Fraudes com criptoativos e a nova fronteira da responsabilidade civil para corretoras

O sistema financeiro digital passa por um movimento silencioso, mas profundamente relevante para a tutela do consumidor. À medida que o Banco Central endurece os critérios de abertura, monitoramento e manutenção de contas bancárias, o crime financeiro não recua — ele se desloca. A consequência prática desse novo cenário é a migração progressiva das fraudes para o mercado de criptoativos, setor que cresce rapidamente, atrai novos investidores e ainda é pouco compreendido por grande parte da população.

Esse deslocamento não é casual. Trata-se de uma resposta estratégica do fraudador ao aumento dos filtros e barreiras no sistema bancário tradicional. Onde a regulação se torna mais rígida, o criminoso procura ambientes com menor maturidade operacional e menor cultura de prevenção. Assim, exchanges, plataformas de custódia e corretoras de criptoativos passaram a ocupar o mesmo espaço de risco sistêmico que antes recaía, quase exclusivamente, sobre os bancos.

O fenômeno impõe uma revisão profunda da ideia de que o mercado cripto estaria fora do alcance das normas de proteção do consumidor. A jurisprudência brasileira já sinaliza, de forma clara, que não há “zona sem lei” quando se trata da guarda, intermediação e movimentação de patrimônio de terceiros.

Migração do risco e o efeito colateral da regulação bancária

O Banco Central tem intensificado, nos últimos anos, o controle sobre instituições financeiras, impondo exigências rigorosas para abertura de contas, verificação de identidade, monitoramento de transações suspeitas e prevenção à lavagem de dinheiro. Esse avanço regulatório fortaleceu a proteção do sistema, mas também produziu um efeito colateral previsível: a migração das fraudes para setores menos estruturados sob a ótica de governança e segurança.

Nesse contexto, o mercado de criptoativos tornou-se um ambiente atrativo para práticas ilícitas. O crescimento exponencial do número de investidores, aliado à hipossuficiência técnica e informacional de grande parte dos usuários, cria um cenário de vulnerabilidade.

O consumidor médio não domina conceitos como custódia, autenticação multifatorial, chaves privadas, logs de acesso, rastreabilidade de transações ou protocolos de bloqueio, enquanto o fornecedor detém total controle sobre a arquitetura do serviço.

A assimetria é evidente. E, no Direito do Consumidor, assimetria combinada com falha de segurança gera responsabilidade.

Novo marco regulatório e dever jurídico de segurança

A Lei nº 14.478/2022, regulamentada pelas Resoluções BCB nº 519, 520 e 521, inaugurou um novo regime jurídico para as Sociedades Prestadoras de Serviços de Ativos Virtuais (SPSAVs). O modelo rompe com a ideia de informalidade do setor e estabelece parâmetros mínimos de governança, capital, compliance e segurança cibernética.

Entre os principais requisitos estão a autorização prévia do Banco Central, a demonstração de capacidade econômica, a adequação da infraestrutura tecnológica e a obrigatoriedade de controles internos e gestão de riscos.

O marco regulatório deixa claro que a atividade de intermediação e custódia de criptoativos envolve risco sistêmico e, por isso, exige padrões semelhantes aos impostos às instituições financeiras tradicionais.

Do ponto de vista da responsabilidade civil, o efeito é direto: a segurança deixa de ser mera expectativa do usuário e passa a integrar o próprio conteúdo da oferta. A promessa de ambiente confiável constitui elemento essencial do serviço e, portanto, seu descumprimento caracteriza defeito nos termos do artigo 14 do Código de Defesa do Consumidor.

Criptoativos e relação de consumo: falha de segurança como defeito do serviço

A tentativa de afastar a incidência do CDC com base no argumento de “investimento de risco” não se sustenta quando o dano decorre de falha estrutural do sistema, e não da oscilação do mercado. A perda causada por fraude, invasão, acesso indevido ou saques não reconhecidos não se confunde com risco econômico do ativo, mas decorre da prestação defeituosa do serviço.

