Imagine a seguinte situação
hipotética:
Regina, aposentada, percebeu que
o valor do seu benefício previdenciário veio menor do que o habitual. Ao
verificar o extrato, notou descontos mensais referentes a um empréstimo
consignado que ela disse que não se recordava de ter feito.
Regina ajuizou ação declaratória
de inexistência de débito cumulada com indenização contra o Banco Alfa, que
aparecia como sendo o autor dos descontos.
O banco contestou a demanda
alegando que Regina havia contratado o empréstimo por meio digital através do aplicativo
da instituição.
Para comprovar que o empréstimo
foi realmente feito, o banco apresentou os registros da operação:
• uma selfie de Regina segurando
sua CNH;
• os dados de geolocalização do
aparelho celular (que coincidiam com o endereço dela); e
• o comprovante de depósito do
valor do empréstimo (R$ 16.500,00) na conta bancária de titularidade da
aposentada.
A empresa argumentou que todos
esses elementos demonstravam que a contratação havia sido realizada
regularmente, sem qualquer indício de fraude, inclusive porque o valor do
empréstimo foi creditado na conta da autora.
O juiz julgou o pedido procedente
e declarou o contrato inválido.
O magistrado argumentou que como os documentos eletrônicos
utilizados na contratação não possuíam certificação pela ICP-Brasil e a própria
contratante havia negado sua autenticidade, o negócio jurídico não poderia ser
considerado válido. Invocou, para tanto, o art. 10, § 2º, da Medida Provisória
nº 2.200-2/2001:
Art. 10. Consideram-se documentos
públicos ou particulares, para todos os fins legais, os documentos eletrônicos
de que trata esta Medida Provisória.
(...)
§ 2º O disposto nesta Medida
Provisória não obsta a utilização de outro meio de comprovação da autoria e
integridade de documentos em forma eletrônica, inclusive os que utilizem
certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como
válido ou aceito pela pessoa a quem for oposto o documento.
A sentença foi mantida pelo
Tribunal de Justiça, que afirmou que a simples juntada de documento pessoal e
foto não é suficiente para comprovar a manifestação de vontade da contratante.
A instituição financeira interpôs
recurso especial ao STJ, sustentando que a negativa genérica da contratante não
era suficiente para anular o contrato quando todo o conjunto probatório
indicava a ausência de fraude, e que a lei admite outros meios de comprovação
da autoria de documentos eletrônicos além da certificação ICP-Brasil.
O STJ deu razão à
instituição financeira?
SIM.
O que é a ICP-Brasil e por
que ela importa para os contratos digitais?
A ICP-Brasil (Infraestrutura de
Chaves Públicas Brasileira) é um sistema nacional que funciona como uma espécie
de “cartório digital”.
Quando você assina um documento
em papel, pode ir ao cartório reconhecer firma para garantir que aquela
assinatura é realmente sua.
No mundo eletrônico, a ICP-Brasil
cumpre função semelhante: ela credencia empresas (chamadas de Autoridades
Certificadoras) que emitem certificados digitais, os quais permitem assinar
documentos eletronicamente com a mesma validade jurídica de uma assinatura
reconhecida em cartório por autenticidade.
O certificado digital emitido por
uma entidade vinculada à ICP-Brasil é considerado o padrão mais seguro de
assinatura eletrônica no Brasil, pois passa por rigorosos controles de
identificação do titular.
No Brasil, a infraestrutura de
chaves públicas é de responsabilidade de uma autarquia federal, o ITI -
Instituto Nacional de Tecnologia da Informação, ligado à Presidência da
República.
A MP 2.200-2/2001 foi o ato normativo que instituiu a
Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
Na prática, o problema é que a
imensa maioria dos contratos celebrados por aplicativos de celular não utiliza
esse tipo de certificação. Em vez disso, as instituições financeiras recorrem a
outros mecanismos de verificação de identidade, como o envio de selfie, a captura
de imagem de documentos pessoais, a biometria facial e a geolocalização do
dispositivo.
A lei exige certificação
ICP-Brasil para todo contrato digital?
NÃO. O próprio art. 10, § 2º, da MP nº 2.200-2/2001 deixa
isso claro:
Art. 10. Consideram-se documentos
públicos ou particulares, para todos os fins legais, os documentos eletrônicos
de que trata esta Medida Provisória.
(...)
§ 2º O disposto nesta Medida
Provisória não obsta a
utilização de outro meio de comprovação da autoria e integridade de documentos
em forma eletrônica, inclusive os que utilizem certificados não emitidos
pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela
pessoa a quem for oposto o documento.
Ou seja, a lei não impõe a
certificação ICP-Brasil como requisito exclusivo de validade dos contratos
digitais. Outros métodos de autenticação são admitidos, desde que aceitos pelas
partes.
A assinatura eletrônica, nesse
sentido, pode assumir as mais variadas formas: digitação do nome ao final de um
documento, combinação de login e senha, envio de selfie, uso de biometria
facial, geolocalização, entre outras. O que importa é que o método utilizado
permita identificar o contratante e vincular sua vontade ao negócio jurídico.
Qual foi a controvérsia principal
do caso?
O ponto principal deste caso não
era exatamente a ausência de certificação ICP-Brasil. Isso porque o STJ já
havia reconhecido, em outros julgados, que essa certificação não é obrigatória.
A questão mais delicada era
outra: o que acontece quando o contratante, posteriormente, nega ter celebrado
o contrato?
O TJ entendeu que, como os
documentos eletrônicos não tinham certificação ICP-Brasil e a contratante havia
negado sua autenticidade, o art. 10, § 2º, da MP nº 2.200-2/2001 imporia a
invalidade automática do contrato. Na visão do TJ, a simples negativa da
contratante seria suficiente para invalidar o negócio jurídico.
O STJ, contudo, não concordou com
essa interpretação.
Como o STJ interpretou o
art. 10, § 2º, da MP nº 2.200-2/2001?
O art. 10, § 2º, da MP nº
2.200-2/2001 afirma que, além do ICP-Brasil, outros meios são também válidos,
mas desde que sejam admitidos pelas partes como válido ou aceitos pela pessoa a
quem for oposto o documento.
O STJ disse, contudo, que essa
concordância (“admitido pelas partes como válido”) não precisa ser expressa e
formal. Ela pode ser tácita, ou seja, inferida da própria conduta do
contratante.
Quando uma pessoa acessa o
aplicativo, preenche seus dados pessoais, envia uma selfie, permite a
geolocalização de seu dispositivo e conclui o processo de contratação, ela
está, por sua conduta, admitindo tacitamente a validade do método de assinatura
eletrônica utilizado.
Assim, a aceitação do método de
autenticação ocorre no momento em que o contrato é celebrado, por meio da
participação ativa do contratante em todas as etapas do processo digital. A
negativa posterior, desacompanhada de qualquer outro elemento probatório que indique
fraude, não desfaz essa aquiescência tácita.
E o ônus da prova? A quem
cabe demonstrar a autenticidade do contrato?
Aqui o STJ aplicou o entendimento
já consolidado no Tema Repetitivo 1061/STJ: quando o consumidor impugna a
autenticidade de sua assinatura em contrato bancário juntado pela instituição
financeira, cabe à instituição financeira o ônus de provar a autenticidade.
Trata-se de uma distribuição do
ônus da prova favorável ao consumidor, reconhecendo a assimetria existente na
relação contratual. A instituição financeira é quem detém os meios técnicos
para produzir essa prova.
O que acontece se a
instituição financeira cumprir o ônus da prova?
Se a instituição financeira
demonstrar, com conjunto probatório robusto, que a contratação foi regular e
que inexistem indícios de fraude, a simples irresignação posterior do
contratante, desacompanhada de qualquer outro elemento, não é suficiente para
invalidar o negócio jurídico, mesmo que não tenha sido celebrado com certificação
ICP-Brasil.
Aceitar a tese contrária
produziria um resultado indesejável: qualquer pessoa poderia, após contratar um
empréstimo em meio digital, simplesmente negar a autenticidade da assinatura
eletrônica e obter a anulação do contrato, independentemente de qualquer prova
de fraude. Isso comprometeria a segurança jurídica e a própria viabilidade dos
contratos digitais.
Isso não significa que a
instituição financeira está isenta de responsabilidade. É dever das
instituições bancárias priorizar a correta identificação do usuário e adotar
todos os mecanismos disponíveis para garantir a segurança dos dados,
especialmente os dados sensíveis.
Voltando ao caso concreto:
No caso de Regina, a instituição
financeira havia produzido ampla prova da regularidade da contratação: foto do
rosto da contratante, imagem de sua carteira de habilitação, dados de
geolocalização que apontavam para a cidade onde ela residia, e o registro da
assinatura eletrônica.
Além disso, o valor do empréstimo
havia sido depositado na conta bancária de titularidade da própria contratante.
Esses elementos são suficientes
para afastar qualquer indício de fraude. A única alegação de Regina era a de
que a selfie não havia sido tirada especificamente para aquela contratação
argumento que, isoladamente, não foi considerado suficiente pelo STJ para
invalidar o negócio.
Em suma:
A simples irresignação de uma das
partes quanto à legitimidade do documento eletrônico que serviu como assinatura
digital, mesmo que não tenha sido emitido pela ICP-Brasil, não é suficiente
para anular o contrato firmado em meio digital quando o conjunto probatório
indica que inexistiu fraude.
STJ. 3ª Turma. REsp 2.197.156-SP, Rel.
Min. Nancy Andrighi, julgado em 3/3/2026 (Info 880).
