Author

Topic: [Tradução] Por que o KYC é extremamente perigoso - e inútil (Read 399 times)

member
Activity: 72
Merit: 22
Tópico muito interessante! O KYC gera a crise de síndrome do cobertor curto, tenta proteger de um lado mas falha miseravelmente em outro.

Concordo com o que o colega acima disse, além de quebrar a privacidade que é a proposta do BTC, causa imensa exposição de dados privados.

Por mais que leis locais citem a necessidade de KYC como algo bom e "salvador da pátria", dificilmente citam como deve ser a proteção dos dados e muito menos ainda sobre a necessidade de uma estratégia de política de segurança da informação em volta disso!

Temos também uma grave falha que é a utilização de dados roubados como falsificadores de KYC, duvido que essas empresas tenham um processo seguro e assertivo de validação desses dados também.

full member
Activity: 1232
Merit: 143
Realmente o KYC vai contra toda a proposta do BTC alem de ser uma coisa desnecessária e perigosa. Eu já cai na besteira de enviar uma vez meus documentos porque acreditava muito no projeto porem, estou a 2 anos esperando eles pagarem o bounty que prometeram (SWACE o nome). Agora sempre que vou entrar eu evito essas campanhas que cobram esse tipo de coisa porque mesmo não valendo quase meu nome isso poderia me trazer uma dor de cabeça grande se cair nas mãos de gente maliciosa.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
Na Bitcointoyou você consegue fazer trade de crypto (depositar e sacar), sem kyc.

Sim, mas na hora do "fiat" tem que se identificar, então não muda nada. Tem várias que fazem isso. Quero ver uma que não o faça.

bom, tecnicamente já existem opções de exchanges em que é possível fazer a ponte fiat - BRL sem necesidade de KYC
A BisQ é uma delas, por exemplo

realmente, o governo provavelmente cairia em cima de exchanges que operassem sem KYC para ponte BRL, mas com DEX isso fica impossível

quanto mais o governo apertar, mais as DEX vão se fortalecer.
simples assim.
hero member
Activity: 1498
Merit: 557
Sim, mas na hora do "fiat" tem que se identificar, então não muda nada. Tem várias que fazem isso. Quero ver uma que não o faça.
Neste caso, o @b2u01 tem razão. Esse tipo de compliance está ligado ao sistema fiduciário e não às criptos em si (bom, seria a linha certa a se seguir ao menos Roll Eyes). Como já coloquei em algumas oportunidades por aqui, não temos como lutar contra o sistema utilizando o próprio... infelizmente, a partir do momento que você faz uso dele, deve seguir as regras ali impostas.

E aqui, nem eu (e penso que nem o autor original) estou endemonizando o processo de KYC em si, pois para que essa ponte com as moedas fiat ocorra, o mínimo de informação é necessária para se evitar alguns contratempos. O grande problema é a enorme quantidade de informações desnecessárias e como elas se tornam um enorme potencial ponto de falha. E da forma como se propôs, seguindo este mesmo molde até os menores players o solicitam. Se já tivemos uma série de ocorrências nos processos dos peixes grandes, quem dirá dos agentes de menor expressão?

O ponto é de estabelecimento da consciência (que a massiva maioria não tem!) de quão importante essas informações são e como é impreterível que seja extremamente ponderada a sua distribuição. Sem um "oráculo global" para este dados, é extremamente provável que sua identidade sendo vendida para outra parte do globo possa ser utilizada a torto e direito sem represálias.
member
Activity: 98
Merit: 15
Na Bitcointoyou você consegue fazer trade de crypto (depositar e sacar), sem kyc.


Assim que uma fizer isto, a Receita manda fechar e os bancos vão encerrar a conta bancária
Sim, mas na hora do "fiat" tem que se identificar, então não muda nada. Tem várias que fazem isso. Quero ver uma que não o faça.
legendary
Activity: 3304
Merit: 1617
Na Bitcointoyou você consegue fazer trade de crypto (depositar e sacar), sem kyc.

Sim, mas na hora do "fiat" tem que se identificar, então não muda nada. Tem várias que fazem isso. Quero ver uma que não o faça.
member
Activity: 98
Merit: 15
Na Bitcointoyou você consegue fazer trade de crypto (depositar e sacar), sem kyc.
hero member
Activity: 1498
Merit: 557
(...)
Como sempre digo, se você está tentando se camuflar dentro do sistema, usando o próprio, fica difícil. Alguém que está querendo fazer qualquer tipo de conversão de um sistema descentralizado para um centralizado (e vice-versa) está suscetível às restrições deste último. A norma para as moedas fiduciárias já existe e deve ser respeitada, principalmente quando envolve montantes tão grandes que, como você aponta, podem ter uma origem ilícita.

