Controvérsia
A controvérsia analisada no REsp 2.104.122-MG pelo Superior Tribunal de Justiça (STJ) consistiu em definir se as plataformas de intermediação de criptomoedas respondem objetivamente por transações fraudulentas realizadas mediante uso de credenciais de segurança do usuário (login, senha e autenticação em dois fatores), em casos em que não se comprova a atuação negligente do titular da conta.
Conceitos necessários ao entendimento da ação
Para adequada compreensão do julgamento, é necessário compreender os seguintes conceitos:
Instituição financeira: Segundo o art. 17 da Lei n. 4.595/1964, são instituições financeiras as pessoas jurídicas que têm como atividade principal ou acessória a coleta, intermediação ou aplicação de recursos financeiros próprios ou de terceiros.
Responsabilidade objetiva: Prevista no art. 14 do CDC, decorre da atividade empresarial e prescinde da demonstração de culpa, bastando o nexo entre o serviço prestado e o dano experimentado.
#Súmula 479-STJ: As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.
Fortuito interno: refere-se a riscos inerentes à atividade empresarial (como fraudes praticadas por terceiros no ambiente do serviço bancário ou digital) e não afasta a responsabilidade objetiva.
Fortuito externo: fortuito imprevisível e inevitável, pode excluir o dever de indenizar.
Caso concreto didático
Imagine-se que Ana, usuária de uma plataforma de intermediação de bitcoins chamada CriptoFácil, tenha sofrido a subtração de todo o seu saldo em bitcoins, que foi transferido para terceiros de forma suspeita. A plataforma sustenta que não houve falha de segurança, pois a transação foi validada mediante login, senha e link de autenticação enviado ao e-mail de Ana. Contudo, não apresenta o suposto e-mail de confirmação. Ana, então, ajuíza ação buscando ressarcimento dos valores desviados.
Nesse cenário, a plataforma pode ser responsabilizada objetivamente pela transação fraudulenta?
Sim. As plataformas destinadas às transações de criptomoedas respondem objetivamente por transação fraudulenta quando verificado que a transferência de bitcoins ocorreu mediante utilização de login, senha e autenticação de dois fatores.
Responsabilidade objetiva das plataformas de criptoativos
O STJ reforçou entendimento consolidado no sentido de que instituições financeiras respondem objetivamente por danos causados por fraudes realizadas em seus sistemas, quando relacionadas a fortuitos internos. Transpondo essa lógica às plataformas de criptoativos, o Tribunal afirmou que:
“Portanto, a corretora de intermediação de compra e venda de criptomoedas é instituição financeira, constando, inclusive, da lista de instituições autorizadas, reguladas e supervisionadas pelo Banco Central do Brasil – BACEN (Lei n. 4.595/1964, art. 17)”.
Assim, sua atuação submete-se à disciplina do Código de Defesa do Consumidor e, havendo falha no serviço — inclusive por ataques cibernéticos — a responsabilidade é objetiva, conforme art. 14, § 3º, II, do CDC, salvo se demonstrada culpa exclusiva da vítima ou de terceiro.
A insuficiência da comprovação da cadeia de segurança
A Corte destacou que, no caso concreto, a plataforma não conseguiu demonstrar que a usuária realizou todas as etapas de segurança (login, senha, PIN e link de confirmação por e-mail). Consta expressamente no acórdão:
“Na hipótese, a corretora não apresentou o e-mail de confirmação da transação, sendo que esta prova era indispensável para afastar a sua responsabilidade pelo desaparecimento das criptomoedas.”
Nesse contexto, aplicou-se o art. 373, II e § 1º, do CPC: cabe à parte ré demonstrar os fatos que impediriam o acolhimento do pedido, especialmente se pretende demonstrar culpa exclusiva da vítima.
Impossibilidade de reconhecimento de fortuito externo em ataques cibernéticos
Ainda que se alegue que o ataque foi praticado por “hackers”, o STJ foi categórico ao afirmar:
“Se a plataforma não tem segurança adequada para combater ataques cibernéticos, a responsabilidade por isso é dela, e não dos seus clientes, usuários da plataforma.”
Assim, fraudes praticadas por terceiros no ambiente da plataforma caracterizam fortuito interno, o que não afasta o dever de indenizar, conforme reiterada jurisprudência da Corte (Súmula 479/STJ).
Inaplicabilidade da jurisprudência de saques com cartão magnético
A Ministra Relatora também afastou a analogia com a jurisprudência que não reconhece a responsabilidade das instituições financeiras por saques feitos com uso de cartão e senha pessoal, destacando que:
“Por fim, cabe destacar que, embora a jurisprudência do STJ afaste a responsabilização de instituições financeiras por saques indevidos, na hipótese de uso de cartão magnético e senha pessoal, no caso, diante da dinâmica da operação envolvendo bitcoins, que nem sequer envolve cartão, mas dupla autenticação, esse entendimento não se aplica.”
Conclusão
O julgamento afirma a responsabilidade objetiva das plataformas de criptoativos por transações fraudulentas, especialmente quando não demonstrada, de forma cabal, a culpa exclusiva da vítima ou de terceiros. A ausência de segurança robusta para mitigar ataques cibernéticos, bem como a falha em comprovar a autenticação do cliente na transação fraudulenta, impõem o dever de indenizar.
O julgado aplica corretamente os princípios do Código de Defesa do Consumidor, da boa-fé objetiva, da responsabilidade objetiva e da inversão do ônus da prova, reforçando a proteção ao usuário em ambiente digital complexo e sujeito a riscos tecnológicos.
STJ. (REsp 2.104.122-MG, Rel. Ministra Maria Isabel Gallotti, Quarta Turma, por unanimidade, julgado em 20/5/2025, DJEN 28/5/2025 (info 853).
Cotejo com a jurisprudência.
No Informativo 719 do STJ decidiu-se que: O provedor de aplicações que oferece serviços de e-mail não pode ser responsabilizado pelos danos materiais decorrentes da transferência de bitcoins realizada por hacker.
No caso, o recorrente atribui à recorrida a responsabilidade pelos danos materiais suportados pois, segundo alega, ao acessar o seu e-mail, o hacker teve acesso à mensagem eletrônica contendo o link enviado pela empresa gerenciadora das criptomoedas.
Ocorre que o acesso à carteira de criptomoedas exige, necessariamente, a indicação da chave privada. Ou seja, ainda que a gerenciadora adote o sistema de dupla autenticação, qual seja, digitação da senha e envio, via e-mail, do link de acesso temporário, a simples entrada neste é insuficiente para propiciar o ingresso na carteira virtual e, consequentemente, viabilizar a transação das cryptocoins.
Deste modo, não configurado o nexo de causalidade, é descabida a pretendida responsabilidade pelo prejuízo material experimentado.
STJ. REsp 1.885.201-SP, Rel. Min. Nancy Andrighi, Terceira Turma, por unanimidade, julgado em 23/11/2021, DJe 25/11/2021 (info 719).