O Tribunal de Justiça de São Paulo, Apelação Cível nº 1021946-75.2023.8.26.0011, julgamento em 11/10/2024, já reconheceu que a essência da atividade prestada por exchanges é justamente a oferta de plataforma segura para a realização de transações com criptoativos. Nesse mesmo precedente, o tribunal afirma que basta a constatação da falha na segurança para caracterizar o defeito do serviço, sendo desnecessária prova técnica complexa sobre sua origem

Nesse sentido, segue trecho do voto do relator Issa Ahmed:

“Está na essência da atividade desenvolvida pela recorrente e por sua parceira Binance a oferta de plataforma segura para a realização de transações envolvendo criptomoedas e outros ativos. O só fato de custodiaram ativos financeiros, reais ou virtuais, as tornam alvos para a ação de bandidos. E é parte de sua atividade empresarial garantir que delinquentes não tenham êxito em suas maliciosas pretensões, assegurando a incolumidade do patrimônio de seus clientes correntistas. Ocorrida falha na segurança, não há necessidade de produção de prova pericial técnica para identificar sua origem; basta a simples constatação de sua existência.”

Em termos práticos, isso significa que a simples subtração de ativos, sem mecanismos eficazes de bloqueio, alerta ou verificação de transações atípicas, já revela a insuficiência dos protocolos de segurança e, portanto, a responsabilidade do fornecedor.

Fraude de terceiro e fortuito interno: o risco do empreendimento

Outro ponto central da jurisprudência diz respeito à qualificação da fraude como fortuito interno. Ao custodiar e intermediar ativos financeiros, reais ou virtuais, a empresa se coloca, por natureza, como alvo de ações criminosas. O risco é inerente à atividade e não pode ser transferido ao consumidor.

O TJ-SP, no Recurso de Apelação nº 1031903-64.2022.8.26.0002 (j.: 31/5/2023; registro: 31/5/2023) reconheceu expressamente que é parte da atividade empresarial garantir que delinquentes não obtenham êxito, assegurando a incolumidade do patrimônio de seus clientes. A fraude, portanto, não rompe o nexo causal, pois se insere na esfera de riscos assumidos pelo fornecedor.

“A alegada inobservância de procedimentos mínimos de segurança pelo autor, não exclui a responsabilidade das rés por eventual inexecução ou execução defeituosa dos serviços, não podendo se esquivar da responsabilidade invocando os termos e condições de uso e exigindo do consumidor conhecimento específico acerca da tecnologia digital. Incumbia às apelantes, gestoras de investimentos de criptomoedas, zelar para garantir um mínimo de segurança na utilização de sua plataforma e realização das respectivas transações comerciais. Isto é, o ataque hacker constitui uma falha grave de segurança, cujo risco não pode ser repassado ao consumidor, e nem pode ser considerado fortuito externo.”

Essa lógica aproxima o mercado cripto da matriz já consolidada para instituições financeiras: a fraude integra o risco do negócio e deve ser internalizada como custo operacional, e não repassada ao usuário como fatalidade inevitável.

Cadeia de fornecimento e responsabilidade solidária

A fragmentação societária típica do setor — com empresas distintas para conversão, custódia, tecnologia e operação da plataforma — não afasta a responsabilidade. O consumidor contrata um serviço integrado e percebe a operação como uma única relação jurídica.

Por isso, a jurisprudência tem reconhecido que determinadas empresas do setor atuam de maneira simbiótica, integrando a mesma cadeia de consumo, sendo solidária a responsabilidade por falha na prestação do serviço [1].

Trata-se de aplicação direta da teoria da cadeia de fornecimento, própria do Direito do Consumidor, que impede que a estrutura societária funcione como escudo contra a reparação.

Dano moral e quebra da confiança

A subtração de criptoativos decorrente de falha nos sistemas de segurança não produz apenas prejuízo patrimonial, mas atinge diretamente a esfera extrapatrimonial do consumidor, ao violar a legítima expectativa de proteção e confiabilidade que integra o próprio núcleo da prestação do serviço.

Em plataformas que se apresentam como ambientes tecnológicos seguros para custódia e intermediação de ativos digitais, a confiança não constitui elemento acessório, mas pressuposto essencial da relação contratual, irradiando deveres anexos de proteção, lealdade e cooperação, à luz do princípio da boa-fé objetiva.

