Em importante atualização para a comunidade internacional, a Financial Action Task Force (FATF)1 recentemente publicou seu relatório2 sobre os possíveis indicadores de risco aptos no auxílio de setores público e privado na identificação de atividades suspeitas relacionadas ao ransonware3, também qualificado pelo relatório como uma forma de extorsão.
Essa conceituação é compatível com a ordem interna brasileira, na medida em que, como a descrição da conduta aponta, de fato, se busca mediante grave ameaça de danos materiais e imateriais, e com o intuito de obter para si ou para outrem, indevida vantagem econômica, a fazer os pagamentos do “resgate” associados à conduta.
O estudo faz referência ao crescimento da atividade criminosa a partir de uma comparação entre os pagamentos feitos em 2020 e 2021 comparados a 2019, tendo como vítimas de grande valor relacionado, incluindo companhias e serviços públicos. Destaca-se ainda o uso de kits por parte dos criminosos, de modo a disseminar a conduta, modus operandi, que efetivamente já se via em outros delitos cibernéticos, como carding4.
Aponta-se ainda a necessidade de que os países integrantes da FATF tenham o ransonware como um delito antecedente à lavagem de dinheiro5, destacando-se, ainda, que os proventos da atividade criminosa são essencialmente na forma de ativos virtuais, pelo uso sistemático de tecnologias que favorecem o anonimato, como criptomoedas, também chamadas privacy coins6 e mixers7. Outro aspecto, justamente pela virtualização das transações é a transnacionalidade quase instantânea delas.
O relatório destaca ainda a existência de subnotificação em relação aos casos, em parte diante das dificuldades de detecção pelo setor privado dos danos reputacionais, prejuízos efetivos aos negócios, bem como receio de retaliação dos criminosos, assim como a importância da implementação da recomendação 15, voltada para a implementação de medidas de mitigação dos riscos ligados aos ativos virtuais e à regulação dos provedores de ativos virtuais8.
Para melhorar a capacidade dos países em combater fluxos financeiros ilícitos relacionados a ransomware, trouxeram boas práticas e sugestões, entre as quais merece destaque a implementação dos padrões relevantes do GAFI, inclusive em VASPs, (Virtual Asset Service Providers), ou os provedores de acesso aos ativos virtuais, por exemplo, exchanges que melhoram a detecção, o que se associa ao processo de aceleração dos Padrões do GAFI no setor VASP, implementando a mencionada Recomendação 15.
Do relatório se observa que tal medida garantiria que os VASPs estejam em conformidade com as obrigações AML/CFT necessárias para capturar informações financeiras críticas e para denunciar transações suspeitas.
Da mesma forma, o relatório aponta que as jurisdições devem aprimorar a detecção de ransomware ao apoiar entidades regulamentadas na detecção de ransomware e lavagem de dinheiro relacionada e relatar transações suspeitas, inclusive compartilhando tendências, guias de detecção e red flags, bem como se propuseram incentivos às vítimas para denunciar voluntariamente incidentes. Esse estímulo, pode ser associado ao aumento da conscientização sobre o suporte e os recursos disponíveis ou à criação de canais seguros para comunicações dessas vítimas, bem como de atores não tradicionais que podem não ser sujeitos a requisitos AML/CFT (como empresas de seguro cibernético e empresas veiculadas a respostas a incidentes) para aumentar as fontes de detecção do crime.
No tocante à apuração dos ilícitos, o relatório descreve a necessidade de aproximação de investigações financeiras e esforços de recuperação de ativos, observando que é oportuno que se mesclem, conforme necessário, técnicas tradicionais de aplicação da lei, bem como técnicas específicas voltadas para ativos virtuais, para a condução de dinheiro relacionado a ransomware, destacando-se, ainda, que as autoridades competentes devem ter habilidades especializadas necessárias e experiência nessas investigações, o que inclui desenvolvimento, acesso e treinamento relacionados à análise de blockchain e ferramentas de monitoramento.
Com relação à recuperação de ativos (asset recovery), as anotações trazidas pelo relatório são no sentido de que as jurisdições devem garantir que a aplicação da lei tenha, e mantenha, as habilidades e os poderes necessários para rápida e efetivamente apreender e confiscar ativos, especialmente para fins virtuais ativos. Da mesma forma, anota-se que as jurisdições devem garantir a disponibilidade de mecanismos especializados para gerenciar adequadamente os ativos virtuais apreendidos. Nesse ponto, é digna de nota a também recente publicação do Ministério Público Federal brasileiro, com essa preocupação, por meio do seu roteiro de atuação – criptoativos persecução patrimonial9. Nesse tema, o manual traz a dificuldade existente sobre a realização imediata ou não de alienação antecipada, levando em conta a volatilidade dos criptoativos, de um lado, a estimular a venda apenas ao final do processo e de outro, as dificuldades e cautelas especiais na manutenção, a sugerir a alienação antecipada, na forma do art. 144-A, do Código de Processo Penal.
O relatório informa também que as jurisdições devem desenvolver mecanismos de coordenação entre autoridades competentes relevantes, desde a aplicação da lei, autoridades AML/CFT e cibercrime e autoridades não tradicionais parceiras, como agências de segurança cibernética ou proteção de dados. Essa interação permite o compartilhamento de informações e inteligência e propicia a formação de uma plataforma útil para compartilhamento cruzado de vários conhecimentos técnicos, devendo, ainda, haver parcerias com o setor privado, a incluir a identificação e o estabelecimento de mecanismos que permitam que VASPs e outros players auxiliem no aumento da conscientização, na troca de conhecimentos e insights, a apoiar os objetivos de aplicação da lei.
Em relação à cooperação internacional, o documento propõe que as jurisdições devem estabelecer e participar ativamente em negociações bilaterais, mecanismos regionais e multilaterais, bem como o uso de escritórios e pontos de contato claros 24 horas por dia, 7 dias por semana, para facilitar a rápida troca de informações e mesmo meio de provas, com impactos no rastreamento rápido de fundos transfronteiriços e na recuperação efetiva desses ativos. Esse formato de interação entre os países repercute a ideia constante da Convenção de Budapeste10, que além de mandados de criminalização de condutas relacionadas ao ambiente cibernético11, prevê intensa e imediata cooperação jurídica internacional.
Como boas práticas reconhecidas pelo relatório repisa-se a importância de se ter o ransomware como infração antecedente de lavagem de dinheiro, a adoção de deveres de prevenção, nomeadamente, o emprego de controles adequados, incluindo a identificação de seus clientes; e detectar e relatar transações suspeitas de acordo com as Recomendações 9 a 23 do GAFI.
Em linhas gerais, o relatório da FATF traz luz à importância de se dar atenção ao crescente crime de ransomware, enfatiza seu componente financeiro, ressalta a importância do rastreamento de ativos virtuais como uma parte fundamental das investigações de ransomware, que devem contar ainda com técnicas tradicionais e a cooperação internacional, como um pool de estratégias de investigação financeira.
Sob outra perspectiva, reforça-se a importância das atividades de prevenção à lavagem de dinheiro e o engajamento dos setores obrigados, aqui, com maior razão, por se tratar do desdobramento usual do crime de ransomware, os VASPs, a serem regulados.
2 https://www.fatf-gafi.org/en/publications/Methodsandtrends/countering-ransomware-financing.html
3 Trata-se de um tipo de malware, termo mais amplo para designar qualquer tipo de software malicioso projetado para prejudicar ou explorar qualquer dispositivo, serviço ou rede programável, com a finalidade específica de poder tornar os dados permanentemente inacessíveis, encriptados, ou sob ameaça de divulgação, a menos que haja pagamento de resgate, segundo a definição proposta por LUBIN, Asaf. The Law and Politics of Ransomware. Vanderbilt Journal of Transnational Law, v. 55, 2022. Entre as técnicas de ransomware, o estudo aponta o “big game hunting” com busca de organizações ou entidades de alto nível que eles acham que são mais propensas a pagar um resgate para retomar as operações comerciais ou evitar escrutínio; RaaS (ransonware as service) que se refere a um modelo de negócios criminoso no qual o ransomware criminosos fornecem kits de software ransomware na Dark Web ou terceirizar elementos de ataques de ransomware, incluindo distribuição de malware, comprometimento inicial da rede da vítima, extração de dados ou negociação de resgate para afiliados em troca de uma taxa e/ou porcentagem do resgate. Esse modelo, anota o GAFI reduziu o custo e o conhecimento técnico necessário para conduzir ataques de ransomware, diminuindo as barreiras de entrada e permitindo criminosos menos sofisticados para conduzir ataques de ransomware. Double-Extortion refere-se a uma prática na qual os operadores de ransomware extraem os dados da vítima antes de criptografá-los e depois ameaçar publicar os dados roubados se as exigências de resgate não forem atendidas. Esta ameaça de publicação é um acréscimo à ameaça relacionada ao sistema interrompido. Essa tática pode colocar pressão adicional sobre as vítimas para pagar o resgate, mesmo que sejam capazes de restaurar as operações. Triple-Extortion refere-se a uma prática na qual os operadores de ransomware buscar dinheiro não apenas da vítima que foi o primeiro alvo, mas também de uma vítima que pode ser afetada pela divulgação de dados da vítima visada, como informações de saúde protegidas, informações pessoais, informações identificáveis, credenciais de conta e propriedade intelectual. Extorsão Múltipla refere-se a uma prática que envolve mais de dois métodos de extorsão, baseado em dupla extorsão usando criptografia e extração de dados, mas inclui táticas de pressão adicionais, como distribuição, negação de serviço (DDoS), contato com os clientes das vítimas, venda a descoberto de estoques das vítimas e interrompendo os sistemas de infraestrutura.
4 Conforme anota SAMBODO, Cemban Galuh; WAHYUNINGSIH, Sri Endah. The Criminal Law Enforcement Against Crime Of Carding In Electronic Transactions. Law Development Journal, v. 3, n. 2, p. 240-247, 2021, trata-se de uma fraude usualmente associada ao uso de cartões de crédito, substancialmente, caracterizada pela utilização de dados de cartões ou pela fabricação de cartões falsos em favor dos autores do fato ilícito. O objetivo, em essência, é a compra de bens ou o carregamento de contas bancárias com o levantamento de recursos pertencentes a terceiros.
5 O que não é um problema para o Brasil desde 2012 quando se adotou a legislação de terceira geração, a permitir quaisquer infrações penais, incluindo contravenções, como fato antecedente passível de ensejar lavagem de dinheiro.
6 As anonymity enhanced cryptocurrencies (AECs) usam blockchains não públicos ou privados para as transações, como aponta o Report of the Attorney General’s Cyber Digital Task Force, do Departamento de Justiça norte-americano https://www.justice.gov/archives/ag/page/file/1326061/download, o que dificulta o rastreio ou a identificação da transação. Esse guia exemplifica como AECs Monero, Zcash e Dash.
7 Também chamado de tumblers, conhecido fator de risco para a lavagem de ativos virtuais e que, se bem-sucedido, pode levar à impossibilidade de rastreio. Falando dessa propriedade, especificamente, sobre Bitcoins, cf. SEE, Kenneth. The Satoshi laundromat: a review on the money laundering open door of Bitcoin mixers. Journal of Financial Crime, n. ahead-of-print, 2023.
8 Por meio das recomendações, busca-se a implementação dos padrões de prevenção à lavagem de dinheiro. A recomendação 15, especificamente, dispõe: “Os países e instituições financeiras deveriam identificar e avaliar os riscos de lavagem de dinheiro e financiamento do terrorismo que possam surgir em relação a: (a) desenvolvimento de novos produtos e práticas de negócios, inclusive novos mecanismos de entrega; e (b) o uso de novas tecnologias ou em desenvolvimento para produtos novos ou já existentes. No caso de instituições financeiras, tal avaliação de riscos deveria ocorrer antes do lançamento desses novos produtos, práticas de negócios ou do uso de novas tecnologias ou em desenvolvimento. As instituições deveriam adotar medidas apropriadas para gerenciar ou mitigar tais riscos”.
9 https://www.mpf.mp.br/atuacao-tematica/ccr2/publicacoes/roteiro-atuacoes/criptoativos-persecucao-patrimonial
10 Na literatura, por todos, cf. FONSECA, Marcos De Lucca; GENNARINI, Juliana Caramigo. A Adesão do Brasil à Convenção de Budapeste e os Impactos para a Produção de Provas Digitais. Direito Penal e Processo Penal, v. 4, n. 1, p. 55-70, 2022.
11 O próprio ransonware, como era de se esperar, deve ser considerado inserido nas infrações contra a confidencialidade, integridade e disponibilidade de sistema informático e dados informáticos.