Contexto do caso
Um investidor depositou reais na plataforma de uma exchange de criptoativos (a Bitso, instituição de pagamento autorizada pelo Banco Central), converteu-os em 11.749,15 USDT (cerca de R$ 59 mil à época) e ordenou a transferência dos ativos para uma carteira digital externa, informando ele próprio o endereço público de destino. A wallet revelou-se fraudulenta: era vinculada a outra plataforma, sem relação com a ré, e integrava golpe arquitetado por terceiros. O investidor ajuizou ação indenizatória sustentando que a exchange falhou em seus deveres de segurança ao não detectar a fraude.
A pretensão foi julgada improcedente em primeiro grau e a sentença mantida pelo TJMG, que afastou a incidência do Código de Defesa do Consumidor e reconheceu fortuito externo. O recurso especial colocou diante da Terceira Turma duas questões centrais para um mercado ainda carente de balizas jurisprudenciais: as sociedades prestadoras de serviços de ativos virtuais (SPSAVs, na nomenclatura da Lei 14.478/2022) respondem sob o regime consumerista? E, respondendo, até onde vai essa responsabilidade quando a operação percorre plataformas distintas e independentes?
O que o tribunal decidiu
Por unanimidade, em julgamento de 7 de abril de 2026, relatoria do Ministro Ricardo Villas Bôas Cueva, a Terceira Turma corrigiu a premissa do acórdão mineiro e assentou que as SPSAVs autorizadas pelo Banco Central estão integralmente submetidas ao CDC. A responsabilidade delas é objetiva, nos moldes do art. 14 do CDC, e somente cede diante da prova de inexistência de defeito no serviço ou de culpa exclusiva do consumidor ou de terceiro (art. 14, § 3º).
A vitória conceitual do consumidor, contudo, não se converteu em vitória prática. O STJ negou provimento ao recurso porque a atuação da exchange se encerrou quando executou, a pedido do autor e com o endereço de destino por ele fornecido, a transferência dos criptoativos para carteira externa. O serviço de custódia, etapa em que a fraude se consumou, era prestado por outra plataforma, estranha à lide. Sem defeito no serviço contratado e sem nexo causal, a improcedência se impunha, tornando inócua até mesmo a inversão do ônus da prova.
O acórdão firma um binômio que passará a orientar todo o contencioso de criptoativos: incidência plena do CDC sobre as SPSAVs, de um lado; responsabilidade segmentada por etapa da operação, de outro. Aplicar o CDC não significa transformar a exchange em garantidora universal do ecossistema cripto.
Fundamentos
O primeiro fundamento é de direito positivo e dispensa construção analógica. O Marco Legal dos Criptoativos resolveu expressamente a questão da incidência consumerista:
“Aplicam-se às operações conduzidas no mercado de ativos virtuais, no que couber, as disposições da Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor).”
O segundo fundamento é de coerência sistêmica: a compreensão consolidada sobre instituições bancárias, sintetizada na Súmula 297/STJ (o CDC é aplicável às instituições financeiras), estende-se às instituições de pagamento, às quais o art. 7º da Lei 12.865/2013 atribui o dever de processar com segurança as transações dos usuários finais. Como a própria ré admitia operar como instituição de pagamento autorizada pelo Banco Central, a incidência do CDC era inescapável por qualquer ângulo.
O terceiro fundamento, e o mais sofisticado, é a anatomia da operação. O voto decompõe a transação em três fases: aporte de moeda corrente na plataforma, aquisição dos criptoativos (USDT) e transferência para wallet externa custodiada por terceira plataforma. Cada fase pode atrair responsabilidade autônoma, aferida a partir das incumbências legalmente atribuídas a cada prestadora, inclusive à luz da Resolução BCB 520/2025, cujo art. 9º, § 1º, impõe aos custodiantes a adoção de medidas que mitiguem o risco de violação à integridade dos ativos custodiados. O acórdão registra na ementa:
“As operações relacionadas com a compra, venda, troca e custódia de criptoativos podem envolver uma só prestadora (exchange) ou várias plataformas distintas, cada qual atraindo, nessa segunda hipótese, a responsabilidade por vícios porventura existentes nos serviços que cada uma prestou, a ser aferida a partir das incumbências legalmente atribuídas a cada uma delas.”
“O serviço de custódia no qual se verificou a fraude não foi prestado pela ré.”
Análise crítica
O precedente ocupa posição de charneira na evolução jurisprudencial sobre criptoativos. Em 2018, no CC 161.123/SP, a Terceira Seção tratava as criptomoedas como um vazio regulatório: não eram moeda para o Banco Central nem valor mobiliário para a CVM. Oito anos depois, o tribunal opera dentro de um microssistema normativo denso (Lei 14.478/2022, Resolução BCB 520/2025) e pode, pela primeira vez em acórdão estruturado, distribuir deveres e riscos entre os agentes desse mercado. A decisão marca a transição do STJ de espectador de um fenômeno arregulado para árbitro de um setor regulado.