A frustração dessa expectativa, causada por protocolos insuficientes para conter riscos previsíveis e inerentes à atividade, configura abalo que extrapola o mero dissabor cotidiano, pois compromete a autonomia patrimonial e a segurança psicológica do usuário diante da falha estrutural do sistema.

Sob a perspectiva funcional da responsabilidade civil, a indenização por dano moral não se limita à compensação individual, exercendo também função pedagógica e preventiva, ao estimular o aprimoramento contínuo dos mecanismos de governança, controle e segurança das plataformas digitais.

Ao impor consequências jurídicas concretas à falha sistêmica, o ordenamento reafirma que a inovação tecnológica não pode se dissociar de padrões mínimos de proteção ao consumidor, preservando o equilíbrio contratual e a credibilidade do ambiente digital em um mercado que cresce, mas ainda exige maturidade institucional.

Conclusão

O mercado de criptoativos ingressou definitivamente na lógica da responsabilidade civil objetiva. A fraude mudou de ambiente, mas a racionalidade jurídica permanece: quem lucra com a intermediação assume o risco da atividade. A inovação tecnológica não autoriza a supressão de direitos fundamentais do consumidor.

A jurisprudência brasileira, alinhada ao novo marco regulatório, consolida a mensagem de que segurança não é diferencial competitivo — é dever jurídico.

[1]  “RECURSO APELAÇÃO CÍVEL GESTÃO DE NEGÓCIOS – INTERMEDIAÇÃO EM INVESTIMENTOS COMPRA E VENDA DE CRIPTOMOEDAS AÇÃO DE OBRIGAÇÃO DE FAZER CUMULADA COM RESTITUIÇÃO DE VALORES MATÉRIA PRELIMINAR. Legitimidade “ad causam”. Reconhecimento. Atuação conjunta das correqueridas no desenvolvimento da atividade empresarial (gestão e custódia de criptoativos). Demandadas, ainda, que possuem o mesmo sócio administrador, se assemelham em seus objetos sociais e atuam conjuntamente. São, inclusive, representadas por único procurador. Elementos que levam o consumidor ao entendimento de se tratar de contratação única. Formação de grupo econômico de fato entre as sociedades B Fintech e Binance caracterizado. Precedentes deste Egrégio Tribunal de Justiça Bandeirante, envolvendo as mesmas demandas em situações correlatas. Legitimidade das requeridas reconhecida. Matéria preliminar repelida. RECURSO APELAÇÃO CÍVEL GESTÃO DE NEGÓCIOS – INTERMEDIAÇÃO EM INFESTIMENTOS COMPRA E VENDA DE CRIPTOMOEDAS AÇÃO DE OBRIGAÇÃO DE FAZER CUMULADA COM RESTITUIÇÃO DE VALORES E RECONHECIMENTO DE GRUPO DE GRUPO ECONÔMICO MÉRITO. Prestação de serviços de gerenciamento de compra e venda de ativos criptográficos. Pacto negocial que se equipara àquela prestada por instituições financeiras (artigo 17, da Lei 4595/64 e Súmula 479, do Colendo Superior Tribunal de Justiça). Relação de consumo configurada. Aplicabilidade, por consequência, do Código de Defesa do Consumidor (Lei nº 8.078/90). Obrigação de fazer. Pedido fundado em falha na prestação do serviço. Sistema invadido por terceiros (“hackers”), com subtração de numerário de propriedade do autor. Quebra do sistema de segurança, de responsabilidade das demandadas (serviço de custódia expressamente contratado). Danos morais, contudo, não configurados. Improcedência na origem. Sentença reformada. Recurso de apelação da autora em parte provido para julgar parcialmente procedente a ação e condenar as requeridas, solidariamente, a restituírem o valor indevidamente debitado da conta da consumidora, acrescido dos consectários de praxe, melhor adequada a distribuição sucumbencial.” (Apelação Cível nº 1023697-61.2022.8.26.0002; relator: des. Marcondes D’Angelo; 25ª Câmara de Direito Privado; TJ-SP; Foro Regional II – Santo Amaro – 7ª Vara Cível; j.: 30/5/2023; registro: 30/05/2023)