Leitura obrigatória para projetos Web3: terceirizar o KYC e poder "passar a culpa" para terceiros em caso de problemas?

Artigo por:邓小宇、李浩均

Introdução

No círculo Web3, circula uma ilusão de conformidade de grande perigo: desde que a equipe do projeto gaste dinheiro para terceirizar as atividades de KYC (verificação de identidade) e AML (antiblanqueamento) para uma instituição terceira de renome internacional, isso equivale a comprar uma “apólice de isenção criminal”. Uma vez que a plataforma se envolva em lavagem de dinheiro ou fundos de atividades ilícitas, essa “panela” deve ser carregada pelo terceirizado, permitindo que a equipe do projeto fique tranquilamente de braços cruzados.

Essa ideia, aos olhos dos advogados, é “ingênua”; aos olhos das autoridades de investigação, é “nada mais que uma fachada”; e na prática, é uma bomba-relógio que pode explodir a qualquer momento.

Nos últimos dois anos, com a contínua intensificação das ações das autoridades judiciais contra crimes relacionados a moedas virtuais, especialmente na investigação aprofundada de crimes de “auxílio ao crime”, “encobrimento” e até “gestão ilegal”, essa lógica de conformidade do tipo avestruz vem sendo destruída por uma cadeia de provas cada vez mais sólida. Os projetos devem reconhecer claramente: terceirizar não é sinônimo de conformidade, muito menos de imunidade criminal.

Terceirizar KYC não é uma “medalha de imunidade”: como o direito penal vê a “ação neutra”?

Muitos projetos acreditam que, ao pagar por um serviço, estão praticando uma “ação tecnicamente neutra” ou uma “ação comercial neutra”. Mas o advogado Mankiw alerta: ações neutras têm limites.

1. Conformidade formal não equivale à conformidade substancial

Com base em precedentes judiciais do setor de pagamentos tradicionais e de pagamentos agregados (pagamentos de quatro partes), a lógica unificada na análise de defesas de “conformidade terceirizada” é: “a terceirização técnica não isenta a responsabilidade do sujeito”. No direito penal, se você apenas terceirizar uma solução de KYC superficial para enganar, isso é facilmente interpretado na prática judicial como “em nome da conformidade, na verdade, negligência”. O que o tribunal valoriza é se você cumpriu uma “obrigação de diligência substancial”, e não apenas o contrato de terceirização.

2. Avaliação do “conhecimento subjetivo” sob o impacto do crime cibernético com IA

Com o avanço da tecnologia de IA, mesmo ao integrar interfaces padrão de KYC, os projetos ainda enfrentam grandes desafios. Atualmente, criminosos utilizam ferramentas como ProKYC e OnlyFake para gerar fotos de passaportes falsos altamente realistas a baixo custo, além de usar deepfake para criar vídeos de verificação de vida, injetando-os no sistema via “câmeras virtuais” para passar por verificações automáticas.

No início, os projetos podem alegar “não entender as técnicas de atividades ilícitas”, mas, diante do uso de ferramentas como ProKYC, as autoridades entenderão que: como equipe profissional, você deveria prever que a revisão estática do terceirizado não consegue impedir a falsificação por IA.

Se o backend da plataforma apresentar muitas características técnicas óbvias, como “fundo de documentos idêntico, mas rostos diferentes” ou “ambiente de iluminação idêntico durante a verificação de múltiplos usuários”, e a equipe do projeto não atualizar os mecanismos de “detecção de injeção” ou aumentar inspeções manuais, essa “negligência técnica” pode ser facilmente considerada na acusação criminal como “sabendo da atividade criminosa de terceiros e ajudando”.

3. Responsabilidade criminal é intransferível

Muitos projetos, ao assinar contratos de terceirização, tentam incluir cláusulas de “isenção de responsabilidade” ou “indenização”, declarando que as consequências legais decorrentes de uma revisão negligente do terceirizado serão de sua responsabilidade. Mas, no sistema jurídico penal, essas cláusulas são quase inúteis.

A responsabilidade criminal é altamente pessoal. Se uma pessoa ou entidade comete um crime, depende de suas próprias ações que atendam aos elementos do crime. Você não pode transferir uma obrigação penal legal por meio de um contrato civil.

De acordo com o Artigo 153 do Código Civil, atos civis que violem disposições obrigatórias da lei ou regulamentos administrativos, ou que contrariem a ordem pública e os bons costumes, são inválidos. Qualquer cláusula contratual que tente escapar da punição criminal ou evitar obrigações de combate à lavagem de dinheiro será considerada inválida pelas autoridades judiciais, podendo até ser usada como prova de que a equipe do projeto tem uma intenção subjetiva de “evadir-se da fiscalização”.

