Os golpes com criptoativos não param de crescer: carteiras falsas, phishing, engenharia social, invasões de conta. Diante disso, uma dúvida se tornou comum entre investidores e também dentro das próprias plataformas: se o cliente cai em um golpe, a exchange é obrigada a devolver o dinheiro automaticamente?

Segundo o STJ, a resposta é não. Mas entender o porquê ajuda tanto os usuários quanto as empresas do setor a identificar os limites da responsabilidade de cada um.

A Lei nº 14.478/2022 (Marco Legal dos Criptoativos) deixou claro que as exchanges se submetem às regras do Código de Defesa do Consumidor. O STJ confirmou esse entendimento e encerrou a discussão sobre se o investidor estaria fora dessa proteção pelo fato de investir, e não apenas de consumir um serviço qualquer.

Ser consumidor, porém, não significa ter direito à indenização sempre que algo dá errado. É preciso identificar, antes, quem de fato falhou.

Uma operação com criptoativos costuma passar por mais de uma empresa: uma cuida da compra e da conversão, outra faz a custódia, outra recebe a transferência. O STJ tem decidido que essa cadeia não gera responsabilidade automática de todos os envolvidos: cada plataforma responde apenas pela parcela do serviço que efetivamente prestou.

Um julgado recente (REsp nº 2.250.674/MG) ilustra bem esse raciocínio: o investidor comprou e converteu ativos em uma exchange e, depois, solicitou a transferência para uma carteira mantida por outra plataforma. O  golpe ocorreu justamente nessa segunda etapa. O STJ afastou a responsabilidade da primeira exchange, que havia cumprido corretamente a etapa a seu cargo, já que a fraude se deu em fase sob responsabilidade de empresa diversa.

Na prática, a exchange se exime da obrigação de indenizar quando demonstra que:

  • a etapa por ela executada ocorreu sem falhas; ou
  • a falha decorreu de culpa exclusiva do próprio usuário (por exemplo, o envio dos ativos a um endereço fraudulento) ou de terceiro alheio ao controle da plataforma.

Quando a fraude acontece dentro do próprio ambiente da exchange (login, senha, autenticação), o entendimento de outra Turma do STJ é mais rigoroso: nesses casos, a exchange é equiparada a uma instituição financeira e precisa comprovar a culpa exclusiva do usuário, e não o contrário.

As duas posições não se contradizem: dizem respeito a momentos distintos da operação, embora revelem que o tema ainda está sendo lapidado pelos tribunais.

O STJ não conferiu às exchanges um escudo contra qualquer reclamação, nem lhes impôs o dever de arcar com toda fraude sofrida pelo cliente. Estabeleceu um critério mais preciso: para saber quem paga a conta, é necessário identificar exatamente em qual etapa, e sob responsabilidade de quem, o golpe ocorreu.