Fraudes com Criptomoedas: Como Funciona a Responsabilização Civil e Penal no Brasil
Panorama: como surgem as fraudes com criptomoedas
O ecossistema de criptoativos combina inovação tecnológica (DLTs, smart contracts) com uma base de usuários cada vez mais ampla. Essa expansão também atraiu golpistas e estruturas oportunistas. Entre os formatos mais comuns estão: pirâmides financeiras disfarçadas de arbitragem ou “robôs de trade”; esquemas de marketing multinível com “rentabilidade garantida”; rug pulls (projetos que somem com a liquidez); phishing e tomada de contas; scams de suporte; clonagem de sites e airdrop malicioso que induz o usuário a assinar transações drenos. Em paralelo, há ofertas públicas irregulares de ativos que, na prática, são valores mobiliários, mas tentam escapar da supervisão. Compreender a responsabilização civil e penal é a chave para reação e prevenção.
Mensagem-chave — No Brasil, a combinação do Marco Legal dos Criptoativos (Lei 14.478/2022), do Decreto 11.563/2023 (que designa o Banco Central como regulador de PSAV/VASP), das normas da CVM (quando houver valor mobiliário), do CDC, da LGPD, da Lei de Lavagem (9.613/1998) e do Código Penal forma o arcabouço que permite responsabilizar emissores, exchanges, influenciadores e golpistas.
Fundamentos penais aplicáveis: tipicidade e autoria
Estelionato e fraude eletrônica
Promessas de ganhos irreais, uso de sites clonados e manipulação para obter transferências voluntárias caracterizam estelionato (CP, art. 171). Quando a vantagem é obtida por “meio eletrônico” com invasão ou obstáculo de segurança, incide a fraude eletrônica (art. 171, §2º-A). O uso de engenharia social e links maliciosos também pode gerar concurso com invasão de dispositivo (art. 154-A).
Pirâmide financeira
Planos que remuneram principalmente pela entrada de novos participantes, sem atividade econômica real, se enquadram no crime contra a economia popular (Lei 1.521/1951, art. 2º, IX), além de associação criminosa (CP, art. 288). Se houver captação indiscriminada para “investimentos cripto”, pode incidir a Lei 7.492/86 (crimes contra o sistema financeiro), conforme o modelo.
Lavagem de dinheiro e sanções
Uso de mixers, chain hopping e carteiras de laranjas para ocultar origem de valores configura lavagem (Lei 9.613/1998). Prestadores de serviços de ativos virtuais (PSAV/VASP) devem adotar KYC/KYT, reportar operações atípicas ao COAF e cumprir regras de Travel Rule, sob risco de sanções e persecução penal por omissão dolosa.
Ofertas irregulares de valores mobiliários
Tokens que representem contratos de investimento coletivo (direito a remuneração pelo esforço de terceiros) podem ser valores mobiliários. A emissão e distribuição sem observância da Lei 6.385/76 e normas da CVM pode ensejar crime (art. 7º) e medidas cautelares (suspensão de ofertas, multas, inabilitação).
Autoria e cooperação — Desenvolvedores que programam smart contracts com intenção fraudulenta, influenciadores que promovem ofertas enganosas com ciência do vício e custodiantes que concorrem para o ilícito podem responder por coautoria ou participação, a depender do liame subjetivo e do domínio do fato.
Responsabilização civil: CDC, deveres de informação e reparação
Relações entre exchanges domiciliadas no Brasil e usuários são, em regra, relações de consumo (CDC, Lei 8.078/90). Assim, a empresa responde objetivamente por falhas na prestação (queda prolongada, custódia insegura, vazamentos de dados KYC) e por publicidade enganosa. Há excludentes (culpa exclusiva do consumidor, fato de terceiro), mas exigem prova robusta. Já emissores que realizam ofertas públicas de investimento têm deveres de informação acrescidos: risco, liquidez, governança, custódia, conflitos de interesse e métricas de performance não podem ser omitidos ou distorcidos.
Indenizações típicas
- Restituição do valor aportado (perdas diretas) e danos morais quando há publicidade enganosa ou vazamento.
- Lucros cessantes em hipóteses excepcionais (ex.: bloqueio indevido que impede liquidação em evento de mercado documentado).
- Responsabilidade solidária na cadeia de consumo quando diversos agentes concorrem para o dano (art. 7º, par. único, CDC).
Defesas usuais de plataformas
- Prova de autenticação e assinatura da transação pelo usuário (custódia self-custody ou hot wallet com 2FA).
- Fato de terceiro (malware externo, phishing) sem nexo com falha da plataforma.
- Observância de termos de uso claros e alertas de risco (sem cláusulas abusivas).
Marco regulatório: quem responde e por quê
Lei 14.478/2022 e Decreto 11.563/2023
- Exige autorização do Banco Central para prestadores de serviços de ativos virtuais (PSAV/VASP), com regras de governança, segregação de ativos e controles internos.
- Integra PSAV ao regime de PLD/FT (Lei 9.613/98), impondo KYC, monitoramento e comunicação ao COAF.
- Prevê sanções administrativas e colaboração com autoridades penais e de mercado de capitais.
CVM e ofertas de security tokens
Quando o token se enquadra como valor mobiliário (p.ex., contrato de investimento coletivo), aplicam-se a Lei 6.385/76 e atos normativos da CVM (ex.: orientação sobre tokenização de recebíveis). Ofertas sem registro/dispensa, intermediação por não autorizados e publicidade enganosa levam a multas, suspensões e encaminhamento criminal.
Receita Federal e IN RFB 1.888/2019
Exchanges brasileiras devem reportar mensalmente operações de clientes; usuários que operam P2P ou em exchanges estrangeiras também reportam quando ultrapassados os limites. Omissões geram multas e podem indicar sonegação ou lavagem.
Trilhas de responsabilização: da investigação à recuperação de ativos
Investigação
- Boletim de ocorrência e notícia-crime ao MP ou à Polícia (delegacias de crimes cibernéticos).
- Preservação de evidências: TXIDs, hashes, carimbos de tempo, telas e metadados.
- Cooperação internacional (MLAT) e uso de análise on-chain para traçar fluxos e pedir congelamento em exchanges centralizadas.
Medidas cautelares e civis
- Tutelas de urgência para bloqueio de saldos sob custódia de PSAV, exibição de documentos/logs e quebra de sigilo com ordem judicial.
- Ações de responsabilidade civil por publicidade enganosa, falha de segurança, vício de serviço e enriquecimento sem causa.
Ilustrativo — as etapas variam conforme a arquitetura (custódia centralizada x autocustódia) e a jurisdição das contrapartes.
Compliance para PSAV e emissores: como reduzir risco jurídico
- Segregação de ativos cliente-plataforma e contratos que esclareçam propriedade em insolvência.
- Custódia com multissig, HSM, governança de chaves (“4 eyes”), políticas de saques e trilhas de auditoria imutáveis.
- KYC/KYT, Travel Rule, screening de sanções, reportes ao COAF e matriz de risco alinhada ao GAFI/FATF.
- Política de listagem de tokens com due diligence (documentação técnica, análise jurídica, governança, liquidez, risco de rug pull).
- LGPD: base legal para KYC, minimização, segurança (art. 46) e resposta a incidentes à ANPD.
- Transparência publicitária e proibição de rentabilidade garantida; identificação de conteúdo patrocinado por influenciadores.
Checklist rápido — licença/autorregulação com o BCB (quando aplicável), interação prévia com a CVM para ofertas, IN 1.888/19 operacionalizada, planos de resposta a incidentes, termos de uso claros e educação do usuário (phishing, permissões em carteiras, approvals).
Boas práticas para o investidor: prevenção e primeiros socorros
- Desconfie de rentabilidade fixa e “arbitragem sem risco”. Procure o CNPJ, políticas de segregação e auditorias.
- Evite clicar em links de “suporte” via DM; confirme domínios (HTTPS) e prefira apps oficiais.
- Use 2FA, senhas únicas, carteiras de hardware para montantes relevantes e endereços de saque whitelist.
- Ao suspeitar de golpe: interrompa transferências, colete evidências, avise imediatamente a plataforma e registre ocorrência.
Conclusão
Fraudes com criptomoedas não são um “fato da tecnologia”, mas condutas jurídicas que encontram resposta nas esferas penal, administrativa e civil. O arcabouço normativo brasileiro — Lei 14.478/22 e Decreto 11.563/23 (PSAV/BCB), CVM (ofertas e valores mobiliários), RFB (IN 1.888/19), CDC, LGPD, Lei 9.613/98 e o Código Penal — permite responsabilização de emissores, intermediários e promotores de golpes. Para as empresas, governança, PLD/FT, segurança e transparência são o caminho para reduzir litígios. Para o usuário, educação, verificação e registro adequado de evidências aumentam a chance de recuperar valores e punir autores. A resposta efetiva combina prevenção, reação célere e cooperação entre vítimas, plataformas e autoridades — sem perder de vista que a inovação sustentável depende de compliance rigoroso e comunicação honesta sobre riscos.
Aviso importante — Este conteúdo é informativo e aborda diretrizes gerais para responsabilização civil e penal em fraudes com criptoativos. Casos concretos variam conforme arquitetura técnica, jurisdição, provas disponíveis e contratos. Por isso, estas informações não substituem a análise individual de um(a) profissional habilitado(a) em direito penal, do consumidor, do mercado de capitais e segurança digital.
Guia rápido
- Fraudes mais comuns: pirâmide financeira, “robô de trade” com rentabilidade garantida, rug pull em tokens/DeFi, phishing/suporte falso, clonagem de sites e airdrop malicioso que drena carteiras.
- Esferas de responsabilização: penal (estelionato, pirâmide, lavagem, crimes financeiros) e civil (CDC, publicidade enganosa, falha de segurança, vício de serviço).
- Quem pode responder: fundadores, desenvolvedores com dolo, influenciadores que promovem oferta enganosa, custodiante/exchange por falhas de serviço, e qualquer participante que concorra para o ilícito.
- Regulação-base no Brasil: Lei 14.478/2022 (Marco Legal), Decreto 11.563/2023 (BCB como regulador de PSAV), Lei 6.385/1976 e atos da CVM (tokens que sejam valores mobiliários), IN RFB 1.888/2019 (reporte fiscal), Lei 9.613/1998 (PLD/FT), CDC e LGPD.
- Primeiros passos da vítima: preservar TXIDs, e-mails, prints e metadados; notificar a plataforma; registrar BO/notícia-crime; pedir bloqueio cautelar e exibição de logs; comunicar ao banco e à exchange.
FAQ NORMAL
1) Prometer lucro fixo com criptomoedas é crime?
Sim, quando a “rentabilidade garantida” depende essencialmente da entrada de novos participantes, há indícios de pirâmide financeira (Lei 1.521/1951, art. 2º, IX). A publicidade enganosa também gera responsabilidade civil e sanções administrativas (CDC). Se houver captação pública de poupança, pode incidir a Lei 7.492/86 (crimes contra o SFN) e, em certos modelos, regras da CVM para valores mobiliários.
2) A exchange responde quando minha conta é esvaziada por phishing?
Depende das provas. Em relações de consumo, a responsabilidade é objetiva por falha do serviço (queda, vulnerabilidade, custódia insegura, vazamento de dados). Se a plataforma comprovar que a transação foi autenticada pelo usuário, que os controles eram adequados e que houve culpa exclusiva da vítima ou fato de terceiro inevitável, pode haver exclusão de responsabilidade. Logs, trilhas de auditoria e políticas de segurança são decisivos.
3) “Token de investimento” precisa de autorização?
