A Quarta Turma do Superior Tribunal de Justiça (STJ) decidiu que plataformas de criptomoedas respondem de forma objetiva por fraudes, independentemente do uso de medidas de segurança, como login, senha e autenticação de dois fatores. A decisão reforça a responsabilidade das instituições financeiras que operam nesse setor diante de falhas no sistema.
Plataforma de criptomoedas é responsável por falhas de segurança
O julgamento foi motivado por um caso em que um usuário teve 3,8 bitcoins — avaliados na época em aproximadamente R$ 200 mil — subtraídos de sua conta, durante uma tentativa de transferência de 0,00140 bitcoins. O sistema não gerou o email de confirmação da operação, fato que motivou a responsabilização da plataforma.
Segundo o usuário, a falha estaria relacionada ao mecanismo de dupla autenticação, que exige login, senha e validação por email, procedimento que, no seu caso, não foi cumprido na transação fraudulenta. A plataforma alegou que a fraude ocorreu por invasão hacker no computador do usuário, não por falha do sistema.
Na primeira instância, a empresa foi condenada a devolver a quantia e pagar R$ 10 mil de indenização por danos morais, por não comprovar a invasão hacker ou a autorização do usuário. No entanto, o Tribunal de Justiça de Minas Gerais (TJMG) interpretou que a culpa era exclusiva do usuário ou de terceiros, afastando a responsabilidade da plataforma.
Responsabilidade das instituições financeiras segundo o STJ
A relatora, ministra Isabel Gallotti, reforçou que a jurisprudência do STJ consolidou a responsabilidade objetiva de instituições financeiras por danos decorrentes de fraudes realizadas por terceiros, nos termos da Lei 4.595/1964, artigo 17. Essa responsabilidade é aplicada às plataformas de criptomoedas, consideradas instituições financeiras autorizadas pelo Banco Central.
“O entendimento é de que, em caso de fraude, a responsabilidade recai sobre a plataforma, salvo prova de causa excludente, como culpa exclusiva da vítima ou de terceiros”, destacou a ministra.
Hacker não exime responsabilidade da plataforma
A ministra salientou que a empresa deve demonstrar que o usuário agiu de forma indevida, como liberar informações pessoais ou confirmar a transação por email. No caso analisado, a plataforma não apresentou o email de autorização da operação, tornando a responsabilidade da falha de segurança evidente. Assim, a ocorrência de ataque hacker não exime a instituição de sua responsabilidade pela segurança do sistema.
Leia o acórdão completo no REsp 2.104.122.
