CNJ aprova proteção contra prompt injection em sistemas de IA judiciária

O Conselho Nacional de Justiça aprovou a Manifestação Técnica CNIAJ 1/2026, que estabelece diretrizes para proteção de sistemas de inteligência artificial no Poder Judiciário contra técnicas sofisticadas de manipulação. A iniciativa, baseada no Programa de Segurança Adversarial para Sistemas de Inteligência Artificial do Poder Judiciário Brasileiro (Proseg-IA), responde a vulnerabilidades identificadas em tribunais brasileiros e visa garantir a integridade das ferramentas que auxiliam magistrados na análise de processos, sem comprometer a inovação tecnológica.

Contexto

A expansão do uso de inteligência artificial no Judiciário trouxe consigo uma classe de riscos pouco conhecida do grande público, mas cada vez mais frequente em ambientes jurídicos digitais: os ataques de prompt injection. Diferentemente de ataques tradicionais à segurança, o prompt injection não visa derrotar firewalls ou criptografia, mas explorar a própria capacidade de processamento de linguagem natural dos sistemas de IA para induzi-los a comportamentos não intencionais.

Os sistemas implementados em tribunais processam volumes crescentes de documentos processuais, anexos, metadados, bases de conhecimento e textos extraídos de documentos digitalizados. Muitas destas plataformas realizam funções críticas: sumarização de peças, classificação de demandas, triagem e pesquisa em jurisprudência. Nesse contexto, documentos aparentemente ordinários — uma simples petição, um relatório técnico — podem funcionar como "vetores adversariais" quando contêm instruções ocultas dirigidas não ao leitor humano, mas ao sistema que o processará.

Casos concretos já foram identificados. O sistema Galileu do Tribunal Regional do Trabalho da 8ª Região detectou comandos ocultos inseridos em petição apresentada à 3ª Vara do Trabalho de Parauapebas, no Pará. O Superior Tribunal de Justiça também identificou episódios similares. A aprovação da nota técnica reflete a necessidade de institucionalizar respostas coordenadas a essa classe de risco antes que se generalize nos tribunais.

O que foi decidido

O plenário do CNJ aprovou o protocolo técnico que estabelece que documentos processuais, anexos, metadados e conteúdos extraídos de documentos digitalizados devem ser tratados como dados potencialmente não confiáveis. Essa mudança paradigmática reconhece que, em ambiente de IA, o risco não provém apenas de agentes externos, mas pode estar embutido nas próprias peças dos autos.

A Nota Técnica recomenda um conjunto integrado de medidas: mecanismos de ingestão segura de documentos; segregação de conteúdos suspeitos; filtragem de saída; rastreabilidade completa das operações; registros auditáveis; capacitação continuada de magistrados e servidores; e protocolos de resposta a incidentes. Além disso, o CNJ orienta que sistemas de sumarização, classificação e triagem não produzam respostas com aparência de decisão judicial, evitando que saídas assistidas possam ser confundidas com atos jurisdicionais.

O documento enfatiza que a supervisão humana não é uma garantia formal, mas depende da existência de mecanismos técnicos que permitam identificar, isolar e documentar tentativas de interferência. O relator, conselheiro Rodrigo Badaró, deixou claro que a medida não se opõe à inovação, mas cria "condições institucionais para que a inovação tecnológica se desenvolva em ambiente seguro, sempre orientado pela estrita observância dos direitos fundamentais dos jurisdicionados".

Base normativa e precedentes

• Lei 14.533/2023 (Lei do Judiciário 4.0) — autoriza e incentiva adoção de tecnologias pela Justiça, mas sem prejuízo a garantias processuais e direitos fundamentais.
• CF/88, Art. 5º, XXXV — direito de acesso à Justiça; decisões devem ser adequadamente fundamentadas por magistrados.
• CPC/2015, Art. 489 — decisão proferida sem fundamentação adequada é nula; orientação estende-se à qualidade das informações que subsidiam a cognição judicial.
• LGPD (Lei 13.709/2018) — aplicável ao processamento de dados pessoais em sistemas judiciários, incluindo auditorias e rastreabilidade.
• Jurisprudência consolidada de ciberSegurança — tribunais superiores reconhecem que sistemas críticos devem observar padrões de proteção contra ataques de engenharia social e injeção de código, análogos ao prompt injection em IA.

Impacto prático

Para magistrados e tribunais:

• Precisarão implementar rotinas de validação de documentos antes de alimentá-los a sistemas de IA, similar a varredura de malware tradicional.
• Registros auditáveis de todas as operações assistidas por IA se tornam obrigatórios, exigindo infraestrutura de logging e armazenamento em conformidade com a LGPD.
• Servidores e juízes necessitarão capacitação específica para reconhecer sinais de manipulação em respostas geradas por sistemas.

Para advogados:

• A inclusão de instruções ocultas em petições agora se enquadra como forma de fraude processual, passível de penalidades disciplinares (suspensão, multa, até perda do direito de exercer advocacia, conforme Lei 8.906/1994).
• Ações já em curso que utilizaram essa técnica podem ser objeto de revisão ou anulação, dependendo do prejuízo demonstrado.
• Estratégias de defesa devem considerar a possibilidade de que sistemas de análise processual reconheçam e reportem alterações suspeitas.

Para desenvolvedores e fornecedores de sistemas:

• Contratações futuras incluirão cláusulas de segurança adversarial, com testes de robustez exigidos antes da implementação.
• Responsabilidade por falhas na detecção pode resultar em rescisão de contratos e litígios por perdas e danos.

O que observar

A Nota Técnica apresenta um framework normativo, mas não vincula imediatamente os tribunais — será necessária regulamentação administrativa complementar de cada tribunal e conselho regional de justiça para operacionalizar as diretrizes. O CNJ determinou divulgação aos tribunais e envio aos órgãos técnicos competentes, mas a velocidade de implementação variará entre judiciários estaduais e federais.

Um ponto crítico é a definição operacional do que constitui "contenúdo suspeito" — sistemas de filtragem podem gerar falsos positivos, bloqueando documentos legítimos, ou falsos negativos, deixando ataques passarem. A capacidade de resposta dependerá da sofisticação técnica de cada tribunal.

Outro desafio é equilibrar rastreabilidade com sigilo profissional do advogado. Registros de todas as operações que envolvam peças de defesa podem revelar estratégias processuais se não forem adequadamente segregados. O CNJ e os tribunais precisarão detalhar essa proteção.

Recursos potenciais: caso um advogado tenha sua petição injustamente bloqueada por filtros de segurança, caberá reclamação ao tribunal e, eventualmente, ação por danos morais contra o tribunal. A constitucionalidade dessas medidas também pode ser questionada via mandado de segurança ou ação direta, argumentando restrição ao direito de petição (CF/88, Art. 5º, XXXIV).

Próximos passos incluem elaboração de protocolos específicos por tribunal, testes de penetração dos sistemas de IA implementados, e treinamento em massa de magistrados e servidores. Expecta-se também que a ANPD (Autoridade Nacional de Proteção de Dados) emita orientações complementares sobre conformidade com LGPD nesse contexto.