Ativos digitais incluem criptomoedas como Bitcoin, itens virtuais como NFTs (obras de arte digitais), tokens (como os de jogos ou de plataformas descentralizadas), documentos, fotos e vídeos digitais, e até mesmo bens tokenizados como ações ou imóveis. Basicamente, qualquer recurso de valor que existe em formato digital é um ativo digital.
As operações e transações financeiras realizadas com estes ativos por particulares e instituições financeiras ocorrem diariamente no Brasil e no mundo em volumes expressivos, tanto que, em 2022, foi promulgada a lei nº 14.478/2022 (Marco Legal dos Ativos Virtuais), que regulamenta a prestação de serviços de ativos virtuais e define o Banco Central (BC) como autoridade responsável pela sua fiscalização, exigindo autorização para as empresas do setor operarem no país.
Mais especificamente, o artigo 5º da Lei 14.478/2022 dispõe que são consideradas prestadoras de serviços de ativos digitais (PSAV), as pessoas jurídicas que executam, em nome de terceiros, pelo menos um dos serviços de ativos virtuais entendidos como:
- troca entre ativos virtuais e moeda nacional ou moeda estrangeira;
- troca entre um ou mais ativos virtuais;
- transferência de ativos virtuais;
- custódia ou administração de ativos virtuais ou de instrumentos que possibilitem controle sobre ativos virtuais; ou
- participação em serviços financeiros e prestação de serviços relacionados à oferta por um emissor ou venda de ativos virtuais.
Contudo, a lei nº 14.478/22 apenas apresenta diretrizes básicas para prestação de serviços de ativos virtuais, estando a regulação atual ainda carente de solidez para enfrentamento dos inúmeros desafios que o setor apresenta.
O Banco Central tem plena noção disso, e finalizou há pouco meses a tomada de subsídio das consultas públicas 109, 110 e 111, devendo agora preparar o texto final para publicação, porém, a estimativa inicial era a de que até o final de junho novas regras estariam publicadas, de modo que, o mercado aguarda ansioso e um tanto receoso pela finalização do processo de regulamentação mais detalhado, tendo em vista que já há indicativos de que o processo de obtenção de licença para operação poderá levar até três anos, por exemplo.
Há incertezas sobre os impactos à competitividade, ainda mais quando se pensa em pequenas empresas e investidores estrangeiros (restrições decorrentes da integração ao mercado de câmbio e exigências de licenças) entre outros pontos, mas, de toda forma, o Delivar de Mattos & Castor acredita que o avanço regulatório é necessário a fim de garantir maior segurança ao mercado, viabilizando mais investimentos. Isso sem contar na proteção dos consumidores e aumento de confiança no setor, sobretudo em relação a prevenção e combate à lavagem de dinheiro e ao financiamento ao terrorismo, gestão de risco e conhecimento/experiência do consumidor.
Enquanto as regulamentações almejadas ainda não saíram do forno, o Delivar de Mattos & Castor gostaria de ressaltar que alguns dos problemas cotidianos enfrentados tanto pelas PSAVs quanto pelos consumidores, como no caso de transferências indevidas, podem ser resolvidos com base em outros normativos, principalmente o Código Civil e o Código de Defesa do Consumidor. Para tanto, o Delivar de Mattos & Castor, apresenta decisão recente apreciada pelo Superior Tribunal de Justiça (STJ).
Do caso apreciado pelo STJ – Transferência indevida de Bitcoins
Em 20 de maio de 2025, a Quarta Turma do Superior Tribunal de Justiça, por unanimidade de votos e sob relatoria da Ministra Maria Isabel Gallotti, reverteu decisão do Tribunal de Justiça de Minas Gerais, dando provimento ao recurso de apelação do consumidor, no REsp n. 2.104.122/MG, que ajuizou ação indenizatória em face de Mercado Bitcoin Serviços Digitais Ltda, devido a perda de seu dinheiro (3.8 bitcoins = R$ 200.000,00) por falha no sistema de segurança da PSAV.
Em primeiro grau, o autor da ação, o consumidor, teve seu direito ao ressarcimento do valor e a danos morais reconhecidos, porém, o Tribunal de Justiça de Minas Gerais (TJMG) reformou a sentença, entendendo que pelo fato de o consumidor ter admitido que quando foi realizar a transferência dos ativos para outra corretora, apareceu uma tela escura em sua tela e foi solicitado que ele digitasse seu código por duas vezes, a ré teria razão na alegação de que a transação fraudulenta teria ocorrido por invasão hacker no computador do consumidor.
