A Terceira Turma do STJ definiu os limites da responsabilidade civil para plataformas de criptoativos diante de fraudes.

CRIPTOATIVOS: A RESPONSABILIDADE CIVIL DAS SOCIEDADES PRESTADORAS DE SERVIÇOS DE ATIVOS VIRTUAIS (SPSAVs) DIANTE DE FRAUDES DE TERCEIROS - LIMITES DO RISCO DO EMPREENDIMENTO E A JURISPRUDÊNCIA DO SUPERIOR TRIBUNAL DE JUSTIÇA

PROFESSOR CARLOS ALEXANDRE MOREIRA

MAIO/2026

RESUMO O presente artigo jurídico propõe uma análise exauriente e dogmática acerca da Responsabilidade Civil Objetiva das plataformas de intermediação de criptoativos (exchanges) no ordenamento jurídico brasileiro, com enfoque na ocorrência de fraudes perpetradas por terceiros. A partir do marco regulatório introduzido pela Lei nº 14.478/2022 e pelas resoluções do Banco Central do Brasil, examina-se a taxonomia das carteiras digitais (wallets) e a delimitação do nexo de causalidade nas operações em redes descentralizadas (blockchain). Tendo como premissa o leading case consubstanciado no REsp nº 2.250.674/MG, julgado pela Terceira Turma do Superior Tribunal de Justiça (STJ), o estudo investiga a inaplicabilidade da teoria do risco integral quando configurado o fortuito externo. Conclui-se que a responsabilidade das Sociedades Prestadoras de Serviços de Ativos Virtuais (SPSAVs) sofre fracionamento na cadeia de consumo, sendo elidida quando a transferência dos ativos virtuais ocorre, por ordem do usuário, para ambiente de custódia externo sobre o qual a intermediadora originária não detém controle tecnológico ou ingerência jurídica.

PALAVRAS-CHAVE: Criptoativos; Responsabilidade Civil; Defesa do Consumidor; Blockchain; Fortuito Externo.

ABSTRACT This legal article proposes an exhaustive and dogmatic analysis of the strict civil liability of cryptoasset intermediation platforms (exchanges) under the Brazilian legal system, focusing on the occurrence of third-party fraud. Based on the regulatory framework introduced by Law No. 14,478/2022 and the resolutions of the Central Bank of Brazil, the taxonomy of digital wallets and the delimitation of causality in decentralized networks (blockchain) are examined. Using the leading case represented by Special Appeal No. 2,250,674/MG, judged by the Third Panel of the Superior Court of Justice (STJ), the study investigates the inapplicability of the integral risk theory when an external fortuitous event is configured. It is concluded that the liability of Virtual Asset Service Providers (VASPs) is fractioned in the consumer chain, being elided when the transfer of virtual assets occurs, by order of the user, to an external custody environment over which the original intermediary has no technological control or legal interference.

KEYWORDS: Cryptoassets; Civil Liability; Consumer Protection; Blockchain; External Fortuitous Event.

SUMÁRIO

1.     Introdução.

2.     A Natureza Jurídica dos Criptoativos e a Incidência do Microssistema Consumerista.

3.     Taxonomia Tecnológica das Wallets e a Descentralização da Custódia.

4.     A Fratura do Nexo Causal e a Excludente de Responsabilidade: A Doutrina do Fortuito Externo no Ecossistema Cripto.

5.     O Dever de Mitigação e a Responsabilidade da Corretora de Destino (Compliance e Know Your Client).

6.     Conclusão.

7.     Referências Bibliográficas.

1. INTRODUÇÃO

A desmaterialização dos ativos financeiros e a ascensão da tecnologia de registros distribuídos (Distributed Ledger Technology - DLT), notadamente a blockchain, inauguraram uma profunda fissura nos dogmas clássicos do Direito Civil, do Direito Econômico e da regulação bancária. A intermediação financeira, historicamente alicerçada na centralidade e no controle de instituições autorizadas pelo Estado, defronta-se agora com um ecossistema pautado pela criptografia, pela pseudo-anonimidade e pela autossuficiência transacional.

