A Gen AI está reduzindo o custo das ações legais — as empresas precisam se preparar

• A IA está tornando mais fácil e barato para clientes, funcionários, concorrentes e órgãos reguladores tomarem medidas legais
• Os riscos jurídicos do futuro devem surgir na forma de investigações legais semelhantes a ataques de phishing na internet, produzidas em massa em vez de serem pessoais, e iniciadas por diversos agentes
• Quando organizadas, podem avançar de forma a incapacitar o alvo por meio de um influxo de tráfego, como em um ataque DDoS
• As empresas devem se inspirar nas respostas da cibersegurança e rapidamente estabelecer identificação de vulnerabilidades, análise de impacto, medidas de mitigação de risco e estratégias de comunicação com stakeholders

Possibilidade de transformação radical dos serviços jurídicos

• No ano passado, o Departamento do Tesouro dos EUA propôs uma regra para ampliar a divulgação de informações sobre criptomoedas a fim de prevenir evasão fiscal
• O setor de criptomoedas reagiu fortemente, argumentando que as exigências eram amplas demais
• Uma comunidade de desenvolvedores e advogados chamada "LexPunk Army", que oferece apoio jurídico ao setor de finanças descentralizadas, lançou um bot de IA que permitia a qualquer pessoa enviar comentários sobre a proposta de regra
• Graças a esse bot, ficou fácil enviar comentários no formato correto, o envio em massa atrasou a medida do Tesouro e criou a base para futuras contestações legais
• Normalmente, uma nova regulação recebe cerca de 3 comentários, mas essa proposta recebeu 120 mil
• A regra final foi amplamente suavizada, e a Blockchain Association afirmou que isso refletia a forte voz do setor e da comunidade
• Isso levanta a questão de saber se foi uma vitória pontual de um pequeno grupo fluente em tecnologia e direito, ou se causará uma desorganização ampla na forma como indivíduos e empresas usam instrumentos jurídicos
• Acreditamos que seja a segunda hipótese, e a vemos como um caso típico de tecnologia amplificando radicalmente serviços e processos jurídicos, criando ao mesmo tempo oportunidades e desafios para governos e empresas

Um cenário global instável

• Não é só a digitalização do direito que está mudando; a conjuntura global também está mudando
• Hoje, o mundo vive uma situação de aumento geral da exposição jurídica devido à instabilidade geopolítica e ao enfraquecimento do Estado de Direito
• Os mecanismos jurídicos tradicionais que regulavam o comportamento das empresas estão ruindo
  • O sistema de solução de controvérsias da OMC foi paralisado
  • Novas guerras significam novas sanções
  • Países estão introduzindo regulações próprias, criando regras complexas de compliance
  • Políticos ameaçam processar concorrentes e contestar resultados eleitorais em jurisdições tradicionalmente livres e justas
• Esse caos cria novos riscos jurídicos para empresas globais
• Segundo uma pesquisa de 2022, 99% dos responsáveis jurídicos internos disseram que os problemas legais aumentaram significativamente e ficaram mais complexos
• Medidas legais podem vir de concorrentes, funcionários, clientes e órgãos reguladores, todos em busca de ganhos econômicos ou políticos

