1. Introdução
Nos últimos anos, o Brasil testemunhou uma verdadeira corrida aos criptoativos. Impulsionados pela promessa de alta valorização e pela busca por alternativas de investimento, milhões de brasileiros mergulharam nesse novo mercado, transformando o país em um dos principais polos globais do setor[1]. Contudo, onde há um fluxo intenso de capital, a criminalidade, invariavelmente, encontra um terreno fértil.
A sofisticação das fraudes digitais cresceu em paralelo, e hoje, golpes envolvendo engenharia social, ataques de phishing e invasões de contas por hackers, manipulação de carteiras digitais ou falhas nos sistemas de segurança de exchangesse tornaram uma realidade dolorosa para inúmeros investidores, que veem o patrimônio digital, acumulado com esforço, desaparecer de suas contas em questão de minutos.
Diante desse cenário, uma controvérsia jurídica se instalou nos tribunais: quem arca com o prejuízo? De um lado, as plataformas de negociação, conhecidas como exchanges, frequentemente se defendem alegando a culpa exclusiva da vítima — que teria fornecido suas senhas ou clicado em um link malicioso — ou o fato de terceiro, buscando afastar sua responsabilidade. De outro, os consumidores/investidores, sentindo-se desamparados, batem às portas do Judiciário em busca de reparação, argumentando que a falha primordial reside na falta de segurança oferecida pela plataforma que deveria proteger seus ativos.
Diante desse cenário, surge a discussão: as exchanges devem ser responsabilizadas por tais fraudes nos mesmos moldes das instituições financeiras tradicionais?
Essa indagação remete diretamente à Súmula 479 do Superior Tribunal de Justiça (STJ)[2], que estabeleceu a responsabilidade objetiva das instituições financeiras por fortuitos internos decorrentes de fraudes praticadas por terceiros.
2. O Ecossistema das Exchanges e o Dever de Segurança
As exchangesde criptoativos são plataformas digitais responsáveis por intermediar a compra, venda e, em muitos casos, a custódia desses ativos. Em termos práticos, funcionam como uma espécie de "corretora de criptoativos".
Contudo, não são meros intermediários neutros. Elas atuam em um ecossistema complexo, no qual desempenham papéis simultâneos:
- Intermediação de operações de compra e venda;
- Custódia de ativos digitais, muitas vezes concentrando grande volume de recursos de terceiros;
- Infraestrutura tecnológica, responsável por gateways de pagamento, carteiras digitais e integração com APIs;
- Gestão de dados pessoais e sensíveis, em conformidade com o CDC e a LGPD.
Esse ecossistema gera uma expectativa legítima do consumidor de que a exchange não apenas viabilizará a transação, mas também garantirá um ambiente seguro e resiliente a fraudes.
Justamente por desempenhar um ecossistema complexo se tornam alvos privilegiados de ataques cibernéticos e golpes sofisticados.
O dever de segurança (seja na dimensão tecnológica, informacional ou cooperativa) é cláusula implícita na relação de consumo entre exchanges[3]e investidores[4]. Seu descumprimento implica na responsabilidade objetiva[5] e no fortalecimento do argumento de que fraudes digitais são fortuitos internos, inerentes à atividade da exchange.
Ao se propor a guardar e gerenciar ativos digitais, a exchange atrai para si o risco inerente a essa atividade. Ataques de hackers e golpes de engenharia social não são eventos extraordinários; são, na verdade, ocorrências previsíveis e inerentes ao risco do negócio, que a doutrina denomina risco da atividade ou risco-proveito.
3. A Aplicação Analógica da Súmula 479 às Exchanges
Esse enunciado é fruto de diversos precedentes julgados pelo STJ em que correntistas sofreram prejuízos em razão de fraudes eletrônicas, falsificação de cheques, clonagem de cartões e transferências não autorizadas. O tribunal consolidou o entendimento de que tais eventos são inerentes ao risco da atividade bancária, não podendo ser atribuídos ao consumidor, parte hipossuficiente da relação.
