Quem acompanha meus posts no meu LinkedIn sabe que uma das maiores preocupações que tenho hoje é em relação a riscos cibernéticos, mas que estou sempre falando de PLD, então hoje queria juntar os dois assuntos em um único post.
Pois a prevenção à lavagem de dinheiro proveniente de crimes cibernéticos, em especial os ataques de sequestro e pedido de resgate de dados, conhecidos como ransomware, tem crescido, com estimativas da indústria apontando para um crescimento de até quatro vezes nos pagamentos por ransomware em 2020 e 2021, comparado a 2019.
Infelizmente este aumento na lucratividade e na probabilidade de sucesso dos ataques é atribuído a novas técnicas, incluindo o direcionamento a entidades de grande valor e o modelo de ransomware como serviço, no qual criminosos vendem kits de software fáceis de usar para afiliados.
Os ataques de ransomware, que representam uma forma de extorsão, podem ter consequências graves, ameaçando a segurança nacional ao danificar e interromper infraestruturas críticas e serviços.
Feito esta introdução, e colocando no contexto, queria agora então comentar sobre um interessante trabalho feito pelo Grupo de Ação Financeira Internacional (FATF) que fez um estudo sobre o tema no ano passado, que incluiu uma interessante lista de indicadores de risco potenciais, que podem ajudar tanto o regulador, como principalmente as IF e empresas, a detectar tais fluxos financeiros.
Um dos pontos principais, e que sinceramente não foi nenhuma novidade, foi que uma das conclusões deste estudo identificou que os pagamentos e a subsequente lavagem de dinheiro dos proventos do ransomware são realizados quase exclusivamente por meio de ativos virtuais. Pois os criminosos de ransomware exploram a natureza internacional dos ativos virtuais para facilitar transações transfronteiriças em grande escala e quase instantâneas, às vezes sem o envolvimento de instituições financeiras tradicionais que possuem programas de PLD. E para piorar ainda mais, utilizam tecnologias, técnicas e tokens que aumentam o anonimato no processo de lavagem, como criptoativos aprimorados pela anonimidade e misturadores.
A utilização quase exclusiva de ativos virtuais em lavagem de dinheiro relacionada ao ransomware ressalta a importância de acelerar a implementação da Recomendação 15 do FATF, que exige que as jurisdições implementem medidas para mitigar os riscos vinculados aos ativos virtuais e regulamentem o setor de provedores de serviços de ativos virtuais (VASP). Esses esforços coordenados de todos países são importantes para impedir que criminosos acessem facilmente VASPs localizados em jurisdições com controles PLD fracos ou inexistentes para lavar os lucros de seus crimes.
Além disso, o estudo apontou que os ataques de ransomware são geralmente subnotificados, seja devido a desafios na detecção pelo setor privado, impactos negativos nos negócios das vítimas ou medo de retaliação por parte dos criminosos. Isso explica, em parte, a falta de experiência na investigação de lavagem de dinheiro relacionada ao ransomware. Neste sentido, é importante que os países e seus reguladores trabalhem para aumentar e melhorar as fontes de detecção e relato, devendo agir rapidamente para coletar informações relevantes e devem possuir as ferramentas e habilidades necessárias para rastrear e recuperar ativos virtuais efetivamente.
Neste sentido, as investigações de ransomware deveriam envolver também participantes fora das tradicionais de PLD como o COAF, mas incluir agências de cibersegurança e proteção de dados, exigindo, portanto, uma abordagem multidisciplinar e coordenada para combater eficazmente o ransomware e a lavagem de dinheiro associada. Devido à natureza descentralizada e transnacional dos ativos virtuais, é imperativo construir e aproveitar os mecanismos de cooperação internacional existentes para combater com sucesso a lavagem de dinheiro relacionada ao ransomware.
Mas como fazer isto na prática?
