STJ define responsabilidades de exchanges em mercado de criptoativos

O Superior Tribunal de Justiça começou a delinear os contornos da responsabilidade civil de plataformas de criptoativos (exchanges) em julgados recentes, enquanto a regulação federal do setor se consolida. A instituição responsável por uniformizar a interpretação da lei federal no país tem produzido decisões que estabelecem parâmetros claros sobre o que as chamadas Sociedades Prestadoras de Serviços de Ativos Virtuais (SPSAVs) devem responder, determinando um regime de responsabilidades muito próximo ao das instituições financeiras tradicionais.

Contexto

A lacuna normativa que por anos envolveu os criptoativos foi finalmente preenchida com a aprovação do Marco Legal dos Criptoativos (Lei 14.478/2022), que submete as operações desse mercado ao Código de Defesa do Consumidor (Lei 8.078/1990). A norma também equipara as empresas operadoras de ativos virtuais a instituições financeiras para fins de enquadramento em crimes contra o sistema financeiro nacional, mudança que alterou fundamentalmente o regime jurídico aplicável.

O timing dessa regulamentação não foi aleatório. O mercado brasileiro de criptoativos experimentou expansão significativa: as operações saltaram de R$ 285 bilhões em 2023 para R$ 416,1 bilhões em 2024 e R$ 505,5 bilhões em 2025, representando um crescimento de 21,5% em relação ao ano anterior. Esse crescimento atraiu não apenas investidores legítimos, mas também facilitou esquemas ilícitos. Operações recentes, como a "Fluxo Oculto" deflagrada em maio pela Receita Federal, identificaram transações suspeitas de pelo menos R$ 365 milhões em criptoativos, evidenciando o uso da tecnologia para lavagem de dinheiro por organizações criminosas.

Anteriormente, as empresas de criptoativos operavam em zona cinzenta regulatória, argumentando que suas responsabilidades diferiam substancialmente das de instituições financeiras. Esse cenário criava incerteza jurídica tanto para consumidores quanto para as próprias plataformas.

O que foi decidido

O STJ, em julgado de sua 3ª Turma em abril, fixou precedente relevante sobre a delimitação de responsabilidades das exchanges. No caso (Resp 2250674), que envolveu a plataforma Bitso, a corte rejeitou a demanda de um investidor que havia transferido seus ativos para uma carteira virtual fraudulenta e perdido recursos no valor de 11.749,15 USDT (aproximadamente R$ 59.685,68 na época dos fatos em 2024).

O relator, ministro Villas Bôas Cueva, consolidou o entendimento de que a plataforma não responde por atividades que não executa. No caso em questão, o investidor transferiu seus ativos para endereço fraudulento por conta própria, sem intermediação da exchange. A turma concluiu que a responsabilidade foi exclusiva do investidor, não da plataforma.

Este precedente estabelece um importante parâmetro: as SPSAVs respondem pelos serviços que efetivamente prestam (intermediação de compra e venda, custódia quando oferecida), mas não pelos atos que extrapolam suas funções específicas ou que resultam de decisões do próprio usuário, ainda que essas decisões sejam prejudiciais.

Base normativa e precedentes

• Lei 14.478/2022 — Marco Legal dos Criptoativos. Submete operações com ativos virtuais ao Código de Defesa do Consumidor e equipara SPSAVs a instituições financeiras para fins penais.

• Lei 8.078/1990 (Código de Defesa do Consumidor) — Aplicável a todas as operações realizadas pelas plataformas de criptoativos no Brasil, garantindo proteção ao consumidor e responsabilidade por vício do serviço.

• Resolução 520/2025 do Banco Central — Exige das SPSAVs implementação de gerenciamento de riscos e políticas de segurança cibernética análogas às de instituições financeiras autorizadas.

• Resp 2250674/STJ (3ª Turma, abril 2025) — Fixou que plataforma não responde por fraude ocorrida após transferência de ativos para carteira externa fraudulenta, quando a transferência foi decisão do próprio investidor sem intermediação da exchange.

Impacto prático

A consolidação regulatória produz efeitos imediatos em diferentes frentes:

Para investidores: A aplicação do CDC garante proteção análoga à de clientes de instituições financeiras. No entanto, a jurisprudência deixa claro que essa proteção não se estende a decisões que o próprio investidor toma fora do ecossistema da plataforma. O ônus de gerenciar carteiras externas e validar endereços permanece com o usuário.

Para advogados de defesa: O novo regime exige argumentação mais robusta em discussões sobre responsabilidade civil. A equiparação regulatória com instituições financeiras torna progressivamente mais difícil sustentar regimes de responsabilidade civil substancialmente distintos daqueles aplicados a bancos e instituições similares. As SPSAVs precisam documentar a execução correta de seus deveres prudenciais.

Para plataformas de criptoativos: As exigências da Resolução 520/2025 impõem implementação de sistemas de detecção de transações atípicas, análise de perfil de risco do usuário, policies de segregação de ativos e continuidade operacional análogas às bancárias. Essas medidas aumentam custos operacionais, mas cristalizam defesas em litígios.

Para reguladores: O fechamento do ciclo regulatório permite atuação mais precisa de Banco Central, Receita Federal e órgãos de segurança. A obrigação de as SPSAVs reportarem operações com valores acima de determinados limiares facilita o rastreamento de fluxos ilícitos.

O que observar

Alguns pontos permanecem em aberto ou carecem de evolução:

Responsabilidade por custódia: Embora o STJ tenha fixado que plataformas não respondem por transferências externas de responsabilidade do usuário, ainda há zona cinzenta sobre quando a custódia é responsabilidade da SPSAV. Futuras decisões devem precisar o escopo da obrigação de custódia quando ofertada pela plataforma.

Modulação de efeitos: Não houve modulação de efeitos declarada na decisão de abril. Caso haja recursos ou questões similares levadas ao STJ posteriormente, existe potencial para refinamento da tese ou até modulação, embora improvável.

Segurança cibernética: A Resolução 520/2025 exige políticas, mas ainda faltam parâmetros mais específicos sobre o que constitui "segurança adequada". Julgados futuros provavelmente detalharão esse conceito através de discussões sobre falhas de segurança das plataformas.

Responsabilidade por fraudes internas: O precedente não endereça hipóteses em que funcionários ou sistemas da própria exchange facilitam fraudes. Essa questão permanece como próxima fronteira de litígios no setor.

Operações com exchanges estrangeiras: Muitos brasileiros negociam criptoativos em plataformas sediadas no exterior. A jurisprudência ainda não consolidou o regime de responsabilidade aplicável nesses casos ou a hierarquia normativa entre LC/88 e Lei 14.478/2022.