Redação
O mercado de ativos digitais cresceu exponencialmente, atraindo milhões de investidores brasileiros. No entanto, junto com a popularidade, cresceu também o número de fraudes e invasões de contas. Um dos maiores temores de quem investe é acessar sua carteira digital e encontrar o saldo zerado. Recentemente, uma decisão importante do Tribunal de Justiça de São Paulo trouxe um precedente valioso para consumidores que buscam a restituição de criptomoedas roubadas, reafirmando que as corretoras (exchanges) possuem responsabilidade sobre a segurança dos fundos custodiados.
Neste artigo, analisaremos detalhadamente um caso recente onde uma falha nos sistemas de segurança de uma grande plataforma resultou na condenação da empresa ao ressarcimento integral do cliente. Entenda os argumentos jurídicos, a aplicação do Código de Defesa do Consumidor e como essa decisão fortalece a proteção ao investidor.
O cenário de fraudes em corretoras de criptoativos
Muitos investidores utilizam as exchanges não apenas para trading, mas como carteiras de custódia. A confiança depositada nessas plataformas baseia-se na premissa de que elas possuem sistemas de segurança robustos, capazes de impedir acessos não autorizados. Contudo, quando uma invasão ocorre, a primeira reação das empresas costuma ser transferir a culpa para o usuário, alegando negligência com senhas ou dispositivos.
No caso em análise, um consumidor teve sua conta invadida no dia 2 de dezembro de 2024. Em um intervalo de menos de três minutos, invasores converteram diversos ativos digitais — como ACT, PNUT, ETH e outros — para a criptomoeda BNB e realizaram um saque total dos fundos. A plataforma envolvida, a Binance (B Fintech Serviços de Tecnologia Ltda), negou a falha de segurança, mas o Poder Judiciário teve um entendimento diferente, favorável ao consumidor.
A dinâmica do golpe e a defesa da corretora
Para entender como a Justiça chegou à decisão de condenar a empresa, é fundamental analisar a dinâmica dos fatos. O consumidor mantinha um perfil conservador na plataforma, utilizando-a apenas para aportes e investimentos, sem histórico de saques.
No dia do incidente, a movimentação fugiu completamente desse padrão. Entre 17h14 e 17h17, diversas operações de conversão foram realizadas freneticamente, seguidas de uma retirada única e integral do saldo às 18h50. O cliente, ao perceber a anomalia, contatou o suporte e registrou boletim de ocorrência, mas os ativos já haviam sido drenados.
A tese da culpa exclusiva da vítima
Em sua defesa, a corretora alegou que não houve defeito na prestação do serviço. O argumento central da empresa foi a “culpa exclusiva da vítima“. Segundo a defesa, o consumidor teria sido negligente com seus dados de acesso, permitindo que terceiros validassem as transações, inclusive por meio de autenticação de dois fatores (2FA).
A empresa sustentou que atua apenas como uma facilitadora de pagamentos e que seus sistemas são seguros. No entanto, essa defesa não se sustentou perante a análise técnica do perfil transacional do cliente.
A decisão judicial: restituição de criptomoedas roubadas
A sentença proferida pela 2ª Vara Cível do Foro Central de São Paulo desmontou a tese da corretora baseando-se em pilares fundamentais do direito do consumidor e bancário.
Aplicação do Código de Defesa do Consumidor (CDC)
O primeiro ponto crucial foi o reconhecimento da relação de consumo. O juiz destacou que a atividade de intermediação de ativos digitais se enquadra no conceito de serviço financeiro. Assim, aplica-se o Código de Defesa do Consumidor, que estabelece a responsabilidade objetiva do fornecedor.
Isso significa que a corretora responde pelos danos causados independentemente de culpa, bastando provar o defeito no serviço, o dano e o nexo causal. O serviço é considerado defeituoso quando não oferece a segurança que o consumidor legitimamente espera.
