O artigo visa examinar as dificuldades da tipificação do ransomware no Direito Penal brasileiro, para cumprimento dos compromissos da Convenção de Budapeste contra o cibercrime, pela gravidade dos ataques cibernéticos contra empresas e a inadequação de vários projetos de lei sobre o tema, que não tutelam os vários bens jurídicos lesados nesse delito, quais sejam privacidade, patrimônio e segredos comerciais, e não definem o seu sujeito passivo, que deve ser a pessoa jurídica, bem como não o tipifica como sequestro digital, conforme revisão bibliográfica e análise dos textos dos projetos de lei.

The article aims to examine the challenges of categorizing ransomware under Brazilian Criminal Law, to fulfill the commitments of the Budapest Convention on cybercrime, due to the severity of cyberattacks against companies and the inadequacy of various proposed bills on the subject, which do not protect the multiple legal interests harmed by this crime, such as privacy, property, and trade secrets. Furthermore, these bills fail to define the victim, which should be the legal entity, and do not classify ransomware as digital kidnapping, as highlighted by a literature review and analysis of the proposed legislation.