O Brasil figura entre os países com os maiores índices de ataques cibernéticos no mundo, sendo que o custo médio de um ataque gira em torno de R$ 6,5 milhões para o mercado nacional¹. Discussões sobre as possíveis causas e medidas para mitigar esse expressivo ônus econômico vêm sendo conduzidas tanto pelo Poder Executivo - com a criação do Comitê Nacional de Cibersegurança² - quanto pelo Poder Legislativo³.

Embora as razões para essa vulnerabilidade sejam diversas - como a falta de conhecimento e capacitação das empresas sobre a importância do tema, além da atuação ainda limitada da Autoridade Nacional de Proteção de Dados no tocante à aplicação de sanções por incidentes de segurança envolvendo dados pessoais -, um dos principais fatores passa, necessariamente, por questões de ordem financeira.

Em um cenário de riscos sancionatórios reduzidos, a cibersegurança pode ser percebida como um passivo pelas empresas, uma vez que não exerce influência direta sobre o crescimento das atividades. É nesse contexto que a reforma tributária de 2024 pode gerar um efeito positivo, ao incentivar o setor produtivo brasileiro a modificar sua visão sobre o tema: trata-se da possibilidade de creditamento do IBS e da CBS sobre os gastos com serviços de cibersegurança.

O presente artigo busca analisar como esse efeito pode se concretizar, iniciando por um panorama do mercado de cibersegurança e aprofundando a análise sobre como o novo mecanismo de creditamento pode estimular investimentos no setor.

Inicialmente, é importante destacar que o contexto das ameaças no ambiente digital envolve diferentes naturezas: desde golpes baseados em engenharia social - que nem sempre utilizam softwares maliciosos - até invasões de sistemas por criminosos que visam o enriquecimento ilícito, ou mesmo ações de influência estrangeira que podem comprometer a segurança nacional, sem necessariamente visar ganhos financeiros.

A diversidade de atores envolvidos é agravada pelo crescimento da chamada "internet das coisas": dispositivos eletrônicos do cotidiano estão cada vez mais conectados à internet. Um dos principais movimentos recentes na tentativa de conter os danos decorrentes desse fenômeno é a atuação da Anatel - Agência Nacional de Telecomunicações contra marketplaces que intermedeiam a venda de aparelhos celulares sem homologação, os quais podem apresentar vulnerabilidades relevantes⁴.

Diante da inexistência de uma regulação específica sobre cibersegurança e da ausência de uma distribuição clara de competências fiscalizatórias e sancionatórias no Brasil⁵, a discussão sobre o tema vem sendo conduzida sob duas perspectivas principais: (i) a cibersegurança como prestação de serviço no modelo business to business; e (ii) a conscientização dos cidadãos sobre medidas básicas de proteção e identificação de golpes.

Embora a segunda perspectiva seja relevante, ela é especialmente vulnerável, visto que as táticas de golpes digitais que visam o ser humano evoluem constantemente, aproveitando-se da disseminação de novas tecnologias - como é o caso das fraudes associadas ao pix.

A primeira perspectiva, por sua vez, demanda maior incentivo no país, pois tem o potencial de mitigar até mesmo os danos decorrentes de ataques voltados ao fator humano. O mercado de cibersegurança no Brasil é majoritariamente composto por uma cadeia heterogênea de serviços, que vai desde a revenda de softwares de proteção - como antivírus corporativo, firewalls de próxima geração e plataformas de autenticação multifator - até serviços especializados de resposta a incidentes, detecção de ameaças e consultoria técnica. Nos últimos anos, ganhou destaque o modelo "as a Service", como o MDR - Managed Detection and Response e SOC-as-a-Service, que oferecem monitoramento contínuo e resposta a incidentes por assinatura mensal. Esse modelo reduz o custo inicial para pequenas e médias empresas, mas aumenta o gasto recorrente - o que reforça a importância do regime de creditamento no IBS e CBS para neutralizar esse custo na cadeia tributária.

Considerando essa cadeia, que envolve atividades de desenvolvimento e, muitas vezes, a contratação de sistemas específicos de suporte, a cessão de direitos de representação comercial e a prestação de serviços continuados (com pagamentos periódicos ou aquisições únicas), diversas questões tributárias vinham onerando o consumidor final. Com a adoção do regime de não cumulatividade previsto pela reforma tributária, essas distorções tendem a ser significativamente atenuadas, alterando de forma relevante a dinâmica econômica do setor.

Um dos princípios que norteiam o IBS e a CBS é a não cumulatividade. A Constituição Federal estabelece que o IBS devido pelo contribuinte será compensado com o montante cobrado sobre todas as operações nas quais seja adquirente de bem material ou imaterial, incluindo direito, ou ainda de serviço.

Portanto, a regra geral estabelece que qualquer aquisição de bens ou serviços tributados pelo IBS e pela CBS autoriza o aproveitamento de créditos pelo contribuinte. No entanto, haverá exceções previstas constitucionalmente no que tange às operações consideradas de uso ou consumo pessoal detalhadas em lei complementar e as hipóteses já previstas na Constituição.

Nesse contexto, verifica-se que apesar de haver uma regra ampla de creditamento, existe espaço e competência para restrições ao direito de se creditar, a partir do que se compreende da expressão uso e consumo pessoal, como é o caso de joias, pedra e metais preciosos, obras de arte e antiguidades com valor histórico, bebidas alcoólicas e derivados do tabaco, armas e munições e bens e serviços recreativos, esportivos e estéticos.

