

📄 Modelo de Código de Ética e Conduta

📋 Checklist de validação do Código de Ética

Desenvolvidos para ajudar as organizações a avaliar:

✔ se o código cobre os riscos mais relevantes

✔ se é aplicável na operação diária

✔ se está alinhado ao programa de compliance

✔ se existem lacunas e oportunidades de melhoria

Capacitações contínuas

A capacitação é essencial para transformar uma política em comportamento.

As pessoas devem receber formação periódica, com exemplos reais ou verossímeis, adaptados à sua função e nível de exposição ao risco. Nem todas as áreas enfrentam os mesmos desafios: Finanças, Comercial, Tecnologia, Recursos Humanos, Compras e Diretoria costumam lidar com informações especialmente sensíveis.

Governança sobre informações confidenciais

A organização deve definir quem pode acessar determinada informação, com qual finalidade, sob quais controles e por quanto tempo.

Isso requer critérios claros de permissões, classificação de informações, revisão periódica de acessos e registro de atividades relevantes.

Monitoramento e alertas internos

O monitoramento não deve ser entendido como vigilância indiscriminada, mas como uma ferramenta proporcional de controle e prevenção.

Quando uma empresa gerencia informações críticas, precisa ser capaz de identificar padrões incomuns, acessos fora do habitual ou condutas que possam indicar uso indevido.

Canal de Denúncias confiável

Um canal de denúncias permite detectar fatos que nem sempre aparecem em auditorias ou relatórios formais.

Para funcionar, deve ser acessível, confidencial, confiável, conhecido por toda a organização e acompanhado por protocolos claros de gestão de casos.

Investigações internas estruturadas

Quando surge um alerta, a resposta deve ser ordenada e imparcial.

As investigações internas permitem analisar fatos, preservar evidências, proteger as pessoas envolvidas e tomar decisões baseadas em informações verificáveis.

Perguntas que toda organização deveria se fazer

O caso permite abrir uma revisão interna mais ampla. Algumas perguntas úteis:

1. Quais informações sensíveis existem dentro da organização?
2. Quem tem acesso a essas informações e por quê?
3. Com que frequência são revisadas as permissões de acesso?
4. As políticas contemplam usos indevidos em plataformas digitais?
5. O Código de Ética inclui exemplos claros e atualizados?
6. Os colaboradores sabem como reportar uma suspeita?
7. O canal de denúncias é percebido como confiável?
8. A empresa possui protocolos para investigar possíveis condutas indevidas?
9. Existem mecanismos para detectar acessos ou comportamentos incomuns?
10. A alta direção comunica com clareza as consequências do descumprimento das políticas internas?

Essas perguntas ajudam a passar de uma postura reativa para uma lógica preventiva.

Uma lição de compliance para qualquer empresa

O caso Google mostra que o risco interno nem sempre começa com uma falha técnica. Pode começar com uma decisão individual, um acesso legítimo e uma oportunidade mal gerenciada.

Por isso, o compliance corporativo deve olhar além do cumprimento formal. A verdadeira prevenção exige cultura ética, controles proporcionais, capacitação contínua, canais de denúncia confiáveis e investigações internas capazes de agir a tempo.

A pergunta central não é se uma empresa tem riscos internos. Toda organização os tem.

A pergunta é se ela consegue identificá-los antes que se tornem um problema legal, financeiro ou reputacional.

Conclusão

O uso indevido de informações confidenciais é um dos riscos mais complexos para as empresas porque pode ocorrer dentro de processos aparentemente normais. Uma pessoa autorizada pode acessar dados sensíveis e, ainda assim, utilizá-los de forma contrária às políticas internas e aos princípios de integridade corporativa.

Para reduzir esse risco, as organizações precisam de programas de compliance vivos, não de documentos estáticos. Isso implica revisar acessos, capacitar, atualizar políticas, fortalecer o canal de denúncias e contar com investigações internas profissionais quando surgem alertas.

Na Resguarda, ajudamos as organizações a fortalecer sua estrutura de integridade por meio de canais de denúncias, gestão de casos, investigações internas, capacitações e soluções de compliance adaptadas aos riscos reais de cada empresa.