Para aprimorar a capacidade dos países de combater os fluxos financeiros ilícitos relacionados ao ransomware, o estudo realizado pelo Grupo de Ação Financeira Internacional (FATF) oferece exemplos práticos e sugestões de ações que podem ser adotadas pelos países e seus reguladores (Fica a dica para o Bacen, que sim já indicou que está indo na direção de muitas delas). Estas ações visam melhorar a eficácia na interrupção da lavagem de dinheiro associada ao ransomware, resumindo boas práticas e sugerindo como países e seus reguladores podem aprimorar suas estratégias.
1) Implementação dos Padrões FATF Relacionados aos VASPs e Melhoria na Detecção:
- Países e reguladores locais devem acelerar a conformidade com os Padrões FATF relevantes para o setor de Provedores de Serviços de Ativos Virtuais (VASPs), implementando a Recomendação 15 (incluindo a Regra de Viagem) o mais rápido possível. Isso garante que os VASPs cumpram com as obrigações necessárias de PLD para capturar informações financeiras críticas e relatar transações suspeitas.
- Países e reguladores locais devem garantir que o ransomware seja criminalizado como um crime antecedente à lavagem de dinheiro, conforme a Recomendação 3 do FATF (por exemplo como um tipo de extorsão).
- Para aprimorar a detecção de ransomware, os países e reguladores locais devem: apoiar entidades reguladas a detectar ransomware e lavagem de dinheiro relacionada e relatar transações suspeitas, inclusive compartilhando tendências, guias de detecção e indicadores de alerta com as entidades de relatório relevantes. Incentivar as vítimas a relatar voluntariamente os incidentes, por meio do aumento da conscientização sobre os recursos de apoio disponíveis ou criando canais seguros para relatório.
2) Promoção de Investigações Financeiras e Esforços de Recuperação de Ativos:
- As autoridades competentes devem utilizar e adaptar, conforme necessário, técnicas tradicionais de aplicação da lei, bem como técnicas específicas para ativos virtuais, para conduzir investigações de lavagem de dinheiro relacionadas ao ransomware. Isso inclui o desenvolvimento, acesso e treinamento relacionados a análises de blockchain e ferramentas de monitoramento.
- Os países e reguladores locais devem garantir que a aplicação da lei tenha e mantenha as habilidades e poderes necessários para apreender e confiscar ativos de forma rápida e eficaz, especialmente ativos virtuais.
3) Adoção de uma Abordagem Multidisciplinar:
- Os países e reguladores locais devem identificar e avaliar os riscos de lavagem de dinheiro apresentados pelo ransomware em suas avaliações de risco nacionais. Isso inclui o desenvolvimento de mecanismos de coordenação entre várias autoridades competentes e parceiros não tradicionais, promovendo o compartilhamento de informações e inteligência.
4) Apoio a Parcerias com o Setor Privado:
- Os países e reguladores locais devem identificar e estabelecer mecanismos que suportem a cooperação público-privada, considerando a inclusão de VASPs e outros parceiros não tradicionais nesses mecanismos. Isso cria plataformas úteis para elevar a conscientização, trocar expertise e insights, bem como apoiar os objetivos da aplicação da lei.
5) Melhoria na Cooperação Internacional:
- Os países e reguladores locais devem estabelecer e participar ativamente de mecanismos bilaterais, regionais e multilaterais, facilitando a cooperação internacional rápida e a troca de informações. Isso ajuda no rastreamento rápido de fundos transfronteiriços e na recuperação eficaz de ativos, além de auxiliar as autoridades a desmantelar redes transnacionais que participam do ransomware e da lavagem de dinheiro associada.
Essas ações propostas pelo FATF visam fortalecer a resposta global contra o ransomware e a lavagem de dinheiro relacionada, enfatizando a importância da implementação dos padrões internacionais de PLD, do desenvolvimento de habilidades especializadas, da cooperação entre diferentes setores e jurisdições, e da promoção de uma abordagem proativa e colaborativa para enfrentar esses desafios de forma eficaz.