O grande problema não é a triagem de algumas informações necessárias para evitar este tipo de situação, mas o que o processo de KYC em si solicita e no que acabou se tornando. Não importa quão seguro um sistema seja, pois ele sempre estará suscetível à falhas. Então partindo dessa premissa, apenas as informações essenciais para este processo deveriam ser levadas em consideração, ao menos para cenários que não envolvam grandes movimentações.

A segurança não pode existir impreterivelmente ao custo de você ter de abrir mão de sua privacidade. principalmente quando esta ação não seria sequer necessária - ao menos não a tal grau. Padronizou-se um fluxo de solicitação de informações que a manada acaba seguindo, mas sem entender o potencial que ele pode ter e sua verdadeira necessidade sobre o que está se desejando executar... muito mais que uma crítica, vejo como a sinalização de uma bandeira: tomem cuidado com as suas informações. Afinal, antes de cobrarmos pela segurança do serviço, temos de fazer a nossa parte Smiley
full member
Activity: 896
Merit: 221
Não vejo tantos problemas em requisitar algum tipo de KYC se a quantia for relevante, as exchanges/bancos podem ter problemas se não conferirem a origem do dinheiro ou a nacionalidade do usuário, se grandes quantias forem movimentadas. Até exchanges de grande porte podem ter problemas com possíveis vazamentos de KYC, por exemplo ano passado a Binance teve uma empresa parceira que averiguava os KYC hackeada.

Agora pedir KYC para quantias baixas sou totalmente contra. Em exchanges nacionais, para quantias baixas, deveria bastar apenas um email, um número de telefone, CPF e associar ao menos uma conta bancária com a mesma titularidade.


legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Pessoalmente eu acho o autor do tópico um pouco exagerado
Existem situações em que o kyc é inútil e indevido, mas não é sempre.

Eu até dei o exemplo no tópico gringo. Se eu quero comprar uma revista, o dono da banca não tem q saber meu nome é cpf. Se eu preciso me relevar, não tenho privacidade. É o caso tb de um airdrop.


Mas suponhamos que vc queira vender 100mil dólares em Bitcoin. Kyc é inútil nesse caso? Eu discordo.

O dinheiro pode ter origem ilegal e se cobrar documentos das pessoas for evitar práticas criminosas e ilegais,  não vejo problema.
O que deve existir é um sistema mais rigoroso de armazenamento desses dados e tal. Talvez com empresas terceirzadas q só façam isso, sei lá. Dando segurança pras pessoas honestas.
hero member
Activity: 1778
Merit: 882
Não é um sonho tão distante não. Aqui o site da Serasa que mostra como funciona o serviço. https://identific.certificadodigital.com.br/home  Não mostra valores, parece até que é de graça pra implantar em qualquer site. Agora, 100 reais é um valor até que baixo. Acredito até que a exchange poderia subsidiar parte desse valor para seus clientes, já que não precisará ter um setor próprio de KYC.

O pessoal da OriginalMy tem um que é voltado para exchanges de criptomoedas, já é utilizada em alguns lugares, é de graça para os clientes, o dono é conhecido na comunidade de criptomoedas e mesmo assim isso não vingou. Até onde eu sei apenas a Profitify utilizava esse recurso deles que já é bem implementado. Não vejo um serviço pago para o cliente sendo utilizado não...
legendary
Activity: 2492
Merit: 1429
Top-tier crypto casino and sportsbook
Realmente esse é um grande problema, infelizmente não é só nas exchanges que corremos risco.
No passado as empresas, bancos etc arquivavam estes dados impressos e poucas pessoas tinham acesso... agora tudo é digitalizado e apartir dai a chance de ficar vulneravel em algum momento é muito grande.

no ano passado vazaram mais de 1 milhão de documentos de clientes bancarios no Brasil:
https://thehack.com.br/exclusivo-vazam-mais-de-200-gb-de-documentos-de-bancos-brasileiros/

Concordo, temos que dar preferencia e valorizar os serviços que não exigem KYC... mas as vezes não há saida, exemplo:  o cadastro biometrico de praticamente 100% da população brasileira já está ou estará em breve com o TSE, esses dados estão seguros?
legendary
Activity: 3304
Merit: 1617
Quote

Essa me parece ser uma boa opção, utilizarem um serviço que faz a intermediação. Mas 100 reais anuais eu duvido que boa parte dos clientes pagariam e tem uma outra questão é que para a empresa implementar também deve ter um valor alto por cliente, além do fato de que todas as empresas teriam que utilizar a mesma plataforma. Ainda parece ser um sonho um pouco distante.


Não é um sonho tão distante não. Aqui o site da Serasa que mostra como funciona o serviço. https://identific.certificadodigital.com.br/home  Não mostra valores, parece até que é de graça pra implantar em qualquer site. Agora, 100 reais é um valor até que baixo. Acredito até que a exchange poderia subsidiar parte desse valor para seus clientes, já que não precisará ter um setor próprio de KYC.
hero member
Activity: 1778
Merit: 882
Como é fácil de resolver essa situação. É que muitas exchanges brasileiras querem ser mais "realistas que o rei". Basta para pequenos valores(até 2 mil reais mensais) exigir apenas cpf e dados básicos, sem a necessidade de mandar cópia de documentos. Já para os "milionários" que querem movimentar vultuosas quantias basta exigir destes certificado digital. Já tem interface da Serasa Experian que faz a interligação. Sem necessidade alguma da exchange manter os documentos do cliente. Tem promoção de certificado digital por apenas 100 reais anuais. Acabei do comprar 1.

Essa me parece ser uma boa opção, utilizarem um serviço que faz a intermediação. Mas 100 reais anuais eu duvido que boa parte dos clientes pagariam e tem uma outra questão é que para a empresa implementar também deve ter um valor alto por cliente, além do fato de que todas as empresas teriam que utilizar a mesma plataforma. Ainda parece ser um sonho um pouco distante.

Acho que nesse caso, o correto seria simplesmente aceitar o risco de alguém utilizando o nome de outra ou não pedir esses dados (aí já é algo utópico à longo prazo, com os bancos e gov pressionando para a coleta de dados).

A Binance, por exemplo, aceita que os usuários coloquem ou não seus dados verdadeiros (nome, país, etc) e já retirem 2 BTC por dia (podendo tradar a vontade). Algo assim tal vez já fosse de bom agrade para muitos usuários, tanto que lá fora a Binance é muito utilizada apenas no level 1.

Esse caso da Binance para mim seria uma boa. Lembro que a poloniex quando era muito usada era mais ou menos nesse estilo também. Depois eles começaram a pedir KYC, junto da Bittrex senão eles travavam os fundos. Não duvido nada disso acontecer com a Binance também se os governos começarem a pressionar.
legendary
Activity: 3304
Merit: 1617
Como é fácil de resolver essa situação. É que muitas exchanges brasileiras querem ser mais "realistas que o rei". Basta para pequenos valores(até 2 mil reais mensais) exigir apenas cpf e dados básicos, sem a necessidade de mandar cópia de documentos. Já para os "milionários" que querem movimentar vultuosas quantias basta exigir destes certificado digital. Já tem interface da Serasa Experian que faz a interligação. Sem necessidade alguma da exchange manter os documentos do cliente. Tem promoção de certificado digital por apenas 100 reais anuais. Acabei do comprar 1.
hero member
Activity: 1498
Merit: 557
Exatamente, compartilho do mesmo ponto de vista do @alegotardo! O problema não é o KYC em si, mas como ele foi potencializado e acabou se tornando uma verdadeira ameaça.

Quando estamos lidando com uma instituição financeira aqui no Brasil e estabelecemos alguma ponte utilizando uma moeda fiduciária, logicamente algumas informações são necessárias, mas até que ponto? O exemplo que ele deu sobre o gerenciamento de transações realizando transferências de mesma titularidade e a não utilização de depósitos que não sejam na boca do caixa, são mecanismos que trariam essa camada de segurança. Seria ela suficiente? Nada é 100% imune à falhas (principalmente quando envolver o ser humano no processo), mas esse aglomerado desnecessário de informações pode municiar agentes de má índole (internos ou externos ao serviço), como dissertado no artigo do miau.

Sabemos que a cultura da transação irreversível e o conceito de sermos nosso próprio banco é algo longe de ser unanimidade dentro da cripto comunidade. Mas meu entendimento é que isso ocorre essencialmente por desinformação e, em muitos casos, até comodismo. Os usuários não se dão conta que na era da informação são justamente dados como esse que acabam por ser um dos nossos bens de maior valor.

Digamos que um destes serviços utilizados por você acabe sendo comprometido e todas estas informações acabem, como o artigo sugestiona, na darknet. Como ter o controle de operações feitas sob sua identidade em uma escala global quando sequer temos esta visibilidade localmente? Quem garante que sua identidade não está sendo personificada por alguém em outro país para criar um negócio de fachada (como o @paredao exemplificou) ou dar entrada em produtos ilícitos? Não estamos aqui afirmando que são problemas não solucionáveis, mas eles demandarão tempo, recurso e, convenhamos, uma marca que efetivamente você talvez não consiga mais apagar. E o pior disso tudo... no final do dia, pode ser um problema cíclico! Afinal, como dizem: o que entra nada rede, está lá para sempre. Você simplesmente nunca terá a plena certeza de que o processo está se repetindo mais uma vez em outra região, com outros propósitos, por outra pessoa.

O mínimo de garantia que se pode ter é apostar nos canais mais sólidos (lê-se: serviços que mostram credibilidade). Se com eles já não necessariamente a encontramos, quem dirá para o restante. Alguns dirão que essa possibilidade existe até nos níveis mais baixos (dos ISP, ou provedores de internet), mas porque temos um possível ponto de falha, abrimos mão de nossa privacidade e criamos outros?!?

Quantos aqui se registraram em uma exchange e efetivamente sequer leram os termos antes de enviar as informações necessárias para o KYC? Garanto que a maior parte. Penso que o artigo e essa discussão tem como propósito justamente dar corpo ao melhor entendimento do que se trata e quão importante esse processo é para cada um de nós.
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
O KYC é um mal necessário em casos bem específicos, mas alguns serviços fazem uso exagerado dele.
Exija KYC quando for mexer com cartão de crédito, onde há o risco de chargeback, se for operar apenas com valores baixos via transferência bancária então aceite apenas pagamentos/depósitos em que o titular da conta seja o mesmo do cadastro, pronto.

Afim de prevenir o roubo de identidades, alguns serviços também pedem uma foto com um texto personalizado e data atual junto ao documento ou selfie, do tipo: "Hoje é dia XXXXX, sou XXX realizando o processo de KYC na Exchange XXXX". Já ajuda muito, mas pra quem é ninja em edição de imagem ainda poderia conseguir algum sucesso.

Enfim... @cryptobaboon obrigado pela tradução, ótimo assunto para trazer até nós.
legendary
Activity: 2758
Merit: 6830
Muito bom levantar essa discussão, obrigado por traduzir.

O problema é que pelo que eu sei não é questão de ser inútil ou não, aqui no Brasil é obrigatório para o pessoal que mexe com dinheiro ter o KYC na platafoma, se isso não existisse haveria um outro problema que é alguém criando uma conta completa no seu nome. Já pensou alguém negociar BTC só com os dados pessoais? Esses dados estão ao acesso de praticamente qualquer pessoa, vários bancos da dados já foram vazados nesse sentido. Ao meu ver não tem muito pra onde correr. Eu também não gostaria de ter que enviar meus documentos, mas não vejo uma alternativa viável como o tópico sugere não.
Acho que nesse caso, o correto seria simplesmente aceitar o risco de alguém utilizando o nome de outra ou não pedir esses dados (aí já é algo utópico à longo prazo, com os bancos e gov pressionando para a coleta de dados).

A Binance, por exemplo, aceita que os usuários coloquem ou não seus dados verdadeiros (nome, país, etc) e já retirem 2 BTC por dia (podendo tradar a vontade). Algo assim tal vez já fosse de bom agrade para muitos usuários, tanto que lá fora a Binance é muito utilizada apenas no level 1.
hero member
Activity: 1778
Merit: 882
Muito bom levantar essa discussão, obrigado por traduzir.

O problema é que pelo que eu sei não é questão de ser inútil ou não, aqui no Brasil é obrigatório para o pessoal que mexe com dinheiro ter o KYC na platafoma, se isso não existisse haveria um outro problema que é alguém criando uma conta completa no seu nome. Já pensou alguém negociar BTC só com os dados pessoais? Esses dados estão ao acesso de praticamente qualquer pessoa, vários bancos da dados já foram vazados nesse sentido. Ao meu ver não tem muito pra onde correr. Eu também não gostaria de ter que enviar meus documentos, mas não vejo uma alternativa viável como o tópico sugere não.
legendary
Activity: 3304
Merit: 1617
Ótimo artigo. Também acho que é inútil o KYC. Lembro de um caso, não envolvia bitcoins, que o cara fez o KYC numa empresa e depois os dados foram completamente vazados. Acabou que o cara apareceu como dono de um estacionamento em Londres e olha que ele nunca pisou na Inglaterra. Lembro que foi a maior dor de cabeça para resolver o caso.
hero member
Activity: 1498
Merit: 557
Achei um tópico (Why KYC is extremely dangerous – and useless) do 1miau extremamente interessante sobre KYC. Tendo no texto um reflexo do mesmo entendimento e conceito do processo e que (como originalmente objetivado pelo próprio autor) pode ajudar os novatos, achei que seria bacana traduzi-lo para o nosso idioma. Não esqueçam de dar uma força para ele no post original!  Smiley



