JurisprudênciaIA

Superior Tribunal de Justiça

Acórdão

Relator(a)
Ministro Raul Araújo
Órgão julgador
Quarta Turma
Data do julgamento
30/03/2026
Data de publicação
08/04/2026

STJ – Acórdão, Rel. Ministro Raul Araújo, Quarta Turma, j. 30/03/2026, p. 08/04/2026

Ementa

DIREITO CIVIL E DO CONSUMIDOR. AGRAVO EM RECURSO ESPECIAL. RESPONSABILIDADE CIVIL. PROVEDOR DE APLICAÇÕES DE INTERNET. E-MAIL OFENSIVO. DEVER DE SEGURANÇA. IDENTIFICAÇÃO DO USUÁRIO POR NÚMERO DE IP. INEXISTÊNCIA DE OBRIGAÇÃO DE COLETA E VALIDAÇÃO DE DADOS CADASTRAIS. CULPA EXCLUSIVA DE TERCEIRO. AGRAVO CONHECIDO. RECURSO ESPECIAL PROVIDO. I. Caso em exame 1. Agravo em recurso especial interposto por provedor de aplicações de internet contra decisão que inadmitiu recurso especial fundado no art. 105, III, c, da CF, em ação de responsabilidade civil por envio de mensagens eletrônicas ofensivas à honra do autor por usuário não identificado, em que se imputou aos provedores o descumprimento do dever de segurança por ausência de adoção de cautelas mínimas para possível identificação do remetente. 2. O Tribunal de origem manteve a condenação do provedor de aplicações, majorando a indenização por danos morais, sob o fundamento de que a ausência de dados cadastrais fidedignos (como CPF) teria impedido a identificação do autor das mensagens, caracterizando negligência na prestação do serviço. 3. No recurso especial, o recorrente alegou violação ao art. 14, § 3º, II, do CDC, sustentando que o fornecimento do número de IP, data e hora de acesso do usuário responsável pelo e-mail ofensivo seria suficiente para caracterizar culpa exclusiva de terceiro e excluir sua responsabilidade, pois a impossibilidade de identificação final decorreu da falta de preservação dos registros pelo provedor de conexão. II. Questão em discussão 4. Há duas questões em discussão: (I) saber se a conduta de provedor de aplicações de internet, ao permitir a criação de conta de e-mail sem exigência e validação de dados cadastrais como CPF, RG e endereço, configura defeito na prestação do serviço por violação ao dever de segurança, nos termos do Código de Defesa do Consumidor; e (II) saber se o fornecimento, pelo provedor de aplicações, do número de IP, data e hora de acesso do usuário responsável por envio de conteúdo ofensivo é suficiente para o adimplemento do dever de identificação, de modo a afastar o dever de indenizar em razão de culpa exclusiva de terceiro, notadamente do provedor de conexão que não preservou os registros necessários. III. Razões de decidir 5. O agravo em recurso especial preenche os requisitos de admissibilidade previstos no art. 253, parágrafo único, I, do RISTJ, e impugna especificamente os fundamentos da decisão de inadmissibilidade, o que autoriza seu conhecimento e o julgamento conjunto com o recurso especial, nos termos do art. 1.042, § 5º, do CPC. 6. A arquitetura da internet pressupõe divisão de responsabilidades entre provedores de conexão e provedores de aplicações, cabendo a estes a guarda e o fornecimento dos dados de conexão (incluindo o número de IP), e àqueles a guarda dos dados pessoais dos usuários, segundo o Marco Civil da Internet e sua regulamentação. 7. No caso concreto, o provedor de aplicações forneceu o número de IP, data e hora de acesso do usuário responsável pelo envio do e-mail ofensivo, cumprindo sua obrigação de guarda e disponibilização dos registros de acesso; a identificação final do ofensor não foi possível porque o provedor de conexão não preservou os logs necessários. 8. A jurisprudência do Superior Tribunal de Justiça consolidou o entendimento de que, para adimplir a obrigação de identificar usuários que publiquem conteúdos ofensivos, é suficiente o fornecimento do número de IP correspondente ao acesso ou à publicação ofensiva, não havendo dever do provedor de aplicações de guardar ou fornecer dados cadastrais dos usuários. 9. Impor ao provedor de aplicações a obrigação de coletar e validar dados pessoais como CPF, RG, endereço e profissão, para criação de contas gratuitas de e-mail, extrapola os limites legais e técnicos da atividade, contraria os princípios de proteção à privacidade e de minimização de dados e não encontra amparo na legislação federal, especialmente diante do art. 11, § 1º, do Decreto 8.771/2016, que desobriga o provedor de fornecer dados cadastrais que não coleta. 10. A exigência de validação de CPF como condição para afastar a responsabilidade do provedor de aplicações carece de fundamento legal, pois a identificação por IP constitui o padrão técnico adequado para equilibrar segurança e liberdade de uso da rede; a falha na preservação dos dados pelo provedor de conexão configura causa externa apta a caracterizar culpa exclusiva de terceiro, nos termos do art. 14, § 3º, II, do CDC. 11. Ausente ato ilícito, nexo de causalidade ou defeito na prestação do serviço por parte do provedor de aplicações, não se justifica a condenação em danos morais nem a atribuição de responsabilidade civil pelo envio de mensagens ofensivas praticado por usuário não identificado em razão de omissão de outro integrante da cadeia de conexão. IV. Dispositivo 12. Agravo conhecido e provido o recurso especial, para reformar o acórdão recorrido e julgar improcedentes os pedidos em relação ao provedor de aplicações, com inversão do ônus da sucumbência e fixação de honorários advocatícios em 10% sobre o valor atualizado da causa, suspensa a exigibilidade em caso de gratuidade de justiça. (AREsp n. 1.997.532/PR, relator Ministro Raul Araújo, Quarta Turma, julgado em 30/3/2026, DJEN de 8/4/2026.)
Consultar o inteiro teor no site do STJ ↗

Decisões similares

Encontradas por similaridade semântica das ementas.