Nesse cenário de transição paradigmática, o fenômeno jurídico da responsabilização civil das Sociedades Prestadoras de Serviços de Ativos Virtuais (SPSAVs) — popularmente designadas como exchanges — exige do operador do direito um rigoroso enfrentamento hermenêutico. A colisão entre a vulnerabilidade do investidor-consumidor e os riscos inerentes a uma tecnologia descentralizada impõe a fixação de limites à teoria do risco do empreendimento, sob pena de inviabilizar o desenvolvimento da criptoeconomia no país.

O presente estudo debruça-se sobre esse intrincado feixe de relações jurídicas, adotando como fio condutor analítico o paradigmático acórdão proferido no REsp nº 2.250.674/MG pela Terceira Turma do Superior Tribunal de Justiça (STJ). A decisão consagra uma leitura sofisticada e tecnicamente impecável da cisão entre os serviços de intermediação e custódia, fixando que a transferência de criptoativos para carteiras digitais externas (falsas ou controladas por fraudadores) constitui hipótese de rompimento do nexo causal por fortuito externo, desde que ausente falha sistêmica da corretora originária.

A partir das premissas firmadas pela Corte Cidadã e da intelecção do recém-inaugurado Marco Legal dos Criptoativos (Lei nº 14.478/2022) e das Resoluções nº 519 e 520/2025 do Banco Central do Brasil, objetiva-se exaurir os argumentos jurídicos que permeiam a matéria, demonstrando a imperiosa necessidade de alinhar a dogmática civilista à realidade tecnológica subjacente.

2. A NATUREZA JURÍDICA DOS CRIPTOATIVOS E A INCIDÊNCIA DO MICROSSISTEMA CONSUMERISTA

Para que se possa estabelecer a arquitetura da responsabilidade civil no mercado de criptoativos, impõe-se a premissa fundamental da definição da sua natureza jurídica. O STJ, em reiterados julgados, tem assentado a atecnia da expressão "criptomoedas", uma vez que tais ativos carecem dos atributos essenciais do padrão monetário estatal, quais sejam: o curso forçado, o poder liberatório instantâneo e a emissão por autoridade monetária central.

O legislador pátrio e a Administração Tributária foram precisos ao cunhar o termo técnico e normativo. A Instrução Normativa RFB nº 1.888/2019 inaugurou a positivação do conceito, definindo o criptoativo como a representação digital de valor que, embora não constitua moeda de curso legal, é transacionada eletronicamente mediante criptografia e pode ser utilizada como instrumento de transferência de valores ou investimento. Essa linha conceitual foi definitivamente consolidada no caput do art. 3º da Lei nº 14.478/2022.

A doutrina especializada contemporânea corrobora essa taxonomia. Como bem elucida o jurista Oscar Valente Cardoso, o criptoativo exige, de forma cumulativa, a representação digital de valor, a capacidade de ser objeto de negociação descentralizada por meios eletrônicos (dispensando intermediários tradicionais) e o propósito de investimento ou pagamento.

Assentada a natureza patrimonial e o caráter de prestação de serviços das exchanges, a controvérsia sobre a aplicabilidade do Código de Defesa do Consumidor (CDC) encontra-se hoje pacificada. O art. 13 da Lei nº 14.478/2022 é peremptório ao submeter expressamente as operações do mercado de ativos virtuais às disposições da Lei nº 8.078/1990. Trata-se da cristalização legislativa de um entendimento que já se desenhava de forma pretoriana.

O STJ, ao aplicar a inteligência de sua Súmula nº 297 ("O Código de Defesa do Consumidor é aplicável às instituições financeiras"), operou uma salutar equiparação teleológica. As SPSAVs, ao atuarem no processamento de pagamentos e na custódia de valores da mesma forma que as instituições financeiras e de pagamento (regidas pela Lei nº 12.865/2013), assumem para si os deveres anexos de segurança, proteção dos interesses econômicos, transparência e confiabilidade de seus sistemas (art. 7º, incisos IV e V, da referida lei).

