A responsabilidade civil de exchanges e carteiras digitais por fraudes, golpes e crimes cibernéticos envolvendo criptoativos e o papel da perícia digital na reconstrução técnica dos fatos

Por que empresas de criptoativos reproduzem teses já superadas que, no início da consolidação do direito digital, eram utilizadas por provedores de aplicações de internet para afastar deveres de segurança da informação, registro de dados e cooperação com o Poder Judiciário? 

JOSÉ MILAGRE*

EMILY LUCILA DE OLIVEIRA** 

Em um período não muito distante, quando o direito digital no Brasil ainda se consolidava, provedores de e-mail, redes sociais e grandes plataformas de internet resistiam sistematicamente ao cumprimento de ordens judiciais para apresentação de dados e registros de acessos e transações de seus sistemas, para as mais variadas finalidades: da apuração de autoria de golpes à demonstração do que ocorreu com um sistema invadido, passando pela análise de quem autorizou ou efetivamente realizou as transações.

As respostas eram alinhadas e quase padronizadas: diziam que não guardavam registros, que não tinham acesso a dados que elucidassem fraudes e golpes em seus ambientes, que a empresa brasileira não era a mesma da matriz no exterior, que não estavam sujeitos à jurisdição nacional ou que era tecnicamente impossível fornecer as informações solicitadas, dada a arquitetura dos serviços. Durante anos lograram êxito em se escusar de cumprir deveres legais que auxiliassem na reparação de vítimas de golpes e crimes cibernéticos, ou mesmo que comprovassem suas próprias vulnerabilidades internas.

O Judiciário amadureceu, ainda que não de forma rápida. Primeiro, pacificou-se um entendimento que hoje parece óbvio: quem lucra no Brasil, presta serviços no Brasil e explora economicamente usuários brasileiros deve cumprir a lei brasileira. A guarda de registros, a cooperação com investigações e o dever de segurança da informação deixaram de ser discutidos como uma “benesse” e passaram a ser reconhecidos como obrigação. O advento do Marco Civil da Internet (Lei 12.965/2014) contribuiu decisivamente para a consolidação dos deveres dos provedores de aplicações de internet.

Anos após aquela consolidação jurisprudencial, o direito digital nos coloca diante da era dos criptoativos e, com ela, de golpes, fraudes, invasões e vulnerabilidades de plataformas de prestação de serviços de ativos virtuais (PSAVs) exploradas sistematicamente. Curiosamente, aquela mesma narrativa que marcava os primeiros embates do direito digital no Brasil começa a ser revisitada, agora sustentada por exchanges e carteiras virtuais que oferecem seus serviços a milhões de usuários.

Para os fins deste artigo, a expressão “wallet” ou “carteira digital” refere-se às aplicações comerciais de carteiras de criptoativos operadas por pessoas jurídicas ou entidades identificáveis, que disponibilizam interfaces, aplicativos ou serviços destinados ao mercado. Não se incluem nessa expressão protocolos verdadeiramente descentralizados desprovidos de operador econômico ou de qualquer entidade responsável pela prestação do serviço, cuja realidade técnica e jurídica demanda análise própria.

A criminalidade digital também evoluiu. Se antes eram comuns invasões de e-mail, extorsões virtuais e fraudes bancárias tradicionais, hoje carteiras e exchanges passaram a ocupar papel central nas investidas do crime organizado cibernético. O próprio crescimento do mercado de criptoativos ampliou exponencialmente a quantidade de pessoas que armazenam tokens representando valores relevantes nesses ambientes digitais.

O ecossistema se sofisticou. Multiplicaram-se serviços integrados, conectores, aplicações, pontes entre redes, autenticações por múltiplos dispositivos e interações complexas que, quando exploradas de forma maliciosa, tornam extremamente difícil para a vítima sequer compreender como seus fundos foram desviados.

É justamente nesse cenário que se revela um paradoxo preocupante.

Algumas empresas provedoras de serviços de ativos virtuais, que lucram com taxas, intermediações e com a promessa ostensiva de segurança tecnológica (incluindo monitoramento de transações em tempo real e uso de IA para combate ao crime cibernético), diante de incidentes com seus clientes, passam a adotar uma postura questionável e controversa. Alegam que não possuem informações relativas às transações e acessos indevidos a uma carteira, que não têm acesso aos dados, que a “descentralização” impede qualquer rastreabilidade interna e, nos casos das carteiras, que a responsabilidade seria exclusivamente do usuário por deter suas próprias chaves, logo, fazendo a chamada “auto custódia” dos fundos.

