As empresas que operam plataformas de negociação de criptomoedas podem ser responsabilizadas independentemente de culpa quando ocorrem fraudes nas contas de seus usuários, desde que fique demonstrado que o cliente cumpriu todas as etapas de segurança exigidas, como uso de senha, login e autenticação em dois fatores.
Esse entendimento foi adotado pela Quarta Turma do Superior Tribunal de Justiça ao analisar o recurso de um investidor que teve prejuízo ao realizar uma operação por meio de uma corretora de criptoativos. Para o colegiado, falhas nos mecanismos de proteção da plataforma são suficientes para justificar a responsabilização da empresa.
A situação teve origem quando o usuário tentou transferir 0,00140 bitcoin para outra corretora. Durante o procedimento, no entanto, ocorreu uma inconsistência que levou à perda de 3,8 bitcoins, valor que, na época, girava em torno de R$ 200 mil. O cliente afirmou que não recebeu o e-mail necessário para validar a operação, etapa prevista no sistema de segurança.
Em sua defesa, a corretora sustentou que o problema teria sido causado por uma invasão no dispositivo do próprio usuário, mas não conseguiu comprovar essa alegação.
Na primeira decisão judicial, a empresa foi condenada a restituir o valor perdido e pagar indenização por danos morais no montante de R$ 10 mil, diante da ausência de provas sobre o suposto ataque hacker e da falta de confirmação do envio do e-mail de autenticação. Posteriormente, o Tribunal de Justiça de Minas Gerais reformou essa decisão, afastando a responsabilidade da corretora ao entender que o prejuízo poderia ter sido causado pelo próprio cliente ou por terceiros.
Ao reexaminar o caso, o STJ reafirmou sua jurisprudência no sentido de que instituições financeiras respondem objetivamente por danos decorrentes de fraudes praticadas por terceiros em operações financeiras, conforme a Súmula 479. O tribunal também destacou que plataformas que administram ou custodiam ativos de clientes, mesmo no contexto das criptomoedas, se enquadram como instituições financeiras nos termos da Lei nº 4.595/1964, estando sujeitas às regras do Código de Defesa do Consumidor.
Para afastar esse tipo de responsabilidade, seria necessário comprovar que o dano ocorreu exclusivamente por culpa do usuário ou de terceiros, sem qualquer relação com falha na prestação do serviço. No caso concreto, não houve prova de compartilhamento de dados sigilosos nem de confirmação da transação por e-mail, procedimento indispensável para sua conclusão.
O colegiado ainda ressaltou que a simples alegação de ataque hacker não é suficiente para excluir a responsabilidade da empresa, que deve manter sistemas eficazes de prevenção a fraudes. A ausência de validação da operação e as falhas no sistema de segurança foram determinantes para o reconhecimento do dever de indenizar.
A decisão reforça a necessidade de que plataformas de criptoativos adotem medidas rigorosas de proteção e garantam maior transparência nos seus processos, a fim de resguardar os dados e os investimentos de seus usuários.
O julgamento ocorreu no REsp 2.104.122.
Fonte: stj.jus.br
