JurisprudênciaIA

DIREITO DO CONSUMIDOR

Exchanges de criptoativos sob o CDC: o STJ define o regime de responsabilidade das SPSAVs e o limite da fragmentação da cadeia

Terceira Turma aplica o Código de Defesa do Consumidor às prestadoras de serviços de ativos virtuais, mas nega indenização quando a fraude ocorre em etapa da operação estranha ao serviço prestado pela plataforma.

Processo
REsp 2.250.674/MG
Relator(a)
Ministro Ricardo Villas Bôas Cueva
Órgão julgador
Terceira Turma
Julgamento
7 de abril de 2026

O que ficou decidido

As sociedades prestadoras de serviços de ativos virtuais, autorizadas a funcionar pelo Banco Central do Brasil, estão submetidas às normas do Código de Defesa do Consumidor, sendo que sua responsabilidade somente poderá ser afastada se comprovada a inexistência de defeito na prestação do serviço ou a culpa exclusiva do consumidor ou de terceiro, nos termos do § 3º do art. 14 do referido diploma legal.

Contexto do caso

Um investidor depositou reais na plataforma de uma exchange de criptoativos (a Bitso, instituição de pagamento autorizada pelo Banco Central), converteu-os em 11.749,15 USDT (cerca de R$ 59 mil à época) e ordenou a transferência dos ativos para uma carteira digital externa, informando ele próprio o endereço público de destino. A wallet revelou-se fraudulenta: era vinculada a outra plataforma, sem relação com a ré, e integrava golpe arquitetado por terceiros. O investidor ajuizou ação indenizatória sustentando que a exchange falhou em seus deveres de segurança ao não detectar a fraude.

A pretensão foi julgada improcedente em primeiro grau e a sentença mantida pelo TJMG, que afastou a incidência do Código de Defesa do Consumidor e reconheceu fortuito externo. O recurso especial colocou diante da Terceira Turma duas questões centrais para um mercado ainda carente de balizas jurisprudenciais: as sociedades prestadoras de serviços de ativos virtuais (SPSAVs, na nomenclatura da Lei 14.478/2022) respondem sob o regime consumerista? E, respondendo, até onde vai essa responsabilidade quando a operação percorre plataformas distintas e independentes?

O que o tribunal decidiu

Por unanimidade, em julgamento de 7 de abril de 2026, relatoria do Ministro Ricardo Villas Bôas Cueva, a Terceira Turma corrigiu a premissa do acórdão mineiro e assentou que as SPSAVs autorizadas pelo Banco Central estão integralmente submetidas ao CDC. A responsabilidade delas é objetiva, nos moldes do art. 14 do CDC, e somente cede diante da prova de inexistência de defeito no serviço ou de culpa exclusiva do consumidor ou de terceiro (art. 14, § 3º).

A vitória conceitual do consumidor, contudo, não se converteu em vitória prática. O STJ negou provimento ao recurso porque a atuação da exchange se encerrou quando executou, a pedido do autor e com o endereço de destino por ele fornecido, a transferência dos criptoativos para carteira externa. O serviço de custódia, etapa em que a fraude se consumou, era prestado por outra plataforma, estranha à lide. Sem defeito no serviço contratado e sem nexo causal, a improcedência se impunha, tornando inócua até mesmo a inversão do ônus da prova.

O acórdão firma um binômio que passará a orientar todo o contencioso de criptoativos: incidência plena do CDC sobre as SPSAVs, de um lado; responsabilidade segmentada por etapa da operação, de outro. Aplicar o CDC não significa transformar a exchange em garantidora universal do ecossistema cripto.

Fundamentos

O primeiro fundamento é de direito positivo e dispensa construção analógica. O Marco Legal dos Criptoativos resolveu expressamente a questão da incidência consumerista:

Aplicam-se às operações conduzidas no mercado de ativos virtuais, no que couber, as disposições da Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor).

Art. 13 da Lei 14.478/2022, transcrito no Informativo 884 do STJ

O segundo fundamento é de coerência sistêmica: a compreensão consolidada sobre instituições bancárias, sintetizada na Súmula 297/STJ (o CDC é aplicável às instituições financeiras), estende-se às instituições de pagamento, às quais o art. 7º da Lei 12.865/2013 atribui o dever de processar com segurança as transações dos usuários finais. Como a própria ré admitia operar como instituição de pagamento autorizada pelo Banco Central, a incidência do CDC era inescapável por qualquer ângulo.

O terceiro fundamento, e o mais sofisticado, é a anatomia da operação. O voto decompõe a transação em três fases: aporte de moeda corrente na plataforma, aquisição dos criptoativos (USDT) e transferência para wallet externa custodiada por terceira plataforma. Cada fase pode atrair responsabilidade autônoma, aferida a partir das incumbências legalmente atribuídas a cada prestadora, inclusive à luz da Resolução BCB 520/2025, cujo art. 9º, § 1º, impõe aos custodiantes a adoção de medidas que mitiguem o risco de violação à integridade dos ativos custodiados. O acórdão registra na ementa:

As operações relacionadas com a compra, venda, troca e custódia de criptoativos podem envolver uma só prestadora (exchange) ou várias plataformas distintas, cada qual atraindo, nessa segunda hipótese, a responsabilidade por vícios porventura existentes nos serviços que cada uma prestou, a ser aferida a partir das incumbências legalmente atribuídas a cada uma delas.

Ementa do REsp 2.250.674/MG, Rel. Min. Ricardo Villas Bôas Cueva, Terceira Turma, j. 07/04/2026

O serviço de custódia no qual se verificou a fraude não foi prestado pela ré.

Voto do Min. Ricardo Villas Bôas Cueva no REsp 2.250.674/MG

Análise crítica

O precedente ocupa posição de charneira na evolução jurisprudencial sobre criptoativos. Em 2018, no CC 161.123/SP, a Terceira Seção tratava as criptomoedas como um vazio regulatório: não eram moeda para o Banco Central nem valor mobiliário para a CVM. Oito anos depois, o tribunal opera dentro de um microssistema normativo denso (Lei 14.478/2022, Resolução BCB 520/2025) e pode, pela primeira vez em acórdão estruturado, distribuir deveres e riscos entre os agentes desse mercado. A decisão marca a transição do STJ de espectador de um fenômeno arregulado para árbitro de um setor regulado.

O ponto tecnicamente mais interessante do voto é o tratamento da solidariedade. O art. 7º, parágrafo único, e o art. 25, § 1º, do CDC consagram a responsabilidade solidária dos integrantes da cadeia de fornecimento, manejada com generosidade pela jurisprudência em cadeias de pagamento e de consumo digital. O Ministro Cueva evita a rota fácil de proclamar uma exceção: afirma que, nas operações cripto multiplataforma, frequentemente inexiste cadeia única, havendo absoluta independência entre os serviços prestados. A distinção é fina e correta. A solidariedade pressupõe concorrência de fornecedores para o mesmo serviço; quando intermediadora e custodiante externa não mantêm vínculo contratual, operacional ou econômico, cada uma fornece serviço próprio, e o defeito de uma não contamina a outra. A construção dialoga com a arquitetura descentralizada dos registros distribuídos, em que a transferência para endereço externo é, por definição, a saída do perímetro de controle da plataforma de origem.

Há, porém, zonas de fricção que o acórdão não esgota. Primeiro, a fronteira com a Súmula 479/STJ: se a fraude decorrer de fortuito interno da própria plataforma (vazamento de dados, falha de autenticação, brecha do aplicativo), a responsabilidade objetiva incidirá com toda a força. Segundo, o voto sinaliza que o tipo de carteira utilizada (custodial ou de autocustódia) é variável decisiva do nexo causal, o que dá à perícia técnica um protagonismo que os litigantes ainda subestimam. Terceiro, permanece aberta a discussão sobre deveres de alerta: seria exigível da exchange o screening de endereços de destino notoriamente associados a fraudes, prática já comum em compliance de blockchain? Ao validar a conduta da ré que apenas executou ordem com dados fornecidos pelo usuário, o acórdão sugere que não há, hoje, dever dessa extensão, mas a evolução regulatória do Banco Central pode alterar esse cenário e, com ele, o resultado de casos futuros.