O discurso é novo na forma, mas antigo na essência. Assim como no passado provedores de e-mail e redes sociais alegavam impossibilidade técnica para cooperar com a Justiça dada a “arquitetura do serviço”, parte das exchanges e carteiras começa a sustentar que a natureza da blockchain as impediria de cumprir deveres básicos de segurança e cooperação, em que pese anunciarem ostensivamente tais recursos em suas plataformas, como nítida forma de captação de consumidores e usuários.

A tecnologia mudou. A narrativa defensiva, não.

Inúmeros processos discutem a responsabilidade desses agentes diante de fraudes e golpes, e o dever de registrar dados sobre acessos, logs de transações, aprovações de contratos inteligentes e movimentações nos serviços digitais que oferecem a clientes. O que se observa é uma reprise de um passado recente: começa a se repetir um roteiro defensivo que revela uma contradição difícil de conciliar, e que soa estranhamente familiar a quem acompanhou a consolidação de questões controversas do direito digital no país.

A diferença é que, desta vez, o argumento central não é mais a “nuvem”, nem a “matriz no exterior”, nem a “impossibilidade técnica”. O novo escudo retórico atende pelos nomes de “descentralização” e “auto custódia”. Essa retórica precisa ser examinada em detalhes.

Sustentamos que muitas dessas defesas decorrem de um erro metodológico recorrente: a confusão entre a descentralização da infraestrutura blockchain e a descentralização da aplicação que presta o serviço ao usuário. Propomos denominar esse fenômeno de “falácia da descentralização da aplicação“, consistente na utilização das características da blockchain para afastar deveres jurídicos que recaem sobre aplicações comerciais, como segurança da informação, guarda de registros, monitoramento de fraudes e cooperação com o Poder Judiciário. É sob essa perspectiva que se analisam as teses defensivas a seguir.

A expressão é utilizada neste trabalho em seu sentido lógico-argumentativo, para identificar um padrão recorrente de fundamentação observado em demandas judiciais, e não como juízo acerca da boa-fé das empresas que sustentam tais teses.

As cinco principais teses padronizadas que vêm sendo repetidas em juízo por parte das empresas de carteiras de ativos virtuais

Na prática forense, é possível identificar um conjunto de alegações que se repetem com impressionante frequência e que, sem apoio técnico pericial, podem soar como verdades técnicas.

Primeira tese: a empresa não está no Brasil

A primeira alegação comumente ventilada por PSAVs é a de que a pessoa jurídica responsável pelo serviço é estrangeira e que eventual ordem judicial deveria ser direcionada à matriz, sendo a empresa brasileira parte ilegítima. Em alguns casos, chegam a alegar que são apenas “conversores de moedas”, o que não resiste à mais simples análise.

Trata-se de argumento já exaustivamente enfrentado pela jurisprudência no contexto das grandes plataformas de tecnologia.

O artigo 75, X do Código de Processo Civil é expresso ao disciplinar os limites da jurisdição nacional: a autoridade judiciária brasileira tem competência para processar e julgar ações em que o réu, independentemente de sua nacionalidade, estiver domiciliado no Brasil, tenha obrigação a ser cumprida aqui ou decorra de ato praticado no território nacional. Considera-se domiciliada no Brasil a pessoa jurídica estrangeira que nele tiver agência, filial ou sucursal:

Art. 75. Serão representados em juízo, ativa e passivamente: X – a pessoa jurídica estrangeira, pelo gerente, representante ou administrador de sua filial, agência ou sucursal aberta ou instalada no Brasil.

