Cidade

O que os maiores crimes com criptomoedas dos últimos anos nos ensinaram

Nos últimos anos, os crimes com criptomoedas se tornaram uma questão jurídica e regulatória central no mundo todo. Das grandes invasões a plataformas especializadas até os esquemas de fraude doméstica e lavagem de dinheiro por meio de ativos digitais, os padrões que emergiram recentemente revelam fragilidades sistêmicas no ecossistema cripto.

Cabe agora aos advogados, reguladores e profissionais da área jurídica compreender como gerenciar esses riscos e moldar as políticas futuras.

O ataque à Bybit

No início de 2025, ocorreu o que pode ser o maior roubo de criptomoedas da história. Em 21 de fevereiro, a plataforma Bybit, sediada nos Emirados Árabes Unidos, relatou que cibercriminosos haviam comprometido sua infraestrutura e desviado um valor estimado em 1,5 bilhão de dólares em criptoativos, principalmente Ethereum.

Posteriormente, análises da blockchain vincularam a intrusão ao Grupo Lazarus, uma organização de cibercrime da Coreia do Norte. O incidente, por si só, foi responsável pela maior parte das perdas em cibersegurança de 2025, avaliadas em quase 3 bilhões de dólares.

O incidente ressaltou várias lições importantes:

- A complexidade técnica não garante segurança: o armazenamento a frio, considerado por muito tempo o padrão ouro da segurança de criptomoedas, falhou devido a fragilidades introduzidas nos processos do sistema e na interação humana durante a assinatura de carteiras.
- A imprevisibilidade regulatória é um problema: na ausência de padrões globais uniformes para a custódia de ativos digitais, as corretoras apresentam controles operacionais bastante divergentes, deixando usuários e contrapartes vulneráveis.
- Os gargalos na aplicação da lei em diferentes jurisdições persistem: o ataque envolveu entidades e agentes em diversas jurisdições, o que complica a investigação e os esforços de recuperação de ativos.

A resposta regulatória já começou a refletir esse ambiente de risco. Por exemplo, o Banco Central do Brasil recentemente endureceu as regras de supervisão para provedores de serviços de ativos virtuais, ampliando as proteções ao consumidor e os requisitos de controle interno para combater fraudes, lavagem de dinheiro e outras atividades ilícitas ligadas aos mercados de criptomoedas.

Além dos grandes roubos

Ataques de grande escala contra exchanges costumam ganhar as manchetes, mas o maior volume de perdas no setor acontece de forma silenciosa: golpes direcionados a usuários comuns e pequenas empresas por meio de phishing e engenharia social. Pesquisas recentes, como este relatório da Halborn, indicam que a maioria das invasões bem-sucedidas nos últimos anos explorou credenciais comprometidas ou chaves privadas vazadas, não falhas em algoritmos criptográficos.

Diante desse cenário, práticas básicas de segurança fazem diferença. O uso de redes virtuais privadas (VPNs), por exemplo, ajuda a proteger conexões em redes públicas. É importante saber como usar VPN para proteger sua privacidade em conjunto com outras medidas de segurança. Medidas como autenticação de dois fatores e verificação independente de endereços de carteira também reduzem riscos e podem ser interpretadas como “cuidados razoáveis” em disputas legais ou análises regulatórias.

Escândalo brasileiro

Se, no quadro internacional, os ataques miram nos indivíduos, no Brasil, a realidade não é diversa. É o que ilustra o mega ataque sofrido, em 2025, pela C&M Software, uma empresa brasileira de serviços de tecnologia conectada ao sistema de mensagens de pagamentos do Banco Central.

Segundo as autoridades locais, um operador do sistema vendeu suas credenciais de acesso, permitindo que os invasores conseguissem desviar milhões em fundos de instituições financeiras. As autoridades bloquearam e recuperaram parte do dinheiro desviado, mas grande parte permanece desaparecida. 

Lições jurídicas e sistêmicas

A partir desses casos, alguns temas recorrentes emergem:

- A segurança técnica é necessária, mas não suficiente. A criptografia pode oferecer certa proteção, mas o risco geralmente reside nos humanos e nas interfaces.
- A ambiguidade jurisdicional complica a aplicação da lei. As transações com criptomoedas não respeitam fronteiras nacionais, o que torna a investigação cooperativa e a coleta de provas elementos essenciais para uma acusação eficaz.
- A gestão preventiva de riscos é importante nas avaliações de responsabilidade. Demonstrar medidas proativas de segurança cibernética pode influenciar as conclusões sobre negligência, além de impactar análises de conformidade regulatória.

Ao analisar cuidadosamente esses episódios, atores políticos e jurídicos podem identificar bases concretas para o aprimoramento de estruturas de avaliação de riscos, estratégias de litígio e formulação de políticas públicas mais eficazes.