Por que o KYC é extremamente perigoso - e inútil

Todos nós temos medo de perder dinheiro devido a hacks, fraudes, nossos próprios erros ou até decisões erradas (comprando shitcoins inúteis, vendendo moedas muito tarde ou muito cedo, etc.). A maioria dos tópicos aborda questões como essas. Mas quando se trata de perdas, você deve estar ciente de que mais do que dinheiro que pode ser perdido. Por isso, estou falando sobre roubo de identidade de dados pessoais de qualquer tipo. Proteger esses dados e prestar atenção à privacidade deve ter ao menos a mesma prioridade que proteger seu dinheiro. Afinal, o dinheiro é substituível; é "apenas" uma perda financeira. Uma vez que a identidade é roubada, no entanto, não há chance de sua destruição.

É aqui que o problema começa. Uma das melhores maneiras de se proteger contra roubo de identidade é entender as falsas suposições do KYC. Alguns cripto serviços exigem que seus usuários passem pelo chamado "KYC" atualmente. KYC significa Know Your Customer ("Conheça Seu Cliente") e força os usuários a enviar documentos pessoais para uma empresa ou organização. Isso já está se tornando um grande problema, pois algumas empresas são muito rígidas e não permitem que você use seus serviços, mesmo que você queira apenas comprar criptomoedas no valor de apenas algumas centenas de dólares.

O objetivo oficial do KYC deve ser evitar a lavagem de dinheiro (conhecida como AML, anti-money laundering - ou anti-lavagem de dinheiro) e o financiamento do terrorismo. KYC e AML estritos foram introduzidos principalmente pelos EUA após o 11 de setembro e muitos países são guiados pela SEC ao estipular o KYC como um requisito. A AML existia antes, mas apenas para instituições e grandes quantias de dinheiro. Os clientes médios foram afetados somente após as restrições introduzidas pela SEC.

À primeira vista, o KYC parece bom para encerrar atividades criminosas. Infelizmente, isso parece muito diferente na realidade. O KYC nas criptomoedas não ajuda necessariamente a parar a lavagem de dinheiro ou reduzir a atividade criminosa; nem ajuda a impedir o financiamento do terrorismo. Pelo contrário - o KYC põe em risco nossa privacidade e incentiva atividades criminosas (através de golpes de KYC, roubo de identidade e outros meios).



O KYC está incentivando o roubo de identidade

Quando alguém faz o KYC, é forçado a entregar partes de sua identidade pessoal a terceiros (como uma exchange, ICO, etc.). Após esse ponto, eles não estão mais no controle do processo e estão totalmente expostos a terceiros para manipular seus dados confidenciais com segurança. Se algo for hackeado, as pessoas afetadas não podem fazer nada.

Todos os que tiverem preocupações com a segurança de seus dados e não enviarão as informações pessoais necessárias para o KYC serão excluídos do uso do serviço.

É claro que os riscos para usuários normais são inevitáveis quando são forçados a fornecer seus dados pessoais a pessoas desconhecidas ou a um serviço centralizado. Simplesmente não há garantia de que nossos dados pessoais estejam seguros ali e mesmo grandes empresas com altos padrões de segurança podem ser hackeadas.

Como todas as coisas em um mundo digitalizado, as empresas/organizações que coletam KYC são vulneráveis a hacks. Vimos que, quando grandes empresas como a Binance são hackeadas, os hackers conseguem roubar um grande número de conteúdo do KYC.

Estes são apenas os eventos que foram reportados. Portanto, não é improvável que essa seja apenas a ponta de um iceberg de hackers de KYC que ainda não foram reconhecidos publicamente, porque esse conhecimento, é claro, prejudicaria muito os negócios de exchanges ou os próprios fornecedores de KYC. Não há dúvida de que hackers profissionais estão desenvolvendo maneiras de invadir e obter dados pessoais relevantes para a aprovação do processo.

Isso leva a outro problema: com a aplicação do KYC em todos os lugares, os documentos pessoais estão se tornando uma mercadoria valiosa do mercado negro e já existe um grande incentivo para invadir ou roubar identidades. Portanto, é inevitável que um enorme mercado ilegal de identidades surja se o KYC for aplicado em todos os lugares.

Todos os usuários que são forçados a executar um KYC de qualquer tipo correm o risco de que seus dados pessoais acabem à venda no mercado negro. Isso, por sua vez, facilita aos criminosos a compra de "pacotes de identidade" compostos por hacks neste mesmo mercado, que contêm todos os dados necessários para representar o usuário cujos dados foram invadidos e para abrir uma conta sob seu nome, através da qual eles podem realizar atividades ilegais.