A ratio decidendi (razão de decidir) da súmula é que o banco, que lucra com a atividade, tem o dever de investir em segurança para mitigar os riscos que ele mesmo cria. A sofisticação das fraudes evolui com a tecnologia, e a responsabilidade de combatê-las é da instituição, não do consumidor. A súmula, em essência, protege a parte vulnerável e impede que as instituições transfiram ao cliente o ônus de uma falha em seu dever de segurança.
Esta súmula sintetiza um entendimento pacificado: a responsabilidade civil das instituições financeiras é objetiva, bastando a demonstração do dano e do nexo causal, sem necessidade de comprovar culpa ou dolo do banco. Ademais, pacificou o debate sobre as excludentes de responsabilidade, consolidando o conceito de fortuito interno[6].
A aplicação desse entendimento às exchanges é uma conclusão lógica, baseada no princípio de que, onde existe a mesma razão, aplica-se o mesmo direito (ubi eadem ratio, ibi idem jus). A tecnologia mudou, o ativo é outro, mas a dinâmica da falha no dever de segurança é a mesma.
Vale destacar que o direito brasileiro admite a utilização da analogia como método de integração normativa[7]. Diante da ausência de regulação específica sobre a responsabilidade civil das exchanges em casos de fraude, é legítimo recorrer à Súmula 479 do STJ como parâmetro.
4. Análise de caso concreto julgado pelo STJ.
O REsp 2.104.122/MG de relatoria da Ministra Isabel Gallotti, julgado em 24/06/2025, é hoje o caso mais emblemático do STJ sobre responsabilidade das exchanges em fraudes com criptoativos. A Quarta Turma reconheceu que plataformas de criptomoedas respondem objetivamente por fraudes em transações de clientes.
O caso julgado envolveu um cliente da plataforma Mercado Bitcoin, que mantinha em sua conta aproximadamente 3,8 bitcoins, equivalentes, à época, a cerca de duzentos mil reais. O investidor realizou uma operação simples, consistente em uma tentativa de transferência de apenas 0,0014 BTC para outra carteira. O sistema da exchange, de acordo com os próprios protocolos da empresa, previa um processo de autenticação em três etapas: a inserção do login e da senha, seguida pela confirmação em duplo fator de autenticação (2FA), realizada mediante o envio de um e-mail de validação.
O consumidor, entretanto, alegou que não recebeu a mensagem eletrônica necessária para concluir a autenticação. Apesar dessa falha, a transação foi processada de forma irregular e, em vez da quantia ínfima inicialmente indicada, todo o saldo de 3,8 bitcoins foi transferido integralmente para uma carteira não autorizada, caracterizando evidente falha na segurança do sistema.
A empresa, em sua defesa, sustentou que se tratava de um ataque hacker direcionado ao computador do usuário, argumento pelo qual buscava enquadrar o episódio como um fortuito externo, totalmente alheio à sua atividade empresarial e, portanto, excludente de responsabilidade.
A controvérsia chegou ao Superior Tribunal de Justiça e foi submetida à análise da Quarta Turma. No centro do debate estavam três questões principais: em primeiro lugar, se as exchanges poderiam ser juridicamente equiparadas às instituições financeiras para fins de responsabilização; em segundo, se a responsabilidade da plataforma deveria ser objetiva, nos termos da teoria do risco da atividade; e, por fim, se a fraude ocorrida configurava um fortuito interno, inerente à atividade econômica desenvolvida, ou um fortuito externo, imprevisível e inevitável, capaz de afastar a obrigação de indenizar.
Ao examinar o caso, o Tribunal reconheceu que as exchanges, embora não sejam instituições financeiras em sentido estrito, exercem função análoga ao intermediar operações de compra, venda e custódia de ativos digitais, lidando diariamente com vultosos valores de terceiros. Assim, concluiu-se que não haveria justificativa para conferir tratamento jurídico mais brando a essas plataformas em comparação ao sistema bancário tradicional, sobretudo quando a lógica da Súmula 479 do próprio STJ estabelece que instituições financeiras respondem objetivamente por fraudes e delitos cometidos no âmbito de suas operações.
A Corte também destacou que a ausência de envio do e-mail de autenticação, exigido como etapa indispensável para a confirmação da operação, demonstrava falha no sistema de segurança da exchange. Esse elemento foi decisivo para afastar a alegação de fortuito externo, sustentada pela defesa da empresa. Para os ministros, ainda que houvesse atuação de terceiros na fraude, tal risco integra o chamado fortuito interno, por ser previsível e inerente à própria atividade desempenhada.