Por via de consequência, a responsabilidade civil da corretora de ativos virtuais é objetiva, ex vi do art. 14, caput, do CDC. O fornecedor não perquire de culpa em seu agir; basta a presença da conduta, do dano e do nexo de causalidade ligado ao defeito na prestação do serviço. O risco da atividade é internalizado pela plataforma. Todavia, como se demonstrará nos tópicos subsequentes, a responsabilidade objetiva não equivale à teoria do risco integral, admitindo as excludentes legais delineadas no § 3º do mesmo art. 14.

3. TAXONOMIA TECNOLÓGICA DAS WALLETS E A DESCENTRALIZAÇÃO DA CUSTÓDIA

A imputação de responsabilidade no direito digital não prescinde do domínio absoluto da mecânica subjacente à infraestrutura tecnológica. O erro mais comum na exegese de litígios envolvendo fraudes com ativos virtuais é a presunção, pautada no modelo bancário ortodoxo, de que as exchanges "guardam" o dinheiro ou o arquivo digital em seus servidores físicos.

O acórdão exarado no REsp 2.250.674/MG é irretocável ao promover uma verdadeira alfabetização tecnológica do operador do direito. Os criptoativos, em sua ontologia estrutural, não estão em posse de ninguém no mundo corpóreo; eles existem exclusivamente como registros em uma rede pública, distribuída e inalterável — a blockchain . A confiança, conforme ressalta Carlos Alexandre Rodrigues, não repousa em uma autoridade sancionadora centralizada, mas no consenso algorítmico de toda a rede de nós verificadores.

Nessa arquitetura, a posse de um ativo não se consubstancia na apreensão de um objeto, mas no controle criptográfico. As carteiras digitais (wallets) não armazenam as moedas em si; elas são, tecnicamente, ambientes de gerenciamento que arquivam as chaves criptográficas: a chave pública (equivalente ao endereço ou número da conta de destino) e a chave privada (a assinatura digital ou senha indelegável que autoriza a movimentação do saldo constante naquele endereço na blockchain) . Quem detém a custódia da chave privada, detém, inapelavelmente, o controle financeiro dos ativos ali alocados.

A taxonomia dessas carteiras é o vetor principal para a identificação do nexo causal na responsabilidade civil:

A.   Quanto à custódia: As Wallets Custodiais delegam o controle da chave privada a uma empresa terceira (geralmente uma corretora), enquanto nas Wallets Non-Custodiais o próprio usuário assume a responsabilidade exclusiva pelo controle e segurança de sua chave privada, sem qualquer ingerência de terceiros.

B.    Quanto à conectividade: As Hot Wallets mantêm conexão ininterrupta com a internet, facilitando a transação, mas expondo os ativos a maior vulnerabilidade cibernética. Por oposição, as Cold Wallets operam off-line, ofertando segurança superior contra ataques hackers, sendo indicadas para acautelar expressivos volumes financeiros a longo prazo. A normatização introduziu ainda a figura híbrida da "carteira morna".

A profunda compreensão desse fenômeno fraciona a atuação mercadológica das empresas. A Resolução BCB nº 520/2025, de forma percuciente, segregou as atividades. No mercado, a plataforma pode atuar apenas como "intermediária" (art. 7º, focada na compra, venda e troca de ativos), como "custodiante" (art. 8º, focada na guarda das chaves privadas e atendimento de ordens de movimentação) , ou, de forma híbrida, como "corretora" (art. 10, englobando ambos).

Quando um investidor adquire USDT (Tether) na plataforma 'A' e ordena a remessa desses ativos para o endereço de uma carteira hospedada na plataforma 'B' ou para um hardware sob seu próprio domínio (uma Cold Wallet), a plataforma 'A' atua, naquele momento derradeiro, no exercício exclusivo de intermediação de remessa. A consumação da transferência na rede blockchain encerra a eficácia do serviço contratado junto à intermediadora original, deslocando a órbita de proteção da confiança para o custodiante de destino.