Nos projetos Web3, se for considerado “crime de entidade”, de acordo com o sistema de “dupla punição” do Código Penal para crimes de entidade, não só a equipe do projeto será punida, mas também os “responsáveis diretos” (CEO, CTO) e os “outros responsáveis diretos” (responsável de conformidade) serão os principais alvos de responsabilização criminal. O contrato de terceirização não só não te salva, como pode agravar sua culpa subjetiva devido à sua “seletiva negligência” na escolha de terceiros.

Três dimensões-chave que determinam a responsabilidade criminal: salvar a pele ou perder a vida?

Quando a equipe do projeto estiver na sala de interrogatório por suspeita de “auxílio ao crime” ou “encobrimento”, a tarefa central das autoridades é demonstrar seu “conhecimento subjetivo”. Ter terceirizado o KYC pode aliviar ou agravar sua responsabilidade, dependendo da reconstrução das seguintes provas:

1. Está alinhado com os padrões do setor ou é apenas “comprar uma credencial”?

Na conformidade regulatória, a escolha do fornecedor já reflete sua postura de conformidade.

Optar por fornecedores reconhecidos internacionalmente como Sumsub, Jumio, Onfido, pagando o preço de mercado, demonstra uma busca subjetiva pelos mais altos padrões e o cumprimento da “obrigação de cuidado razoável”; escolher fornecedores menores que prometem “alta taxa de aprovação” ou “revisão permissiva” pode ser interpretado como: ciente dos riscos, mas deliberadamente reduzindo os padrões de defesa, com uma motivação evidente de “negligência”.

2. Após sinais de alerta, você é “bloqueio de conta” ou “fingir morte”?

Este é o núcleo da prova para determinar o “auxílio ao crime”. Se os logs do backend registrarem milhares de alertas de “identidade anormal”, mas a equipe do projeto não realizar revisões manuais ou tomar medidas restritivas, o contrato de terceirização se torna uma prova irrefutável de “conhecimento e negligência”. Portanto, é essencial estabelecer um mecanismo completo de “feedback técnico - ação manual”. Sem logs de ações corretivas, a conformidade do terceirizado é praticamente nula na lei.

3. A origem do lucro possui “contraprestação ilícita”?

O fluxo de dinheiro é o indicador final para determinar a responsabilidade penal. Se a plataforma permite “padrões de conformidade baixos” para obter lucros muito acima da média do setor, o juiz pode reconhecer que esses lucros têm a natureza de “participação criminosa”. Se os custos pagos ao fornecedor forem muito inferiores ao custo normal, essa irracionalidade comercial desmascara a falsa neutralidade técnica.

Recomendações práticas de Mankiw

Para evitar que a terceirização de conformidade se torne uma prova de responsabilidade criminal, recomenda-se às equipes do projeto:

1. Manter logs de due diligence: registrar motivos para escolher o terceirizado, processos de verificação de qualificações e contratos formais.

2. Estabelecer mecanismo de revisão secundária: para usuários de “alto risco” sinalizados pelo sistema, deve-se manter registros de revisão manual pela equipe de conformidade interna.

3. Realizar auditorias de conformidade periódicas: pelo menos uma vez ao ano, contratar advogados especializados ou terceiros para auditar a conformidade e emitir relatórios, como prova de ausência de intenção subjetiva.

4. Proibir “automação absoluta”: evitar scripts que permitam aprovação automática de todas as revisões. Qualquer serviço de KYC de baixo custo que prometa 100% de aprovação sem falhas é uma “indução ao crime” sob o direito penal.

5. Responder às notificações regulatórias: ao receber uma notificação de cooperação, deve-se imediatamente desconectar-se das contas de risco relacionadas, sem confiar na sorte.

Conclusão:

A disputa pela conformidade na indústria Web3 já deixou para trás a era dos tempos em que “contratos de terceirização” podiam enganar as autoridades de forma ingênua.

Terceirizar atividades de KYC é, na essência, adquirir um serviço técnico, não transferir riscos criminais. Se você tentar usar o terceirizado como uma “parede de fogo” para escapar da responsabilidade, essa parede costuma ser mais frágil que papel diante da rastreabilidade digital penetrante das autoridades judiciais.

Por fim, uma frase para todos: conformidade é realmente cara, mas, em comparação com o custo de perder a liberdade, é sempre o investimento mais vantajoso. Diante da linha vermelha penal, só a conformidade substancial oferece verdadeira segurança ao projeto.