Isso significa que a atuação de fato, o exercício de atividades e a obtenção de benefícios econômicos no país são suficientes para caracterizar a sujeição à jurisdição brasileira, mesmo que a empresa alegue que sua matriz esteja fora do território nacional. O Superior Tribunal de Justiça tem entendimento de que uma pessoa jurídica estrangeira pode ser regularmente citada por meio de seu entreposto ou representação atuante no Brasil, ainda que não formalmente constituída como filial ou agência, quando estiver de fato operando no país:

“A forma como de fato a pessoa jurídica estrangeira se apresenta no Brasil é circunstância que deve ser levada em conta para se considerar regular a citação da pessoa jurídica estrangeira por meio de seu entreposto no Brasil, notadamente se a empresa estrangeira atua de fato no Brasil por meio de parceira identificada como representante dela, ainda que não seja formalmente a mesma pessoa jurídica ou pessoa jurídica formalmente criada como filial.” (STJ – HDE: 410 EX 2017/0061034-6, Rel. Min. Benedito Gonçalves, julgamento: 20/11/2019, Corte Especial, DJe 26/11/2019, RT vol. 1013 p. 431)

As tentativas de afastar legitimidade com base em estruturas societárias estrangeiras encontram, portanto, barreiras claras na legislação processual e na jurisprudência, exatamente como já ocorreu no passado, no enfrentamento das questões trazidas pelas grandes plataformas de tecnologia.

Segunda tese: exchanges e wallets não são instituições financeiras e não têm deveres de segurança

A segunda tese repisada em defesas por algumas empresas de carteiras de criptoativos e PSAVs é a tentativa de afastar qualquer equiparação com instituições financeiras, sustentando que exchanges e carteiras seriam meras intermediárias tecnológicas, sem deveres de segurança típicos do sistema financeiro. Essa narrativa ignora a realidade regulatória e o próprio Marco Legal dos Criptoativos (Lei 14.478/2022), que reconhece a atividade desses prestadores como economicamente sensível e sujeita a deveres proporcionais aos riscos que produzem:

Art. 4º A prestação de serviço de ativos virtuais deve observar as seguintes diretrizes: II – boas práticas de governança, transparência nas operações e abordagem baseada em riscos; III – segurança da informação e proteção de dados pessoais; IV – proteção e defesa de consumidores e usuários.

As prestadoras de serviços de ativos virtuais (PSAVs) podem ser enquadradas como instituições financeiras para fins da Lei nº 7.492/1986, conforme alteração promovida pelo Marco Legal dos Criptoativos, que passou a abranger expressamente pessoas jurídicas que realizem, ainda que de forma cumulativa ou acessória, atividades de custódia, intermediação, negociação ou administração de ativos virtuais.

Art. 1º Considera-se instituição financeira, para efeito desta lei, a pessoa jurídica de direito público ou privado que tenha como atividade principal ou acessória a captação, intermediação ou aplicação de recursos financeiros de terceiros, em moeda nacional ou estrangeira, ou a custódia, emissão, distribuição, negociação, intermediação ou administração de valores mobiliários.

Parágrafo único. Equipara-se à instituição financeira a pessoa jurídica que ofereça serviços referentes a operações com ativos virtuais, inclusive intermediação, negociação ou custódia.

Convém distinguir, entretanto, as prestadoras de serviços de ativos virtuais sujeitas ao regime regulatório do Banco Central das aplicações de auto custódia que, em determinadas arquiteturas de negócio, podem não estar submetidas ao processo de autorização previsto na regulamentação infralegal. Essa distinção, contudo, não afasta a incidência de outros deveres jurídicos quando tais aplicações exploram economicamente serviços destinados ao mercado brasileiro, especialmente aqueles decorrentes do Código de Defesa do Consumidor, do Marco Civil da Internet, da Lei Geral de Proteção de Dados, da legislação civil e do próprio Marco Legal dos Criptoativos.

Esse quadro regulatório foi substancialmente reforçado pelas Resoluções BCB nºs 519, 520 e 521, publicadas em novembro de 2025, com vigência a partir de fevereiro de 2026, que instituem o regime de autorização e funcionamento das Sociedades Prestadoras de Serviços de Ativos Virtuais (SPSAVs), submetendo-as a um padrão operacional equivalente ao das demais instituições supervisionadas pelo Banco Central.

A Resolução BCB nº 520 impõe obrigações expressas de política de segurança cibernética, monitoramento contínuo, mecanismos de resposta a incidentes, controles de acesso baseados em alçadas e identificação do perfil de risco dos clientes. No que se refere à auto custódia, estabelece a necessidade de vinculação e validação do endereço de destino indicado pelo usuário, mediante mecanismos como listas de endereços autorizados e comprovação de titularidade ou controle. Exige, ainda, que as informações, dados e chaves privadas dos clientes tenham sua confidencialidade, integridade e disponibilidade asseguradas pela prestadora de serviços, reforçando o dever de segurança da informação em toda a infraestrutura operacional.