4. A FRATURA DO NEXO CAUSAL E A EXCLUDENTE DE RESPONSABILIDADE: A DOUTRINA DO FORTUITO EXTERNO NO ECOSSISTEMA CRIPTO

A pedra angular do litígio examinado pela Terceira Turma do STJ no REsp 2.250.674/MG residia na tentativa autoral de imputar à corretora de origem (Bitso) os prejuízos decorrentes da transferência de ativos para uma carteira falsa, engendrada por estelionatários. A tese exordial arguia o dever da plataforma de identificar e bloquear endereços eletrônicos associados a práticas fraudulentas, evocando a aplicação da Súmula nº 479 do STJ, que impõe às instituições financeiras o dever de responder objetivamente por fraudes e delitos de terceiros (fortuito interno).

A tese, embora dogmaticamente sofisticada ao requerer a inversão do ônus probatório (art. 6º, VIII, CDC e art. 373, § 1º, CPC) em razão do monopólio da tecnologia pelas grandes empresas tecnológicas, sucumbiu diante da inafastável barreira do nexo de causalidade.

Para que a responsabilidade civil emerja, deve haver a demonstração cabal do defeito na prestação do serviço (art. 14, § 1º, CDC), caracterizado quando o fornecedor não entrega a segurança que legitimamente dele se espera. Todavia, a Corte Superior operou um primoroso distinguishing. Consoante o relato dos fatos incontroversos, a fraude não se perpetrou no ambiente interno da ré. Não houve invasão do banco de dados da exchange, comprometimento de chaves internas, vazamento de credenciais ou falha na autenticação multifator do correntista.

Pelo contrário, o evento danoso derivou de inquestionável engenharia social direcionada ao próprio titular dos ativos. O investidor, após regular login e conversão monetária, inseriu de forma voluntária, livre e espontânea o endereço público fornecido pelo fraudador (a carteira fake "BATCOIN") e autorizou, ativamente, a transferência.

Aqui, incide com precisão cirúrgica a excludente insculpida no art. 14, § 3º, II, do CDC: a culpa exclusiva do consumidor ou de terceiros. A engenharia social, quando leva o usuário a realizar transações fora da esfera de vigilância e proteção da corretora, transmuta-se de fortuito interno (risco inerente à exploração de sistemas eletrônicos) para fortuito externo . A doutrina e a jurisprudência são uníssonas: o fortuito externo atua como vetor de rompimento irremediável da cadeia de causalidade. A conduta da corretora foi lícita e perfeita: executou estritamente o mandamento do legítimo proprietário dos fundos.

Exigir que a plataforma de origem (intermediadora) monitore a lisura de todos os endereços criptográficos gerados na insondável imensidão das redes descentralizadas (como a blockchain Ethereum ou Bitcoin) configuraria não apenas uma imposição de prova diabólica, mas a subversão da própria ontologia do ativo virtual. Ao remeter os fundos para uma carteira não custodiada por ela, a plataforma perde tecnicamente qualquer poder de reversão, bloqueio ou estorno, posto que a blockchain é regida pelo princípio da imutabilidade dos blocos. A consumação da fraude (o desapossamento financeiro) perfectibilizou-se exclusivamente no ambiente externo, sob a governança de terceiros, esvaindo-se qualquer resíduo de nexo de causalidade da prestadora originária.

5. O DEVER DE MITIGAÇÃO E A RESPONSABILIDADE DA CORRETORA DE DESTINO (COMPLIANCE E KNOW YOUR CLIENT)

Ultrapassada a constatação dogmática de que a intermediadora originária se exime da obrigação de indenizar diante da perfectibilização do Fortuito Externo, cumpre ao jurista perquirir sobre o endereçamento adequado da pretensão reparatória do consumidor lesado. O Direito não tolera a irresponsabilidade sistêmica, de modo que a fratura do nexo causal em relação à plataforma remetente (Bitso, no caso analisado) não significa a impunidade dos demais elos da cadeia digital.

A Terceira Turma do STJ, em percuciente obiter dictum utilitário, sinalizou o caminho hermenêutico correto: a responsabilização da instituição mantenedora da carteira digital de destino. Para tanto, o Relator, Ministro Ricardo Villas Bôas Cueva, valeu-se da inteligência firmada no julgamento do REsp 2.222.137/SP (o célebre caso do "Golpe do Falso Leilão"), operando uma analogia direta entre as contas bancárias tradicionais utilizadas por "laranjas" e as wallets criadas por estelionatários no ecossistema cripto.

As plataformas que operam exclusivamente ou cumulativamente como "custodiantes" (art. 8º da Resolução BCB nº 520/2025) ostentam o Dever de Segurança no momento do onboarding (cadastro) de seus usuários. A esse dever subjazem as políticas de compliance oriundas do regime de Prevenção à Lavagem de Dinheiro (PLD), consagradas internacionalmente pelas recomendações do Financial Action Task Force (FATF-GAFI) e nacionalmente pela Lei nº 9.613/1998 (Lei de Lavagem de Dinheiro).

O mercado de criptoativos não é uma "terra de ninguém". Mesmo antes da positivação normativa estatal, a autorregulação da Associação Brasileira de Criptoeconomia (ABCripto) já impunha às exchanges a adoção peremptória de medidas de Devida Diligência ao Cliente (do inglês, Know Your Client - KYC) e de Identificação de Transações (Know Your Transaction - KYT).

A responsabilidade civil, portanto, transita da intermediadora para a corretora de destino. É esta última que falha na prestação do seu serviço (art. 14, § 1º, do CDC) ao permitir a abertura e a manutenção de uma carteira digital fake ou fraudulenta sem a devida verificação da identidade de seus controladores. Conforme assentou o STJ, a existência de contas abertas e mantidas pelas instituições em nome do próprio fraudador (ou de "laranjas") é o núcleo causal que possibilita a consumação dos mais variados tipos de golpes financeiros.

Ao não adotar uma política de Know Your Client rigorosa, a custodiante de destino viola os ditames do art. 9º, § 1º, da Resolução BCB nº 520/2025, que impõe o dever mitigatório de riscos à integridade dos ativos. Consequentemente, atrai para si a responsabilidade objetiva pelos danos experimentados pelo investidor que, enganado por engenharia social, enviou os ativos para a carteira fraudulenta ali hospedada.

Competia ao autor, processualmente, promover a citação da plataforma recebedora dos fundos (no caso narrado, a OKX ou o operador da wallet "BATCOIN") e postular a exibição de documentos para desvendar a cadeia de titularidade, e não litigar contra a corretora de origem, que operou como mero conduíte tecnológico lícito.

6. CONCLUSÃO

A análise dogmática da jurisprudência recém-inaugurada pelo Superior Tribunal de Justiça, com escopo no REsp 2.250.674/MG, revela o amadurecimento e a sofisticação da Corte no trato de litígios envolvendo inovações disruptivas.

É incontroverso que as Sociedades Prestadoras de Serviços de Ativos Virtuais (SPSAVs) subsumem-se ao microssistema de proteção e defesa do consumidor (art. 13 da Lei nº 14.478/2022) . Tal submissão atrai a responsabilidade de índole objetiva, materializando a incidência analógica das Súmulas nº 297 e 479 do STJ ao mercado criptográfico.

Não obstante, a assunção dos riscos da atividade econômica pelas exchanges não consagra, no ordenamento pátrio, a modalidade de risco integral. A imputação do dever de indenizar demanda a demonstração irrefutável do defeito no serviço. Em redes descentralizadas calcadas na tecnologia blockchain, a efetivação de transferências para carteiras externas (wallets) rompe o liame causal e desloca a esfera de controle tecnológico.

Quando o próprio usuário-investidor, mediante o uso regular de suas chaves criptográficas e de senhas de autenticação, ordena a transferência de seus ativos virtuais para um endereço externo revelado posteriormente como fraudulento (golpe de terceiros), configura-se o Fortuito Externo. A culpa recai exclusivamente sobre o estelionatário e sobre a incúria do investidor, eximindo a plataforma intermediadora com supedâneo no art. 14, § 3º, inciso II, do CDC.