Se o token configurar contrato de investimento coletivo (remuneração pelo esforço de terceiros), em regra é valor mobiliário. A oferta pública exige observância da Lei 6.385/76 e dos atos da CVM (registro ou dispensa, intermediação autorizada, informações ao investidor). Vender “cotas” de projeto cripto ao varejo sem isso pode levar a multas, suspensões e responsabilização penal.
4) Como provar fraude e tentar recuperar valores?
Reúna TXIDs, hashes, prints, contratos e conversas; registre BO e leve notícia-crime ao MP/Delegacia de Crimes Cibernéticos; notifique a exchange para congelamento; peça em juízo tutela de urgência para bloqueio, exibição de logs e quebra de sigilo com ordem judicial. A análise on-chain auxilia a traçar fluxos e localizar fundos em custodiais.
Referencial de autoridade (Bases legais e técnicas)
- Lei 14.478/2022 (Marco Legal dos Criptoativos): define ativo virtual; sujeita PSAV/VASP à autorização e regras de compliance e PLD/FT.
- Decreto 11.563/2023: designa o Banco Central do Brasil como regulador e supervisor dos PSAV; coordenação com COAF e outros órgãos.
- Lei 6.385/1976 e atos da CVM: aplicáveis quando o token é valor mobiliário (oferta pública, prospecto, transparência, intermediação autorizada).
- IN RFB 1.888/2019 e normas fiscais: obrigações de reporte mensal de operações, apuração de ganho de capital e multas por omissão.
- Lei 9.613/1998 (PLD/FT): KYC/KYT, comunicações ao COAF, Travel Rule e responsabilização por lavagem.
- CDC (Lei 8.078/1990): responsabilidade objetiva por vício/fato do serviço, publicidade enganosa e deveres de informação.
- LGPD (Lei 13.709/2018) e Marco Civil (Lei 12.965/2014): segurança, base legal para KYC, resposta a incidentes e preservação de registros.
- CP (art. 171 caput e §2º-A fraude eletrônica; art. 154-A invasão de dispositivo; art. 288 associação criminosa); Lei 1.521/1951 (pirâmide); Lei 7.492/1986 (crimes financeiros).
Indícios fortes de golpe
- Promessa de rentabilidade fixa e “renda passiva garantida”.
- Ausência de whitepaper, CNPJ, política de segregação de ativos e auditorias.
- Pagamento por indicação e bônus agressivos (MMN sem produto real).
- Contrato que impede saque por “carência” indeterminada; bloqueio recorrente.
Medidas urgentes da vítima
- Coletar TXIDs, endereços, prints e metadados.
- Notificar plataforma e banco; ativar 2FA e revogar approvals suspeitos.
- Registrar BO e acionar MP/Polícia; requerer bloqueio judicial.
- Evitar “serviços de recuperação” não verificados (novo golpe).
Ilustrativo — quanto mais à direita, maior a intensidade típica do risco jurídico e sancionatório.
Considerações finais
Fraudes com criptomoedas são combatidas com um conjunto de instrumentos penais, administrativos e civis. O marco normativo brasileiro já permite punir golpistas, desmontar esquemas e reparar vítimas, especialmente quando há documentação adequada, atuação coordenada entre autoridades e plataformas e governança efetiva dos prestadores de serviços. Para empresas, segregação de ativos, KYC/KYT, Travel Rule, auditorias e transparência reduzem drasticamente litígios. Para usuários, educação digital e verificação independente são a melhor defesa. A inovação cripto prospera quando caminha ao lado de compliance e informação clara sobre riscos.
Aviso importante — Este conteúdo é de caráter informativo e apresenta diretrizes gerais sobre responsabilização civil e penal em fraudes com criptoativos. Cada caso envolve tecnologias, contratos, jurisdições e provas específicas. Por isso, estas informações não substituem a atuação individual de um(a) profissional habilitado(a) em direito penal, do consumidor, mercado de capitais e segurança digital, capaz de orientar estratégias probatórias e medidas urgentes adequadas ao seu cenário.