Por fim, o remédio indicado pelo próprio STJ merece nota: a pretensão do lesado deve voltar-se contra a plataforma mantenedora da carteira falsa, na linha do REsp 2.222.137/SP. O par de precedentes desenha um sistema coerente: a porta de saída (intermediadora diligente) não responde; a porta de entrada do fraudador (custodiante negligente no onboarding) responde. O ônus estratégico de identificar o réu correto passa a ser do autor e de seu advogado.

Impacto prático

  • Para advogados de consumidores: antes de ajuizar, mapear tecnicamente a operação (extratos da exchange, hash da transação, identificação da custodiante do endereço de destino) e dirigir a ação contra o agente da etapa em que a fraude ocorreu; incluir apenas a intermediadora tende à improcedência, mesmo com CDC e inversão do ônus da prova.
  • Para exchanges e instituições de pagamento: a incidência do CDC está definitivamente assentada; a blindagem passa por comprovar documentalmente a higidez de cada etapa executada (logs de autenticação, confirmações do usuário, registro do endereço fornecido) e por delimitar contratualmente o escopo do serviço (intermediação, corretagem ou custódia, conforme a Resolução BCB 520/2025).
  • Para custodiantes: o art. 9º, § 1º, da Resolução BCB 520/2025 e o precedente do REsp 2.222.137/SP formam a base normativa da responsabilização por carteiras abertas ou mantidas para fins fraudulentos; políticas de KYC e monitoramento deixam de ser apenas exigência regulatória e passam a ser defesa processual.
  • Para o Judiciário: a solução do caso exige qualificação do tipo de wallet e da fase da operação, o que recomenda perícia técnica e desaconselha julgamentos padronizados por analogia direta com fraudes bancárias tradicionais.
  • Para concursos: memorizar a tese literal (CDC aplicável às SPSAVs; exclusão de responsabilidade só nas hipóteses do art. 14, § 3º, do CDC), o fundamento legal (art. 13 da Lei 14.478/2022) e a ponte com a Súmula 297/STJ; tema fortíssimo para Defensoria, Magistratura e MP em direito do consumidor e digital.

A mensagem operacional do precedente é dupla: o consumidor de criptoativos não está desprotegido, mas a proteção segue a trilha do serviço defeituoso. Errar o réu, em operação multiplataforma, custa a demanda.

Conexões jurisprudenciais

O acórdão se articula com um conjunto identificável de precedentes. O CC 161.123/SP (Terceira Seção, Rel. Min. Sebastião Reis Júnior, j. 28/11/2018, DJe 05/12/2018) é o marco da fase pré-regulatória: reconheceu que criptomoedas não eram moeda para o Banco Central nem valor mobiliário para a CVM, afastando a tipificação automática de crimes contra o sistema financeiro na sua negociação. O REsp 2.222.137/SP (Terceira Turma, Rel. Min. Ricardo Villas Bôas Cueva, j. 07/10/2025, DJEN 13/10/2025) é o complemento civil: admite a responsabilização da instituição que permite a abertura e a manutenção de conta utilizada para a prática de golpes, e foi expressamente indicado no voto como via adequada para a pretensão do autor contra a custodiante da carteira falsa.

No plano sumular, a decisão prolonga a Súmula 297/STJ para o mercado de ativos virtuais e deve ser lida em contraste com a Súmula 479/STJ (responsabilidade objetiva das instituições financeiras por fortuito interno relativo a fraudes de terceiros): a fraude consumada fora do perímetro do serviço da exchange configura fortuito externo, mas a viabilizada por falha interna da plataforma seguirá atraindo responsabilidade objetiva. O próprio Informativo 884 remete ainda aos Informativos 853 (que noticiou o REsp 2.222.137/SP) e 719, evidenciando a construção incremental da matéria pela Corte.

Referências

Pesquise precedentes sobre este tema

Busque decisões do STF, do STJ, do TST e de dezenas de outros tribunais sobre sociedades prestadoras de serviços de ativos virtuais (spsavs). código de defesa do consumidor. aplicabilidade. responsabilidade civil por fraude em transações com criptoativos. na JurisprudênciaIA.

Buscar jurisprudência →

Outras análises desta edição

Análise editorial da JurisprudênciaIA sobre julgado noticiado no Informativo STJ 884, atualizada em 7 de jul. de 2026. Este conteúdo tem caráter informativo e não constitui aconselhamento jurídico; confira sempre o inteiro teor oficial.