Com base nessa fundamentação, a Quarta Turma decidiu reconhecer a responsabilidade objetiva da Mercado Bitcoin e determinou a restituição integral dos 3,8 bitcoins desviados, devidamente convertidos em moeda fiduciária. Além disso, reconheceu o direito à indenização por danos morais, considerando o abalo psicológico e a quebra da legítima confiança depositada pelo consumidor na segurança da plataforma.
Essa decisão representou um marco jurisprudencial, pois fixou o entendimento de que as exchanges devem adotar os mesmos padrões de diligência e segurança aplicáveis às instituições financeiras, respondendo objetivamente por falhas em seus sistemas que resultem em prejuízos para os consumidores.
A ratio decidendi do caso repousa sobre três fundamentos centrais. O primeiro é a equiparação funcional das exchanges às instituições financeiras, uma vez que ambas desempenham atividades de intermediação, custódia de valores e oferta de serviços que envolvem riscos acentuados. Não se trata de reconhecer identidade absoluta entre bancos e exchanges, mas de admitir que, sob a ótica da proteção do consumidor, não há motivo para afastar dessas plataformas os mesmos deveres de segurança e diligência exigidos do sistema bancário.
O segundo fundamento é a aplicação da Súmula 479 do STJ, que prevê a responsabilidade objetiva das instituições financeiras por fortuitos internos decorrentes de fraudes e delitos de terceiros. Ao estender tal raciocínio às exchanges, a Quarta Turma deixou claro que os ataques digitais e as fraudes eletrônicas não constituem eventos externos, mas sim riscos previsíveis e próprios do empreendimento. A ausência do e-mail de autenticação, mecanismo indispensável para validar a operação, revelou a fragilidade do sistema da plataforma, afastando a possibilidade de classificar o evento como fortuito externo.
Por fim, o terceiro fundamento é a proteção da confiança legítima do consumidor, princípio basilar do Direito do Consumidor. O investidor, ao utilizar a plataforma, deposita a expectativa de que suas transações ocorrerão em ambiente seguro, dotado de barreiras eficazes contra ataques cibernéticos. Quando esse dever de segurança é descumprido, a quebra da confiança gera não apenas danos materiais, mas também danos morais presumidos, dado o abalo à esfera psicológica e à segurança patrimonial do indivíduo.
O impacto jurisprudencial do julgamento é significativo. O STJ consolidou a compreensão de que as exchanges não podem alegar neutralidade tecnológica nem se eximir de responsabilidade diante de falhas em seus sistemas de autenticação e proteção. A decisão sinaliza aos tribunais de todo o país que a lógica da Súmula 479 deve orientar a solução de litígios envolvendo fraudes digitais em plataformas de criptoativos. Além disso, fortalece a tendência regulatória, indicando que tais empresas devem adotar padrões de segurança equivalentes aos do mercado financeiro tradicional, sob pena de responsabilização civil objetiva.
Em síntese, o REsp 2.104.122 não apenas solucionou um caso concreto, mas também inaugurou uma nova etapa na jurisprudência brasileira sobre criptoativos, afirmando a necessidade de equilibrar a inovação tecnológica com a efetiva tutela do consumidor no ambiente digital.
5. Boas Práticas de Compliance e Mitigação de Riscos (para Exchanges)
O papel das exchanges vai muito além de meras plataformas tecnológicas. No atual cenário econômico e regulatório, a adoção de programas de compliance estruturados não é um diferencial, mas um verdadeiro dever. O compliance atua como um escudo, capaz de prevenir ilícitos, proteger consumidores e reduzir passivos judiciais, solidificando a confiança no mercado.
O compliance em criptoativos deve ser visto como um conjunto de medidas jurídicas, técnicas e organizacionais. Seu objetivo é garantir a total observância à legislação vigente (como a Lei 14.478/2022)[8] e às melhores práticas internacionais de governança corporativa.