A redução dos custos jurídicos

• As empresas gastam centenas de milhões de dólares por ano com serviços jurídicos
• Empresas que pagam milhares de dólares por hora a advogados podem não sentir que os custos legais estejam caindo, mas uma mudança fundamental é esperada
• Tomando como exemplo o envio de comentários sobre a proposta do Tesouro para regras de criptomoedas, com cerca de 100 mil palavras,
  • Se uma pessoa comum lê 225 palavras por minuto, só a leitura da proposta levaria 8 horas
  • Redigir uma resposta poderia levar mais 2 horas
  • Isso considera apenas o tempo para compreender e responder, sem incluir análise
  • Aplicando uma taxa corporativa média de US$ 500 por hora, 10 horas custariam US$ 5.000
  • Se advogados mais caros realizarem trabalho mais amplo, o custo pode ser muito maior
• Porém, ao inserir a proposta em um grande modelo de linguagem (LLM), ele gerou em poucos minutos um resumo conciso e fácil de entender
• Ao atribuir ao LLM papéis diferentes, como corretor de bitcoin ou comprador de bitcoin, ele explicou por que cada perfil deveria se importar com a regra e ainda redigiu comentários que poderiam ser enviados
  • Na prática, isso quase não exige tempo nem custo
• E se essas ferramentas forem usadas contra uma empresa?
  • E se um concorrente ameaçado pela entrada da empresa em um novo mercado usar ferramentas de IA para vasculhar informações públicas e mover centenas de ações por violação de copyright, infração de propriedade intelectual e apropriação de segredo comercial?
  • Se você administra um pequeno restaurante ou café, e se cada smartphone que entra no local puder capturar o comportamento dos funcionários e, com apenas alguns cliques, abrir uma ação por discriminação?
  • E se um cliente insatisfeito puder, com alguns cliques em uma plataforma, apresentar uma reclamação que resulte em indenização maior e em honorários advocatícios superiores ao valor de um acordo?
• As empresas muitas vezes escapam de punição mesmo quando cometem ilegalidades porque o custo de enfrentá-las legalmente é alto
• Funcionários, clientes e concorrentes são cautelosos porque disputas judiciais consomem tempo, dinheiro e atenção
• Mas, quando a ação legal se torna muito mais fácil, mais processos serão movidos
• Isso nivela o campo competitivo ao eliminar a vantagem assimétrica de empresas com abundância de recursos jurídicos e expertise
• Em alguns casos, isso ajuda a fazer justiça; em outros, estimula ataques injustos
• De todo modo, abre para as empresas um novo mundo de riscos jurídicos

Um novo risco cibernético

• O risco jurídico pode parecer algo pouco familiar, mas a cibersegurança lida há décadas com riscos em massa e oferece lições úteis para responder à onda de ações legais que está por vir
• Imagine centenas de empresas compartilhando dados sobre os tipos de medidas legais que enfrentam e sobre os motores tecnológicos que as geram, ou investindo juntas em tecnologia para compartilhamento e redução de vulnerabilidades
  • Isso é comum em cibersegurança
  • De CVE (Common Vulnerabilities and Exposures) a NVD (National Vulnerability Database), governos, empresas, academia e caçadores de bug bounty perceberam a importância do compartilhamento de informações
• No entanto, é difícil imaginar CEOs ou diretores jurídicos achando uma boa ideia compartilhar vulnerabilidades e exposições legais de suas empresas
  • Eles se oporiam imediatamente por razões como privilégio advogado-cliente, confidencialidade e risco de violação antitruste
  • Esse cálculo se baseia em uma estrutura familiar de risco jurídico: uma medida legal específica por parte de um ator específico
• Mas o risco jurídico do futuro terá a forma de investigações legais semelhantes a ataques de phishing na internet
  • Em vez de pessoais, serão produzidas em massa e iniciadas por múltiplos agentes
  • Quando organizadas, podem incapacitar o alvo por meio de um volume de tráfego, como em um ataque DDoS
  • Isso é semelhante à tentativa de sobrecarregar o Tesouro com uma avalanche de comentários
• Ataques DDoS são tratados como incômodo menor até que, de repente, se tornem graves
  • Assim como requisições a servidores fazem parte da internet, comentar uma proposta regulatória ou registrar uma reclamação de cliente faz parte do direito administrativo e do exercício de direitos do consumidor
  • Mas, quando requisições demais chegam de uma só vez, o sistema entra em colapso
• Em cibersegurança, a noção básica é que a instabilidade cibernética faz mal para todos, exceto criminosos e agentes hostis
  • As empresas também podem ser responsabilizadas por não proteger a si mesmas e dados sensíveis de clientes, mas na maioria dos casos são vistas como vítimas
  • Os ataques Petya (2016) e NotPetya (2017) exploraram a mesma vulnerabilidade para criptografar arquivos de usuários, mas tinham objetivos diferentes
    • Petya era um ransomware distribuído por criminosos, no qual era preciso pagar para recuperar os dados
    • NotPetya supostamente foi disseminado pela Rússia com o objetivo de destruir dados
    • Em ambos os casos, empresas afetadas como a Maersk foram vistas como vítimas
• Podemos realmente afirmar com certeza que agentes estatais como a Rússia não lançarão ataques semelhantes por meio de empresas ou de sistemas jurídicos já sobrecarregados?
  • Coreia do Norte, Rússia e Irã criticam os EUA por racismo e desigualdade no acesso à Justiça
  • Eles também poderiam constranger os EUA e enfraquecer a confiança em grandes empresas ao oferecer serviços de litígio baseados em IA para clientes irritados ou concorrentes
• Extorsionários são limitados pelo risco de punição, mas perseguir estratégias jurídicas agressivas é legal
  • Pior ainda, é fácil convencer a si mesmo de que esse ataque é uma forma eficiente de promover justiça e corrigir desequilíbrios de poder
• À medida que as ameaças jurídicas aumentarem, ficará mais difícil identificar quem está atrás do dinheiro e quem quer apenas impor um doloroso e constrangedor processo de discovery sem ter de arcar com o custo do ataque
  • Em um contexto no qual será difícil separar informação de ruído, serão necessárias novas técnicas para filtrar riscos jurídicos
  • Combater IA com IA será um resultado natural

Uma nova camada de defesa jurídica

• Hoje, as empresas tratam riscos jurídicos relevantes no conselho, e medidas legais e casos só entram no radar de risco corporativo quando atingem determinado limiar de materialidade
  • Mas esse não é o filtro correto para os riscos jurídicos do futuro
• Para se preparar para essa nova realidade, é preciso se inspirar na resposta da cibersegurança
  • É necessário identificar rapidamente vulnerabilidades, ameaças emergentes e impactos potenciais, medidas de mitigação e estratégias de comunicação com stakeholders internos e externos
  • O escritório DLA Piper trabalha com empresas em exercícios de "red team jurídico" para identificar vulnerabilidades
• Primeiro, estabeleça abordagens e estratégias centrais
  • Isso pode orientar decisões de investimento em tecnologia para responder ao aumento do risco jurídico
  • Claro, a velha abordagem de colocar mais gente — contratar mais advogados internos ou terceirizar para escritórios — ainda deve funcionar por algum tempo
• Em seguida, as equipes de estratégia corporativa e jurídico devem analisar juntas a situação atual
  • Quais são os mercados centrais? Onde estão os concorrentes dispostos a tudo por participação?
  • A quais regimes jurídicos a empresa está exposta e como eles funcionariam diante de ataques legais massivos baseados em IA?
  • Há lugares dos quais valeria a pena sair? Que medidas de mitigação podem reduzir a vulnerabilidade desde já?
• Monitorar tendências globais também é importante
  • Não existe um sistema CVE para risco jurídico, mas há abundância de dados graças à digitalização do trabalho jurídico e aos esforços para tornar os sistemas judiciais mais transparentes
  • Somar isso aos dados já existentes de risco jurídico pode ser um excelente ponto de partida
• Quando os riscos forem identificados, monte uma equipe de resposta e desenhe sistemas e processos de resposta
  • Revise frameworks de boas práticas em cibersegurança, como o NIST CSF 2.0, e discuta com sua equipe interna de cibersegurança
  • Os líderes jurídicos podem aprender muito com a forma como CISOs operam um SOC
• Procure parceiros externos dispostos a colaborar
  • Associações setoriais, parceiros e alguns órgãos governamentais podem trabalhar juntos em respostas abrangentes a determinados tipos de ataque
  • Uma ofensiva leviana de alegações de propriedade intelectual pode servir de base para lobby por apoio regulatório ou legislativo
• Por fim, uma ressalva: não subestime esse risco
  • Com ajuda da tecnologia, o Tesouro teve de processar 120 mil comentários
  • "Prepare-se antes que venha a inundação jurídica"