As excludentes de responsabilidade civil — caso fortuito, força maior, fato exclusivo da vítima e fato de terceiro — constituem o contraponto necessário ao regime de imputação: são as situações em que, mesmo diante de um dano concreto, o ordenamento reconhece que a obrigação de indenizar não deve recair sobre o agente aparentemente vinculado ao resultado. No contexto dos sistemas de inteligência artificial, a aplicação dessas excludentes apresenta desafios particulares que exigem análise crítica cuidadosa — pois há o risco, sempre presente, de que sejam invocadas de forma abusiva para blindar fornecedores de tecnologia de responsabilidades que legitimamente lhes cabem.
No âmbito do Código de Defesa do Consumidor — que prevê responsabilidade objetiva do fornecedor —, a participação do lesado na formação do dano, quando não exclusiva, pode atenuar a indenização. O CDC elenca como excludente plena apenas a culpa exclusiva do consumidor ou de terceiro (art. 12, §3º). Contudo, a hipótese de fato concorrente permanece um critério de mitigação do montante indenizatório, em sintonia com o que ocorre no âmbito geral do Código Civil, que, no art. 945, prevê a redução proporcional da indenização em caso de culpa concorrente da vítima. A distinção é relevante: a culpa concorrente não exclui a responsabilidade do fornecedor, mas apenas reduz o valor a ser indenizado — proteção que, no contexto de sistemas de IA, garante que a assimetria técnica e informacional entre fornecedor e consumidor não seja utilizada para transferir ao usuário leigo a responsabilidade por falhas que deveriam ter sido prevenidas pelo desenvolvedor especializado.
O fato de terceiro, por sua vez, rompe o nexo causal quando figura como único elemento desencadeador do dano, desvinculado do comportamento do agente original. Nesse caso, a conduta alheia — seja ela dolosa ou culposa, independentemente de o terceiro ter ou não relação jurídica prévia com as partes — apresenta-se como fonte exclusiva do prejuízo, isentando de responsabilidade aquele que não deu causa ao infortúnio. Por outro lado, caso o agente tenha contribuído de alguma forma para o resultado, o fato de terceiro torna-se apenas parcial, viabilizando a repartição de danos. Segundo Farias, Braga Netto e Rosenvald (Novo Tratado de Responsabilidade Civil, 4. ed., 2019, pp. 582-583), se uma falha no software, resultante de negligência do fornecedor, facilitar a ação de hackers, haverá uma concorrência de fatores capaz de impor a responsabilização solidária tanto ao terceiro invasor quanto ao fornecedor do software.
Esse último exemplo merece desenvolvimento cuidadoso, pois constitui um dos pontos mais controvertidos da responsabilidade civil por danos de IA. É frequente que fornecedores de sistemas tecnológicos — ao serem acionados por danos decorrentes de ataques cibernéticos — invoquem o fato de terceiro (o hacker) como excludente do nexo causal. Essa argumentação, contudo, não prospera quando se demonstra que a falha de segurança que permitiu o ataque era conhecida ou cognoscível pelo fornecedor e poderia ter sido corrigida com diligência ordinária. Nessa hipótese, a conduta do hacker não é causa exclusiva do dano: é concausa que se soma à negligência do fornecedor, configurando responsabilidade solidária.
Cabe ressaltar que essa conclusão é coerente com o art. 15 do AI Act europeu (Regulamento UE 2024/1689), que impõe aos desenvolvedores de sistemas de IA de alto risco a implementação de medidas de cibersegurança que garantam a resiliência do sistema contra tentativas de manipulação por terceiros. O regulamento europeu, ao estabelecer esse dever positivo de proteção contra ataques externos, elimina antecipadamente a possibilidade de o fornecedor invocar o fato do hacker como excludente plena quando as medidas de segurança exigidas não foram implementadas.
Nesse cenário, não se deve confundir fato de terceiro com estado de necessidade. Este último, mesmo quando lícito, pode gerar responsabilidade do agente que sacrifica bem alheio para salvar um bem maior, cabendo posterior ação regressiva contra o real responsável pelo perigo. Diferentemente, no fato de terceiro o pretenso causador não atua de modo autônomo para evitar um mal, mas simplesmente se vê envolvido em evento para o qual não contribuiu — ou que não guarda relação com sua conduta. No domínio da IA, a distinção é especialmente relevante nos casos de sistemas de segurança autônomos que, ao reagir a uma ameaça, causam danos colaterais a terceiros inocentes: trata-se de situação análoga ao estado de necessidade, com implicações distintas das do fato de terceiro.
A concepção de "terceiro" também não pode ser alargada a ponto de incluir pessoas vinculadas ao agente em relações de subordinação ou colaboração. Se um funcionário, agindo no exercício de suas atribuições, provoca dano a terceiro ao operar um sistema de IA, o empregador responderá solidariamente — não porque houve fato de terceiro em sentido técnico, mas porque o comportamento do empregado está inserido na esfera de direção e controle do patrão. O art. 932, III, do Código Civil, ao responsabilizar o empregador pelos atos dos empregados, serviçais e prepostos no exercício do trabalho, captura essa hipótese com precisão. A tentativa de qualificar como "fato de terceiro" o comportamento do colaborador que usa indevidamente um sistema de IA, transferindo a responsabilidade para o próprio funcionário e eximindo o empregador, representa manipulação conceitual que os tribunais devem rejeitar.
No domínio consumerista, a noção de terceiro é ainda mais restrita, pois todo indivíduo que participa da cadeia de fornecimento — fabricante, distribuidor, integrador, operador — está, em princípio, inserido na estrutura de responsabilidade solidária prevista pelo CDC. A exclusão de responsabilidade por fato de terceiro exige, nesse regime, que o terceiro seja genuinamente estranho à cadeia de fornecimento e que sua conduta seja a causa exclusiva e determinante do dano. Essa exigência de exclusividade e de estraneidade é o filtro que impede a diluição abusiva da responsabilidade por meio da invocação indiscriminada do fato de terceiro.
As considerações críticas aqui expostas convergem para uma conclusão: no contexto dos sistemas de inteligência artificial, as excludentes de responsabilidade devem ser interpretadas restritivamente, tendo em vista a assimetria técnica entre fornecedores e usuários, a previsibilidade de muitos dos riscos que se pretende qualificar como fortuitos e a necessidade de preservar a efetividade do sistema de responsabilidade civil como instrumento de proteção das vítimas e de internalização dos custos da inovação pelos agentes que dela se beneficiam. O direito que se constrói nessa seara — ainda em formação, tanto no Brasil quanto na União Europeia — precisará encontrar o equilíbrio entre a proteção justa das vítimas e a não imposição de responsabilidade ilimitada que tornasse inviável o desenvolvimento tecnológico responsável.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".