O ponto tecnicamente mais interessante do voto é o tratamento da solidariedade. O art. 7º, parágrafo único, e o art. 25, § 1º, do CDC consagram a responsabilidade solidária dos integrantes da cadeia de fornecimento, manejada com generosidade pela jurisprudência em cadeias de pagamento e de consumo digital. O Ministro Cueva evita a rota fácil de proclamar uma exceção: afirma que, nas operações cripto multiplataforma, frequentemente inexiste cadeia única, havendo absoluta independência entre os serviços prestados. A distinção é fina e correta. A solidariedade pressupõe concorrência de fornecedores para o mesmo serviço; quando intermediadora e custodiante externa não mantêm vínculo contratual, operacional ou econômico, cada uma fornece serviço próprio, e o defeito de uma não contamina a outra. A construção dialoga com a arquitetura descentralizada dos registros distribuídos, em que a transferência para endereço externo é, por definição, a saída do perímetro de controle da plataforma de origem.
Há, porém, zonas de fricção que o acórdão não esgota. Primeiro, a fronteira com a Súmula 479/STJ: se a fraude decorrer de fortuito interno da própria plataforma (vazamento de dados, falha de autenticação, brecha do aplicativo), a responsabilidade objetiva incidirá com toda a força. Segundo, o voto sinaliza que o tipo de carteira utilizada (custodial ou de autocustódia) é variável decisiva do nexo causal, o que dá à perícia técnica um protagonismo que os litigantes ainda subestimam. Terceiro, permanece aberta a discussão sobre deveres de alerta: seria exigível da exchange o screening de endereços de destino notoriamente associados a fraudes, prática já comum em compliance de blockchain? Ao validar a conduta da ré que apenas executou ordem com dados fornecidos pelo usuário, o acórdão sugere que não há, hoje, dever dessa extensão, mas a evolução regulatória do Banco Central pode alterar esse cenário e, com ele, o resultado de casos futuros.
Por fim, o remédio indicado pelo próprio STJ merece nota: a pretensão do lesado deve voltar-se contra a plataforma mantenedora da carteira falsa, na linha do REsp 2.222.137/SP. O par de precedentes desenha um sistema coerente: a porta de saída (intermediadora diligente) não responde; a porta de entrada do fraudador (custodiante negligente no onboarding) responde. O ônus estratégico de identificar o réu correto passa a ser do autor e de seu advogado.
Impacto prático
- Para advogados de consumidores: antes de ajuizar, mapear tecnicamente a operação (extratos da exchange, hash da transação, identificação da custodiante do endereço de destino) e dirigir a ação contra o agente da etapa em que a fraude ocorreu; incluir apenas a intermediadora tende à improcedência, mesmo com CDC e inversão do ônus da prova.
- Para exchanges e instituições de pagamento: a incidência do CDC está definitivamente assentada; a blindagem passa por comprovar documentalmente a higidez de cada etapa executada (logs de autenticação, confirmações do usuário, registro do endereço fornecido) e por delimitar contratualmente o escopo do serviço (intermediação, corretagem ou custódia, conforme a Resolução BCB 520/2025).
- Para custodiantes: o art. 9º, § 1º, da Resolução BCB 520/2025 e o precedente do REsp 2.222.137/SP formam a base normativa da responsabilização por carteiras abertas ou mantidas para fins fraudulentos; políticas de KYC e monitoramento deixam de ser apenas exigência regulatória e passam a ser defesa processual.
- Para o Judiciário: a solução do caso exige qualificação do tipo de wallet e da fase da operação, o que recomenda perícia técnica e desaconselha julgamentos padronizados por analogia direta com fraudes bancárias tradicionais.
- Para concursos: memorizar a tese literal (CDC aplicável às SPSAVs; exclusão de responsabilidade só nas hipóteses do art. 14, § 3º, do CDC), o fundamento legal (art. 13 da Lei 14.478/2022) e a ponte com a Súmula 297/STJ; tema fortíssimo para Defensoria, Magistratura e MP em direito do consumidor e digital.
A mensagem operacional do precedente é dupla: o consumidor de criptoativos não está desprotegido, mas a proteção segue a trilha do serviço defeituoso. Errar o réu, em operação multiplataforma, custa a demanda.
Conexões jurisprudenciais
O acórdão se articula com um conjunto identificável de precedentes. O CC 161.123/SP (Terceira Seção, Rel. Min. Sebastião Reis Júnior, j. 28/11/2018, DJe 05/12/2018) é o marco da fase pré-regulatória: reconheceu que criptomoedas não eram moeda para o Banco Central nem valor mobiliário para a CVM, afastando a tipificação automática de crimes contra o sistema financeiro na sua negociação. O REsp 2.222.137/SP (Terceira Turma, Rel. Min. Ricardo Villas Bôas Cueva, j. 07/10/2025, DJEN 13/10/2025) é o complemento civil: admite a responsabilização da instituição que permite a abertura e a manutenção de conta utilizada para a prática de golpes, e foi expressamente indicado no voto como via adequada para a pretensão do autor contra a custodiante da carteira falsa.
No plano sumular, a decisão prolonga a Súmula 297/STJ para o mercado de ativos virtuais e deve ser lida em contraste com a Súmula 479/STJ (responsabilidade objetiva das instituições financeiras por fortuito interno relativo a fraudes de terceiros): a fraude consumada fora do perímetro do serviço da exchange configura fortuito externo, mas a viabilizada por falha interna da plataforma seguirá atraindo responsabilidade objetiva. O próprio Informativo 884 remete ainda aos Informativos 853 (que noticiou o REsp 2.222.137/SP) e 719, evidenciando a construção incremental da matéria pela Corte.