No âmbito das prestadoras sujeitas à regulamentação prudencial do Banco Central, sustentar a inexistência de deveres de segurança é incompatível com as obrigações expressamente previstas nas Resoluções BCB nºs 519, 520 e 521. Quanto às demais aplicações comerciais que ofertam serviços ao mercado brasileiro, ainda que não submetidas a esse regime autorizativo, subsistem deveres de segurança, transparência, cooperação, proteção do consumidor e responsabilidade civil decorrentes da legislação brasileira.

Em outras palavras, a eventual inexistência de autorização pelo Banco Central ou a não submissão ao regime prudencial das SPSAVs não transforma aplicações comerciais de carteiras digitais em ambientes juridicamente desprovidos de deveres de segurança ou cooperação. A análise desloca-se do fundamento regulatório específico para os deveres gerais impostos pelo ordenamento jurídico brasileiro às aplicações que exploram economicamente serviços destinados a consumidores no país.

Terceira tese: o usuário detém a seed phrase, logo a responsabilidade é sempre exclusivamente dele

A terceira tese, e das mais perigosas, é a de que, como o usuário detém a seed phrase (as palavras-chave da carteira), ele seria o único responsável por sua própria segurança, sem exceções. A empresa, segundo esse raciocínio, nada poderia fazer, pois sequer teria acesso às chaves do usuário, como se o fato de não ter acesso à chave lhe eximisse de deveres de segurança a aplicação que oferece.

Trata-se de analogia tecnicamente falha e juridicamente perigosa. Um banco (em tese) também não conhece a senha do correntista. Nem por isso está dispensado do dever mínimo de segurança, de monitoramento antifraude, de registro de acessos, registro de assinatura de transações, de identificação de comportamentos atípicos em seus aplicativos e de cooperação integral quando ocorre um golpe, apresentando registros que ajudem a perícia a dirimir uma controvérsia técnica sobre quem foi responsável ou deu causa a transações questionadas.

Ademais, muitas destas empresas que alegam tal tese em juízo fazem compromisso ostensivo com segurança digital. Anunciam parcerias com detectores de contratos maliciosos, dizem que protegem a carteira do usuário e que usam até IA para aprimorar a segurança no uso das carteiras. Como podem prometer algo por um lado e, de outro, alegar que não possuem deveres de segurança da informação? Alegações nesse sentido podem ser interpretadas como proposta vinculativa, promessas, ou até propaganda enganosa de acordo com o código de defesa do consumidor e código civil brasileiro.

Ser o único possuidor da seed phrase, via de regra e com exceção de alguns serviços específicos de criptoativos e com arquitetura peculiar,  o que pode ser averiguado por perícia técnica, não é um salvo-conduto para que a empresa que presta o serviço de carteira se exonere de sua parcela de responsabilidade com segurança digital, sobretudo no que diz respeito ao serviço prestado pelo aplicativo, à infraestrutura que o suporta e aos mecanismos de autenticação que ela própria oferece e controla.

Todas as teses anteriormente examinadas parecem decorrer de um equívoco conceitual comum, que permeia boa parte das defesas apresentadas por determinadas carteiras e prestadoras de serviços de ativos virtuais. Trata-se da confusão entre a descentralização da infraestrutura tecnológica da blockchain e a descentralização da aplicação comercial que permite sua utilização. Propomos denominar esse fenômeno de falácia da descentralização da aplicação: a utilização da natureza descentralizada da blockchain como argumento para afastar deveres jurídicos que recaem sobre aplicações, plataformas e serviços que permanecem estruturalmente centralizados, controlados e explorados economicamente por pessoas jurídicas identificáveis.

Quarta tese: a blockchain é descentralizada, logo a aplicação também é (e não há registros a fornecer)

Todas as demais teses examinadas neste artigo decorrem, em maior ou menor medida, da falácia da descentralização da aplicação. A quarta tese constitui sua manifestação mais evidente e, por isso, merece exame específico.

Parte-se da premissa de que, sendo a blockchain descentralizada, também o seriam as aplicações comerciais que permitem sua utilização, concluindo-se, equivocadamente, que inexistiriam deveres de segurança, guarda de registros ou cooperação com a Justiça.