As práticas recomendadas criam camadas de proteção robustas, indo muito além do básico:
- Autenticação Multifatorial (MFA): Exigir múltiplos fatores de verificação (senha, token e biometria) para o acesso às contas dos usuários. Essa é a primeira e mais eficaz barreira contra acessos não autorizados;
- Segregação de Carteiras (Hot e Cold Wallets): A exchange deve manter apenas uma pequena fração dos ativos em carteiras online (hot wallets), que são mais suscetíveis a ataques. A maior parte dos fundos deve ser armazenada em carteiras offline (cold wallets), garantindo a máxima segurança contra invasões cibernéticas;
- Monitoramento Antifraude em Tempo Real: Implementar sistemas de inteligência artificial e aprendizado de máquina para identificar padrões suspeitos de movimentação de fundos, bloqueando operações de alto risco antes que a fraude se concretize;
- Política de Backups e Redundância: É fundamental assegurar a continuidade dos serviços mesmo diante de ataques cibernéticos ou falhas técnicas. A adoção de sistemas de backups e redundância em múltiplas localizações é vital para a resiliência da plataforma;
- Seguro Cibernético: A contratação de apólices específicas para cobertura de incidentes digitais e ressarcimento de usuários demonstra responsabilidade e oferece uma camada extra de proteção financeira;
- Programas KYC/AML: A observância rigorosa das práticas de KYC (Know Your Customer) e AML (Anti-Money Laundering) é indispensável, conforme as diretrizes da Lei 14.478/2022 e as recomendações do GAFI (Grupo de Ação Financeira Internacional). Isso se traduz em: a) coleta e verificação de dados de clientes (documentos, biometria, endereço); b) monitoramento contínuo de transações suspeitas; e c) reporte de operações atípicas ao COAF (Conselho de Controle de Atividades Financeiras);
- Governança: A adoção de programas de governança corporativa, com auditorias independentes e relatórios periódicos de transparência (como a Prova de Reservas), fortalece a confiança do mercado e mitiga riscos regulatórios a longo prazo.
Uma das responsabilidades mais importantes das exchanges é a de assumir um papel proativo e constante na educação de seus usuários. Para isso, elas devem ir além do básico e se tornar uma fonte confiável de informação, protegendo a comunidade contra os perigos inerentes ao mercado. A primeira medida essencial é a disponibilização de alertas de risco claros e diretos, que informam sobre as ameaças do mercado e os perigos de golpes digitais antes mesmo que o usuário realize transações importantes. Essa prática atua como um aviso de segurança em tempo real, servindo como uma barreira inicial contra decisões impensadas ou fraudulentas.
Além disso, devem manter campanhas educativas permanentes. O mundo das criptomoedas muda rápido, e as táticas de golpes evoluem constantemente. Por isso, é crucial oferecer conteúdo informativo contínuo sobre temas como phishing, SIM swap e outras ameaças cibernéticas. O objetivo é capacitar os usuários com o conhecimento necessário para reconhecer e evitar fraudes, transformando-os em defensores de sua própria segurança.
Por fim, a educação só é completa quando acompanhada de suporte eficaz. Precisam oferecer canais de atendimento eficientes, garantindo que os usuários tenham acesso a suporte rápido em momentos de crise. Quando uma fraude ocorre, o tempo é crucial, e a ausência de um canal de ajuda pode fazer com que o usuário seja revitimizado pela falta de suporte. Um atendimento ágil e humanizado reforça a confiança na plataforma e demonstra que a exchange está, de fato, ao lado de seus clientes, cumprindo com seu dever de proteção.
Em situações de litígio ou fraude, a defesa de uma exchange deve ser robusta e, acima de tudo, baseada em evidências sólidas. Embora a melhor estratégia seja sempre a prevenção, é crucial estar preparado para reagir. Deve ser capaz de apresentar uma defesa bem-estruturada, que se apoia em diversas estratégias para contestar as alegações e demonstrar sua diligência, especialmente na implementação de boas práticas de compliance e de mitigação de riscos.
Uma das linhas de defesa é argumentar a culpa exclusiva do consumidor, sustentando que a fraude foi resultado direto da negligência do próprio usuário, como o fornecimento voluntário de uma senha em um site falso de phishing. Outra abordagem é a alegação de fortuito externo, que defende que o evento foi imprevisível e completamente alheio ao controle e às operações da exchange. Além disso, pode se apoiar em excludentes contratuais, demonstrando que cumpriu com todas as medidas de segurança adequadas e com os seus deveres de informar e educar os clientes, conforme previsto em seus termos de uso.
