Responsabilidade das Corretoras de Criptoativos: Entenda os Riscos e Obrigações Legais no Brasil
Corretoras de criptoativos (exchanges/VASPs) no Brasil operam em um ambiente jurídico que combina normas setoriais (Marco Legal dos Criptoativos – Lei nº 14.478/2022), regulação prudencial em implementação pelo Banco Central do Brasil (processo de autorização e regras operacionais para VASPs) e regras transversais como CDC, LGPD e obrigações fiscais (IN RFB nº 1.888/2019). Isso molda deveres de diligência, segurança, transparência, custódia segregada, conheça-seu-cliente (KYC) e antilavagem (AML).
Base legal e regulação em curso: Lei 14.478/2022 (diretrizes), consultas públicas e minutas do BCB para licenciamento, segregação patrimonial e provas de reserva; competência da CVM apenas quando o criptoativo for valor mobiliário. 0
Arcabouço jurídico essencial
Marco Legal dos Criptoativos (Lei nº 14.478/2022)
A Lei 14.478/2022 estabelece diretrizes para a prestação de serviços de ativos virtuais e para a regulamentação das VASPs, incluindo princípios de boa-fé, transparência, segurança da informação e defesa do consumidor. A lei autoriza o Poder Executivo a designar o órgão regulador – e o governo atribuiu ao BCB a regulação prudencial das VASPs, cabendo à CVM quando os tokens configuram valores mobiliários. 1
Banco Central do Brasil (BCB): licenciamento e regras operacionais
Desde 2024 o BCB conduz consultas públicas para normatizar autorização prévia de VASPs, governança, gestão de riscos, segregação de carteira do cliente, provas de reservas, auditoria independente e contratação de serviços essenciais (custódia, liquidez, tecnologia). Esse conjunto deverá culminar em resoluções específicas, com implementação gradual. 2
CVM: quando o token é valor mobiliário
Se o criptoativo representa valor mobiliário (p.ex., security tokens, certificados tokenizados ou contratos de investimento coletivo ofertados ao público), aplica-se a legislação do mercado de capitais – com deveres de registro ou dispensa, informação adequada e conduta. 3
Obrigações fiscais e reporte (IN RFB nº 1.888/2019)
As exchanges domiciliadas no Brasil reportam mensalmente operações de clientes à Receita Federal. Para operações em exchanges no exterior ou sem exchange, o usuário deve reportar quando o volume mensal ultrapassar R$ 30.000,00. Além disso, ganhos de capital são tributáveis quando as alienações no mês superam R$ 35.000,00. 4
Deveres centrais e responsabilidades das corretoras
- Segregação patrimonial e custódia: manter ativos de clientes separados dos próprios, com controles robustos de endereçamento, reconciliação on/off-chain e provas de reservas periódicas, auditáveis e publicamente divulgadas. 5
- Governança e gestão de riscos: estrutura de compliance, gestão de liquidez, continuidade de negócios e monitoramento tecnológico (chaves, APIs, smart contracts quando aplicável). 6
- Segurança da informação: criptografia adequada, MFA, segregação de funções, controles de acesso, respostas a incidentes e auditoria independente. 7
- KYC/AML e COAF: política de identificação e monitoramento de clientes e transações, comunicação de operações atípicas e sanções. (A regulação prudencial do BCB integrará esses deveres ao licenciamento VASP.) 8
- Transparência ao consumidor (CDC): informações claras sobre custos, riscos de volatilidade, custódia, limites, prazo de liquidação e tratamento de incidentes. Órgãos como Senacon fiscalizam condutas. 9
- Proteção de dados (LGPD): base legal para tratamento, MRTD mínimos, minimização, segurança e resposta a titulares. 10
- Cooperação com o Judiciário: atendimento a ordens para bloqueio/penhora de criptoativos e fornecimento de dados, com trilhas de auditoria. 11
O STJ vem consolidando a responsabilidade objetiva de plataformas por fraudes internas e falhas de segurança – tratando eventos como fortuito interno e aproximando exchanges de instituições financeiras quanto ao dever de guarda e proteção tecnológica. Em 2025, decisões reforçaram o dever de indenizar por transações fraudulentas em contas de clientes, bem como a possibilidade de penhora via ofícios às corretoras. 12
Risco de mercado, volatilidade e dever de suitability
Embora cripto não seja, por si, produto do mercado de capitais (salvo quando token-valor-mobiliário), corretoras enfrentam deveres de informação e adequação do produto ao perfil do cliente (suitability) à luz do CDC e da boa-fé objetiva: explicar risco de perda total, slippage, risco tecnológico, stablecoins (risco do emissor), staking (risco de protocolo) e tokenização (risco de lastro/contrato).
Panorama do mercado brasileiro (dados úteis para compliance)
O mercado brasileiro se expandiu com stablecoins ganhando participação — quase 70% das transações em 2024, e USDT (Tether) liderando os volumes em 2025, com o BCB indicando regulação de stablecoins no radar. 13
Participação aproximada por categoria no Brasil (2024–2025), com base em dados do BCB/Receita e reportagens setoriais. 14
| Indicador | Resumo | Implicação para a corretora |
|---|---|---|
| Net imports de cripto (2024) | US$ 12,9 bi até setembro/24; alta de 60,7% vs. 2023; stablecoins puxam o uso. | Refinar monitoramento AML para on/off-ramps em dólares e stablecoins. |
| USDT líder (2025) | USDT segue no topo do volume negociado no Brasil; BTC em 2º. | Políticas de emissor/lastro, prova de reservas e diversificação de pares. |
| Token-valor mobiliário | Se o criptoativo for valor mobiliário, incide CVM (oferta/distribuição/conduta). | Segmentar produtos, mecanismos de suitability e disclosure específico. |
Fontes: BCB/Receita/Chainalysis (via Reuters) e reportagens setoriais; nota de mercado sobre liderança do USDT. 15
Mapa prático de conformidade (checklist operacional)
1) Autorização e estrutura
- Planejar licenciamento junto ao BCB (minutas e cronograma de implementação por fases). 16
- Instituir compliance, riscos e auditoria com reporte à alta administração.
- Formalizar segregação de ativos (carteiras clientes vs. proprietárias) e política de provas de reserva. 17
2) Consumidor e transparência
- Aplicar CDC com foco em informação adequada, suporte e resposta a incidentes (incluindo phishing e SIM-swap como fortuito interno). 18
- Termos claros sobre custódia, staking, tokenização, delistings e risco de contraparte.
3) Dados pessoais (LGPD)
- Definir bases legais (execução de contrato, obrigação legal, legítimo interesse), DPIA e governança de dados.
- Políticas de retenção mínima, segurança e resposta a titulares. 19
4) KYC/AML e sanções
- KYC escalonado, análise de risco por cliente e monitoramento transacional com red flags (misturadores, pontes cross-chain, addresses sancionados).
- Procedimentos de comunicação ao COAF e retenção de registros conforme normas que vierem a ser expedidas pelo BCB. 20
5) Fiscal/tributário
- IN RFB 1.888/2019: enviar arquivos mensais das operações de clientes quando aplicável; orientar clientes sobre obrigações em exchanges estrangeiras e limite de R$ 30 mil/mês para reporte pelo usuário, além das regras de R$ 35 mil/mês para apuração de ganho de capital. 21
- Prever multas e penalidades por atraso/omissão de informações e planos de conformidade. 22
- Falhas de segurança (SIM-swap, phishing, malware) tratadas como fortuito interno → tendência de responsabilização objetiva se houver deficiência de controles. 23
- Produtos assemelhados a valores mobiliários sem observância da CVM (oferta irregular).
- Operações ilícitas (lavagem, evasão) – foco especial em stablecoins segundo o BCB (agenda regulatória). 24
- Golpes de modelo piramidal travestidos de “corretoras” – histórico de atuação de Procons/Senacon. 25
Responsabilidade civil: linhas mestras
À luz do CDC, da boa-fé e da jurisprudência do STJ, a corretora tende a responder objetivamente por falhas do serviço (segurança, indisponibilidade, execução de ordens, chargeback indevido, vazamento de dados) e por fraudes internas (fortuito interno) – salvo prova de culpa exclusiva do consumidor ou fato de terceiro inevitável com demonstração de que os controles eram aderentes ao estado da técnica. 26
Boas práticas contratuais e de comunicação
- Termos de uso com linguagem acessível, tabelas de tarifas, SLAs e procedimentos de disputa.
- Runbooks de incidentes: congelamento preventivo, reversão quando possível, notificações ao cliente, ato contínuo às autoridades (COAF/Polícia/CVM/BCB quando aplicável).
- Divulgação pública de status (páginas de status, relatórios de transparência, provas de reserva e auditorias). 27
| Área | Responsabilidade | Indicador |
|---|---|---|
| Custódia | Segregação on/off-chain, proof-of-reserves | Reconciliação diária; PoR trimestral |
| Segurança | MFA, listas de permissões, HSM, chaves em quorum | Tempo médio de resposta a incidentes |
| Compliance | KYC/AML, sanções, COAF | % alertas analisados < 24h |
| Dados | LGPD, minimização e DPIA | Incidentes de privacidade por trimestre |
| Fiscal | IN 1.888/2019 (arquivos), orientação ao cliente | Arquivos válidos enviados 100% |
Conclusão
As corretoras de criptoativos no Brasil estão migrando para um regime de autorização e supervisão prudencial pelo BCB, sem prejuízo da competência da CVM sobre tokens que sejam valores mobiliários. A responsabilização civil segue vetores do CDC, da boa-fé e da jurisprudência do STJ – com responsabilidade objetiva em fraudes inerentes ao serviço e maior escrutínio sobre segurança, custódia e transparência. Em paralelo, IN 1.888/2019 exige reporte fiscal periódico (corretoras e/ou usuários), enquanto a LGPD impõe um padrão elevado de governança de dados. Com mercado impulsionado por stablecoins, as exchanges devem priorizar gestão de riscos, provas de reservas, segregação patrimonial e resposta a incidentes, para reduzir litígios, sustentar crescimento e entregar confiança ao investidor. 28
Guia rápido
- Quem regula? Lei 14.478/2022 (Marco Legal dos Criptoativos); Banco Central do Brasil (licenciamento/supervisão de VASPs); CVM quando o token for valor mobiliário; Receita Federal para reportes fiscais (IN 1.888/2019); LGPD para dados pessoais.
- Deveres centrais da corretora: segregação patrimonial (ativos do cliente x próprios), segurança (MFA, gestão de chaves, resposta a incidentes), KYC/AML e COAF, transparência ao consumidor (CDC), governança e auditoria, e provas de reservas quando aplicável.
- Quando responde? Em regra, por falhas do serviço (indisponibilidade, fraudes decorrentes de brechas internas, vazamentos), por informação inadequada ao consumidor e por descumprir deveres legais/regulatórios. Tendência de responsabilidade objetiva em fortuito interno.
- O que o cliente deve saber? Riscos de volatilidade, slippage, risco tecnológico (custódia, chaves, protocolos), stablecoins (risco do emissor), regras de staking e prazos/limites operacionais.
- Fisco: exchanges brasileiras reportam operações; em exchanges estrangeiras ou peer-to-peer, o usuário reporta se exceder R$ 30 mil/mês (IN 1.888/2019). Ganho de capital: isenção até R$ 35 mil/mês em alienações; acima disso, tributação conforme normas vigentes.
Responsabilidade das corretoras de criptoativos no Brasil decorre de um mosaico normativo: Lei 14.478/2022 (diretrizes para prestadores de serviços de ativos virtuais), competência prudencial do Banco Central (licenciamento e regras operacionais de VASPs), incidência da CVM quando o ativo se qualifica como valor mobiliário, CDC nas relações de consumo, LGPD no tratamento de dados e obrigações fiscais de reporte à Receita Federal e tributos sobre ganhos.
Deveres de diligência abrangem: (i) segregação de carteiras de clientes e da própria corretora; (ii) governança com gestão de riscos e auditoria; (iii) segurança da informação (MFA, chaves com quorum/HSM, controles de acesso, planos de continuidade e runbooks de incidentes); (iv) KYC/AML com monitoramento e comunicação ao COAF; (v) transparência e informação adequada sobre riscos e tarifas; e (vi) cooperar com autoridades (ordens de bloqueio/penhora e fornecimento de dados).
Quanto à responsabilidade civil, prevalece o vetor do CDC (serviço defeituoso e fortuito interno), aproximando exchanges de instituições financeiras em matéria de segurança tecnológica. Assim, fraudes por brechas internas (ex.: SIM-swap sem barreiras, autenticação frágil, APIs expostas) tendem a ensejar responsabilidade objetiva, salvo prova robusta de culpa exclusiva do consumidor ou de fato de terceiro inevitável com demonstração de aderência ao estado da técnica.
No âmbito de produtos, há especial cautela com stablecoins (risco do emissor/lastro), staking (risco de protocolo e contraparte), tokenização (riscos contratuais e de lastro) e qualquer oferta que possa se enquadrar como valor mobiliário (ex.: contratos de investimento coletivo), hipótese em que incidem regras de oferta, registro/dispensa e conduta sob a CVM.
FAQ (normal)
Quem responde por perdas quando há invasão de conta e ordens não reconhecidas?
Se a fraude decorre de falhas internas do serviço (fragilidade de autenticação, ausência de controles contra SIM-swap, session hijacking previsível), tende-se a imputar responsabilidade objetiva à corretora (fortuito interno). A empresa pode afastar o dever de indenizar se demonstrar culpa exclusiva do cliente (ex.: compartilhamento de chaves/senhas) ou fato inevitável de terceiro com adoção comprovada de boas práticas (MFA forte, antifraude efetivo, trilhas de auditoria, resposta ágil).
A corretora precisa separar os ativos dos clientes dos seus próprios?
Sim. A segregação patrimonial é princípio central para prestadores de serviços de ativos virtuais. A prática envolve endereços dedicados/contabilidade segregada, reconciliação on/off-chain e políticas de provas de reservas auditáveis. A confusão patrimonial aumenta o risco de responsabilização e sanções regulatórias.
Quando a CVM entra no jogo e muda a responsabilidade?
Quando o criptoativo ofertado ou distribuído ao público se qualifica como valor mobiliário (ex.: security tokens, contratos de investimento coletivo), a emissão/intermediação passa a observar a legislação do mercado de capitais (registro/dispensa, deveres de informação e conduta). Nesses casos, a corretora (ou entidade relacionada) responde também pelo cumprimento das regras da CVM, inclusive sanções administrativas em caso de oferta irregular.
Quais são as principais obrigações fiscais envolvendo exchanges e usuários?
Exchanges domiciliadas no Brasil devem reportar mensalmente operações de clientes à Receita (IN 1.888/2019). Em exchanges no exterior ou operações sem exchange, o usuário reporta se o volume mensal ultrapassar R$ 30.000,00. Para ganho de capital, alienações de cripto até R$ 35.000,00/mês são isentas; acima disso, há tributação conforme regras vigentes (cálculo e DARF no prazo). Multas aplicam-se por atraso/omissão.
Base normativa e jurisprudencial (essencial)
- Lei nº 14.478/2022 (Marco Legal dos Criptoativos): diretrizes para prestadores de serviços de ativos virtuais (VASPs), princípios de transparência, segurança, boa-fé e defesa do consumidor; atribuição regulatória ao BCB para supervisão prudencial; atuação da CVM quando houver valor mobiliário.
- Banco Central do Brasil: processo de licenciamento de VASPs e regras de governança, gestão de riscos, segregação patrimonial, auditoria e provas de reservas (normatização em implementação).
- CDC (Lei 8.078/1990): responsabilidade por serviço defeituoso, informação adequada, prática de fortuito interno em fraudes vinculadas à atividade e expectativa legítima de segurança do consumidor.
- LGPD (Lei 13.709/2018): bases legais (execução de contrato/obrigação legal/legítimo interesse), segurança, minimização, DPIA, atendimento a titulares e incidentes de privacidade.
- IN RFB nº 1.888/2019: reportes mensais por exchanges brasileiras; para operações no exterior/sem exchange, dever do usuário de informar acima de R$ 30 mil/mês; regras de ganho de capital (isento até R$ 35 mil/mês em alienações; acima disso, tributação e cumprimento de prazos).
- Jurisprudência (orientação recente): decisões reforçando responsabilidade objetiva por falhas de segurança e tratamento de golpes como fortuito interno quando ligados ao serviço; ordens judiciais de bloqueio/penhora a exchanges com cooperação tecnológica e de dados.
Considerações finais
A responsabilidade das corretoras de criptoativos no Brasil se estrutura sobre conformidade robusta (licenciamento, governança, AML, LGPD), segurança de alto padrão (MFA forte, gestão de chaves e resposta a incidentes), transparência efetiva ao consumidor (CDC) e disciplina fiscal. A tendência regulatória aponta para segregação patrimonial e provas de reservas como práticas de confiança, ao lado de mecanismos de adequação do produto ao perfil do cliente e cooperação com autoridades. Onde houver enquadramento como valor mobiliário, aplicam-se as exigências da CVM, elevando o nível de governança e disclosure. Em disputas, elementos como fortuito interno e estado da técnica em segurança pesam na responsabilização.
Aviso importante: Este conteúdo tem caráter informativo e educacional. Não constitui aconselhamento jurídico, tributário, contábil ou regulatório, nem cria relação advogado-cliente. Cada caso concreto exige análise específica por profissional habilitado, considerando documentos, contratos, políticas internas, trilhas técnicas e o contexto regulatório vigente. Antes de decidir, consulte um especialista de sua confiança.