É precisamente sobre essas aplicações comerciais (e não sobre protocolos verdadeiramente descentralizados sem operador identificável) que recaem as conclusões desenvolvidas neste artigo.

Nesta extremidade (e é aqui que se concentra a grande maioria das plataformas amplamente utilizadas no mercado) estão as aplicações comerciais: exchanges ou serviços de carteira que exigem cadastro, impõem procedimentos de identificação de clientes (KYC — Know Your Customer), operam servidores próprios, oferecem suporte ao cliente, distribuem aplicativos por lojas oficiais, prometem como diferencial serviços de segurança e monitoramento de transações, lucram com taxas e são mantidas por entidades jurídicas identificáveis. Mesmo quando adotam modelos de não-custódia das chaves privadas, essas aplicações possuem infraestrutura própria, realizam atualizações, estabelecem conexões com redes de terceiros e implementam mecanismos de autenticação do dispositivo do usuário, assegurando, em muitos casos, proteção da carteira e dos ativos, ostensivamente.

A descentralização da blockchain não se confunde com a estrutura da aplicação que a utiliza e nem toda aplicação ou prestadora de serviços de criptoativos é, de fato, “descentralizada”.

Na medida em que disponibilizam aplicações acessíveis pela internet destinadas à interação de usuários com seus serviços, exchanges e diversas carteiras comerciais exercem funções típicas de provedores de aplicações de internet. Operam aplicativos, sistemas de login, autenticação de usuários e interação constante com seus servidores.

Se o usuário insere senha, biometria, chave ou qualquer mecanismo de autenticação, essa interação normalmente pressupõe o processamento de eventos técnicos passíveis de registro para fins de funcionamento, auditoria, segurança ou monitoramento. Em aplicações comerciais, é tecnicamente esperado que tais eventos gerem metadados e registros compatíveis com a arquitetura do serviço.

Logo, muitos desses ambientes que alegam em processos não deter dados (o que pode representar descumprimento de deveres legais, a depender da natureza da aplicação, do regime jurídico incidente e das circunstâncias do caso concreto) possuem, na prática, registros de metadados e informações que esclareceriam a autoria de inúmeras transações questionadas na Justiça, ou quem deu causa a um incidente, invasão de carteira virtual ou transferências indevidas. No entanto, comumente, estas empresas deixam de apresentar tais dados, tal como os provedores de aplicações faziam no passado. Se omitem dados sobre o que ocorreu com uma carteira (os quais só elas detém), não podem desejar que seja presumida a culpa exclusiva da vítima.

Há ainda um detalhe jurídico que raramente é mencionado nesse debate: o Marco Civil da Internet. O artigo 15 da Lei 12.965/2014 impõe aos provedores de aplicações de internet o dever de manter, sob sigilo e em ambiente seguro, os registros de acesso às aplicações, definidos como o conjunto de informações referentes à data, hora e endereço IP a partir do qual determinada aplicação foi acessada e utilizada.

Sustentar em juízo que não existem registros de acesso à aplicação porque “a blockchain é descentralizada” não é apenas uma confusão conceitual. Pode representar a admissão de que a empresa não cumpre um dever legal básico de guarda de logs imposto a qualquer provedor de aplicação no Brasil, criando um ambiente anônimo, nocivo e estruturalmente propício à criminalidade cibernética.

O contraste se torna ainda mais evidente quando se observa o próprio discurso institucional dessas empresas. Em seus canais de divulgação, anunciam, repise-se,  ostensivamente, o uso de inteligência artificial, monitoramento antifraude, aprovação de transações, detecção de aplicações maliciosas, proteção contra acessos indevidos e múltiplos fatores de autenticação. Chegam a afirmar que a segurança e a privacidade do usuário estão no âmago do que fazem. Em juízo, porém, sustentam que não possuem qualquer informação capaz de indicar quem acessou a conta, de qual dispositivo, em que horário, a partir de qual endereço IP, ou mesmo qualquer dado comprove quem aprovou as transações questionadas, assegurando um ambiente anônimo e frustrando a prova pericial no sentido de identificar quem acessou a aplicação e deu causa às transações questionadas.

A blockchain pode registrar a transação. Mas apenas os logs e registros da aplicação podem indicar quem operou a carteira e uma perícia digital técnica não pode presumir o que ocorreu com uma carteira comprometida sem tais dados.

Desse modo, com exceção dos projetos genuinamente descentralizados aqui ressalvados (o que pode ser apurado por perícia técnica), as aplicações comerciais de carteiras e exchanges operam sobre estruturas absolutamente centralizadas, controladas por empresas legalmente constituídas, muitas que possuem até mesmo certificações ISO/IEC 27001 (gestão da segurança da informação) e ISO/IEC 27701 (gestão da informação de privacidade), que logicamente exigem guarda de registros e dever de monitoramento de atividades atípicas.

Exigem identificação de clientes, registram transações, mantêm dados de acesso e preservam complexa infraestrutura de autenticação e monitoramento, inclusive, em muitos casos, bloqueando acesso às aplicações diante de suspeitas de fraude. Logo, a alegação de que a ausência de monitoramento de atividades fora do perfil do cliente ou de guarda de logs de transações esteja ligada ao modelo de “auto custódia” ou natureza “descentralizada da blockchain” é premissa mais que equivocada.

Em algumas situações, em juízo, estas carteiras simplesmente exibem meros registros extraídos de exploradores de blocos (equivalentes a extratos de uma carteira), como se fossem suficientes para provar o que aconteceu com uma carteira invadida e com fundos drenados. Seria como se um banco, em sua defesa, apresentasse apenas o extrato da conta da vítima, onde consta uma transferência ou um contrato assinado, e alegasse estar provada a culpa da vítima pelo contrato ou transferência indevida. Sabemos que a prova da aprovação  se dá com a apresentação dos registros de assinaturas e metadados que o sistema bancário preserva e que pode ser submetido à perícia forense digital.

Por que, com wallets e exchanges, equiparadas a instituições financeiras nos termos da legislação aplicável e submetidas, quando sujeitas ao regime regulatório do Banco Central, a deveres específicos de segurança da informação, seria diferente?

Quinta tese: tudo está na blockchain e o Judiciário não precisa de mais dados

A quinta tese é, em processos nos quais se discute a responsabilidade por fraudes com  criptoativos, justamente, a afirmação de que “tudo está na blockchain” e que, portanto, a Justiça não precisaria de dados adicionais do serviço. De fato, a blockchain registra a transação, data, hora, carteira de destino, token e outros metadados. Mas é, em regra, a empresa titular da aplicação quem possui melhores condições técnicas para demonstrar quem operou a carteira, a partir de quais dispositivos, de quais endereços IP, com qual histórico de autenticação e qual padrão comportamental, bem como os registros de validações, aprovações, confirmações de fatores de segurança e demais interações com a interface.

A blockchain revela o caminho do ativo. Os logs que só a aplicação tem revelam a autoria, e sua apresentação em juízo é fundamental para esclarecimento da responsabilidade em casos de fraudes. Tal tese ventilada por estas empresas evidentemente revela uma escolha argumentativa e posicionamento jurídico para gestão de riscos que, assim como ocorreu com as grandes plataformas de tecnologia, espera-se que em breve não seja mais acolhida pelo Judiciário.

A complexidade da investigação além das aplicações

É verdade que, fora do perímetro dessas aplicações, a investigação de um golpe com criptoativos pode se tornar extremamente complexa. Valores são rapidamente pulverizados entre múltiplas carteiras, passam por pontes entre redes, misturam-se em protocolos descentralizados, atravessam fronteiras e se ocultam sob camadas de anonimização técnica.

O tempo do crime é medido em segundos; o tempo da apuração, em semanas ou meses. Ainda assim, técnicas modernas de investigação on-chain permitem, com elevado grau de complexidade técnica, a reconstrução do caminho do ativo até o momento em que ele ingressa ou interage com uma aplicação específica, a exemplo, uma exchange, uma carteira, um serviço custodiante ou uma interface controlada por uma empresa.

Dentro da aplicação, porém, entendemos que não exista absoluto anonimato estrutural. Há login, autenticação, registro de dispositivos, endereços IP, histórico de acessos, validações de segurança, device fingerprint, padrões comportamentais e mecanismos de monitoramento antifraude. O rastro pode se tornar difuso na blockchain, mas é objetivo e identificável nos registros internos da aplicação que foi associada a um endereço público.

