REsp 1.885.201-SP, Rel. Min. Nancy Andrighi, Terceira Turma, por unanimidade, julgado em 23/11/2021, DJe 25/11/2021.
DIREITO CIVIL, DIREITO DO CONSUMIDOR
Responsabilidade civil. Invasão de hacker à conta de e-mail. Transferência de bitcoins. Danos materiais. Nexo de causalidade não configurado.
O provedor de aplicações que oferece serviços de e-mail não pode ser responsabilizado pelos danos materiais decorrentes da transferência de bitcoins realizada por hacker.
Inicialmente cumpre salientar que as criptomoedas utilizam a tecnologia blockchain, a qual é baseada na confiança na rede e viabiliza, de forma inovadora, a realização de transações online sem a necessidade de um intermediário. O blockchain fornece, assim, segurança à rede, estando assentado em quatro pilares: (i) segurança das operações, (ii) descentralização de armazenamento, (iii) integridade de dados e (iv) imutabilidade de transações.
Segundo a doutrina "para realizar transações em bitcoins, após a criação da carteira e a presença de bitcoins nela, o usuário poderá criar 'endereços Bitcoin' (instruções de pagamento intra sistema que ditam o fluxo de pagamento) indicando quantas bitcoins devem ser entregues a qual carteira e quando tal transferência deve ocorrer. Cada transação específica somente pode ser realizada mediante a utilização de senha específica que cada pagador e cada recebedor tem de digitar, chamada de 'private key', um sistema que se vale de criptografia para proteção das informações".
A chave privada viabiliza o acesso do usuário à sua carteira de bitcoins, na qual constam informações sobre as criptomoedas controladas e é possível a realização de pagamentos a outros usuários. A chave privada não deve, destarte, ser revelada e deve ser guardada pelo usuário, já que inexiste, atualmente, maneira de recuperá-la.
No âmbito do Código de Defesa do Consumidor, a responsabilidade do fornecedor prescinde do elemento culpa, pois funda-se na teoria do risco da atividade (REsp 1.580.432/SP, DJe 04/02/2019). Em consequência, para emergir a responsabilidade do fornecedor de serviços, é suficiente a comprovação (i) do dano; (ii) da falha na prestação dos serviços e (iii) do nexo de causalidade entre o prejuízo e o vício ou defeito do serviço.
Com relação ao último pressuposto, o dever de indenizar só nasce quando houver um liame de causalidade entre a conduta do agente e o resultado danoso.
No caso, o recorrente atribui à recorrida a responsabilidade pelos danos materiais suportados pois, segundo alega, ao acessar o seu e-mail, o hacker teve acesso à mensagem eletrônica contendo o link enviado pela empresa gerenciadora das criptomoedas.
Ocorre que o acesso à carteira de criptomoedas exige, necessariamente, a indicação da chave privada. Ou seja, ainda que a gerenciadora adote o sistema de dupla autenticação, qual seja, digitação da senha e envio, via e-mail, do link de acesso temporário, a simples entrada neste é insuficiente para propiciar o ingresso na carteira virtual e, consequentemente, viabilizar a transação das cryptocoins.
Deste modo, não configurado o nexo de causalidade, é descabida a pretendida responsabilidade pelo prejuízo material experimentado.
