Para usuários de criptomoedas preocupados com privacidade, talvez não existam três letras mais temidas do que “KYC”.
A sigla, que significa “know your customer” (conheça seu cliente), refere-se ao processo de fornecer informações pessoalmente identificáveis, como nome e endereço, para determinados prestadores de serviço, especialmente corretoras de criptomoedas.
Em muitas jurisdições, incluindo os EUA, esse processo é exigido por lei. E embora possa ser importante — talvez até crucial — para combater atividades ilegais, o KYC traz riscos tanto para as empresas que coletam os dados quanto para os indivíduos que os fornecem.
No início desta semana, Raj Gokal, cofundador da Solana, e sua esposa foram vítimas de doxxing por agentes maliciosos que exigiram o pagamento de 40 BTC (equivalente a US$ 4,3 milhões). Gokal afirmou que as fotos de seus documentos vieram de um processo de KYC, mas não forneceu mais detalhes.
Ser doxxed significa ter informações pessoais divulgadas online e, nos piores casos, isso pode incluir endereço residencial ou dados bancários.
No universo das criptomoedas, com um grande número de usuários anônimos ou pseudônimos, a exposição pode ser algo tão simples quanto revelar o nome verdadeiro ou o rosto de alguém. No caso de Gokal, foram fotos de um documento oficial de identidade que incluía seu endereço.
Isso ocorreu duas semanas após a maior corretora centralizada de cripto dos EUA, a Coinbase, revelar que sofreu uma violação de dados, resultando na exposição de informações sensíveis de clientes para hackers. O fundador da TechCrunch e da Arrington Capital, Michael Arrington, previu que isso “levaria à morte de pessoas”, já que uma onda de tentativas de sequestro varre a indústria.
Leia também: Investidor processa Coinbase por danos causados por vazamento de dados
Muitos especulam que o doxxing de Gokal está relacionado ao vazamento da Coinbase, embora isso não tenha sido confirmado. Ainda assim, o incidente deixou usuários de cripto mais receosos em relação à exigência de se identificarem em corretoras.
Afinal, os processos de KYC frequentemente exigem que usuários enviem fotos do passaporte, comprovante de residência e uma selfie segurando um documento de identidade. E com o aumento dos sequestros ligados a cripto — após diversos casos de destaque na França, nos EUA e em outros países —, usuários temem que hackers possam roubar suas informações de KYC e direcionar criminosos até suas portas.
Prós e contras do KYC
“Quando uma plataforma coleta demais com o KYC, ela se torna um alvo”, disse Nick Vaiman, cofundador e CEO da Bubblemaps, ao Decrypt. “Uma vez que os atacantes acessam esses dados, podem lançar ataques de phishing altamente direcionados ou, pior, usar suas informações pessoais para encontrá-lo na vida real e roubá-lo diretamente”, explicou. “Dados de KYC criam risco. Quanto mais dados você armazena, maior o alvo que você se torna.”
Mas um futuro sem KYC simplesmente não é realista, disse Arnaud Droz, cofundador e COO da Bubblemaps. Sendo assim, o processo tende a continuar como talvez um “mal necessário” para impedir atividades criminosas on-chain.
“O KYC é uma ferramenta crucial não apenas para conformidade regulatória, mas para a prevenção de crimes”, afirmou Slava Demchuk, CEO da empresa de conformidade AMLBot.
Leia Também
“Embora criminosos sofisticados ainda possam encontrar formas de burlar o sistema, o KYC adiciona atrito que dificulta suas operações — e, quando combinado com outras medidas [de combate à lavagem de dinheiro], como monitoramento de transações e triagem, torna-se uma defesa poderosa.”
Por essa função importante, o KYC é exigido por lei na maioria das jurisdições. Isso inclui os EUA, onde é requerido pelo USA Patriot Act de 2001.
Apesar de suas virtudes, houve um aumento no número de líderes da indústria que passaram a criticar abertamente os requisitos de KYC após o hack da Coinbase. Erik Voorhees, fundador da corretora de cripto ShapeShift, chamou o KYC imposto pelo Estado de crime nas redes sociais. O CEO da Coinbase, Brian Armstrong, concordou com ele.
“O problema central é que, se você é um golpista, não é difícil burlar o sistema”, acrescentou Vaiman. “Você pode simplesmente comprar um KYC falso ou usar o de outra pessoa. E com o avanço da inteligência artificial, gerar identidades falsas está se tornando ainda mais fácil, o que enfraquece todo o sistema. O KYC não impede os maus atores e ainda cria atrito para os usuários honestos”, afirmou.
Em busca de uma solução
Mas se o sistema, embora necessário, é falho, então o que pode ser feito?
“Estamos vendo soluções inovadoras como privacidade com prova de conhecimento zero e implementações teóricas de KYC com prova de conhecimento zero”, disse Jeff Feng, cofundador da desenvolvedora de blockchain de primeira camada Sei Labs. “Mas temos que ser realistas — sistemas financeiros precisam de salvaguardas contra atividades ilícitas.”
As provas de conhecimento zero, ou ZK-proofs, são um tipo de criptografia que permite a um usuário provar algo — como o fato de não morar em um país sancionado — sem revelar diretamente essa informação ao receptor.
Demchuk, da AMLBot, acredita que o ZK-KYC é um ótimo recurso de preservação de privacidade, mas muito difícil de implementar, pois exigiria mudanças regulatórias significativas na União Europeia, por exemplo.
Isso porque as regras do GDPR exigem que os controladores de dados — uma corretora, nesse caso — armazenem os dados relacionados ao KYC por cinco anos. O ZK-KYC impediria que a corretora sequer acessasse esses dados, muito menos os armazenasse por esse período.
Independentemente de como a indústria evoluir em relação ao KYC, alguns usuários acreditam que o problema é sintomático de uma questão mais existencial.
“A capacidade de transacionar anonimamente é a base da criptomoeda como uma tecnologia revolucionária que resiste ao Estado invasivo”, disse Charlotte Fang, fundadora pseudônima da Remilia Corporation, ao Decrypt. “Cripto como indústria se desviou dos princípios básicos do movimento cypherpunk, não apenas com os KYCs das corretoras em busca de adoção, mas como cultura.”
Defensores da privacidade acreditam em anonimato total nas transações em redes blockchain, enquanto reguladores continuam a lutar contra isso. Ainda assim, com o Tesouro dos EUA suspendendo sanções ao mixer de moedas do Ethereum preservador de privacidade Tornado Cash no início deste ano, é possível que os ventos — ao menos em Washington — estejam mudando.
* Traduzido e editado com autorização do Decrypt.
- Você costuma enviar dinheiro para o exterior? O MB está estudando uma solução de pagamentos que promete tornar as transferências com cripto muito mais simples. Clique aqui para responder uma pesquisa e ajudar a construir algo que faça sentido para você!