No contexto do combate ao financiamento do ransomware, a identificação de indicadores de risco potenciais é fundamental para aprimorar a detecção de transações suspeitas relacionadas a esses ataques. Esses indicadores, derivados da experiência e dos dados recebidos por diversos países e reguladores, são projetados para auxiliar tanto o setor público quanto o privado, incluindo Provedores de Serviços de Ativos Virtuais (VASPs), bancos e outras instituições financeiras e de pagamento, na identificação de pagamentos de vítimas de ransomware.
A existência de um único indicador relacionado a um cliente ou transação pode não, por si só, justificar a suspeita de uma ofensa de ransomware, mas pode motivar um monitoramento e exame mais detalhados conforme apropriado. A lista de indicadores é complementar àquelas fornecidas nos Indicadores de Alerta Vermelho para Ativos Virtuais do FATF e se mostra relevante para a detecção de pagamentos de vítimas de ransomware em várias etapas do processo.
1) Para Bancos/Outras Instituições Financeiras e de Pagamento:
- Transferências bancárias para empresas de consultoria em cibersegurança ou firmas de resposta a incidentes especializadas em remediação de ransomware.
- Transferências bancárias incomuns provenientes de seguradoras especializadas em remediação de ransomware.
- Autodenúncia de um cliente sobre um ataque de ransomware ou pagamento.
- Informações de fontes abertas sobre ataques de ransomware em clientes.
- Alto volume de transações de uma mesma conta bancária para múltiplas contas em um VASP.
- Descrição de pagamento contendo palavras como "resgate" ou nomes de grupos de ransomware.
- Pagamentos feitos a VASPs em jurisdições de alto risco.
2) Para VASPs:
- Solicitações de compra de ativos virtuais por uma firma de resposta a incidentes ou seguradora em nome de um terceiro.
- Clientes informando à VASP que estão adquirindo ativos virtuais para pagamento de ransomware.
- Usuários sem histórico de transações de ativos virtuais enviando fundos fora das práticas comerciais padrão.
- Cliente aumentando o limite de uma conta e enviando para um terceiro.
- Cliente ansioso ou impaciente com o tempo de processamento de um pagamento.
- Compras ou transferências envolvendo criptomoedas que aumentam o anonimato.
- Pagamentos feitos a VASPs em jurisdições de alto risco.
- Um novo cliente compra ativos virtuais e transfere o saldo total de sua conta para um único endereço.
3) Identificação de Recebimento de Pagamento de Ransomware/Conta de Criminoso de Ransomware por VASPs:
- Pouca ou nenhuma atividade de moeda digital após uma grande transferência inicial de ativos virtuais.
- Análise de blockchain em endereços de carteiras revela vínculos com ransomware.
- Retirada imediata após a conversão de fundos para ativos virtuais.
- Envio de ativos virtuais para carteiras ligadas ao ransomware.
- Uso de VASP em jurisdição de alto risco.
- Transferência de ativos virtuais para um serviço de mistura.
- Uso de rede encriptada.
- Informações de verificação incluem fotografia de dados numa tela de computador ou nome de arquivo contendo "imagem WhatsApp" ou similar.
- Sintaxe do cliente não corresponde à demografia do cliente.
- Informações do cliente mostram posse de conta de e-mail conhecida por alta privacidade, como ProtonMail ou Tutanota.
- Detalhes de identificação inconsistentes ou tentativa de criar uma conta com identidade falsa.
- Múltiplas contas vinculadas aos mesmos detalhes de contato; endereços compartilhados sob diferentes nomes.
- Aparente uso de VPN pelo cliente.
- Transações envolvendo criptomoedas que aumentam o anonimato.
Estes indicadores são ferramentas essenciais para as entidades reguladas na identificação e no relato de atividades suspeitas, contribuindo significativamente para os esforços globais de combate à lavagem de dinheiro e ao financiamento do terrorismo relacionados ao ransomware.
Podem ter acesso ao material completo em: