KYC e o paradoxo do seu incentivo à fraude das identidades

A obrigatoriedade do KYC como ferramenta de combate ao terrorismo pode ser um dos maiores casos de iatrogenia da nossa sociedade.



Nota: Explorando o Bitcointalk, encontrei o post ''Por que KYC é extremamente perigoso - e inútil''. Motivada pelas reflexões levantadas por @1miau, compilei as ideias e extrapolei a reflexão, a partir de novos fatos, de perspectiva sociológica sobre a questão e da hipótese do KYC como um caso de iatrogenia. O texto é uma espécie de agradecimento ao autor, por ter aberto meus olhos à uma inferência lógica óbvia que se mantinha oculta.  Espero que eu possa fazer o mesmo por vocês.  


Exchanges de criptomoedas em todo mundo todo estão sendo obrigadas a adicionar e enrijecer diretrizes de Know Your Client (KYC) para colaborar com políticas Anti-Money Laundering (AML), aumentar a segurança dos usuários e impedir o financiamento ao terrorismo. Mas, ao mesmo tempo que esse cerco fecha, outro se abre: o número de hackers e negociação de dados pessoais na darkweb só aumenta.


Se dados KYC são constantemente roubados, eles não podem acabar sendo mais usados para falsificar identidades do que para impedir essa fraude?


Para analisar questões cujo senso-comum é muito forte em sua unanimidade, é necessário passos cautelosos. Para responder essa questão, analiso o status das mortes violentas do mundo, as justificativas do KYC, os riscos associados e as mitigações possíveis.


Status da violência no mundo: o açúcar é mais perigoso que o terrorismo

Humanos sempre conviveram com violências & guerras, sejam elas auto-direcionadas (suicídio), familiares (crianças/mulheres/idosos), locais/comunitárias (conhecidos/estranhos) ou coletivas (social/econômica) e quem sabe em breve - planetárias (Elon Musk VS Mundo).


Nossos ancestrais paleolíticos e cada nômade que caminhou nesta Terra precisou se preocupar com invasões, conflitos e atos de terrorismo -uso sistemático da violência para criar terroris com determinado objetivo político. Mas, apesar do status aparentemente generalizado da violência, no século XXI, apenas 1% da mortalidade global está vinculada à violência humana e o número de mortes associadas a conflitos continuou a cair bruscamente nas últimas décadas.

Fonte: towardsdatascience.com



Em 2014, algumas novas guerras foram iniciadas, com destaque para a guerra da Síria e Iraque. Mas, o número de pessoas mortas em conflitos seguiu em queda. A partir de 2017 apenas quatro nações se envolveram em grandes guerras: Iêmen, Síria, Somália e Afghanistan e alguns conflitos locais de menor escala foram empreendidos (Myanmar, Colômbia, Israel, Ambazonia, West Papua, Ucrânia, Kenya etc).



Fonte: OurWorldindata


Em 2018, 70% dos $475 bilhões gastos com violência no mundo foram usados em guerras e conflitos. Mas essas mortes representam uma % muito pequena das mortes globais.


Em 2017, 26 mil pessoas morreram em decorrência de ataques terrorista, 129 mil de conflitos, 793 mil se suicidaram e 34 milhões morreram de diabetes. O açúcar é um inimigo potencial muito mais perigoso que uma bomba terrorista. Mas não é o suicídio ou o açúcar que mobiliza os recursos. São os terrorista, pintados como um grande perigo, a justificativa de perseguições, invasões e políticas KYC/AML.



Bombas lógicas & Cyber-conflitos


A grande diminuição das mortes relacionadas à guerra desde 1980 coincide com o desenvolvimento da sociedade dos bits. A rentabilidade das guerra atualmente é restrita à poucas regiões, tais como grandes detentoras de petróleos. No capitalismo informacional, o conhecimento é o recurso mais valioso. O que exércitos ganhavam em um ano inteiro de guerra, empresários ganham em um dia comercializando informações.


Em um cenário globalizado, a estabilidade política é um fato de extrema importância para o desenvolvimento e planejamento de mega-empreendimentos. Mas, tendo a humanidade uma criatividade-destrutiva aguçada, formas inéditas de guerra & violência estão em desenvolvimento, com destaque para as guerras e conflitos cibernéticos.


Em 2020, mais de ⅓ das empresas do mundo vivenciaram seis ou mais ataques hackers bem sucedidos. Os ataques são liderados por ransomware, malwares e spear-phishing. Em 2013, o hack do Yahoo! comprometeu dados de 3 bilhões de pessoas . O Adult FriendFinder foi hackeado em 2016 e dados de 400 milhões de contas foram comprometidos. Em maio de 2019, o hack do First American expôs 200 milhões de usuários. Dois meses depois, o hack da Capital One comprometeu dados pessoais de 100 milhões de pessoas. No último dia 23 de novembro, o Godaddy foi comprometido e os invasores obtiveram acesso aos documentos armazenados pelas empresas que usaram o provedor.


No Brasil, o Serviço Federal de Processamento de Dados (Serpro) revelou que teve uma média de 2.300 ataques por segundo. Recentemente, a primeira morte diretamente causada por um hack foi registrada. E esses casos são apenas a ponta de um iceberg em um mar de eventos não reportados e de guerras cibernéticas entre nações.


O Know Your Client (KYC)

Após o atentado de 11 de setembro de 2001, inúmeras medidas foram tomadas para mitigar o risco terrorista (que já representava menos 1% das mortes do mundo). E o aumento da rigidez dos processos de Know Your Client (KYC) foi uma das medidas usadas para reforçar as políticas Anti-Money Laundering (AML) e impedir o financiamento do terrorismo.


O KYC diz respeito a uma série de procedimentos de autenticação que empresas precisam exigir de seus consumidores para estarem de acordo com reguladores e oferecer legalmente seus serviços. O KYC envolve o envio de dados e documentos pessoais para uma empresa ou organização para provar que você é quem diz ser.


Nos últimos anos, entidades regulatórias dos EUA adotaram políticas rígidas de controle à oferta dos serviços das exchanges aos residentes norte-americanas e inúmeras empresas estão sendo acusadas de violar o Commodity Exchange Act . A Binance, maior exchange de criptoativos do mundo, foi proibida de ofertar serviços em pelo menos dez estados dos EUA. Em outubro, o fundador da BitMEX foi detido e a empresa, acusada formalmente de não não implementar políticas de KYC/AML e não se esforçar para impedir que usuários americanos se registrem voluntariamente em sua plataforma.


Enquanto jurisdições endurecem e expandem suas políticas de KYC e AML, hackers vendem pacotes completos de dados pessoais por US$45 - com lote mínimo e escrow confiável-, dos usuários das principais exchanges de criptomoedas do mundo. É uma iatrogenia clara - a reação aos terroristas é um perigo maior à segurança das pessoas do que o próprio ato terrorista.


O problema é que simplesmente não há garantia de que meus dados estarão seguros com terceiros. Grandes empresas com altos padrões de segurança são alvos-suculentos devido aos lucros associados ao hack de grandes empresas. Assim que uma informação pessoal é enviado à terceiros para fins de KYC, basicamente só posso esperar por um e-mail avisando que aquele dado foi vazado, minha identidade exposta, meus fundos roubados e minha vida exposta.



Os riscos do KYC

Aqui, pensamentos tais como 'a exposição de dados pessoais são menos perigosos do que uma bomba', podem surgir. Mas, será?


Na última semana, duas amigas próximas passaram por golpes digitais. Um dos golpes -frustrado-, envolvia um malware de sextortion e tinha um grande potencial de destruir a vida dela em inúmeros aspectos (lembrem-se, suicídios representam ⅓ das mortes violentas). O outro golpe, também envolvendo fraude de identidade, foi bem sucedido, inviabilizou um doutorado e provavelmente desacelerará bruscamente a carreira profissional dela.


Quando uma exchange compliance com KYC é hackeada, os atacantes podem obter acesso a fundo, nomes, endereço de casas/e-mail/bitcoin, passaportes, fotos, dados biométricos, fonte de riqueza e contas bancárias. As consequências negativas do acesso a dados sensíveis são imensuráveis. Ao acessar dados KYC, os criminosos podem:


  • Personificar uma identidade: abrir contas em seu nome para realizar atividades ilegais ou fazer empréstimos impossíveis de serem pagos.


  • Acessar outros serviços: os dados podem ser úteis para acessar outras contas da pessoa, comprometendo a privacidade (vazamento de fotos/vídeos) e outros tipos de fundo.


  • Ir do digital/KYC ao físico/impensável: ao obter informações sobre endereços físicos e riqueza, empreendimentos físicos podem ser lucrativos o suficiente para incentivar roubos/sequestros e extorsões física. Ou, ao menos, serem ainda mais valiosos para golpistas especializados em outros crimes. Com dados biométricos, a porta da casa é literalmente aberta para o impensável.


E aqui, me detive ao que já é corriqueiro. Sofisticações tecnológicas nessa área criarão cenários dignos de inveja para Gibson, Sterling & Stephenson.


O Golpe do KYC: venda voluntariamente seus dados


Além do roubo de dados por terceiros maliciosos, ''empresas'' usam a justificativa do KYC para se apropriar dos fundos de seus usuários se forma indevida com uma desculpa legal. Após receber um número considerável de depósitos sem KYC, o site anuncia que precisa se adequar às regulamentação para continuar operando e bloqueia os fundos até que os usuários enviem seus documento.


Neste cenário, o usuário pode i) recusar o KYC e nunca mais ver seus fundos ou ii) pode oferecer voluntariamente seus dados para a darkweb. Ao instituir uma política de KYC do zero, os atacantes podem selecionar inclusive quais dados seriam mais valiosos para dar um boost ao seus pacotes, atendendo melhor a demanda do momento/nicho.


À medida que o KYC se torna generalizado, maiores serão os crimes relacionados aos ataques cibernético e as fraudes de identidade. Hackers usam os dados para fraudar os sistemas em seus termos . Nesse estágio da disponibilização de dados no mercado ilegal, o KYC na verdade não prova muito e muito provavelmente, não muda na dinâmica do terrorismo. Ele incentiva a fraude & venda das identidades.



Quando o Governo é o Inimigo


Terrorismo significa uso sistemático da violência para criar terror com objetivo político. E quem teria mais interesse em seu uso do que os próprios Estados?


O controle da linguagem sempre implica em controle do pensamento. Se pensamos as palavras como governos querem, pensamos como eles desejam. A palavra terrorismo nasceu no Reino do Terror (1793-1794) de Maximilien de Robespierre, como referencia aos atos do partido. Atualmente, a palavra terrorismo está associada a monstruosidade da natureza e filosofia islâmica - que na prática se manifesta como episódios ocasionais e performáticos de violência extrema.


Na última sexta-feira, um trader foi executado na Coreia do Norte por negociar com moeda estrangeira no país. Sob a direção de Kim Jong Un, o país tem endurecido sua política de restrição ao mercado internacional como estratégia de valorização do $WON. O medo como incentivo é uma tática comum de Governo para reforçar determinado comportamento. Um estado mega-informatizado com um código objetivo capaz de dizer como cada indivíduo deve se comportar para que o bem estar geral seja assegurado.



Pólvora contra pólvora, cifra contra cifra


Atualmente, as narrativas sobre KYC são mobilizadas de forma polarizada. De um lado, aqueles que defendem o valor da privacidade contra políticas de KYC/AML são taxados de potenciais criminosos ou na melhor hipótese- paranóicos.


Do outro lado, políticos criam regulamentações e ferramentas capazes de monitorar transações, sob a justificativa de impedir a lavagem de dinheiro, prover segurança aos investidores e impedir que o anonimato incondicional resulte em caos. Nessa linha, David Birch, o guru das fintech e autor de "The Currency Cold War", distingue o direito à privacidade do direito ao anonimato. Para Birch, a privacidade é direito dos cidadão. As transações devem ser privadas, mas só até momento em que ações jurídicas são necessárias. Como no anonimato não há esse limite, ele não deve incentivado. Na minha perspectiva, Birch cai em um erro praxiológico, se todos os sistemas são potencialmente hackeáveis, como qualquer privacidade pode existir sem anonimato?


No final do dia, o KYC incentiva - em escala global- o que deveria impedir e restringe a troca voluntária entre as partes. Estamos destruindo a sala para nos livrarmos de uma mosca. Mas, depois que a irritação causada pela zuuumbido passar, talvez os estragos já sejam grandes demais.


Mas, ainda há bons estóicos entre nós. Ao mesmo tempo que hackers comprometem sistemas e governos enrigessem suas políticas de incentivo às fraudes, há iniciativas/tecnologias capazes de mitigar a iatrogenia do KYC. A questão principal aqui é: nenhum governo pode te executar por uma transação de câmbio ilegal se sua identidade não estiver vinculada a negociação. Atente-se:


  • Autodefesa: aprender sobre segurança digital é tão necessário como se alfabetizar

  • Bounties & Airdrops de altcoins difícilmente valem o risco, controle teu ímpeto.

  • Não forneça seus dados para exchanges e projetos iniciantes & fantásticos, eles vão te usar para enriquecerem e não o contrário.

  • Considere serviços descentralizados, negociação p2p/ exchanges sem KYC e a ofertar serviços digitais anônimos de trocas cripto. Apesar do 'aperto do cerco KYC para exchanges', um estudo recente da CipherTrace mostrou que mais de 50% das exchanges (CEX, DEX, AMME) não tem qualquer KYC e 70% delas têm pouca adesão.

  • Experimente implementações focadas em privacidade, como as wallets Samourai & Wasabi, protocolos DEX, VPNs e etc.

  • Fique atento a BIPs como Taproot/Schnorr signatures (BIP340) & Dandelion (BIP 156) e outras implementações que buscam aumentar o anonimato das transações. É claro que cada campo de atuação terá serviços específicos sendo desenvolvidos.

Conclusão: Proibições & Impérios Ilegais

Na história, não é raro casos em que políticas proibicionistas resultam na construção de impérios ilegais - de novo, a iatrogenia-. Assim como proibir bebidas alcoólicas aumenta os riscos associados ao álcool, proibir transações de criptomoedas e exigir o KYC não é a solução para os problemas da sociedade, mas um risco à ela.


Informações pessoais são mercadorias valiosas e o KYC é um pote de mel esperando ursos famintos. A privacidade é um direito e se a única forma de garanti-la é com anonimato via criptografia, não deve haver qualquer pudores em usá-la.


''Todos os modelos estão errados, mas alguns são úteis".
George Box