Cabe imputar responsabilidade civil a uma exchange – corretora de criptoativos – quando falhas em seu serviço causam danos a clientes, incluindo perda, furto ou extravio de criptoativos?

A questão ganha relevância com a disseminação das operações com blockchain e o aumento de casos de fraudes envolvendo furto e desvio de criptomoedas. Os criminosos aproveitam-se de vulnerabilidades encontradas em exchanges e contratos inteligentes (smart contracts) para transferir criptoativos para digital wallets – que, apesar de monitoradas, não têm nenhum dado pessoal vinculado, o que torna difícil identificar a autoria do ilícito e recuperar os ativos.

Até hoje, por exemplo, não se sabe ao certo o que aconteceu em um dos casos mais emblemáticos de furto de criptoativos. Em 2014, a exchange japonesa Mt. Gox teria sido alvo de um ataque hacker que desviou mais de US$ 322 milhões em criptomoedas, principalmente bitcoins.

A jurisprudência brasileira tem aplicado normas de direito do consumidor em casos envolvendo exchanges.[1] No entendimento do Tribunal de Justiça de São Paulo (TJSP),  a exchange encaixa-se na definição de fornecedor contida no artigo 3º do Código de Defesa do Consumidor (CDC), como agente prestadora do serviço de intermediação e custódia de criptoativos. Para o TJSP, esse tipo de corretora deve responder de forma objetiva pelos danos gerados por defeitos relativos à prestação dos serviços, conforme determina o artigo 14.

Quando se pode apontar que a exchange prestou um serviço defeituoso que resultou em prejuízo, portanto, a responsabilidade civil por danos recai sobre ela. Mas como definir a responsabilidade quando o dano foi causado por falha ou ataque – o chamado hack – no próprio blockchain?

Em março deste ano, a rede Ronin – uma sidechain que funciona como uma espécie de ponte entre diferentes blockchains, incluindo a que roda o jogo Axie Infinity – sofreu um dos maiores ataques já registrados no universo cripto. O hacker aproveitou-se de uma vulnerabilidade do sistema de criptografia e hackeou chaves privadas de ao menos quatro dos nove nós validadores da rede. Com isso, conseguiu drenar cerca de US$ 625 milhões em criptomoedas, incluindo ether e USDC.

Ataques desse tipo são raros no mundo cripto, mas acendem um alerta sobretudo por colocar em xeque a integridade do blockchain. Apesar da baixa frequência com que ocorrem, problemas dessa natureza levantam indagações sobre o que seria um blockchain seguro e a quem atribuir a efetiva responsabilidade pelos danos sofridos.

Para analisar a questão é preciso estabelecer se os criptoativos estão:

  • custodiados em uma exchange; ou
  • sendo negociados em protocolos de finanças descentralizadas (DeFi), sem que seja possível identificar uma organização custodiante.

Caso os ativos estejam custodiados em exchanges, a eventual perda decorrente de ataque no blockchain dificilmente poderá gerar alguma responsabilidade para a corretora. Pode-se, entretanto, argumentar que haveria responsabilidade solidária pelas perdas, já que a exchange está inserida na cadeia de consumo.

Diante do caso apresentado, porém, não há como identificar nexo de causalidade claro entre o serviço prestado pela exchange e o prejuízo. A falta de nexo de causalidade pode ainda levantar a hipótese de excludente de responsabilidade por inexistência de defeito no serviço (art. 14, parágrafo 3º, I do CDC) ou, ainda, por caso fortuito (art. 393 do Código Civil).

A situação muda um pouco quando os criptoativos cujo blockchain foi hackeado estiverem sendo negociados em protocolos de DeFi. Nesse caso, a dificuldade para atribuir responsabilidade decorre menos da incerteza jurídica do que da própria dificuldade de identificar a organização responsável por oferecer estrutura de negociação e custódia dos criptoativos.

O fato de o registro em blockchain ser descentralizado não significa que seja impossível identificar instituição ou alguém por trás da criação do protocolo e da sua manutenção. Em geral, esse papel é desempenhado por fundações ou mesmo por um grupo de pessoas sem personalidade jurídica constituída.

É difícil, porém, identificar exatamente o papel desses agentes na criação ou na manutenção do protocolo. Também fica difícil estabelecer se as atividades desempenhadas podem caracterizar a organização ou o grupo de pessoas como “fornecedores” e atrair, com isso, responsabilidade por dano ao consumidor.

A chegada de novas modalidades de ativos e de tecnologias levanta questões jurídicas que precisam ser mais bem equacionadas. Até que se estabeleça de forma clara a quem cabe a responsabilidade pelos danos em casos como o da rede Ronin, ou mesmo se é possível estabelecer algum tipo de responsabilidade nesses casos, pode ser difícil encontrar amparo na lei para obter ressarcimento de prejuízos causados por ataques de hackers.

 


[1] Apelação Cível TJ/SP 1001913-90.2019.8.26.0080; Apelação Cível TJ/DF 0730396-17.2018.8.07.0001; Recurso Inominado Cível TJ/SP Processo 0011980-92.2016.8.26.0127