Esses registros não são relevantes apenas para que a Justiça identifique o autor do golpe. São essenciais também para que a própria vítima compreenda tecnicamente como sua conta foi violada: se houve falha de segurança, se houve exploração de vulnerabilidade da plataforma ou se houve autorização fraudulenta sem qualquer participação sua.

É justamente nesse ponto que a cooperação das PSAVs, em especial exchanges e wallets, deixa de ser uma faculdade e passa a ser elemento central para que se reconstrua o que realmente aconteceu, e para que a Justiça possa operar com base em fatos técnicos e não em presunções.

O papel da perícia digital na reconstrução técnica dos fatos em fraudes com criptoativos

A apuração de fraudes envolvendo criptoativos depende, em grande medida, da correta distinção entre aquilo que é registrado na infraestrutura pública da blockchain e aquilo que somente pode ser identificado a partir dos registros internos das aplicações utilizadas pelos usuários. Enquanto a blockchain permite a visualização do percurso dos ativos, ela não fornece elementos suficientes para a identificação da autoria material das transações, tampouco esclarece, por si só, se houve acesso legítimo, fraude, engenharia social ou comprometimento de credenciais.

Nesse contexto, a perícia digital assume papel central na reconstrução técnica dos eventos, especialmente quando envolve ambientes controlados por exchanges e carteiras digitais.

A atuação pericial, nesses casos, deve se concentrar na análise integrada de logs de acesso, registros de autenticação, histórico de dispositivos, fingerprints digitais, mecanismos de aprovação de transações e demais metadados gerados pelas aplicações. A ausência ou a não apresentação desses elementos compromete significativamente a possibilidade de se estabelecer, com grau adequado de confiabilidade técnica, a dinâmica do evento danoso e a atribuição de responsabilidade. Por essa razão, a prova pericial não pode ser reduzida à leitura de transações on-chain, sob pena de se admitir uma reconstrução incompleta e tecnicamente insuficiente dos fatos.

Um dos escopos fundamentais da perícia digital em casos envolvendo fraudes com criptoativos consiste, em etapa prévia e metodologicamente indispensável, na identificação da arquitetura tecnológica do ambiente analisado. Isso envolve a classificação da natureza da carteira ou da exchange sob exame, distinguindo-se, com rigor técnico, entre aplicações custodiais, não custodiais, híbridas ou interfaces de interação com protocolos descentralizados. Tal delimitação é essencial para a correta definição do regime de responsabilidade e, sobretudo, para a determinação do conjunto de registros potencialmente existentes e tecnicamente exigíveis de cada modelo operacional.

Somente a partir dessa classificação inicial é possível estabelecer, com precisão técnica, quais elementos de prova digital são esperados da aplicação analisada. Em ambientes com atuação empresarial identificável e oferta de serviços ao usuário final, a perícia deve prosseguir com a requisição e análise de registros internos compatíveis com a arquitetura do sistema, tais como logs de autenticação, histórico de dispositivos, endereços IP, eventos de autorização de transações e demais metadados operacionais. Essa etapa é determinante para diferenciar situações de efetiva auto custódia estrutural daquelas em que a aplicação mantém controle funcional sobre o ambiente de interação do usuário, ainda que não detenha as chaves privadas.

Dessa forma, a perícia digital não atua como mera auxiliar da prova, mas como instrumento essencial de concretização da própria tutela jurisdicional em litígios envolvendo ativos virtuais. É a partir dela que se torna possível distinguir falhas de segurança, vulnerabilidades da plataforma, uso indevido de credenciais ou condutas de terceiros, permitindo ao Judiciário decidir com base em elementos técnicos verificáveis, e não em presunções derivadas exclusivamente da movimentação registrada na blockchain.

A expectativa legítima do usuário e o paralelo histórico que o Judiciário já enfrentou antes

O usuário que recorre a uma exchange ou instala uma carteira virtual não o faz com a expectativa de estar sozinho diante do risco. Ele busca exatamente o oposto: equilibrar privacidade com segurança, estrutura tecnológica, capacidade de resposta em caso de fraude e cooperação e suporte caso algo dê errado. Confundir a descentralização da blockchain com a centralização da aplicação é uma inverdade técnica que tem sido utilizada para induzir o Judiciário a erro.