Vale ressaltar que o próprio texto constitucional forneceu parâmetros para balizar a apropriação de créditos. Admite-se que o creditamento esteja vinculado ao concreto recolhimento do IBS e da CBS nas operações referentes às etapas anteriores, nos termos do art. 156-A, parágrafo 1º, inc. I da CF.

Ora, essa exceção deve ser estabelecida em lei complementar e condicionada à existência de mecanismo que viabilize o recolhimento dos tributos pelo real adquirente ou ainda instrumento de recolhimento na liquidação financeira (split payment). O art. 36 ao prever o recolhimento pelo adquirente e delimitar a implementação do sistema conhecido como split payment⁶, nos termos do art. 31, a LC 214 de 2025 condicionou o direito ao crédito ao recolhimento efetivo do IBS e da CBS na etapa antecedente de fornecimento.

Como requisito, temos então que esta aquisição de um bem ou mesmo de um serviço precisa estar relacionada a um fornecimento em que fora tributado e em que tenha extinção dos tributos mencionados relacionados a modalidades de pagamentos exigidas no art. 47 da LC 214/25. Nesse sentido, as operações com imunidade, isenção ou sujeitas a alíquota zero, diferimento ou suspensão, nas quais, portanto, não há necessidade de recolhimento do IBS e CBS, não haverá possibilidade de creditamento por parte do contribuinte.

No que se refere, especificamente a operações imunes ou isentas, haverá a possibilidade de estorno dos créditos anteriormente apropriados, exceto nas hipóteses de operações imunes, como é o caso das exportações, operações que envolvam livros ou serviço de comunicação de recepção livre e gratuita.

A vinculação com os recolhimentos dos tributos em etapas anteriores também possibilidade uma relevante mudança e avanço entre a não cumulatividade do IBS e CBS quando analisado com regras ainda vigentes de PIS, COFINS e ICMS. O recolhimento integral e de forma imediata não estará condicionado a incorporação do bem adquirido no ativo imobilizado do contribuinte. Logo, a perspectiva de vida útil de utilização daquele bem não terá impacto no momento do direito ao crédito.

No que se refere diretamente aos gastos com cibersegurança, que envolvem, por exemplo, contratação de serviços de monitoramento, firewalls, auditorias de vulnerabilidade, é perfeitamente plausível entender que estes se enquadram como insumos ou serviços essenciais à atividade empresarial, tendo em vista que tal investimento pode prevenir o vazamento de dados sensíveis da empresa, assegurando a confidencialidade das informações.

Quanto aos demais requisitos, afirma-se também que os gastos com cibersegurança não se encontram na categoria daqueles de "uso e consumo pessoal", posto que referido investimento é feito com o intuito claro de proteger informações sensíveis para a empresa. Por fim, também não há qualquer vedação expressa em norma constitucional ou complementar ao creditamento desses valores. Em suma, entende-se que é possível concluir que tais gastos gerariam direito a crédito do IBS e da CBS.

A regra geral estabelecida na reforma determina que o creditamento ocorrerá de maneira integral e automática, sempre que se demonstrar o recolhimento de IBS e CBS na etapa antecedente do fornecimento. Isso facilitará e não demandará controle de creditamento à medida da depreciação daquele bem, da amortização ou da realização.

Vale ressaltar que as empresas do setor demonstraram, durante a tramitação da PEC da reforma, certa preocupação quanto à necessidade de que seja demonstrado o recolhimento dos tributos nas etapas anteriores ao fornecimento para que surja o direito ao crédito. Em audiência realizada em agosto de 2024 na CAE - Comissão de Assuntos Econômicos do Senado, Sérgio Sgobbi, diretor de relações governamentais da TIC - Associação das Empresas de Tecnologia da Informação e Comunicação e de Tecnologias Digitais - Brasccom, ressaltou que referido requisito pode limitar o creditamento gerado a partir dos gastos com serviços de tecnologia, desincentivando o gasto com essa ferramenta essencial.⁷ 

Quanto aos prazos de ressarcimentos, estes serão de até 30 dias, contados da solicitação realizada pelos contribuintes enquadrados em programas de conformidade desenvolvidos pelo Comitê Gestor do IBS e pela própria Receita Federal do Brasil que envolva créditos relacionados a aquisição de ativos imobilizados ou mesmo créditos até 150% da média do mês da diferença entre créditos e débitos de IBS e CBS.

O prazo poderá se estender até 60 dias contados do requerimento para contribuintes não inseridos em programas de conformidade e que envolvam créditos das mesmas naturezas mencionadas acima. Nos casos remanescentes, o prazo poderá ser de até 180 dias também contados da solicitação do contribuinte.

O art. 53, §§ 1º e 2º, da LC 214/25, estabelecem, ainda, que os créditos do IBS e da CBS poderão ser ressarcidos - uma alternativa para o contribuinte possua créditos suficientes de outras fontes, por exemplo - e que estes serão apropriados e compensados ou ressarcidos pelo seu valor nominal, vedadas correção ou atualização monetária, sem prejuízo das hipóteses de acréscimos de juros relativos a ressarcimento.

Em síntese, o creditamento das despesas com cibersegurança no IBS e na CBS encontra sólido respaldo no princípio da não cumulatividade consagrado pela Constituição. Esse entendimento promove maior segurança jurídica para as operações empresariais e estimula investimentos na proteção do ambiente digital. Assim,  com fulcro na legislação complementar atualmente em vigor, reconhece-se a viabilidade e a relevância do aproveitamento desses créditos como instrumento de fortalecimento da infraestrutura de segurança da informação.