Negócios cotidianos comuns - mercearias, restaurantes ou salões de beleza - podem atender clientes livremente sem estabelecer sua identidade. Um caixa não pede que você mostre sua identidade para vender um pão, e certamente não indaga sobre a origem dos fundos que você usa para pagar um corte de cabelo. Além disso, na maioria dos países desenvolvidos, recusar atendimento a um cliente que não deseja divulgar nome, idade, cidadania ou local de residência seria visto como discriminação flagrante.
Mas assim que entramos no domínio de ativos altamente líquidos - como as criptomoedas - o quadro muda. Aqui, a norma é diferente: as empresas são obrigadas a conhecer seus clientes (Know Your Customer, KYC). Os usuários são solicitados a fornecer documentos, selfies com o passaporte, comprovante de endereço e às vezes até extratos bancários.
Os defensores da regulamentação rígida explicam isso de forma simples: você não pode revender uma refeição de restaurante, mas pode facilmente revender criptomoeda. Portanto, um restaurante não pode fazer parte de uma cadeia usada para ocultar atividade criminosa, enquanto um negócio de criptomoedas pode. A alta liquidez é considerada um fator que tornaria os ativos digitais uma ferramenta ideal para criminosos.
Na realidade, isso é um equívoco sério. Os dados de transações em blockchain são armazenados permanentemente. Mesmo que hoje seja difícil rastrear uma cadeia de transações até um indivíduo específico, ninguém pode garantir que novas ferramentas analíticas não surjam amanhã. De fato, elas já estão surgindo: agências de aplicação da lei usam com sucesso análises de blockchain (basta lembrar como o Departamento de Justiça dos EUA apreendeu mais de US$3,6 bilhões em bitcoin roubados no ataque ao Bitfinex).
Mas a principal questão está em outro lugar: a responsabilidade por identificar usuários e verificar a origem de seus fundos deve realmente ser colocada sobre as empresas? Eu acredito que não. E aqui está o porquê.
Um Golpe à Concorrência: Como o KYC Prejudica Startups
Imagine que você está lançando um novo negócio de criptomoedas. Você investe em desenvolvimento, se esforça muito em marketing e atrai seus primeiros clientes. Eles chegam, e você os recebe com a exigência: "Mostre sua identidade, tire uma selfie, explique de onde vem seu dinheiro." Qual será a reação deles?
Os clientes simplesmente vão embora. Não porque tenham algo a esconder, mas porque você é um desconhecido no mercado. Ao lidar com uma grande empresa que opera há dez anos e é confiada por milhões, uma pessoa está disposta a divulgar seus dados: essa empresa tem riscos reputacionais. Com você, essa confiança não existe. E esse é um comportamento racional: se seu serviço desaparecer, falir e deixar de proteger dados, os riscos de fraude ou roubo de identidade permanecerão com o cliente e não desaparecerão junto com sua empresa.
O resultado é previsível: em vez de competição saudável que leva a preços mais baixos e melhor serviço, o mercado fica monopolizado por gigantes. Novas empresas que poderiam oferecer melhores condições e produtos inovadores simplesmente não têm chance. O KYC se torna uma barreira clássica de captura regulatória, protegendo de forma eficaz os líderes incumbentes. O mercado de criptomoedas, que poderia ter sido um modelo de competição aberta, transforma-se em um oligopólio.
A Ilusão da Privacidade, ou Consentimento Forçado
Muitos países têm leis rígidas de proteção de dados pessoais. Seu princípio básico é simples: informações sobre uma pessoa não podem ser coletadas sem seu consentimento voluntário. Os indivíduos têm o direito à privacidade e o direito de não divulgar ao mundo inteiro quais serviços utilizam.
Mas na prática, sem passar pelo KYC, uma pessoa fica efetivamente cortada de categorias inteiras de serviços - principalmente os financeiros. A recusa de um potencial cliente em divulgar informações pessoais força as empresas a negar automaticamente o atendimento.
Em 2025, a FATF — o principal impulsionador global dessa regulamentação — reconheceu que requisitos desproporcionais criaram consequências não intencionais: um grande número de pessoas cumpridoras da lei foi excluído do sistema financeiro legal simplesmente por falta de documentos exigidos ou por não querer revelar sua identidade. Segundo a FATF, isso afeta particularmente refugiados, migrantes e os não bancarizados — aqueles que o Estado deveria proteger.
A posição do Tribunal de Justiça da União Europeia também é reveladora: em 2022, ele invalidou uma regra que tornava informações sobre os beneficiários finais das empresas acessíveis a qualquer membro do público em geral, citando interferência desproporcional na vida privada. O tribunal enfatizou que tal interferência deve ser necessária e proporcional ao objetivo perseguido. No entanto, por alguma razão, esses princípios parecem não se aplicar aos requisitos de KYC mesmo na Europa.
Dados como Isca: o KYC Cria o que Pretende Evitar
Um dos argumentos mais importantes contra o KYC obrigatório é puramente prático. Quando as empresas são obrigadas a coletar milhões de passaportes e selfies, seus servidores se tornam alvos atraentes para cibercriminosos. E essa ameaça não é teórica.
Já em 2019, um hacker conhecido como ExploitDOT foi reportado como vendendo cerca de 100.000 documentos de identidade na darknet Dread, supostamente coletados por grandes exchanges como Binance, Poloniex, Bitfinex e Bittrex como parte de seus procedimentos de KYC. A origem dos dados permaneceu contestada: as exchanges negaram ter sido hackeadas, e os dados podem ter sido roubados de um provedor terceirizado de KYC. Mas isso só torna o incidente mais revelador: a cadeia de custodiante que detém seus dados pessoais é mais longa do que você pensa, e qualquer ponto dessa cadeia pode ser vulnerável.