Quote
Há dois dias, a ccn.com lançou um artigo “Dados hackeados de clientes das principais exchanges de criptomoedas do mundo à venda na Dark Web?”, onde no mercado darknet chamado “Dread”, um fornecedor passando por “ExploitDOT” está tentando vender dados de KYC de usuários das principais exchanges de criptomoedas, que são exigidos pela maioria das jurisdições.

Hoje, meu colega entrou em contato com o vendedor que lhe ofereceu o preço de US$ 15 por cada documento (passaporte ou documento de identidade, comprovante de endereço, foto tipo selfie), totalizando US$ 45 por pessoa. É necessário comprar ao menos 100 identidades KYC (juntas por US$ 4500). O vendedor estava disposto a usar um serviço de escrow confiável para uma transação em criptomoedas, o que significa que esta oferta pode ser confiável.

Identidades hackeadas podem ser muito valiosas para criminosos, especialmente se a identidade puder ser vinculada a outros detalhes relevantes para crimes contra o indivíduo afetado. Alguns destes incluem:

  • nome e endereço físico (de vários documentos ou contas)
  • identificação do governo, passaportes, fotos ou autorretratos
  • dados biométricos (impressão digital, digitalização de face ou íris
  • vários dados de contas de serviços públicos, fonte de riqueza, empregador ou conta bancária
  • senhas, endereço de e-mail utilizado
  • cripto endereços utilizados, incluindo depósitos/saques (+ vinculando outros endereços relacionados por meio de pesquisa em blockchain)

Os criminosos podem usar esses dados de várias maneiras desagradáveis:

  • Eles podem utilizá-lo-lo para cometer atividades criminosas simplesmente personificando a pessoa cujos dados foram hackeados e abrir uma conta em seu nome, através da qual eles podem realizar atividades ilegais.

  • Os criminosos podem usar alguns dos dados para acessar outras contas da pessoa cujos dados foram invadidos:
    • redefinindo contas via endereço de e-mail
    • redefinindo contas por meio de dados biométricos
    • tentando invadir outros sites usando a mesma senha

  • Um dos piores aspectos disso seria a possibilidade de um criminoso coletar dados hackeados suficientes sobre uma pessoa para avaliar quão lucrativo seria um roubo. Isso exigiria:
    • o endereço físico da vítima (obtido de um documento pessoal) e
    • informações sobre sua riqueza (obtidas de depósitos / saques na conta de cripto endereços vinculados ou documentos como fonte de renda, fonte de riqueza, etc.).
    Esse conjunto de dados pode ser suficiente para avaliar uma vítima para um possível roubo. Mesmo que os golpistas estejam localizados em um país diferente, eles podem vender informações sobre "alvos promissores para roubos" a outros criminosos no país de origem da vítima.

  • Alternativamente, os criminosos podem coletar e combinar dados com outras informações provenientes de outros hacks para tornar o conjunto de dados mais valioso para revenda.



O KYC está incentivando fraudes

Além do roubo de identidade, o KYC oferece uma nova receita de lucro para os golpistas, que é uma estratégia de golpes em ascensão atualmente denominada "golpes KYC", que são executados da seguinte maneira:

  • Os usuários depositam criptomoedas em um serviço sem exigir KYC.
  • Depois que um número suficiente de pessoas depositou, o site anuncia que o KYC agora é obrigatório e todos os fundos estão congelados.
  • O site chantageia os usuários para que executem um KYC. Se um usuário não quiser fazer isso, suas criptomoedas serão perdidas, apreendidas pela exchange. Se a exchange for uma farsa, eles também terão valiosos documentos de identidade de seus clientes, que poderão vender ou usar por si próprios.
  • Os usuários não têm chance de se defender.

A mesma estratégia também é usada para bounties (recompensas), especialmente aqueles para bounties de altcoins, ICOs de shitcoin. Portanto, é importante estar ciente dos golpes com o KYC. Isso acontece especialmente com exchanges desconhecidas ou bounties para shitcoins. Recomenda-se usar apenas exchanges grandes e confiáveis que não podem perder sua credibilidade ao usar um esquema KYC.

Sob nenhuma circunstância os usuários devem realizar o KYC para golpistas. Uma exchange respeitável sempre usará os termos e condições sob os quais o usuário depositou seu dinheiro e enviará uma notificação de implementação do KYC enquanto os usuários ainda poderão sacar fundos em limites mais baixos. Dessa forma, os usuários podem ter a chance de retirar suas criptomoedas sem serem enganados.



