As plataformas digitais voltadas à intermediação de operações com criptoativos sujeitam-se à responsabilização objetiva quando constatada a ocorrência de transação fraudulenta realizada mediante o uso de login, senha e autenticação em dois fatores.
A controvérsia analisada teve origem em ação indenizatória proposta por investidor contra uma corretora de criptoativos, com o objetivo de obter o ressarcimento dos valores subtraídos em decorrência de transferência não autorizada de bitcoins, além de indenização por danos morais. Alega-se, na inicial, falha nos mecanismos de segurança da plataforma demandada.
O acórdão proferido pelo Tribunal de origem afastou a responsabilidade da corretora, com fundamento na existência de culpa exclusiva do autor e de terceiros (hackers), bem como na inexistência de vícios nos sistemas de segurança da ré. Entendeu-se, nesse contexto, que o usuário, ao descuidar da proteção de suas credenciais, teria contribuído de forma decisiva para a concretização do ilícito.
Todavia, à luz da jurisprudência consolidada do Superior Tribunal de Justiça, aplica-se ao caso o entendimento consagrado na Súmula nº 479, segundo a qual “as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”
Importante destacar que as corretoras de criptomoedas, ao exercerem atividades de intermediação financeira, enquadram-se na categoria de instituições financeiras para fins legais, conforme o disposto no artigo 17 da Lei nº 4.595/1964, estando, inclusive, sob a supervisão e regulação do Banco Central do Brasil.
Conforme o regime jurídico previsto no artigo 14, §3º, inciso II, do Código de Defesa do Consumidor, a responsabilidade das instituições financeiras é objetiva, somente podendo ser afastada na hipótese de comprovação inequívoca de culpa exclusiva do consumidor ou de terceiro.
No caso concreto, a conclusão das operações na plataforma ocorre mediante uma cadeia de autenticações que inclui login, senha, número PIN e confirmação por meio de link enviado ao e-mail cadastrado. Assim, a fim de excluir sua responsabilidade, competiria à corretora comprovar que o próprio usuário realizou todas as etapas da transação — inclusive o clique no link de confirmação —, o que não foi feito.
A ausência de prova do envio e da validação do e-mail de confirmação da operação impugnada compromete a tese defensiva da ré, evidenciando a fragilidade dos mecanismos de rastreabilidade e segurança digital adotados pela plataforma.
Ademais, ainda que se cogite de invasão por terceiros, tal hipótese não configura fortuito externo, apto a afastar a responsabilidade objetiva da instituição, na medida em que ataques cibernéticos integram o risco inerente à atividade desenvolvida e devem ser eficientemente mitigados pela empresa prestadora do serviço.
É relevante ressaltar, por fim, que o entendimento jurisprudencial que isenta instituições financeiras da responsabilidade por saques realizados com cartão magnético e senha pessoal não é aplicável à presente hipótese, dada a complexidade e o nível adicional de autenticação envolvido nas transações com criptoativos.
Dessa forma, constatada a ausência de excludente de responsabilidade nos termos do art. 14, §3º, II, do CDC, e considerando-se o ônus probatório disciplinado no art. 373, II e §1º, do Código de Processo Civil, impõe-se o reconhecimento da responsabilidade objetiva da plataforma pela transferência indevida de bitcoins, com os devidos efeitos reparatórios
REsp 2.104.122-MG
Fonte: STJ
