03 Out 2021 · 5 min read

Como prevenir o roubo de criptomoedas - e quem culpar quando isso acontecer

Shaun Young é um advogado e Moses Akanmu é um advogado estagiário no escritório de advocacia Royds Withy King. Os autores transformaram este artigo em um artigo centrado no Reino Unido, examinando estudos de caso e leis do Reino Unido. 

____

À medida que vemos o aumento da popularidade dos criptoativos, eles estão entrando no mercado financeiro e comercial. Já vimos alguns grandes varejistas começarem a adotar moedas digitais como forma de pagamento, por exemplo, Microsoft, Expedia, Shopify, Etsy, Phillipp Plein, Whole Foods (de propriedade da Amazon), Paypal e Lush. Lojas britânicas conhecidas como Tesco, Sainsbury's, Marks & Spencer, John Lewis, Asda e Argos também começaram a aceitar cartões-presente via Bitpay

Estima-se que 3,3 milhões de pessoas, 5% da população total do Reino Unido, atualmente possuem criptomoedas (de acordo com um estudo da TripleA), e esse número deve continuar a crescer.  

A adoção mais ampla, entretanto, traz riscos associados, e mais usuários significa uma recompensa maior para hackers inescrupulosos que buscam obter acesso à riqueza digital dos usuários.

Isso é destacado pelos casos recentes em que hackers conseguiram roubar US$ 600 milhões da plataforma de finanças descentralizadas (DeFi) PolyNetwork (uma plataforma que facilita a troca de tokens entre vários blockchains); e os hackers roubaram US$ 100 milhões da Liquid, uma importante exchange de criptomoeda japonesa (com operações em 100 países e atendendo a milhões de usuários).

Ambos os casos mostram a falta de salvaguardas que existem dentro do espaço cripto. 

O que os usuários e fornecedores de plataforma podem fazer para proteger esses criptoativos e essas medidas são suficientes?

Em primeiro lugar, quais etapas as próprias plataformas estão realizando:

  • Seguros - A Coinbase oferece seguro contra crimes que protege uma parte dos ativos digitais mantidos em seus sistemas de armazenamento contra perdas por roubo, incluindo violações de segurança cibernética. No entanto, sua política não cobre quaisquer perdas resultantes de acesso não autorizado às contas pessoais da Coinbase ou dos usuários Coinbase Pro devido a uma violação ou perda de credenciais, e seus termos e condições deixam claro que é responsabilidade do usuário garantir uma senha forte e manter o controle sobre as credenciais de login.
  • Armazenamento offline - Como medida de segurança, a Coinbase armazena 98% dos fundos dos clientes offline.
  • O processo:
  • Os dados confidenciais que normalmente residiriam nos servidores Coinbase são totalmente desconectados da Internet;
  • Os dados são então divididos com redundância, criptografados em AES-256 e copiados para unidades USB FIPS-140 e backups em papel; e
  • Drives e backups em papel são distribuídos geograficamente em cofres e cofres em todo o mundo.
  • Verificação em duas etapas em todas as contas - junto com o nome de usuário e a senha, os usuários devem inserir um código de seus telefones celulares (camada adicional de segurança).

Essas medidas de segurança dificilmente são exaustivas, com os hackers conseguindo contornar muitas delas. Como tal, os fornecedores de plataforma geralmente procuram “terceirizar” a responsabilidade até o limite máximo permitido por lei por meio de exclusões em seus termos e condições. 

Até o momento, há pouca ou nenhuma jurisprudência disponível para testar a resolução dos Tribunais de impor responsabilidade em exchanges e plataformas de criptografia que incorporem tais exclusões em seus termos de uso. A probabilidade de o Tribunal executar a responsabilidade em uma plataforma dependeria em grande parte se o usuário da plataforma é considerado um usuário consumidor ou empresarial.

O primeiro provavelmente daria origem aos tribunais considerando a Lei dos Direitos Consumidor de 2015 e suas exclusões de responsabilidade permitidas por lei. Whist, para um usuário empresarial, o Tribunal provavelmente utilizaria o Supply of Goods Act 1979 ou o Unfair Contract Terms Act 1977 para examinar a extensão da responsabilidade de uma plataforma. Essas legislações são geralmente menos robustas.

Com o acima em mente, os usuários também devem ser questionados sobre as etapas que podem seguir para mitigar os riscos de pessoas que conseguem acessar seus criptoativos. Essas etapas incluem o seguinte:

  1. Usar uma cold wallet, também conhecida como offline ou hardware wallets;
  2. Usando internet segura, evitando Wi-Fi público e fazendo uso de VPN para maior segurança;
  3. Manter várias carteiras - não há limites para quantas carteiras um investidor pode ter - diversificar o portfólio de criptomoedas em carteiras multipolares, da mesma forma que as pessoas podem manter seu dinheiro em vários bancos, investimentos ou contas de poupança diferentes para espalhar o risco;
  4. Mudança de senhas regularmente;
  5. Protegendo dispositivos pessoais - antivírus e firewall.

Apesar das etapas acima, os hackers ainda estão aproveitando essas medidas em alguns casos e, embora medidas preventivas possam ser tomadas, não há substituto para as vítimas de um furto terem o direito de recurso legal contra o perpetrador.

Embora não haja uma estrutura regulamentar ou legal clara no Reino Unido até o momento, estamos começando a ver uma maior disposição para um entendimento institucional e abordagem para criptoativos, destacada pelos esforços conjuntos da Cryptoassets Taskforce, HM Treasury, Financial Conduct Authority (FCA) e o Banco da Inglaterra para estabelecer uma abordagem universal para criptoativos e tecnologia de razão distribuída.

Os tribunais também decidiram recentemente em questões como AA v Pessoas Desconhecidas [2019] EWHC 3556 (Comm) e Elena Vorotyntseva v Money-4 Limited t / a Nebeus.com, Sergey Romanovskiy, Konstantin Zaripov. Em ambos os casos, as vítimas de furto puderam fazer valer um direito de propriedade sobre o criptoativo e, assim, fazer uso dos recursos equitativos à sua disposição. 

Essas etapas são promissoras e, à medida que a aceitação do uso de criptoativos continua a crescer, espera-se que o desenvolvimento do direito consuetudinário nesta área, quando associado a um entendimento mais desenvolvido que está sendo desenvolvido pelas principais instituições financeiras, ajude a combater o risco de aumentando os ataques cibernéticos.