As teses sustentadas por algumas empresas de criptoativos são extraordinariamente semelhantes às que grandes plataformas de tecnologia sustentavam no passado. Naquele momento, também se dizia que não havia registros, que a tecnologia não permitia rastreabilidade, que a empresa brasileira não era responsável, que os dados estavam fora do país, que a responsabilidade era integral do usuário. Tudo era “tecnicamente impossível”.

Essas construções argumentativas foram se enfraquecendo, uma a uma, diante da realidade técnica e do amadurecimento do Judiciário, bem como da necessidade de se coibir crimes cibernéticos e apurar a responsabilidade das plataformas. O mesmo percurso nos parece necessário para a questão envolvendo serviços de wallets e corretoras de criptoativos que operam no Brasil sem, contudo, cumprir seus deveres regulatórios e técnicos.

Cedo ou tarde, será inevitável o reconhecimento de que exchanges e carteiras regularmente constituídas e operadas por entidades identificáveis: a) possuem dever de guarda de registros de acesso à aplicação; b) possuem dever de monitoramento antifraude e de transações atípicas; c) possuem dever de segurança da aplicação; d) possuem dever de cooperação técnica com investigações e na apuração sobre quem deu causa às transações questionadas na justiça e e) não podem utilizar a característica da descentralização da blockchain ou o fato de o usuário ser o único conhecedor de sua seed phrase como argumento para se abster, sempre, do dever de sua parcela de segurança ou negar informações que existem na plataforma ou que deveriam custodiar em sua própria infraestrutura.

Em síntese, a falácia da descentralização da aplicação não resiste à análise técnica nem jurídica. A blockchain pode ser descentralizada; a aplicação comercial que a utiliza, contudo, permanece organizada, administrada e explorada por entidades identificáveis, sujeitas aos deveres jurídicos inerentes à atividade econômica que exercem.

O futuro

O problema dos golpes com criptoativos não está apenas na ação do criminoso. Está também na resistência de algumas empresas em admitir que, ao explorar economicamente esse mercado, assumem deveres proporcionais aos riscos que ele gera.

A pergunta que começa a surgir nos processos judiciais já não é apenas quem aplicou o golpe. É outra, mais estrutural e incômoda: quem está permitindo, pela ausência de cooperação e pela resistência em cumprir deveres regulatórios, que esses golpes permaneçam efetivos e rentáveis, sem investigação e sem reparação?

O direito acompanha a tecnologia em ritmo próprio e fomentar esse debate contribui para o aclaramento técnico da questão. Quanto mais rápido esse amadurecimento ocorrer, menor o número de vítimas que enfrentarão decisões fundamentadas em premissas incorretas amplamente difundidas por empresas que estão massivamente presentes no Brasil e lucrando mas que, paradoxalmente, se ausentam quando o escopo é segurança digital, apuração de crimes e proteção de seus próprios usuários.

A história já demonstrou que esses argumentos não se sustentam por muito tempo diante da realidade técnica. O amadurecimento desse debate exige distinguir, com rigor técnico, aquilo que pertence à infraestrutura descentralizada da blockchain daquilo que pertence às aplicações comerciais que a exploram economicamente. Confundir esses planos tecnológicos significa comprometer a correta distribuição de responsabilidades, dificultar a produção da prova e enfraquecer a tutela jurisdicional justamente em um dos mercados digitais mais sensíveis da atualidade.

JOSÉ MILAGRE, PHD*

* Perito digital especializado em crimes cibernéticos e criptoativos, graduação em análise de sistemas, Mestre e Doutor pela UNESP e diretor da CyberExperts.
http://www.cyberexperts.com.br 

EMILY LUCILA DE OLIVEIRA**

* Advogada especializada em Direito Digital e Criptoativos. Sócia da JM  Advogados, Pós Graduanda em Direito Penal e Processo Penal.
https://www.direitodigital.adv.br 

Disclaimer dos autores:
Este artigo reflete exclusivamente a opinião técnica e acadêmica de seus autores. É permitida a sua reprodução, integral ou parcial, inclusive para fins de citação em peças processuais, artigos, pareceres e demais usos profissionais ou acadêmicos, desde que sejam devidamente mencionados os autores e a fonte original, sem alteração de seu conteúdo ou supressão de autoria.

Rolar para cima