O KYC ajuda os golpistas a não serem detectados

O KYC é muito apreciado por todos os tipos de golpistas, porque os criminosos podem permanecer sem serem detectados e continuar suas atividades ilícitas usando apenas identidades hackeadas ou roubadas para passar no KYC. Quando há muito dinheiro envolvido, nada os impede:

  • Já existe um grande conjunto de identidades disponíveis no mercado negro, principalmente de outros KYCs hospedados ou invadidos por golpistas. Quanto mais completos os conjuntos de dados, mais valiosos eles ficam. Para passar um KYC, os criminosos só precisam adquirir os registros de dados relevantes no mercado negro.
  • Adicionalmente, os golpistas também podem organizar uma ICO ou abrir uma exchange falsa e solicitar um KYC lá. Eles podem determinar os dados necessários com base no que pretendem fazer com eles posteriormente. Isso possibilitaria aos criminosos obter dados KYC específicos para uma ICO ou exchange selecionada.

De maneira um pouco contra-intuitiva, alguns "especialistas" agora estão propondo impor um procedimento KYC ainda mais excessivo que os clientes de cripto serviços devem aderir, incluindo o envio de verificações de melhor qualidade ou mais dados, incluindo dados biométricos. Essa linha de pensamento está totalmente errada, porque essas medidas provavelmente colocam em risco ainda mais a segurança dos usuários:

  • Os dados biométricos (impressão digital, digitalização de face ou íris) também podem ser usados para fins ilícitos, uma vez que acabem sendo invadidos por criminosos. O dano às pessoas afetadas é talvez várias vezes pior, já que os dados biométricos estão entre os mais sensíveis que podem ser divulgados.
  • Uma melhoria na qualidade dos dados enviados apenas significa que os hackers podem receber dados ainda mais precisos e, portanto, mais valiosos. Esse nível aprimorado de qualidade facilita a personificação de criminosos por outros criminosos.
  • Os criminosos estão cada vez mais começando a reconstruir as peças ausentes com base nos registros KYC roubados e existentes. Métodos para contornar a identificação de vídeo, como "vídeos falsos", estão se desenvolvendo rapidamente. A produção de máscaras realistas, que dificilmente podem ser distinguidas de pessoas reais, é outra maneira de enganar o processo de identificação. Os métodos já foram apresentados no 2018 35c3 em Leipzig, através do qual os procedimentos de identificação por vídeo foram demonstrados sendo contornados.

    Essas técnicas podem estar em um estágio muito inicial e seus resultados não são perfeitos, mas, a princípio, elas já são possíveis. As perspectivas de aumento da lucratividade no caso do KYC ser aplicado em todos os lugares incentivam excessivamente os golpistas a desenvolver métodos de falsificação em um grau ainda maior.

    A princípio, são necessários apenas alguns criminosos: aqueles capazes de verificar contas com dados invadidos. Este serviço pode ser vendido a outros criminosos via darknet, o que por si só tornaria possível minar completamente um processo KYC.

Portanto, se o KYC foi projetado para impedir que criminosos realizem seu trabalho, ele já falhou miseravelmente. Provavelmente, existem milhões de conjuntos de dados KYC no mercado negro, com esse número aumentando diariamente à medida que a aplicação do KYC se torna mais generalizada.

Com as mais recentes técnicas emergentes para manipular todos os procedimentos on-line de KYC, as quadrilhas de criminosos estão bem posicionadas para verificar contas e vendê-las a outros criminosos a um preço alto no mercado negro. Como alternativa, eles poderiam simplesmente invadir contas já verificadas e vendê-las.

Portanto, criminosos com más intenções têm um grande número de opções para contornar a maioria dos tipos de práticas do KYC.



Conclusão: KYC é inútil

O resultado primário dessa avaliação é aparente: o KYC não é apenas inútil, mas, em última análise, incentiva o que deve impedir. O KYC cria novas áreas de crime (negociação de identidades de usuários reais) e aumenta as áreas de crime existentes (agora os criminosos podem passar despercebidos abusando das identidades de usuários inocentes). Também põe em risco a privacidade e a segurança de todos os clientes.

Portanto, infelizmente, a eficácia anunciada do KYC digital nas criptomoedas existe apenas na teoria. A comunidade seria melhor em reconhecer o fato de que não apenas o KYC é inútil, mas também é perigoso e promove o crime. Como os documentos para o KYC são vendidos ilegalmente na web ou até são falsificados por inteligência artificial, o KYC na verdade não prova mais nada.

Na verdade, o KYC está incentivando fraudes e crimes, além de comprometer a privacidade e a segurança de todos os clientes por meio de roubo de identidade. Isso cria uma dinâmica perigosa para os usuários que são forçados a executar uma verificação KYC: toneladas de documentos pessoais estão sendo coletados por criminosos e provavelmente serão divulgados no futuro em um grau que nunca vimos antes.