Vale lembrar que em primeiro grau, o juízo de origem havia considerado que a PSAV não teria comprovado a invasão hacker no computador do autor, tampouco a higidez de sua plataforma digital, ante a ausência do e-mail de confirmação, meio apto a demonstrar que o protocolo de segurança da corretora teria sido devidamente atendido.
O Superior Tribunal de Justiça entendeu que a PSVA não tinha razão, prevalecendo a responsabilidade objetiva nesta situação. Abaixo transcrevemos os principais fundamentos do voto seguido por unanimidade pela Quarta Turma:
“Em que pesem os fundamentos do acórdão recorrido, penso que o fato de o autor/recorrente ter digitado o seu código de autenticação por mais de uma vez, no momento em que transferia 0,00140 bitcoins, não configura prova de conduta imprudente ou negligente que justificaria, além da transferência requerida de 0,00140 bitcoins, o sumiço de 3,8 bitcoins, visto que, conforme indicado pelas instâncias ordinárias, os serviços prestados pela recorrida utilizavam o sistema de autenticação em dois fatores, da seguinte forma: (i) com a realização do e login inserção do PIN; e (ii) com o envio de e-mail para o usuário para a confirmação da transação.
Nas contrarrazões do recurso especial, a própria recorrida confirma que as operações em sua plataforma se dão por meio “de login, senha, número PIN e acesso a link de confirmação enviado por e-mail” (fl. 562), sendo que as transações somente são concluídas “caso o cliente confirme, no e-mail recebido, que realmente está ciente e de acordo com a transação, acessando o link correspondente” (fl. 233).
Note-se que, diante da forma como se dão as transações de bitcoins na plataforma da ré/recorrida, para afastar a sua responsabilidade pela transferência contestada, ela deveria demonstrar que o autor/recorrente atuou de maneira indevida em toda a cadeia necessária para conclusão da operação, ou seja, deveria demonstrar que ele fez login e inseriu senha e seu código PIN para transferir 3,8 bitcoins e, também, que confirmou esta específica operação por meio de link enviado pela recorrida por e-mail.
Na hipótese dos autos, conforme destacado na sentença, a parte ré não apresentou o e-mail de confirmação da transação de 3,8 bitcoins, sendo que esta prova era indispensável para afastar a sua responsabilidade pelo desaparecimento das criptomoedas.
Observo que, mesmo sem ter a ré se desincumbido do ônus de demonstrar os fatos impeditivos do direito do autor, o acórdão recorrido acabou concluindo pela culpa exclusiva da vítima, sem nenhuma prova da conduta indevida da parte, apenas com base na sua própria alegação de que digitou o código de autenticação duas vezes.
(…)
Não é crível, todavia, a alegação da ré/recorrida de que não poderia produzir prova relativa ao e-mail, por não possuir acesso à caixa de mensagens do autor /recorrente, pois, como se sabe, o remetente de e-mail sempre fica com cópia da mensagem enviada ao destinatário registrada em sua caixa de saída.
Ademais, é certo que a empresa ré teria como comprovar a confirmação da operação efetuada pelo autor /recorrente, se tivesse ocorrido mesmo, pois algum tipo de registro teria sido gerado em sua plataforma. Nesse contexto, é evidente, aqui, a afronta ao art. 373 do CPC.
Note-se que não poderia o TJMG ter atribuído culpa ao autor apenas com base no fato de digitou o seu código de autenticação duas vezes, sem observar todo o trâmite necessário para a confirmação da operação de bitcoins.
(…)
Ainda que se admitisse, contudo, que houve, de fato, invasão por terceiros (hackers), não se trataria de fortuito externo apto a ensejar, no presente caso, a exclusão de responsabilidade da ré/recorrida.
Com efeito, se a plataforma da ré/recorrida não tem segurança adequada para combater ataques cibernéticos, a responsabilidade por isso é dela, e não dos seus clientes, usuários da plataforma.
Por fim, cabe destacar que, embora a jurisprudência do STJ afaste a responsabilização de instituições financeiras por saques indevidos, na hipótese de uso de cartão magnético e senha pessoal, no caso, diante da dinâmica da operação envolvendo bitcoins, que nem sequer envolve cartão, mas dupla autenticação, esse entendimento não se aplica.
Desse modo, constatada a violação ao art. 14, § 3º, I, do CDC, além do art. 373, caput, II e § 1º, do CPC, penso que merece reforma o acórdão recorrido, devendo ser reconhecida a responsabilidade da ré/recorrida pela transferência indevida de bitcoins no presente caso.
(…)”
[grifos do DMC]
O julgado foi assim ementado:
RECURSO ESPECIAL. AÇÃO DE INDENIZAÇÃO POR TRANSFERÊNCIA INDEVIDA DE BITCOINS. TRANSAÇÃO REALIZADA POR MEIO DE PLATAFORMA DE INVESTIMENTOS EM CRIPTOMOEDAS. USO DE AUTENTICAÇÃO EM DOIS FATORES. NECESSIDADE DE LOGIN, SENHA, PIN DE ACESSO E CONFIRMAÇÃO POR E-MAIL. ATAQUE HACKER NÃO COMPROVADO. E-MAIL DE CONFIRMAÇÃO DA OPERAÇÃO NÃO APRESENTADO PELA CORRETORA. RESPONSABILIDADE CIVIL CONFIGURADA.
- De acordo com a jurisprudência do Superior Tribunal de Justiça, “as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias” (Súmula 479 do STJ).
- O Mercado Bitcoin é instituição financeira, constando, inclusive, da lista de instituições autorizadas, reguladas e supervisionadas pelo BACEN (Lei 4.595/64, art. 17).
- Em se tratando, portanto, de instituição financeira, em caso de fraude no âmbito de suas operações, a sua responsabilidade é objetiva, só podendo ser afastada se demonstrada causa excludente da referida responsabilidade, como culpa exclusiva da vítima ou de terceiro, nos termos do art. 14, § 3º, I, do CDC.
- No caso dos autos, não foram produzidas provas que demonstrem que o autor teria liberado informações pessoais (senha e código PIN) para terceiros de maneira indevida ou que teria confirmado a operação ora contestada por e-mail, provas estas que teriam o condão de afastar a responsabilidade da empresa ré pela transação fraudulenta.
- Recurso especial provido.
(REsp n. 2.104.122/MG, relatora Ministra Maria Isabel Gallotti, Quarta Turma, julgado em 20/5/2025, DJEN de 28/5/2025.)
[grifos do DMC]
Ponderações do DMC
Para os sócios Rodrigo Castor de Mattos e Analice Castor de Mattos, do Delivar De Mattos & Castor Advogados Associados (DMC), a decisão tomada pela Quarta Turma do STJ foi exemplar. A decisão demonstrou não só a atenção aos detalhes do caso, bem como foi escorreita na análise da controvérsia de direito colocada em pauta, deixando bem claro os limites da responsabilidade das PSAVs, promovendo justiça ao consumidor lesado.
Este caso expressa a relevância de uma assessoria jurídica séria e comprometida e que não desiste nos primeiros percalços. Como visto, a sentença originalmente favorável ao consumidor havia sido reformada pelo TJMG, mas a reviravolta veio no STJ.
O DMC possui mais de 25 anos de experiência jurídica e reconhece a importância de se ter clareza diante de um processo judicial para se traçar as estratégias mais eficazes aos interesses dos clientes, trabalhando honestamente com o alinhamento de expectativas e aliando inovação e tradição, sempre.
O patrimônio virtual é uma realidade; com o aumento das transações e a valorização das criptomoedas, a necessidade de uma assessoria especializada se torna ainda mais importante. O planejamento tributário de ativos digitais, bem como o planejamento sucessório voltado para herança digital, são essenciais para garantir que os investidores maximizem seus ganhos mitigando riscos perante a Receita e outras instituições como o Bacen, e para que possam ficar tranquilos sobre a destinação de seus bens virtuais ao seus sucessores.
Para obter análises e insights sobre o cenário jurídico e direito digital, acompanhe nosso blog e atualize-se com as últimas novidades.
Talvez você também se interesse por:
1. Herança Digital no Brasil e a Importância do Planejamento Sucessório
https://delivardemattos.com.br/heranca-digital-no-brasil-e-a-importancia-do-planejamento-sucessorio/
2. Responsabilidade dos Bancos Digitais em Golpes Virtuais: entenda quando realmente cabe indenização cabe indenização
https://delivardemattos.com.br/responsabilidade-dos-bancos-digitais-em-golpes-virtuais-entenda-quando-realmente-cabe-indenizacao/