Restará ao jurisdicionado diligente, em tais intercorrências, buscar a recomposição patrimonial perante os próprios infratores ou, em caráter subsidiário, pleitear a responsabilização civil da corretora de custódia de destino que, violando normas antilavagem e diretrizes de Know Your Client (KYC), permitiu a abertura irregular de carteiras destinadas à captação de recursos ilícitos.

A jurisprudência brasileira erige, destarte, um pilar de segurança jurídica de valor inestimável. Protege-se o consumidor das falhas sistêmicas (fortuito interno), mas impede-se a judicialização deletéria e desproporcional que pretendia converter corretoras de criptoativos em garantidoras universais de transações consumadas em redes públicas abertas.

REFERÊNCIAS BIBLIOGRÁFICAS

1. Legislação Pátria:

• BRASIL. Constituição da República Federativa do Brasil de 1988.
• BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências.
• BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil.
• BRASIL. Lei nº 12.865, de 9 de outubro de 2013. Dispõe sobre os arranjos de pagamento e as instituições de pagamento integrantes do Sistema de Pagamentos Brasileiro (SPB).
• BRASIL. Lei nº 13.105, de 16 de março de 2015. Código de Processo Civil.
• BRASIL. Lei nº 14.478, de 21 de dezembro de 2022. Dispõe sobre diretrizes a serem observadas na prestação de serviços de ativos virtuais (Marco Legal dos Criptoativos).
• BRASIL. Decreto nº 11.563, de 13 de junho de 2023. Regulamenta a Lei nº 14.478/2022.

2. Atos Normativos Infralegais:

• BANCO CENTRAL DO BRASIL (BCB). Resolução BCB nº 519, de 2025. Disciplina os processos de autorização de SPSAVs.
• BANCO CENTRAL DO BRASIL (BCB). Resolução BCB nº 520, de 2025. Disciplina a constituição e funcionamento das SPSAVs.
• RECEITA FEDERAL DO BRASIL (RFB). Instrução Normativa RFB nº 1.888, de 03 de maio de 2019. Institui e disciplina a obrigatoriedade de prestação de informações relativas às operações realizadas com criptoativos.

3. Jurisprudência do Superior Tribunal de Justiça (STJ):

• BRASIL. Superior Tribunal de Justiça (3ª Turma). Recurso Especial nº 2.250.674/MG. Relator: Ministro Ricardo Villas Bôas Cueva. Julgado em 08 de abril de 2026. Publicado no DJEN/CNJ em 10/04/2026 .
• BRASIL. Superior Tribunal de Justiça (3ª Turma). Recurso Especial nº 2.222.059/SP. Relator: Ministro Ricardo Villas Bôas Cueva. Julgado em 07 de outubro de 2025.
• BRASIL. Superior Tribunal de Justiça (3ª Turma). Recurso Especial nº 2.222.137/SP. Relator: Ministro Ricardo Villas Bôas Cueva. Julgado em 07 de outubro de 2025.
• BRASIL. Superior Tribunal de Justiça (3ª Seção). Conflito de Competência nº 161.123/SP. Relator: Ministro Sebastião Reis Júnior. Julgado em 28 de novembro de 2018.

4. Doutrina Especializada (mencionada no leading case):

• CARDOSO, Oscar Valente. Lei das criptomoedas comentada. São Paulo: Thomson Reuters Brasil, 2023.
• GOMES, Daniel de Paiva; GOMES, Eduardo de Paiva (Coord.). Criptoativos, Tokenização, Blockchain e Metaverso: aspectos filosóficos, tecnológicos, jurídicos e econômicos. 1. ed. São Paulo: Thomson Reuters Brasil, 2022 .
• MARTINS, Tiago Misael de Jesus. Regulação de criptoativos e dados aproveitáveis em investigações criminais no Brasil. In: Investigação com criptoativos. Brasília: MPF, 2024 .
• RODRIGUES, Carlos Alexandre. As criptomoedas, o initial coin offering (ICO) e os aspectos regulatórios: em que estágio está o Brasil em relação ao resto do mundo. Revista dos Tribunais, São Paulo, v. 107, n. 995, set. 2018.