O ecossistema de criptoativos funciona sob uma lógica descentralizada, o que significa que, em sua forma mais segura, a custódia dos ativos digitais depende exclusivamente do próprio usuário, por meio da posse e controle de sua chave privada. No entanto, ao utilizar exchanges e carteiras online, essa responsabilidade pode ser transferida ao provedor do serviço, que detém as chaves privadas e disponibiliza o acesso por login, senha e autenticação multifatorial, como tokens, SMS ou aplicativos.
Nesse cenário, além das exchanges, outros agentes tornam-se fundamentais, como provedores de e-mail e de autenticação, exemplificados pelos serviços do Google (Gmail e Google Authenticator). A depender da arquitetura de segurança adotada pelo prestador de serviços de ativos virtuais (VASP), o comprometimento de uma conta de e-mail pode representar um vetor eficaz de ataque, possibilitando redefinições de senha e acesso indevido a carteiras digitais — situação semelhante à de fraudes em contas bancárias e redes sociais.
Em 12 de maio de 2025, a juíza Luciana Antunes Ribeiro Crocomo reconheceu a responsabilidade do Google por falha na prestação do serviço de e-mail, que resultou no roubo de criptoativos. No caso, agentes maliciosos invadiram a conta da vítima no Gmail, alteraram os parâmetros de autenticação de dois fatores, removendo o token vinculado ao e-mail da esposa e o substituindo por um dispositivo físico, o que impossibilitou a recuperação da conta. Com isso, os criminosos acessaram o Gmail e o Google Authenticator, obtendo controle sobre contas em exchanges e promovendo a subtração dos ativos digitais. A magistrada entendeu que o Google não atuou com a diligência esperada, mesmo tendo ferramentas capazes de detectar acessos indevidos, fundamentando sua decisão no artigo 14 do Código de Defesa do Consumidor (CDC). O caso representou um importante precedente ao afirmar que provedores digitais podem ser responsabilizados, mesmo sem atuarem diretamente na custódia de criptoativos, se sua omissão ou falha sistêmica contribuir de forma relevante para o dano.
Por outro lado, em julgamento do Recurso Especial nº 1.885.201/SP, a 3ª Turma do Superior Tribunal de Justiça afastou a responsabilidade do Google por prejuízos decorrentes da subtração de 79,2 bitcoins (à época avaliados em cerca de R$ 1 milhão), após invasão da conta de e-mail da vítima em 2017. O STJ entendeu que o acesso ao e-mail, embora relevante, não seria suficiente para realizar transações com criptoativos, sendo necessário também o conhecimento da chave privada, equivocadamente tratada na decisão como “senha”. A ministra Nancy Andrighi apontou a ausência de nexo causal entre a conduta do Google e o dano sofrido, atribuindo à vítima a responsabilidade por armazenar a chave no próprio e-mail. A Corte rejeitou o recurso sob o argumento de que não houve comprovação de falha sistêmica por parte do provedor e que houve negligência do usuário.
Essa decisão, no entanto, pode conter imprecisões técnicas. Em plataformas como a Blockchain.com, o próprio provedor pode custodiar as chaves privadas, permitindo transações por links temporários enviados ao e-mail, sem que o usuário detenha a chave. Esse aspecto não foi adequadamente explorado nos autos, cuja parte tramita sob sigilo, o que comprometeu a análise do real fluxo de autenticação envolvido no caso.
Dessa forma, o precedente do STJ afasta a responsabilidade automática do provedor de e-mail por fraudes com criptoativos, exigindo prova de nexo causal direto e ausência de culpa exclusiva do usuário ou de terceiros. Já a decisão da magistrada em primeira instância sinaliza uma tendência de responsabilização quando a falha no serviço de e-mail se mostra decisiva para o ataque.
A jurisprudência ainda está em consolidação, refletindo os desafios impostos pela complexidade técnica e contratual do ecossistema de ativos digitais. O crescente papel multifuncional dos provedores de e-mail — que hoje concentram autenticações, backups, senhas e dados bancários — demanda maior rigor na análise dos casos. O Judiciário deve considerar a centralidade desses serviços no fluxo operacional dos criptoativos, e sua eventual negligência pode configurar falha na prestação do serviço, justificando a responsabilização objetiva nos termos do CDC.
Fonte: Conjur