Como se proteger do KYC?

Tenha cuidado e tente avaliar se vale a pena arriscar o uso do serviço, incluindo todas as consequências negativas associadas. Também lembre-se de quais endereços você vincula a uma conta, caso ela seja hackeada. Vincular sua identidade a endereços de bitcoin / altcoin não pode ser desfeito se alguém souber como associá-los.

Recomenda-se o uso de serviços confiáveis sem KYC, como url=https://bitcointalk.org/index.php?topic=5180421.0]Exchanges P2P[/url] ou você pode negociar aqui no fórum usando um escrow confiável.

Evite o KYC para todo o resto:

  • Nenhum KYC para bounties ou airdrops de altcoins / shitcoins em que os proprietários provavelmente são golpistas ou incompetentes.
  • Nenhum KYC para exchanges de baixa qualidade em que os proprietários provavelmente são golpistas ou incompetentes.
  • Nenhum KYC para quantias baixas de dinheiro, onde simplesmente não vale o risco (isso provavelmente inclui tudo o que não o tornará rico)

É importante destacar os perigos do KYC como uma medida preventiva. Afinal, é apenas uma questão de tempo até que um grande escândalo com KYC conscientize o público em geral sobre o quão perigoso e inútil o KYC realmente é. Infelizmente, será tarde demais quando isso acontecer e o dano já estará feito. Você pode vincular este texto para que o maior número de usuários (e provedores) esteja ciente das falhas deste processo quanto possível.

Em particular, os provedores que abusam da segurança dos usuários para preencher seus próprios bolsos devem estar cientes de seu comportamento irresponsável.

É recomendável usar um provedor que não solicite informações de KYC (ou cujos limites sejam justificados). Isso não é apenas para nos proteger, mas também para oferecer suporte a provedores que protegem seus clientes.


Aviso final: estou escrevendo este texto há algum tempo, desde o início de 2019. Desde o início, quando resumi a maioria dos fatos conhecidos, houve vários artigos informativos publicados na internet que analisam os problemas do KYC em detalhes o desmerecendo.
Os argumentos que fiz até agora não foram apenas confirmados ao ler esses artigos, mas devo admitir que subestimei de longe seu perigo e  inutilidade em minha versão original. A tecnologia e o mercado criminoso de KYC já são muito mais avançados do que eu temia e provavelmente se tornarão ainda mais lucrativos devido à sua aplicação cada vez mais excessiva. Os fraudadores criminosos descobriram no KYC uma oportunidade para seu próprio benefício, para cometer uma nova estratégia de crimes (como a fraude do mesmo), para realizar transações de identidade e, ao mesmo tempo, para continuar suas atividades criminosas despercebidas, com a utilização de identidade de usuários inocentes.
Seria útil para segurança, proteção de dados e prevenção ao crime se fosse rapidamente reconhecido pelo público que o KYC digital não é uma solução, mas um risco que atinge todo usuário inocente.



Lembre-se:

O mundo digital não é tão simples como muitas pessoas acreditam. Como um usuário comum de criptomoedas ou da Internet, você pode cometer muitos erros, mas apenas um único movimento errado será suficiente para causar riscos, mesmo que todo o resto seja perfeito.
Os golpistas geralmente são inteligentes, ocultando traços de suas atividades e aproveitando os conceitos errados. Um desses equívocos é o KYC para serviços centralizados, que geralmente são fáceis de atacar e invadir.
Se nós, usuários comuns, não nos importamos com nossa privacidade, não nos educamos ou não reivindicamos nosso direito de proteção contra criminosos na Web, podemos ter problemas muito rapidamente. Privacidade significa proteção contra esses golpistas e é um bem valioso que todos nós temos o direito de reivindicar. Privacidade não é crime, é nossa proteção na Web contra criminosos e um direito pessoal que devemos tentar proteger sempre que possível.

Sinta-se livre para compartilhar este artigo ou traduzi-lo para o seu fórum local (você pode reservar uma tradução via MP para evitar traduções duplas). Há muita desinformação promovendo uma necessidade inexistente de KYC, mas se as pessoas analisarem os detalhes, isso ajudará na prevenção de muitos crimes e fraudes.




Mais alguns aritgos interessantes que apontam o perigo do KYC:

https://medium.com/@wilderko/how-does-kyc-aml-pose-a-serious-threat-to-your-privacy-and-should-not-be-used-at-all-88f7acd3f3b

https://medium.com/mycrypto/be-careful-with-your-kyc-documents-978ab532f2be

https://blog.goodaudience.com/the-unseen-danger-of-kyc-e3e1c4448eee
Jump to: