As plataformas destinadas às transações de criptomoedas respondem de forma objetiva por fraudes na transferência desses ativos, caso a operação tenha seguido as medidas de segurança, como uso de login, senha e autenticação de dois fatores.

Com esse entendimento, a Quarta Turma do Superior Tribunal de Justiça (STJ) deu provimento ao recurso de um usuário de plataforma de criptomoedas para reconhecer a responsabilidade da empresa pela falha no sistema de segurança.

Segundo o processo, o usuário estava transferindo 0,00140 bitcoins de sua conta na plataforma para outra corretora, quando uma falha no sistema teria resultado no desaparecimento de 3,8 bitcoins da conta, equivalentes, na época, a aproximadamente R$ 200 mil.

De acordo com o usuário, essa falha estaria relacionada ao mecanismo de dupla autenticação da plataforma, que exige login, senha e validação por email para a realização de transações. Ele relatou que, no seu caso, não foi gerado o email de autenticação relativo à transação fraudulenta. A empresa alegou que a fraude ocorreu por uma invasão hacker no computador do usuário, e não por falha da plataforma.

O juízo de primeiro grau condenou a empresa a devolver a quantia perdida e a pagar R$ 10 mil por danos morais, pois ela não comprovou a alegada invasão hacker, nem o envio do email ao usuário antes da transferência. Contudo, o Tribunal de Justiça de Minas Gerais (TJMG) entendeu que o desaparecimento dos bitcoins decorreu de culpaexclusiva do usuário e de terceiros, e afastou o dever de indenizar.

Instituições financeiras respondem objetivamente por fraudes nas operações

A relatora no STJ, ministra Isabel Gallotti, lembrou que a jurisprudência do tribunal se consolidou no sentido de que “as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias” (Súmula 479).

Entre as instituições financeiras definidas no artigo 17 da Lei 4.595/1964 – acrescentou a ministra –, estão as pessoas jurídicas públicas e privadas que tenham como atividade principal ou acessória a custódia de valores de propriedade de terceiros. Dessa forma, a relatora observou que a empresa de criptomoedas em questão é instituição financeira, constando, inclusive, da lista de instituições autorizadas, reguladas e supervisionadas pelo Banco Central.

“Em se tratando, portanto, de instituição financeira, em caso de fraude no âmbito de suas operações, a sua responsabilidade é objetiva, só podendo ser afastada se demonstrada causa excludente da referida responsabilidade, como culpa exclusiva da vítima ou de terceiros, nos termos do artigo 14, parágrafo 3º, I, do Código de Defesa do Consumidor (CDC)”, apontou.

Isabel Gallotti verificou que, no caso, não foram produzidas provas de que o usuário tivesse liberado informações pessoais para terceiros de maneira indevida ou de que houvesse confirmado a operação contestada por email – provas essas que poderiam afastar a responsabilidade da empresa pela transação fraudulenta.

Ataque hacker não exclui responsabilidade da instituição

Além disso, a ministra destacou que a empresa deveria demonstrar que o usuário atuou de maneira indevida em toda a cadeia de atos necessários para a conclusão da operação, ou seja, que ele fez login e inseriu senha e código PIN para transferir 3,8 bitcoins e, também, que confirmou essa específica operação por meio de linkenviado por email.

Na hipótese, a relatora ressaltou que a empresa não apresentou o email de confirmação da transação de 3,8 bitcoins, sendo que tal prova era indispensável para afastar a sua responsabilidade pelo desaparecimento das criptomoedas.

Por fim, a ministra comentou que um ataque hacker no caso não excluiria a responsabilidade da empresa, que responderia pela falta de segurança adequada para combater esses crimes.

Leia o acórdão no REsp 2.104.122.