Acórdão

Quarta Turma · Rel. Ministro Raul Araújo · j. 30/03/2026

DIREITO CIVIL E DO CONSUMIDOR. AGRAVO EM RECURSO ESPECIAL. RESPONSABILIDADE CIVIL. PROVEDOR DE APLICAÇÕES DE INTERNET. E-MAIL OFENSIVO. DEVER DE SEGURANÇA. IDENTIFICAÇÃO DO USUÁRIO POR NÚMERO DE IP. INEXISTÊNCIA DE OBRIGAÇÃO DE COLETA E VALIDAÇÃO DE DADOS CADASTRAIS. CULPA EXCLUSIVA DE TERCEIRO. AGRAVO CONHECIDO. RECURSO ESPECIAL PROVIDO.I. Caso em exame 1. Agravo em recurso especial interposto por provedor de aplicações de internet contra decisão que inadmitiu recurso especi…

Acórdão

Quarta Turma · Rel. Ministro Luis Felipe Salomão · j. 23/11/2021

RECURSO ESPECIAL. AÇÃO COMINATÓRIA. PEDIDO DE FORNECIMENTO DE DADOS CADASTRAIS. IDENTIFICAÇÃO DE USUÁRIOS PARA FUTURA REPARAÇÃO CIVIL E/OU CRIMINAL. PROPAGAÇÃO DE CONTEÚDO OFENSIVO E DIFAMANTE. FAKE NEWS. VEDAÇÃO. MARCO CIVIL DA INTERNET E LEI GERAL DE PROTEÇÃO DE DADOS. COMPATIBILIZAÇÃO. PROVEDORES DE CONEXÃO QUE NÃO INTEGRARAM RELAÇÃO JURÍDICO-PROCESSUAL. DEVER DE GUARDA PREVISTO NA LEI N. 12.965/2014 (MARCO CIVIL DA INTERNET). POSSIBILIDADE. INEXISTÊNCIA DE VIOLAÇÃO DOS LI…

Acórdão

Terceira Turma · Rel. Ministra Nancy Andrighi · j. 18/03/2025

RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER. E-MAIL DIFAMATÓRIO. IDENTIFICAÇÃO DE USUÁRIO. PROVEDOR DE CONEXÃO. NEGATIVA DE PRESTAÇÃO JURISDICIONAL. AUSÊNCIA. IDENTIFICAÇÃO DE IP SEM PORTA LÓGICA. OBRIGAÇÃO DO PROVEDOR. INTERVALO DE 10 (DEZ) MINUTOS. POSSIBILIDADE. 1. Ação de obrigação de fazer ajuizada em 2/8/2023, da qual foi extraído o presente recurso especial, interposto em 7/6/2024 e concluso ao gabinete em 17/9/2024. 2. O propósito recursal é decidir se o provedor de …

Acórdão

Terceira Turma · Rel. Ministra Nancy Andrighi · j. 05/11/2019

PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER. INTERNET. PROVEDOR DE APLICAÇÃO. USUÁRIOS. IDENTIFICAÇÃO. ENDEREÇO IP. PORTA LÓGICA DE ORIGEM. DEVER. GUARDA DOS DADOS. OBRIGAÇÃO. MARCO CIVIL DA INTERNET. INTERPRETAÇÃO TELEOLÓGICA. 1. Ação ajuizada em 15/06/2015. Recurso especial interposto em 17/05/2018 e atribuído a este gabinete em 09/11/2018. 2. Ação de obrigação de fazer cumulada com pedido de tutela antecipada, na qual relata a recorrida que foi surpreend…

Acórdão

Terceira Turma · Rel. Ministro Ricardo Villas Bôas Cueva · j. 28/04/2025

AGRAVO INTERNO NOS EMBARGOS DE DECLARAÇÃO NO RECURSO ESPECIAL. MARCO CIVIL DA INTERNET. PROVEDOR DE CONEXÃO. FORNECIMENTO DE DADOS. IDENTIFICAÇÃO DE USUÁRIO. ATO ILÍCITO. NECESSIDADE. DEVER DE GUARDA. 1. É dever jurídico dos provedores de conexão/acesso armazenar dados cadastrais de seus usuários durante o prazo de prescrição de eventual ação de reparação civil. Tal obrigação, evidentemente, não exclui eventual responsabilidade do provedor de aplicação, a ser apurada em ação …

Pesquise jurisprudência como esta

Busque em dezenas de tribunais brasileiros, com busca inteligente por IA e comparação de precedentes.