Ao passo que a inovação impulsiona o progresso econômico, ela também expõe os limites do Direito em acompanhá-la. Cada avanço tecnológico cria novas formas de interação e risco, enquanto por vezes o Estado demora a produzir respostas regulatórias adequadas. Nesse intervalo, modelos de negócio inovadores passam a operar em zonas de incerteza regulatória, testando a capacidade do sistema jurídico de reagir sem a prévia existência de uma norma para subsunção específica.
Mas a ausência de regulação específica não significa ausência de responsabilidade: o ordenamento permanece apto a reinterpretar seus institutos clássicos e atribuir deveres de cuidado e controle a quem se beneficia da inovação.
Essa tensão entre inovação, responsabilidade e regulação ganhou contornos concretos em julgamento recente, de outubro de 2025, no qual o Tribunal de Justiça do Distrito Federal (TJ-DFT) apreciou o mérito do primeiro caso de seu acervo envolvendo a responsabilização de fornecedoras de Banking as a Service (BaaS) por fraudes praticadas por seus contratantes.
A controvérsia girou em torno do desaparecimento de valores da conta corrente de uma das empresas usuárias do B2U Bank, uma plataforma bancária operada por uma empresa estrangeira sediada na República de Seychelles, paraíso fiscal localizado em um pequeno arquipélago africano, e sem qualquer representação formal no Brasil.
Para estruturar sua operação no país a empresa estrangeira recorreu ao modelo Banking as a Service (BaaS), serviço no qual instituições financeiras licenciadas “alugam” sua infraestrutura tecnológica e regulatória para que empresas sem autorização do Banco Central ofereçam serviços financeiros sob sua própria marca (formato white label).
A contratação foi realizada por intermédio de uma terceira pessoa jurídica com sede no Brasil, sem vínculo societário e sem relação de representação formal com a operadora estrangeira. A empresa era responsável apenas por firmar os contratos de BaaS e viabilizar o acesso à infraestrutura bancária das instituições licenciadas.
No bom português: uma testa de ferro no Brasil. Toda a engenharia contratual e de integração de sistemas para oferecer os serviços aos consumidores finais passava despercebida. A experiência dos usuários era indistinguível de qualquer outro banco digital: aplicativo funcional, promessas de facilidade e praticidade, interface moderna.
Em abril de 2024 começaram a surgir inúmeros relatos de desaparecimento de recursos da plataforma. As ações judiciais que se seguiram demonstraram que não se tratava de uma falha operacional, mas de uma fraude viabilizada pela estrutura do modelo BaaS.
Ao averiguar detalhes da plataforma B2U Bank, notou-se que em um intervalo de pouco mais de 4 anos houve sucessivas alterações nos termos de uso para constar diferentes pessoas jurídicas como as responsáveis pela operação. A tática é conhecida no mundo dos laranjais e devedores contumazes brasileiros: uma sucessão de baixas e criações de pessoas jurídicas para confundir credores, esconder patrimônio e ocultar aspectos da operação.
Tudo isso foi levado ao processo e, no curso da instrução, com a juntada dos extratos internos das fornecedoras de BaaS, um esquema sofisticado de desvio de recursos foi revelado. Transações não autorizadas eram executadas e omitidas dos extratos exibidos ao usuário, preservando a aparência de normalidade. Quando o saldo se tornava insuficiente para uma operação legítima, o sistema transferia automaticamente valores de outras contas, concluindo as transações e dissimulando o desfalque.
Com a comprovação do desvio, a controvérsia passou a concentrar-se em quem deveria responder pelos danos: apenas a empresa operadora da plataforma e sua intermediária brasileira, responsáveis diretas pela execução do serviço, ou também as instituições financeiras nacionais, autorizadas pelo Banco Central, que forneceram a infraestrutura tecnológica e regulatória que viabilizou a operação do B2U Bank?
Segundo as fornecedoras de BaaS, a responsabilidade deveria limitar-se à empresa operadora da plataforma e à intermediária brasileira que formalizou os contratos, pois sua atuação seria “apenas” a disponibilização de APIs que permitiam ao B2U Bank operar o sistema bancário das instituições licenciadas (abrir contas, efetuar transações e administrar recursos). Argumentaram, assim, que não mantinham vínculo com os usuários nem exerciam ingerência sobre os atos questionados, atuando apenas como provedoras da operação.
O juízo da 23ª Vara Cível de Brasília rejeitou essa tese e reconheceu a responsabilidade objetiva e solidária de todas as empresas envolvidas, com fundamento no artigo 927, parágrafo único, do Código Civil, e na Súmula 479 do STJ, que impõe às instituições financeiras o dever de reparar danos decorrentes de falhas em seus sistemas. O modus operandi da fraude foi destrinchado na sentença:
É especialmente revelador o fato de que, após a autora receber recursos em sua conta, esses valores eram imediatamente transferidos para contas de terceiros sem seu conhecimento ou autorização, para posteriormente retornarem em montante suficiente apenas para a realização de operações específicas. Este ciclo de “depósitos-saques-depósitos” é indicativo de manipulação deliberada da conta, revelando uma gestão temerária dos valores sob custódia.
Além disso, as tentativas da autora de obter informações das rés foram sistematicamente infrutíferas, recebendo apenas informações evasivas e contraditórias, o que reforça a percepção de falha sistêmica na gestão e controle da conta. Esta conduta das rés viola o dever de transparência e boa-fé objetiva que deve nortear as relações contratuais, especialmente aquelas que envolvem instituições financeiras e a custódia de valores de terceiros.
A sentença reconheceu que a fraude decorreu de uma estrutura operacional vulnerável, marcada pela ausência de controle e transparência. A sequência de transferências descrita revelou um sistema em que a movimentação de recursos ocorria sem rastreabilidade efetiva, expondo a fragilidade da custódia dos valores e a falta de governança das instituições envolvidas. Ao final, a decisão foi enfática em afirmar que a lacuna normativa não exclui a aplicação das regras gerais de responsabilidade civil:
O modelo de negócio adotado, com instituições financeiras fornecendo infraestrutura para que empresas não licenciadas pelo Banco Central operem serviços bancários, não pode servir como escudo para evasão de responsabilidades. Ao contrário, impõe às instituições financeiras um dever de diligência reforçado, especialmente considerando a natureza dos serviços prestados e os riscos envolvidos.
Em julgamento ampliado, a 4ª Turma Cível do TJ-DFT manteve a sentença por seus próprios fundamentos, concluindo que “a atuação conjunta de instituições financeiras na prestação de serviços bancários por meio do modelo BaaS configura cadeia de fornecimento que enseja responsabilidade solidária pelas falhas sistêmicas”.
O acórdão não inova; aplica regras consolidadas do direito civil a uma realidade tecnológica que, embora recente, não escapa do ordenamento jurídico vigente. Rejeita a ideia de que a ausência de regulação específica cria uma zona de imunidade normativa e reconhece que a multiplicidade de agentes integrados à cadeia de serviços financeiros, somada ao risco econômico compartilhado da operação, amplia a responsabilidade.
É a partir dessa premissa que se estruturam os dois fundamentos para a responsabilização dessas instituições.
O primeiro fundamento repousa na teoria do risco da atividade, consagrada no art. 927, parágrafo único, do Código Civil, segundo a qual quem pratica atividade de risco responde pelos danos que dela resultem. Não importa se há culpa; basta que a atividade, por sua própria natureza, exponha terceiros a risco.
No caso do BaaS, o risco é inerente ao negócio. Ao permitir que empresas não financeiras operem sob sua licença, as fornecedoras terceirizam a capacidade de atuar no sistema bancário, mas não o dever de controle. Aqui, o risco do negócio não é eventual. A infraestrutura pode ser utilizada para finalidades ilícitas, como lavagem de dinheiro e desvio de recursos. Nessas circunstâncias, o dano deixa de ser um evento excepcional e torna-se uma consequência previsível da atividade.
O segundo fundamento assenta-se na Súmula 479 do STJ, segundo a qual “as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”.
O fortuito interno é o evento que, ainda que imprevisível em sua forma concreta, decorre do próprio exercício da atividade empresarial. Quando uma plataforma fraudulenta se vale de uma infraestrutura BaaS para desviar recursos, não há fato externo, mas falha intrínseca ao negócio que, por sua própria natureza, cria vulnerabilidades e possibilidades de uso fraudulento previsíveis em abstrato.
A aplicação da Súmula 479 do STJ ao modelo BaaS expande o perímetro de responsabilidade das instituições licenciadas para abranger todos os atos praticados por seus parceiros que dependem de sua estrutura. O dever de segurança e integridade das operações não se fragmenta com a terceirização da tecnologia. Afinal, a custódia dos valores e a confiança do usuário permanecem, em última instância, sob a guarda das instituições autorizadas pelo BC.
A existência de normas de caráter geral que regulam o setor bancário também reforça essa conclusão. Embora não tratem especificamente do BaaS, tais normas alcançam as operações conduzidas por instituições financeiras e seus parceiros, impondo padrões de diligência, transparência e controle operacional. O descumprimento desses deveres rompe a confiança que sustenta o sistema e atrai a responsabilidade solidária das fornecedoras de BaaS.
Tese de imunidade
O acórdão do TJ-DFT aprofunda o debate e desmonta a tese de imunidade das fornecedoras de BaaS pelos ilícitos cometidos por quem contrata sua infraestrutura. Uma linha de raciocínio que abriria espaço para que empresas do setor lucrassem com o fornecimento sem qualquer responsabilidade, mesmo quando a estrutura fosse usada para fins ilícitos — uma lógica que, na prática, legitimaria ganhos obtidos à margem da legalidade. Isso é particularmente relevante em meio as sucessivas operações policiais que revelaram a instrumentalização de instituições financeiras e fintechs para fins criminosos.
O julgado também antecipa recomendações relevantes ao setor e se alinha ao movimento de regulação em curso pelo Banco Central, entre elas: i) a adoção de processos robustos de due diligence na fase de contratação, com verificação da capacidade técnica e da idoneidade dos contratantes; ii) a implementação de limitações técnicas e operacionais que impeçam a destinação da infraestrutura a fins ilícitos; iii) a criação de mecanismos de monitoramento voltados à identificação de utilização irregular ou suspeita; e iv) a revisão dos modelos de negócio, de modo a incorporar práticas de governança e compliance que reflitam a corresponsabilidade das fornecedoras na cadeia de serviços financeiros.
O modelo BaaS não é um problema em si. Pelo contrário, representa uma inovação relevante na democratização do acesso a serviços financeiros e amplia a competição no mercado. Ao permitir que empresas não financeiras ofereçam produtos sob sua própria marca, o BaaS reduz barreiras de entrada e estimula a inclusão digital e financeira. Mas a sustentabilidade do modelo está condicionada à adoção de práticas sólidas de governança, compliance e supervisão contínua, que equilibrem eficiência e segurança.
Processo nº 0722027-24.2024.8.07.0001
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login