O perfil de investidor e as transações atípicas
Um dos argumentos mais fortes a favor do consumidor foi a análise do seu comportamento histórico. O autor da ação provou que sua conta era usada apenas para acumulação (holding). A corretora tentou alegar um histórico de saques, mas ficou comprovado que, na verdade, eram apenas depósitos (aportes).
A Justiça entendeu que a realização de múltiplas conversões de moedas distintas em menos de três minutos, seguidas de um saque integral (o único da história da conta), configura uma operação flagrantemente atípica.
Era dever da plataforma, como gestora de alto risco, possuir sistemas antifraude capazes de identificar essa quebra abrupta de perfil e realizar um bloqueio preventivo da operação suspeita. Ao permitir que a fraude se consumasse sem nenhum alerta ou travamento, a empresa falhou em seu dever de segurança.
Súmula 479 do STJ e o fortuito interno
A decisão também se baseou na Súmula 479 do STJ (Superior Tribunal de Justiça). Este entendimento pacificado determina que as instituições financeiras respondem objetivamente pelos danos gerados por fraudes e delitos praticados por terceiros no âmbito de operações bancárias.
O juiz esclareceu que a fraude, mesmo praticada por terceiros (hackers), configura um “fortuito interno“. Ou seja, é um risco inerente à atividade da empresa. Os sistemas de segurança, incluindo o 2FA, são passíveis de falhas e podem ser contornados. Se a plataforma lucra com a custódia e intermediação, deve arcar com os riscos de invasões que seus sistemas não conseguiram barrar.
A simples alegação de que as transações foram autenticadas não exime a plataforma de responsabilidade, especialmente quando o padrão da operação destoa gritante e perigosamente do hábito do cliente.
A importância da inversão do ônus da prova
Outro aspecto vital para o sucesso desta ação foi a inversão do ônus da prova. Dada a hipossuficiência técnica do consumidor frente à gigante de tecnologia, caberia à empresa provar robustamente que a culpa foi exclusiva do cliente.
Como a corretora detém o controle total dos registros (logs) e da estrutura de segurança, ela deveria demonstrar que suas barreiras eram infalíveis ou que o cliente agiu com culpa exclusiva. A empresa não conseguiu se desincumbir desse ônus, limitando-se a alegações genéricas sobre a validação das transações.
O resultado: restituição integral e correção
Diante das provas e da falha evidente nos mecanismos de monitoramento da corretora, o tribunal julgou o pedido procedente. A empresa foi condenada a ressarcir o valor integral do saque indevido, correspondente a 1,50772630 BNB, convertido para reais na data do fato (R$ 6.047,49).
Além do valor principal, a condenação incluiu a atualização monetária pelo IPCA desde a data do prejuízo e juros de mora pela taxa SELIC. A empresa também foi condenada ao pagamento das custas processuais e honorários advocatícios fixados em 20% sobre o valor da condenação.
O que fazer em caso de invasão de conta?
Se você foi vítima de uma invasão em sua conta de criptomoedas, é crucial agir rápido para aumentar as chances de recuperação. Baseado no sucesso deste caso, aqui estão passos recomendados:
- Notifique a plataforma imediatamente: Assim que perceber a movimentação estranha, entre em contato com o suporte para tentar congelar a conta.
- Registre um Boletim de Ocorrência: A formalização do crime é essencial para processos futuros.
- Documente tudo: Tire prints do histórico de transações, dos e-mails de alerta (ou da falta deles), das conversas com o suporte e do seu histórico de IPs de acesso.
- Busque auxílio jurídico especializado: Casos de criptoativos envolvem questões técnicas complexas (blockchain, logs, 2FA) e jurídicas (CDC, responsabilidade civil). Um escritório especializado saberá como argumentar a atipicidade das transações e a falha no dever de segurança.
Dados da decisão
- Data da sentença: 27/10/2025
- Processo: 4022441-24.2025.8.26.0100
- Juízo: 2ª Vara Cível – Foro Central Cível de São Paulo