Para sustentar essas estratégias, é essencial contar com um conjunto de estratégias probatórias bem definidas. A exchange deve apresentar relatórios de segurança e auditorias que comprovem a funcionalidade de seus sistemas de proteção. Uma auditoria de blockchain é fundamental para rastrear os endereços de destino dos fundos e os movimentos das transações. Logs de acesso detalhados, que registram o histórico de atividade da conta do usuário, também são provas cruciais. Por fim, o histórico de atendimento ao cliente e os protocolos de suporte servem para mostrar que a exchange ofereceu a assistência devida em momentos de crise. O conjunto dessas evidências é vital para validar a defesa e proteger a empresa de passivos indevidos.
6. Conclusão
Conclui-se, assim, na esteira da decisão do Superior Tribunal de Justiça, que a responsabilidade das exchangespor danos decorrentes de fraudes é objetiva. A aplicação analógica da Súmula 479 do STJ não é uma distorção, mas uma evolução natural da jurisprudência, que acompanha as novas tecnologias para garantir a proteção do consumidor e a integridade do mercado, imputando o risco a quem dele aufere o lucro.
A súmula oferece a ratio decidendi que deve guiar o julgador. Ao seguir esse norte, o Poder Judiciário cumpre seu papel de vanguarda: o de garantir que os princípios basilares do Direito, como a proteção da confiança e da parte vulnerável.
Por outro lado, caberá à exchange demonstrar todo o seu esforço em compliance, segurança e educação do usuário para afastar a aplicação da Súmula 479 do STJ. Ao comprovar que a fraude foi resultado de um evento alheio e incontrolável (o fortuito externo), a empresa utiliza seu próprio histórico de diligência como a base de sua defesa legal. A capacidade de apresentar relatórios de segurança, logs de acesso e o histórico de alertas de risco não são meros adicionais; são as provas documentais e técnicas que objetivam mitigar sua responsabilidade e transferir o ônus do evento danoso para a esfera de controle do próprio consumidor.
[1]https://br.cointelegraph.com/news/brazil-is-the-5th-country-with-the-highest-adoption-of-cryptocurrencies-in-the-world?utm_source=chatgpt.com
[2] Súmula 479 do STJ: As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.
[3] Art. 3° do CDC: Fornecedor é toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, bem como os entes despersonalizados, que desenvolvem atividade de produção, montagem, criação, construção, transformação, importação, exportação, distribuição ou comercialização de produtos ou prestação de serviços.
[4] Art. 2° do CDC: Consumidor é toda pessoa física ou jurídica que adquire ou utiliza produto ou serviço como destinatário final.
[5] Art. 14 do CDC: O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.
[6] Diferente do fortuito externo (evento imprevisível e alheio à atividade, que exclui a responsabilidade), o fortuito interno é o evento que, embora possa ser um ato de terceiro, está diretamente ligado aos riscos do negócio
[7] Art. 4o da Lei de Introdução às normas do Direito Brasileiro: Quando a lei for omissa, o juiz decidirá o caso de acordo com a analogia, os costumes e os princípios gerais de direito.
[8] Dispõe sobre diretrizes a serem observadas na prestação de serviços de ativos virtuais e na regulamentação das prestadoras de serviços de ativos virtuais.
------------------------------------
Sobre Clóvis Ramos: Advogado inscrito na OAB - Seccional Pernambuco e Distrito Federal. Mestre em Direitos Humanos, Segurança Pública e Direito Penal pela Universidade de Salamanca - Espanha. Especialista em Direito Tributário pela Universidade Federal de Pernambuco - UFPE. MBA em Planejamento e Gestão Organizacional pela UPE/FCAP. Especialista em Direito Penal e Processo Penal pelo Instituto Damásio de Jesus.
Cursando MBA em Criptoativos pela Trevisan Escola de Negócios.
Atua na área de Contencioso Cível e Penal Empresarial em todo o Brasil, como sócio-gestor do Rueda & Rueda Advogados.