A intersecção entre as rígidas regras de cibersegurança e os novos desafios do direito empresarial acaba de ganhar um precedente valiosíssimo. A 3ª Turma do Superior Tribunal de Justiça (STJ), sob relatoria do ministro Villas Bôas Cueva, decidiu por unanimidade que uma plataforma intermediária não tem o dever de indenizar um usuário que, enganado por um golpe, transferiu seus ativos para uma carteira digital (wallet) fraudulenta.
O Caso Concreto e a Mecânica da Fraude
A disputa judicial (REsp 2.250.674) envolveu a plataforma Bitso e um investidor que transferiu mais de 11.700 USDT (aproximadamente R$ 59 mil na época) para uma carteira falsa gerida por estelionatários.
O autor da ação alegou que a corretora falhou em não oferecer mecanismos de segurança capazes de identificar e travar a fraude. A defesa da empresa, por sua vez, demonstrou tecnicamente que não houve data breach (vazamento de dados) ou falha no sistema: a autenticação e a ordem de transferência foram realizadas legitimamente pelo próprio dono da conta. A ação já havia sido julgada improcedente em primeira instância e no Tribunal de Justiça de Minas Gerais, sendo agora confirmada pelo STJ.
A Arquitetura do Serviço e o Enquadramento Legal
O grande diferencial técnico deste acórdão foi a compreensão precisa dos ministros sobre o funcionamento e o desenvolvimento de sistemas criptográficos. O tribunal reconheceu que o ecossistema é dividido em fases completamente distintas: depósito, aquisição, transferência e custódia.
O relator destacou que a plataforma atua como uma Sociedade Prestadora de Serviços de Ativos Virtuais (SPSAV), operando sob as regras da Lei 14.478/22 (Marco das Criptomoedas). Embora essas empresas estejam submetidas ao Código de Defesa do Consumidor (CDC) e sejam equiparadas a instituições financeiras nos deveres de transparência e proteção do usuário, a responsabilização não é automática.
Como o golpe se consolidou na etapa de custódia em um ambiente externo à exchange — um serviço de armazenamento que a Bitso não prestava —, o nexo causal foi rompido. Não há como responsabilizar a empresa por um ambiente digital que ela não controla.
O Ângulo Estratégico e Corporativo
Para gestores, analistas de dados e negócios de tecnologia financeira, a decisão traz segurança jurídica, mas impõe um alto nível de diligência. A responsabilidade da empresa termina onde o escopo da sua arquitetura tecnológica acaba, porém, a defesa processual depende diretamente da governança de TI do negócio:
-
Logs e Rastreabilidade: A isenção de culpa só foi possível porque a empresa conseguiu apresentar trilhas de auditoria provando que a operação seguiu parâmetros esperados e foi validada com os dados do próprio usuário, descartando falhas na prestação do serviço.
-
Limites Contratuais Claros: É vital que os Termos de Uso delimitem juridicamente qual fase da operação a plataforma executa (ex: apenas a compra e envio) e onde o risco passa a ser exclusivo do usuário (ex: a guarda dos ativos em redes descentralizadas ou wallets de terceiros).
-
Cibersegurança como Prova Legal: A regra de ouro é que a inversão do ônus da prova só pode ser combatida quando a empresa demonstra tecnicamente que seu ambiente estava seguro. Sem uma política de segurança da informação documentada, a condenação seria certa.
Fonte: Portal Migalhas