Em maio de 2025, algo aconteceu que não podia mais ser atribuído à incerteza sobre a fonte: a Coinbase reconheceu publicamente que cibercriminosos subornaram um grupo de contratados de suporte no exterior, que então entregaram dados pessoais de clientes (nomes, endereços, números de telefone, números parciais de Segurança Social e digitalizações de documentos de identidade submetidos durante a verificação KYC). Um total de 69.461 usuários foi afetado. A exchange recusou pagar um resgate de US$20 milhões, mas estimou perdas potenciais do incidente entre US$180 e US$400 milhões.
No outono de 2025, pesquisadores de cibersegurança descobriram um banco de dados não protegido pertencente à plataforma cripto NCX, contendo mais de 5 milhões de registros, incluindo links diretos para os documentos de KYC dos usuários. Tudo isso estava publicamente acessível devido a um erro de configuração do MongoDB. Não foi necessário hack — o banco de dados simplesmente foi deixado aberto.
Em resumo, a melhor forma de proteger dados pessoais é não armazená-los. Cada novo operador que coleta dados de passaporte é um novo risco. O KYC cria não apenas registros de clientes, mas alvos para criminosos. Com acesso ao nome, endereço, dados biométricos e histórico de ativos de uma pessoa, um atacante tem tudo o que precisa para se passar por ela.
Quem Deve Capturar Criminosos: Polícia ou Empresas?
As agências de aplicação da lei são financiadas por impostos para seus serviços — incluindo investigar crimes e combater fluxos financeiros ilícitos. As empresas também são pagas por fornecer serviços. Ainda assim, os procedimentos de KYC efetivamente transferem funções policiais para o setor privado: as empresas são obrigadas a identificar clientes, verificar listas de sanções, analisar a origem dos fundos e relatar transações suspeitas. Ao mesmo tempo, o Estado não as compensa com um centavo dos impostos já pagos para esses fins. Se uma empresa comete um erro, paga uma multa. Se não comete, ainda assim arca com custos enormes por um sistema que, estritamente falando, é uma função estatal.
O que é mais prejudicial aqui são os dados sobre eficácia. Ronald Pol, pesquisador da La Trobe University (Austrália), em seu artigo amplamente citado publicado na revista Policy Design and Practice, constatou que os custos de conformidade excedem a quantia de ativos realmente recuperados de criminosos por mais de cem vezes.
As empresas gastam centenas de bilhões de dólares anualmente (os custos globais de conformidade ultrapassam US$200 bilhões por ano), e mesmo assim os resultados são insignificantes. Que pessoa em sã consciência aceitaria arcar com custos tão sem sentido? Os Estados certamente não — e por isso os repassam para as empresas, e, em última instância, aos consumidores.
Às vezes esse mecanismo assume uma dimensão explicitamente política. Em fevereiro de 2022, durante os protestos dos caminhoneiros no Canadá, o governo aproveitou o fato de que organizações financeiras e de cripto detinham dados dos participantes e instruiu-as a aplicar a Emergencies Act para congelar fundos recebidos. As empresas passaram a atuar como instrumentos políticos, enquanto os cidadãos perderam acesso ao seu próprio dinheiro. Dois anos depois, um tribunal considerou essas ações anticonstitucionais — mas os fundos já haviam sido congelados, e os cidadãos já haviam experimentado a escala da ameaça em primeira mão.
O Mercado Já Proferiu Seu Veredicto
A reação do mercado já é clara. No espaço das criptomoedas, há uma demanda forte e persistente por serviços sem KYC: as pessoas estão dispostas a tolerar inconvenientes, buscar alternativas e até pagar mais — apenas para evitar entregar documentos a empresas desconhecidas com práticas de armazenamento de dados incertas.
Mas frequentemente nem precisam pagar mais. Rabbit.io pode oferecer as melhores taxas de câmbio em parte porque não incorremos nos custos associados à coleta, processamento e armazenamento de dados dos clientes. Naturalmente, quando os consumidores têm escolha, preferem obter serviços onde o custo é menor. É por isso que nossos clientes nos escolhem. E é também por isso que impor KYC às empresas as prejudica efetivamente.
Nossos usuários não são criminosos nem teóricos da conspiração. São pessoas com uma motivação simples e compreensível: concluir uma transação na melhor taxa sem ter que divulgar sua identidade quando isso não é necessário. Quando compro maçãs em uma feira, o vendedor não pede meu passaporte. Quando peço a uma loja para trocar uma nota por cédulas menores, ninguém pergunta por que preciso de diferentes notas. Por que as transações digitais deveriam ser fundamentalmente diferentes?
Conclusão
Os requisitos de KYC criam um sistema em que os custos são distribuídos de forma injusta. As empresas pagam pelo que é essencialmente uma função estatal. Usuários honestos também pagam por isso e ainda arriscam seus dados pessoais. Novas empresas fracassam devido à vantagem competitiva dos grandes incumbentes. Enquanto isso, os verdadeiros infratores encontram formas de contornar o sistema, em parte explorando os próprios registros de dados que as empresas são obrigadas a construir sob os procedimentos de KYC.
Se os governos acreditam que a supervisão dos fluxos financeiros é necessária, então é preciso um debate honesto: quem paga por isso, quem assume a responsabilidade e por que empresas privadas deveriam exercer funções policiais por sua própria conta e em detrimento de seus clientes. Também é necessário reconhecer que o KYC obrigatório e universal é uma ferramenta cara e ineficiente que transforma participantes de boa-fé do mercado em suspeitos, e seus dados em alvos para criminosos.
