Tópico muito interessante! O KYC gera a crise de síndrome do cobertor curto, tenta proteger de um lado mas falha miseravelmente em outro.
Concordo com o que o colega acima disse, além de quebrar a privacidade que é a proposta do BTC, causa imensa exposição de dados privados.
Por mais que leis locais citem a necessidade de KYC como algo bom e "salvador da pátria", dificilmente citam como deve ser a proteção dos dados e muito menos ainda sobre a necessidade de uma estratégia de política de segurança da informação em volta disso!
Temos também uma grave falha que é a utilização de dados roubados como falsificadores de KYC, duvido que essas empresas tenham um processo seguro e assertivo de validação desses dados também.
Topic: [Tradução] Por que o KYC é extremamente perigoso - e inútil (Read 359 times)
Realmente o KYC vai contra toda a proposta do BTC alem de ser uma coisa desnecessária e perigosa. Eu já cai na besteira de enviar uma vez meus documentos porque acreditava muito no projeto porem, estou a 2 anos esperando eles pagarem o bounty que prometeram (SWACE o nome). Agora sempre que vou entrar eu evito essas campanhas que cobram esse tipo de coisa porque mesmo não valendo quase meu nome isso poderia me trazer uma dor de cabeça grande se cair nas mãos de gente maliciosa.
Na Bitcointoyou você consegue fazer trade de crypto (depositar e sacar), sem kyc.
Sim, mas na hora do "fiat" tem que se identificar, então não muda nada. Tem várias que fazem isso. Quero ver uma que não o faça.
bom, tecnicamente já existem opções de exchanges em que é possível fazer a ponte fiat - BRL sem necesidade de KYC
A BisQ é uma delas, por exemplo
realmente, o governo provavelmente cairia em cima de exchanges que operassem sem KYC para ponte BRL, mas com DEX isso fica impossível
quanto mais o governo apertar, mais as DEX vão se fortalecer.
simples assim.
Sim, mas na hora do "fiat" tem que se identificar, então não muda nada. Tem várias que fazem isso. Quero ver uma que não o faça.
Neste caso, o @b2u01 tem razão. Esse tipo de compliance está ligado ao sistema fiduciário e não às criptos em si (bom, seria a linha certa a se seguir ao menos 
). Como já coloquei em algumas oportunidades por aqui, não temos como lutar contra o sistema utilizando o próprio... infelizmente, a partir do momento que você faz uso dele, deve seguir as regras ali impostas.E aqui, nem eu (e penso que nem o autor original) estou endemonizando o processo de KYC em si, pois para que essa ponte com as moedas fiat ocorra, o mínimo de informação é necessária para se evitar alguns contratempos. O grande problema é a enorme quantidade de informações desnecessárias e como elas se tornam um enorme potencial ponto de falha. E da forma como se propôs, seguindo este mesmo molde até os menores players o solicitam. Se já tivemos uma série de ocorrências nos processos dos peixes grandes, quem dirá dos agentes de menor expressão?
O ponto é de estabelecimento da consciência (que a massiva maioria não tem!) de quão importante essas informações são e como é impreterível que seja extremamente ponderada a sua distribuição. Sem um "oráculo global" para este dados, é extremamente provável que sua identidade sendo vendida para outra parte do globo possa ser utilizada a torto e direito sem represálias.
Na Bitcointoyou você consegue fazer trade de crypto (depositar e sacar), sem kyc.
Assim que uma fizer isto, a Receita manda fechar e os bancos vão encerrar a conta bancária
Sim, mas na hora do "fiat" tem que se identificar, então não muda nada. Tem várias que fazem isso. Quero ver uma que não o faça.
Na Bitcointoyou você consegue fazer trade de crypto (depositar e sacar), sem kyc.
Sim, mas na hora do "fiat" tem que se identificar, então não muda nada. Tem várias que fazem isso. Quero ver uma que não o faça.
Na Bitcointoyou você consegue fazer trade de crypto (depositar e sacar), sem kyc.
