Nos últimos anos, muitos investidores passaram a investir em criptomoedas, também conhecidas como moedas virtuais, que são ativos digitais criptografados negociados por uma rede descentralizada segura nomeada por Blockchain, sem nenhuma interrupção bancária. O Bitcoin é a criptomoeda mais conhecida entre as que estão disponíveis no mercado.

A negociação das criptomoedas é feita por meio de plataformas digitais, normalmente corretoras especializadas nesse tipo de ativo.

Em que pese as corretoras garantirem a segurança das operações, não são raros os casos que envolvem a subtração fraudulenta de criptomoedas das contas de investidores.

Ao acessar sua conta, o investidor verifica que as criptomoedas sumiram de sua conta, e depois descobre que terceiros acessaram indevidamente a sua conta e transferiram as criptomoedas para outra conta.

O que propomos analisar no presente artigo é a responsabilidade das corretoras pela subtração fraudulenta de criptomoedas de seus clientes.

Atualmente, a maioria dos julgados do Tribunal de Justiça de São Paulo entende que, como há relação de consumo entre as partes (investidor vs. corretora), a responsabilidade da corretora é objetiva. Isso quer dizer que, independentemente da comprovação da culpa ou dolo da corretora, ela é responsável pelos prejuízos causados por terceiros na subtração das criptomoedas de seus clientes, devendo restituir os valores indevidamente retirados de suas contas.

Vejamos alguns julgados do Tribunal de Justiça de São Paulo nesse sentido:

“GESTÃO DE NEGÓCIOS. INVESTIMENTO EM CRIPTOMOEDA (BITCOIN). AÇÃO INDENIZATÓRIA POR DANOS MATERIAIS E MORAIS. Sentença de parcial procedência. Apelo da ré. Subtração de saldo existente em conta digital em nome da autora intermediada pelo réu que colocou à disposição plataforma na internet para intermediar a compra e venda de ativos virtuais, criptomoedas. Autora que demonstrou ter cancelado a primeira tentativa de saque por terceiros, ter efetuado troca de senhas na mesma data diversas vezes, recebendo informação de bloqueio da conta para saque por 48 horas, mas que, minutos depois, foi surpreendida com a autorização de transferência da quantia sem possibilidade de cancelamento. Evidente falha nos sistemas de segurança da ré. Decadência. Inocorrência. Aplicação, na espécie, do artigo 27 do CDC, que estabelece a prescrição para a reparação do dano em cinco anos, não decorrido referido prazo. Saque indevido incontroverso. Ação de fraudadores não afasta a legitimidade passiva nem a responsabilidade objetiva da ré, que não provou ter utilizado mecanismos impeditivos da ação de terceiros. Valor negociado do bitcoin à época não demonstrado a contento pela autora. Acolhimento do preço médio apontado pela ré em documento não impugnado pela autora. Danos morais constatados. Valor reduzido para R$ 5.000,00 ante as circunstâncias do caso. Sentença parcialmente reformada. RECURSO PARCIALMENTE PROVIDO.

(…) No mais, registre-se que a alegação da apelante de culpa de terceiros não a exime da responsabilidade civil e por isso, também da legitimidade para responder à demanda – pelo dano causado à autora, diante da responsabilidade objetivada ré que não provou ter adotado mecanismos de segurança aptos a impedir a ação defraudadores, independentemente do fato de a subtração do valor investido ter se dado por acesso a site fraudulento ou por meio de acesso indevido da conta do autor por terceiros. Reconhecer a culpa exclusiva de terceiros, quando deveria ter verificado a existência de falsários e denunciá-los, é premiar o fornecedor de um produto ou serviço que não foi zeloso tanto quanto deveria ser, penalizando o consumidor que foi vítima do descaso da empresa e do falsário.
Ressalte-se ser irrelevante se os serviços prestados pelo réu se equiparem ou não aos prestados pelas instituições financeiras, porque é certo que a ocorrência de fraude em contas virtuais caracteriza fortuito interno, de modo que cabia ao réu ter demonstrado os critérios de segurança por ele adotados, para impedir fraudes, do que não se desincumbiu, diante do fato incontroverso, o saque indevido, e do risco da atividade desempenhada. Nesse contexto, descabe atribuir culpa ao consumidor, ainda que concorrente. Ademais, inconcebível que a ré se limite a imputar a culpa a terceiros ou a consumidora, alegando comodamente que os e-mails e as ligações não partiram de sua central, sem fazer mínima prova do alegado. Aliás, sequer explicou como foi permitido o saque dos bitcoins poucos minutos após o bloqueio da conta, quando informado que a função de retirada de moedas virtuais seria bloqueada temporariamente por 48 horas (fls. 69 e 75), restando, assim, evidente a grave falha nos serviços prestados pela ré.” [1] (grifamos)

“Prestação de serviço. Intermediação de compra e venda de criptomoeda. Anulação da sentença a que não se justifica. Subtração fraudulenta dos valores da conta digital mantida junto à ré. Responsabilidade objetiva advinda do risco do negócio. Artigo 14 da lei8.078/90. Pedidos de restituição de valores e de indenização por danos morais. Procedência da ação autorizada apenas quanto ao primeiro pleito. Indenização cassada. Recurso parcialmente provido.
(…) Como se viu, o autor contratou os serviços de intermediação de compra e venda de criptomoedas oferecidos pela ré, tendo efetuado depósito em conta virtual, mas posteriormente os valores sumiram, sendo que a demandada não negou que isso se deu por fraude.
Aliás, ela até admitiu tal possibilidade ao dizer que “No mundo atual sabemos a vulnerabilidade dos meios eletrônicos à fraudes” (fls. 104).
A ré alegou, é verdade, que tal se deu por culpado próprio autor, “por não observar as informações contidas no site, inclusive termos de uso” (fls. 105).
Contudo, não restou nem minimamente revelado que a fraude se deu por culpa do autor, ainda que concorrente, cabendo observar que conforme enfatizou a ré o pedido de desativação da segurança em 2 fatores ocorreu depois de outubro de 2017 (fls. 95).
(…) Note-se que a possível ocorrência da uma fraude não afastava a responsabilidade da corretora, eis que à vista do disposto no artigo 14 da Lei 8.078/90 ela respondia independentemente de indagação sobre culpa pelos danos decorrentes da fraude no sistema que usava para manter os recursos do cliente.
Realmente, cabia à corretora adotar as medidas de segurança necessárias para evitar ocorrência de fraudes que permitissem o acesso de terceiros às contas digitais.
Cuidava-se, pois, de responsabilidade objetiva advinda do risco do negócio, o que desautoriza a evocação da excludente da culpa exclusiva de terceiro (§ 3º do artigo 14 da Lei 8.078/90)
Aliás, ante a natureza do serviço desenvolvido pela demandada se impunha a aplicação analógica da Súmula nº 479 do STJ, segundo a qual “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”
Ademais, a rigor nem se podia dizer inocorrente culpa da ré, ainda que mínima, já que ela agora aponta que identificou acesso à conta do autor proveniente de um aparelho que não era o usualmente utilizado pelo cliente (fls. 244), mas nem assim adotou a cautela de confirmar com o cliente a iniciativa do acesso, nem procedeu ao bloqueio preventivo da conta. Sob tal contexto caso era mesmo, destarte, de se acolher o pedido de reembolso dos valores.” [2] (grifamos)

“AÇÃO DE INDENIZAÇÃO POR DANOS MATERIAIS. Investimento em criptomoeda (bitcoins). Ilegitimidade passiva. Inocorrência. Pertinência subjetiva com o pedido deduzido. Pretensão de compelir a ré à indenizar o valor de que foi subtraído da conta digital do autor. Fraude de terceiro. Fortuito interno. Responsabilidade objetiva. Indenização devida. Precedentes. Montante da condenação não infirmado. Recurso desprovido.
(…) No mérito, cumpre destacar que a ré, na condição de fornecedora, responde pelos danos causados aos consumidores que se servem de seus serviços de intermediação e custódia de criptoativos.
A relação jurídica existente entre as partes rege-se pelas normas previstas no diploma de proteção ao consumidor e a hipótese em comento é de responsabilidade pelo fato do serviço, que é objetiva, nos termos do artigo 14 do aludido Código: o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.
(…) A responsabilidade objetiva independe da existência de culpa para a sua configuração, bastando a comprovação do dano e da existência de nexo de causalidade.
No caso, a subtração de valores não foi impugnada pela ré, que, ao invés disso, alegou a ocorrência de culpa exclusiva do consumidor ou de terceiro, pois houve fraude realizada por criminosos, o que impossibilitaria a devolução dos valores quando solicitado.
(…) Nesse contexto, a responsabilidade da ré é manifesta, pois lhe competia a prestação de serviços seguros e eficientes, devendo arcar com qualquer dano que venha causar em razão de eventual falha ou deficiência.
Além disso, deve ser ressaltado que não recai sobre o autor qualquer suspeita de participação na fraude mencionada pela ré, o que sequer foi por elas mencionado.
(…) Em suma, ainda que o saque indevido tenha ocorrido em virtude da atuação de terceiros, isso não exime a ré de responsabilidade pelo prejuízo suportado pelo autor.(…) Assim, no caso em exame, não importa perquirir se os danos suportados pelo autor resultaram de conduta dolosa ou culposa das rés fornecedoras, pois sua responsabilidade é objetiva, pelo risco da atividade, de modo que deve o consumidor ser ressarcido pelos prejuízos sofridos.
Acrescente-se ser descabida a pretensão de reconhecimento da culpa concorrente, pois não restou demonstrado que o autor tenha efetivamente contribuído para o prejuízo que sofreu. Ao que tudo indica, a fraude foi praticada exclusivamente por terceiros, fato que se insere no risco da atividade exercida pela ré.” [3] (grifamos)

Por outro lado, há precedentes do Tribunal de Justiça de São Paulo no sentido de que a corretora não deve responder pela subtração indevida de criptomoedas, caso fique comprovado que o investidor não adotou as cautelas necessárias para garantir a segurança da sua conta, ou que o investidor facilitou a ação fraudulenta. Veja-se o exemplo abaixo:

“AÇÃO INDENIZATÓRIA. PRESTAÇÃO DE SERVIÇOS. PLATAFORMA DE INVESTIMENTOS EM CRIPTOMOEDAS. Autor que pretende o recebimento de indenização material e moral em razão de suposta falha na prestação de serviços pela ré. Sentença de improcedência. Apelo do autor. Recebimento de e-mail fraudulento solicitando a atualização de dados cadastrais. Autor que não adotou as diligências necessárias no sentido de verificar a autenticidade do endereço do remetente. Cessão de dados sensíveis que não decorreu de falha na prestação de serviços pela ré. Culpa exclusiva da vítima e ato exclusivo de terceiro fraudador. Aplicação da excludente de responsabilidade civil prevista no artigo 14, §3º, inciso II, do CDC. Inaplicabilidade ao caso da Súmula n. 479, do STJ. Ausência de nexo de causalidade entre o dano e a conduta da instituição financeira. Falha na prestação de serviços não demonstrada. Improcedência da ação. Sentença mantida. Recurso não provido.
(…) Pelo que se tem dos autos, o saque indevido na conta do autor ocorreu um dia após o recebimento de e-mail fraudulento para suposta atualização dos dados cadastrais do cliente (fls. 119/128).
(…) Como bem se observa, os elementos presentes nos autos indicam a culpa exclusiva da vítima, que cedeu dados sensíveis a terceiros sem adotar as diligências mínimas no sentido de verificar a autenticidade do endereço de e-mail do remetente.
Neste sentido, o caso sub judice não decorreu de falha na prestação de serviços pela requerida, mas sim de ato praticado por terceiro golpista, evidenciando, na hipótese em apreço, a falta de nexo causal entre os danos experimentados pela vítima e a conduta atribuída à corretora, atraindo a excludente de responsabilidade prevista no art. 14, §3º, inciso II, do diploma consumerista.
Ademais, conquanto a Súmula n. 479, do Superior Tribunal de Justiça cogite a responsabilidade objetiva das prestadoras de serviços pelos danos gerados por fortuito interno, relativos a fraudes e delitos praticados por terceiros no âmbito das operações financeiras, aplicável por analogia às custodiantes de investimentos mobiliários, tal diretriz, como visto, afigura-se inaplicável à hipótese tratada nestes autos, porque participação alguma teve a ré na cessão de dados sensíveis aos golpistas.
(…) Assim, a conduta do requerente, na peculiaridade do caso concreto, representa erro grosseiro e falha no dever de cautela ao ceder informações sensíveis a terceiros sem a mínima diligência.
Ad argumentandum, ressalte-se que a presente solução é aplicável ao caso concreto, e que, caso não houvesse meios para o consumidor suspeitar da fraude perpetrada, poderia se decidir em outra direção.
(…) Assim, pela ausência de nexo de causalidade entre a conduta da corretora e os danos descritos, mantém-se a improcedência da demanda.” [4] (grifamos)

Ou seja, a responsabilidade da corretora dependerá das circunstâncias de cada caso concreto. Se ficar demonstrado que houve falha de segurança de sua plataforma, a corretora deve responder pelos prejuízos causados ao seu cliente; se ficar provado que a falha foi do investidor, a corretora não deve responder.

Por se tratar de um tema bastante atual e controvertido, acreditamos que o assunto chegará ao Superior Tribunal de Justiça, para o fim de consolidar a jurisprudência sobre a questão.

[1] TJSP, Apelação nº 1018276-64.2020.8.26.000, 27ª Câmara de Direito Privado, Des. Rel. Alfredo Attié, julgado em 12/07/2022.

[2] TJSP, Apelação nº 1015935-10.2021.8.26.0008, 36ª Câmara de Direito Privado, Rel. Des. Arantes Theodoro, julgado em 08/07/2022.

[3] TJSP, Apelação nº 1022804-04.2021.8.26.0100, 36ª Câmara de Direito Privado, Rel. Des. Milton Carvalho, julgado em 25/02/2022.

[4] TJSP, Apelação nº 1052645-78.2020.8.26.0100, 32ª Câmara de Direito Privado, Des. Rel. Mary Grün, julgado em 11/08/2022.