É possível que uma plataforma de investimentos em criptomoedas se exima da responsabilidade por transações fraudulentas alegando invasão por terceiros, mesmo sem comprovar a segurança e a regularidade da operação?
NÃO.
O caso concreto foi o seguinte: o Tribunal de origem afastou a responsabilidade da plataforma com base em dois fundamentos principais: (i) a conclusão de que a perda dos ativos digitais resultou de culpa exclusiva do autor da ação e de terceiros (hackers); e (ii) a ausência de falhas no sistema de segurança da empresa, imputando ao próprio usuário a responsabilidade por negligência na proteção de seus dados pessoais.
Contudo, esse entendimento diverge da jurisprudência consolidada do STJ, segundo a qual as instituições financeiras respondem objetivamente pelos danos causados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias (Súmula n. 479).
Importa destacar que as corretoras que intermediam a compra e venda de criptoativos são equiparadas a instituições financeiras, uma vez que figuram no rol de entidades autorizadas, reguladas e supervisionadas pelo Banco Central do Brasil, nos termos do art. 17 da Lei n. 4.595/1964.
Nessa condição, aplica-se à referida empresa o regime jurídico de responsabilidade objetiva previsto no art. 14 do Código de Defesa do Consumidor, sendo afastada apenas mediante demonstração inequívoca de culpa exclusiva do consumidor ou de terceiro (art. 14, § 3º, II, do CDC).
No caso analisado pelo STJ, a plataforma adotou procedimentos de autenticação para a realização de transações, consistentes na inserção de login, senha, número PIN e confirmação por meio de link enviado ao e-mail do usuário. Assim, para eximir-se de responsabilidade pela transação fraudulenta, incumbia à empresa comprovar que o cliente realizou pessoalmente todos os atos necessários à autorização da operação, inclusive a confirmação do e-mail.
Entretanto, a plataforma não apresentou o comprovante de envio e confirmação do e-mail referente à transação contestada, prova essencial à demonstração da regularidade do procedimento. A ausência desse elemento compromete a alegação de inexistência de falha no serviço e impede a caracterização de culpa exclusiva do consumidor.
Ainda que se considere a hipótese de ataque externo por terceiros (invasão hacker), tal circunstância configura fortuito interno, inerente à própria atividade desempenhada pela plataforma, e, portanto, não é apta a excluir sua responsabilidade civil, conforme pacífica jurisprudência do STJ. A segurança da estrutura tecnológica é dever da prestadora de serviços, e eventual vulnerabilidade não pode ser imputada ao consumidor.
Registre-se, por fim, que a jurisprudência que afasta a responsabilidade de instituições financeiras em casos de saques com uso de cartão e senha pessoal não se aplica à presente hipótese. As transações com criptoativos envolvem protocolos de segurança distintos, com autenticação em dois fatores, inexistindo similitude fática que justifique analogia.
RESUMO: As plataformas destinadas às transações de criptomoedas respondem objetivamente por transação fraudulenta quando verificado que a transferência de bitcoins ocorreu mediante utilização de login, senha e autenticação de dois fatores.
REsp 2.104.122-MG, Rel. Ministra Maria Isabel Gallotti, Quarta Turma, por unanimidade, julgado em 20/5/2025, DJEN 28/5/2025.