(...)
Como sempre digo, se você está tentando se camuflar dentro do sistema, usando o próprio, fica difícil. Alguém que está querendo fazer qualquer tipo de conversão de um sistema descentralizado para um centralizado (e vice-versa) está suscetível às restrições deste último. A norma para as moedas fiduciárias já existe e deve ser respeitada, principalmente quando envolve montantes tão grandes que, como você aponta, podem ter uma origem ilícita.O grande problema não é a triagem de algumas informações necessárias para evitar este tipo de situação, mas o que o processo de KYC em si solicita e no que acabou se tornando. Não importa quão seguro um sistema seja, pois ele sempre estará suscetível à falhas. Então partindo dessa premissa, apenas as informações essenciais para este processo deveriam ser levadas em consideração, ao menos para cenários que não envolvam grandes movimentações.
A segurança não pode existir impreterivelmente ao custo de você ter de abrir mão de sua privacidade. principalmente quando esta ação não seria sequer necessária - ao menos não a tal grau. Padronizou-se um fluxo de solicitação de informações que a manada acaba seguindo, mas sem entender o potencial que ele pode ter e sua verdadeira necessidade sobre o que está se desejando executar... muito mais que uma crítica, vejo como a sinalização de uma bandeira: tomem cuidado com as suas informações. Afinal, antes de cobrarmos pela segurança do serviço, temos de fazer a nossa parte
Não vejo tantos problemas em requisitar algum tipo de KYC se a quantia for relevante, as exchanges/bancos podem ter problemas se não conferirem a origem do dinheiro ou a nacionalidade do usuário, se grandes quantias forem movimentadas. Até exchanges de grande porte podem ter problemas com possíveis vazamentos de KYC, por exemplo ano passado a Binance teve uma empresa parceira que averiguava os KYC hackeada.
Agora pedir KYC para quantias baixas sou totalmente contra. Em exchanges nacionais, para quantias baixas, deveria bastar apenas um email, um número de telefone, CPF e associar ao menos uma conta bancária com a mesma titularidade.
Agora pedir KYC para quantias baixas sou totalmente contra. Em exchanges nacionais, para quantias baixas, deveria bastar apenas um email, um número de telefone, CPF e associar ao menos uma conta bancária com a mesma titularidade.
Pessoalmente eu acho o autor do tópico um pouco exagerado
Existem situações em que o kyc é inútil e indevido, mas não é sempre.
Eu até dei o exemplo no tópico gringo. Se eu quero comprar uma revista, o dono da banca não tem q saber meu nome é cpf. Se eu preciso me relevar, não tenho privacidade. É o caso tb de um airdrop.
Mas suponhamos que vc queira vender 100mil dólares em Bitcoin. Kyc é inútil nesse caso? Eu discordo.
O dinheiro pode ter origem ilegal e se cobrar documentos das pessoas for evitar práticas criminosas e ilegais, não vejo problema.
O que deve existir é um sistema mais rigoroso de armazenamento desses dados e tal. Talvez com empresas terceirzadas q só façam isso, sei lá. Dando segurança pras pessoas honestas.
Existem situações em que o kyc é inútil e indevido, mas não é sempre.
Eu até dei o exemplo no tópico gringo. Se eu quero comprar uma revista, o dono da banca não tem q saber meu nome é cpf. Se eu preciso me relevar, não tenho privacidade. É o caso tb de um airdrop.
Mas suponhamos que vc queira vender 100mil dólares em Bitcoin. Kyc é inútil nesse caso? Eu discordo.
O dinheiro pode ter origem ilegal e se cobrar documentos das pessoas for evitar práticas criminosas e ilegais, não vejo problema.
O que deve existir é um sistema mais rigoroso de armazenamento desses dados e tal. Talvez com empresas terceirzadas q só façam isso, sei lá. Dando segurança pras pessoas honestas.
Não é um sonho tão distante não. Aqui o site da Serasa que mostra como funciona o serviço. https://identific.certificadodigital.com.br/home Não mostra valores, parece até que é de graça pra implantar em qualquer site. Agora, 100 reais é um valor até que baixo. Acredito até que a exchange poderia subsidiar parte desse valor para seus clientes, já que não precisará ter um setor próprio de KYC.
O pessoal da OriginalMy tem um que é voltado para exchanges de criptomoedas, já é utilizada em alguns lugares, é de graça para os clientes, o dono é conhecido na comunidade de criptomoedas e mesmo assim isso não vingou. Até onde eu sei apenas a Profitify utilizava esse recurso deles que já é bem implementado. Não vejo um serviço pago para o cliente sendo utilizado não...
Realmente esse é um grande problema, infelizmente não é só nas exchanges que corremos risco.
No passado as empresas, bancos etc arquivavam estes dados impressos e poucas pessoas tinham acesso... agora tudo é digitalizado e apartir dai a chance de ficar vulneravel em algum momento é muito grande.
no ano passado vazaram mais de 1 milhão de documentos de clientes bancarios no Brasil:
https://thehack.com.br/exclusivo-vazam-mais-de-200-gb-de-documentos-de-bancos-brasileiros/
Concordo, temos que dar preferencia e valorizar os serviços que não exigem KYC... mas as vezes não há saida, exemplo: o cadastro biometrico de praticamente 100% da população brasileira já está ou estará em breve com o TSE, esses dados estão seguros?
No passado as empresas, bancos etc arquivavam estes dados impressos e poucas pessoas tinham acesso... agora tudo é digitalizado e apartir dai a chance de ficar vulneravel em algum momento é muito grande.
no ano passado vazaram mais de 1 milhão de documentos de clientes bancarios no Brasil:
https://thehack.com.br/exclusivo-vazam-mais-de-200-gb-de-documentos-de-bancos-brasileiros/
Concordo, temos que dar preferencia e valorizar os serviços que não exigem KYC... mas as vezes não há saida, exemplo: o cadastro biometrico de praticamente 100% da população brasileira já está ou estará em breve com o TSE, esses dados estão seguros?
Quote
Essa me parece ser uma boa opção, utilizarem um serviço que faz a intermediação. Mas 100 reais anuais eu duvido que boa parte dos clientes pagariam e tem uma outra questão é que para a empresa implementar também deve ter um valor alto por cliente, além do fato de que todas as empresas teriam que utilizar a mesma plataforma. Ainda parece ser um sonho um pouco distante.
Não é um sonho tão distante não. Aqui o site da Serasa que mostra como funciona o serviço. https://identific.certificadodigital.com.br/home Não mostra valores, parece até que é de graça pra implantar em qualquer site. Agora, 100 reais é um valor até que baixo. Acredito até que a exchange poderia subsidiar parte desse valor para seus clientes, já que não precisará ter um setor próprio de KYC.
Como é fácil de resolver essa situação. É que muitas exchanges brasileiras querem ser mais "realistas que o rei". Basta para pequenos valores(até 2 mil reais mensais) exigir apenas cpf e dados básicos, sem a necessidade de mandar cópia de documentos. Já para os "milionários" que querem movimentar vultuosas quantias basta exigir destes certificado digital. Já tem interface da Serasa Experian que faz a interligação. Sem necessidade alguma da exchange manter os documentos do cliente. Tem promoção de certificado digital por apenas 100 reais anuais. Acabei do comprar 1.
Essa me parece ser uma boa opção, utilizarem um serviço que faz a intermediação. Mas 100 reais anuais eu duvido que boa parte dos clientes pagariam e tem uma outra questão é que para a empresa implementar também deve ter um valor alto por cliente, além do fato de que todas as empresas teriam que utilizar a mesma plataforma. Ainda parece ser um sonho um pouco distante.
Acho que nesse caso, o correto seria simplesmente aceitar o risco de alguém utilizando o nome de outra ou não pedir esses dados (aí já é algo utópico à longo prazo, com os bancos e gov pressionando para a coleta de dados).
A Binance, por exemplo, aceita que os usuários coloquem ou não seus dados verdadeiros (nome, país, etc) e já retirem 2 BTC por dia (podendo tradar a vontade). Algo assim tal vez já fosse de bom agrade para muitos usuários, tanto que lá fora a Binance é muito utilizada apenas no level 1.
A Binance, por exemplo, aceita que os usuários coloquem ou não seus dados verdadeiros (nome, país, etc) e já retirem 2 BTC por dia (podendo tradar a vontade). Algo assim tal vez já fosse de bom agrade para muitos usuários, tanto que lá fora a Binance é muito utilizada apenas no level 1.
Esse caso da Binance para mim seria uma boa. Lembro que a poloniex quando era muito usada era mais ou menos nesse estilo também. Depois eles começaram a pedir KYC, junto da Bittrex senão eles travavam os fundos. Não duvido nada disso acontecer com a Binance também se os governos começarem a pressionar.
Como é fácil de resolver essa situação. É que muitas exchanges brasileiras querem ser mais "realistas que o rei". Basta para pequenos valores(até 2 mil reais mensais) exigir apenas cpf e dados básicos, sem a necessidade de mandar cópia de documentos. Já para os "milionários" que querem movimentar vultuosas quantias basta exigir destes certificado digital. Já tem interface da Serasa Experian que faz a interligação. Sem necessidade alguma da exchange manter os documentos do cliente. Tem promoção de certificado digital por apenas 100 reais anuais. Acabei do comprar 1.
Exatamente, compartilho do mesmo ponto de vista do @alegotardo! O problema não é o KYC em si, mas como ele foi potencializado e acabou se tornando uma verdadeira ameaça.
Quando estamos lidando com uma instituição financeira aqui no Brasil e estabelecemos alguma ponte utilizando uma moeda fiduciária, logicamente algumas informações são necessárias, mas até que ponto? O exemplo que ele deu sobre o gerenciamento de transações realizando transferências de mesma titularidade e a não utilização de depósitos que não sejam na boca do caixa, são mecanismos que trariam essa camada de segurança. Seria ela suficiente? Nada é 100% imune à falhas (principalmente quando envolver o ser humano no processo), mas esse aglomerado desnecessário de informações pode municiar agentes de má índole (internos ou externos ao serviço), como dissertado no artigo do miau.
Sabemos que a cultura da transação irreversível e o conceito de sermos nosso próprio banco é algo longe de ser unanimidade dentro da cripto comunidade. Mas meu entendimento é que isso ocorre essencialmente por desinformação e, em muitos casos, até comodismo. Os usuários não se dão conta que na era da informação são justamente dados como esse que acabam por ser um dos nossos bens de maior valor.
Digamos que um destes serviços utilizados por você acabe sendo comprometido e todas estas informações acabem, como o artigo sugestiona, na darknet. Como ter o controle de operações feitas sob sua identidade em uma escala global quando sequer temos esta visibilidade localmente? Quem garante que sua identidade não está sendo personificada por alguém em outro país para criar um negócio de fachada (como o @paredao exemplificou) ou dar entrada em produtos ilícitos? Não estamos aqui afirmando que são problemas não solucionáveis, mas eles demandarão tempo, recurso e, convenhamos, uma marca que efetivamente você talvez não consiga mais apagar. E o pior disso tudo... no final do dia, pode ser um problema cíclico! Afinal, como dizem: o que entra nada rede, está lá para sempre. Você simplesmente nunca terá a plena certeza de que o processo está se repetindo mais uma vez em outra região, com outros propósitos, por outra pessoa.
O mínimo de garantia que se pode ter é apostar nos canais mais sólidos (lê-se: serviços que mostram credibilidade). Se com eles já não necessariamente a encontramos, quem dirá para o restante. Alguns dirão que essa possibilidade existe até nos níveis mais baixos (dos ISP, ou provedores de internet), mas porque temos um possível ponto de falha, abrimos mão de nossa privacidade e criamos outros?!?
Quantos aqui se registraram em uma exchange e efetivamente sequer leram os termos antes de enviar as informações necessárias para o KYC? Garanto que a maior parte. Penso que o artigo e essa discussão tem como propósito justamente dar corpo ao melhor entendimento do que se trata e quão importante esse processo é para cada um de nós.
Quando estamos lidando com uma instituição financeira aqui no Brasil e estabelecemos alguma ponte utilizando uma moeda fiduciária, logicamente algumas informações são necessárias, mas até que ponto? O exemplo que ele deu sobre o gerenciamento de transações realizando transferências de mesma titularidade e a não utilização de depósitos que não sejam na boca do caixa, são mecanismos que trariam essa camada de segurança. Seria ela suficiente? Nada é 100% imune à falhas (principalmente quando envolver o ser humano no processo), mas esse aglomerado desnecessário de informações pode municiar agentes de má índole (internos ou externos ao serviço), como dissertado no artigo do miau.
Sabemos que a cultura da transação irreversível e o conceito de sermos nosso próprio banco é algo longe de ser unanimidade dentro da cripto comunidade. Mas meu entendimento é que isso ocorre essencialmente por desinformação e, em muitos casos, até comodismo. Os usuários não se dão conta que na era da informação são justamente dados como esse que acabam por ser um dos nossos bens de maior valor.
Digamos que um destes serviços utilizados por você acabe sendo comprometido e todas estas informações acabem, como o artigo sugestiona, na darknet. Como ter o controle de operações feitas sob sua identidade em uma escala global quando sequer temos esta visibilidade localmente? Quem garante que sua identidade não está sendo personificada por alguém em outro país para criar um negócio de fachada (como o @paredao exemplificou) ou dar entrada em produtos ilícitos? Não estamos aqui afirmando que são problemas não solucionáveis, mas eles demandarão tempo, recurso e, convenhamos, uma marca que efetivamente você talvez não consiga mais apagar. E o pior disso tudo... no final do dia, pode ser um problema cíclico! Afinal, como dizem: o que entra nada rede, está lá para sempre. Você simplesmente nunca terá a plena certeza de que o processo está se repetindo mais uma vez em outra região, com outros propósitos, por outra pessoa.
O mínimo de garantia que se pode ter é apostar nos canais mais sólidos (lê-se: serviços que mostram credibilidade). Se com eles já não necessariamente a encontramos, quem dirá para o restante. Alguns dirão que essa possibilidade existe até nos níveis mais baixos (dos ISP, ou provedores de internet), mas porque temos um possível ponto de falha, abrimos mão de nossa privacidade e criamos outros?!?
Quantos aqui se registraram em uma exchange e efetivamente sequer leram os termos antes de enviar as informações necessárias para o KYC? Garanto que a maior parte. Penso que o artigo e essa discussão tem como propósito justamente dar corpo ao melhor entendimento do que se trata e quão importante esse processo é para cada um de nós.
O KYC é um mal necessário em casos bem específicos, mas alguns serviços fazem uso exagerado dele.
Exija KYC quando for mexer com cartão de crédito, onde há o risco de chargeback, se for operar apenas com valores baixos via transferência bancária então aceite apenas pagamentos/depósitos em que o titular da conta seja o mesmo do cadastro, pronto.
Afim de prevenir o roubo de identidades, alguns serviços também pedem uma foto com um texto personalizado e data atual junto ao documento ou selfie, do tipo: "Hoje é dia XXXXX, sou XXX realizando o processo de KYC na Exchange XXXX". Já ajuda muito, mas pra quem é ninja em edição de imagem ainda poderia conseguir algum sucesso.
Enfim... @cryptobaboon obrigado pela tradução, ótimo assunto para trazer até nós.
Exija KYC quando for mexer com cartão de crédito, onde há o risco de chargeback, se for operar apenas com valores baixos via transferência bancária então aceite apenas pagamentos/depósitos em que o titular da conta seja o mesmo do cadastro, pronto.
Afim de prevenir o roubo de identidades, alguns serviços também pedem uma foto com um texto personalizado e data atual junto ao documento ou selfie, do tipo: "Hoje é dia XXXXX, sou XXX realizando o processo de KYC na Exchange XXXX". Já ajuda muito, mas pra quem é ninja em edição de imagem ainda poderia conseguir algum sucesso.
Enfim... @cryptobaboon obrigado pela tradução, ótimo assunto para trazer até nós.
Muito bom levantar essa discussão, obrigado por traduzir.
O problema é que pelo que eu sei não é questão de ser inútil ou não, aqui no Brasil é obrigatório para o pessoal que mexe com dinheiro ter o KYC na platafoma, se isso não existisse haveria um outro problema que é alguém criando uma conta completa no seu nome. Já pensou alguém negociar BTC só com os dados pessoais? Esses dados estão ao acesso de praticamente qualquer pessoa, vários bancos da dados já foram vazados nesse sentido. Ao meu ver não tem muito pra onde correr. Eu também não gostaria de ter que enviar meus documentos, mas não vejo uma alternativa viável como o tópico sugere não.
Acho que nesse caso, o correto seria simplesmente aceitar o risco de alguém utilizando o nome de outra ou não pedir esses dados (aí já é algo utópico à longo prazo, com os bancos e gov pressionando para a coleta de dados).O problema é que pelo que eu sei não é questão de ser inútil ou não, aqui no Brasil é obrigatório para o pessoal que mexe com dinheiro ter o KYC na platafoma, se isso não existisse haveria um outro problema que é alguém criando uma conta completa no seu nome. Já pensou alguém negociar BTC só com os dados pessoais? Esses dados estão ao acesso de praticamente qualquer pessoa, vários bancos da dados já foram vazados nesse sentido. Ao meu ver não tem muito pra onde correr. Eu também não gostaria de ter que enviar meus documentos, mas não vejo uma alternativa viável como o tópico sugere não.
A Binance, por exemplo, aceita que os usuários coloquem ou não seus dados verdadeiros (nome, país, etc) e já retirem 2 BTC por dia (podendo tradar a vontade). Algo assim tal vez já fosse de bom agrade para muitos usuários, tanto que lá fora a Binance é muito utilizada apenas no level 1.
Muito bom levantar essa discussão, obrigado por traduzir.
O problema é que pelo que eu sei não é questão de ser inútil ou não, aqui no Brasil é obrigatório para o pessoal que mexe com dinheiro ter o KYC na platafoma, se isso não existisse haveria um outro problema que é alguém criando uma conta completa no seu nome. Já pensou alguém negociar BTC só com os dados pessoais? Esses dados estão ao acesso de praticamente qualquer pessoa, vários bancos da dados já foram vazados nesse sentido. Ao meu ver não tem muito pra onde correr. Eu também não gostaria de ter que enviar meus documentos, mas não vejo uma alternativa viável como o tópico sugere não.
O problema é que pelo que eu sei não é questão de ser inútil ou não, aqui no Brasil é obrigatório para o pessoal que mexe com dinheiro ter o KYC na platafoma, se isso não existisse haveria um outro problema que é alguém criando uma conta completa no seu nome. Já pensou alguém negociar BTC só com os dados pessoais? Esses dados estão ao acesso de praticamente qualquer pessoa, vários bancos da dados já foram vazados nesse sentido. Ao meu ver não tem muito pra onde correr. Eu também não gostaria de ter que enviar meus documentos, mas não vejo uma alternativa viável como o tópico sugere não.
Ótimo artigo. Também acho que é inútil o KYC. Lembro de um caso, não envolvia bitcoins, que o cara fez o KYC numa empresa e depois os dados foram completamente vazados. Acabou que o cara apareceu como dono de um estacionamento em Londres e olha que ele nunca pisou na Inglaterra. Lembro que foi a maior dor de cabeça para resolver o caso.
Jump to: