TJSP detecta prompt injection em processos e reforça controle sobre IA

O Tribunal de Justiça de São Paulo confirmou ter identificado ao menos cinco tentativas de manipulação de ferramentas de inteligência artificial em processos judiciais por meio da técnica conhecida como prompt injection. A revelação, feita pelo juiz Tom Alexandre Brandão, assessor da Presidência do TJSP nas áreas de TI, Planejamento, Gestão, IA e Governança, expõe um novo vetor de fraude processual e acende o debate sobre os limites do uso de IA generativa na prestação jurisdicional.

Contexto

A incorporação de modelos de linguagem em grande escala (LLMs) ao Poder Judiciário avançou rapidamente nos últimos anos, com ferramentas voltadas à triagem de petições, sumarização de autos volumosos, elaboração de minutas e classificação processual. O CNJ disciplina o tema, principalmente pela Resolução CNJ 332/2020, que estabelece parâmetros éticos para o uso de IA no Judiciário, e pela Resolução CNJ 615/2025, que atualizou a governança da inteligência artificial nos tribunais, exigindo supervisão humana, auditabilidade e gestão de riscos.

O prompt injection consiste na inserção, em documentos digitais, de comandos ocultos — frequentemente em texto invisível, fontes minúsculas, metadados ou camadas não renderizadas de PDFs — destinados a induzir um sistema de IA a produzir um resultado específico ao processar aquela peça. No ambiente forense, a técnica pode, em tese, contaminar resumos automáticos lidos por servidores, magistrados ou triagens algorítmicas, criando assimetrias indevidas entre as partes. Trata-se de modalidade nova de fraude documental eletrônica, ainda sem tipificação penal específica, mas que pode atrair enquadramentos do Código Penal e da legislação processual.

O que foi decidido

Não se trata de decisão judicial, mas de posicionamento institucional do TJSP. O tribunal afirmou ter detectado pelo menos cinco casos concretos de tentativa de prompt injection em processos sob sua jurisdição e informou estar investindo no desenvolvimento de mecanismos próprios de detecção de comandos maliciosos embutidos em peças. A administração do tribunal reforçou que o emprego de IA tem caráter exclusivamente auxiliar, sem substituição da atividade decisória. Como sintetizou o magistrado responsável pela área, "quem julga é o juiz ou o desembargador", reafirmando o princípio da indelegabilidade da função jurisdicional.

Base normativa e precedentes

• Art. 93, IX, CF/88 — exige fundamentação das decisões judiciais, o que pressupõe controle humano efetivo sobre eventuais saídas geradas por IA.
• Resolução CNJ 332/2020 — estabelece os princípios de transparência, não discriminação, supervisão humana e prestação de contas no uso de IA pelo Judiciário.
• Resolução CNJ 615/2025 — atualiza a governança da IA nos tribunais, com exigências de auditabilidade, classificação de risco e responsabilização.
• Lei 13.709/2018 (LGPD) — incide sobre o tratamento de dados pessoais por sistemas de IA judiciais, exigindo bases legais e medidas de segurança.
• Art. 77 do CPC (Lei 13.105/2015) — impõe às partes deveres de lealdade e veracidade, vedando condutas que embaracem o regular andamento processual.
• Arts. 80 e 81 do CPC — autorizam a aplicação de multa por litigância de má-fé, hipótese aplicável a quem deliberadamente insere comandos ocultos para manipular sistemas automatizados.
• Art. 299 do Código Penal — falsidade ideológica, potencialmente aplicável quando o documento processual é instrumentalizado para induzir o sistema (e, por consequência, agentes públicos) a erro.
• Estatuto da OAB (Lei 8.906/1994), art. 34 — prevê infrações disciplinares para advogados que atuem com deslealdade ou má-fé processual.

Impacto prático

A confirmação oficial de tentativas de manipulação algorítmica em processos produz efeitos imediatos para diversos atores:

• Advocacia — peças produzidas com auxílio de ferramentas de IA devem ser revisadas para evitar a inclusão involuntária de instruções embutidas; escritórios passam a ter dever reforçado de compliance digital sobre seus modelos e templates.
• Magistrados e servidores — qualquer resumo, classificação ou minuta gerada por IA exige conferência crítica com o conteúdo integral dos autos, sob pena de comprometer a fundamentação.
• Partes e empresas — eventuais fraudes podem gerar multa por litigância de má-fé, anulação de atos processuais e responsabilização cível e criminal.
• Tribunais — pressão para implementar filtros técnicos (detecção de texto oculto, normalização de PDFs, análise de metadados) e políticas internas de uso seguro de IA.
• Setor regulado — sistemas privados de legaltech que se integram aos tribunais terão de demonstrar robustez contra injeção de prompts, sob pena de exclusão de credenciamentos.

O que observar

O episódio paulista deve impulsionar discussões em três frentes. A primeira é regulatória: o CNJ tende a editar orientações específicas sobre detecção de prompt injection, e a tramitação do PL 2338/2023 (marco legal da IA) pode incorporar dispositivos voltados à integridade de sistemas públicos. A segunda é técnica: tribunais precisarão padronizar saneamento de documentos eletrônicos antes do processamento por IA, com sanitização de PDFs e bloqueio de caracteres invisíveis. A terceira é disciplinar e penal: caberá ao Judiciário definir critérios objetivos para diferenciar erro técnico de dolo, parametrizando a aplicação de multas e eventuais representações à OAB e ao Ministério Público. Profissionais devem documentar o fluxo de produção de suas peças e adotar políticas internas de auditoria, sob risco de responderem por condutas que sequer praticaram conscientemente.