Criptoativos, regulamentação e criptocriminalidade (parte 1)

Vasps são instituições financeiras?

Escrevi aqui na ConJur sobre minhas primeiras impressões acerca das consequências da recente regulamentação de ativos virtuais no delito de evasão de divisas. As Resoluções 519, 520 e 521 do Banco Central (BC), que entraram em vigor no mês de maio, repercutiram na então irrestrita liberdade de circulação dos criptoativos em território nacional.

As normas descrevem conceitos que, para quem já está familiarizado com o mercado, não caracterizam novidade alguma. Mas para quem está se inteirando do assunto, talvez sejam necessários alguns esclarecimentos.

Primeiro: o BC não regulamentou as criptomoedas (única exceção: stablecoins algorítmicas estão proibidas). Regulamentou a criação e o funcionamento de empresas prestadoras de serviços de intermediação de ativos virtuais. As Vasps (virtual asset service provider) ou, segundo a norma brasileira, as sociedades prestadoras de serviços de ativos virtuais (SPSATV).

A Resolução 519 tratou do processo de autorização e funcionamento das Vasps — porém, não somente delas — em território nacional. Requisitos da sociedade, sede, número mínimo de diretores (3), exigências para o controlador etc.

Consequência: qualquer empresa brasileira ou estrangeira que pretenda atuar no segmento de ativos virtuais no Brasil necessitará de autorização do BC e de um CNPJ válido por aqui.

Consequência penal: as Vasps enquadram-se no conceito de instituição financeira para fins penais (artigo 1° da Lei n° 7.492/86). Não apenas porque necessitam de autorização do BC para operar. Existem algumas empresas que necessitam dessa autorização, mas não são materialmente instituições financeiras, pois funcionam com capital próprio (ex.: as antigas “sociedades repassadoras de créditos do BNH” [1]). O que atrai a rubrica “instituição financeira” não é a exigência de autorização do BC, mas sim a administração de recursos de terceiros. E isso as Vasps fazem.

Consequentemente, eventuais fraudes ou gestão ilegal de riscos poderão, agora, enquadrar-se nos crimes de gestão fraudulenta ou temerária de Vasps (artigo 4° da Lei n° 7.492/86) e demais infrações penais contidas naquele diploma legal.

Além disso, o responsável por uma Vasp que opere sem autorização, ou fora da autorização que lhe foi concedida, estará potencialmente sujeito — desde que preenchidos os demais critérios de imputação objetiva e subjetiva do tipo penal — às sanções do artigo 16 da Lei n° 7.492/86.

O que são ativos virtuais?

A regulamentação não fornece um conceito preciso. É curioso que nenhuma das três resoluções fale expressamente em blockchain.

Ativo virtual é a representação digital de valores que são negociados por tecnologia de registros distribuídos (DLT), da qual a blockchain é a mais conhecida. Uma espécie de livro-razão digital que armazena blocos de dados criptografados num conteúdo descentralizado e imutável numa rede de computadores.

Fazendo uma analogia grosseira, uma espécie de Sisbacen mundial não comandado por autoridade alguma, fragmentado em bases de dados espalhadas pelo mundo e que armazena dados virtuais altamente seguros e transparentes. Ficam de fora do conceito depósitos bancários (ainda que tokenizados), NFTs, valores mobiliários, tokens de utilidades etc.

De uma maneira geral, são as criptomoedas e suas espécies: altcoins (criptomoedas que não sejam o bitcoin), stablecoins (criptomoedas lastreadas em moeda fiduciária [normalmente o dólar], em commodities [PAXG — ouro], em outras criptomoedas ou em mecanismos algorítmicos — estas últimas, proibidas pelo BC)”.

A grande maioria das criptomoedas não está lastreada por uma moeda fiduciária. Elas funcionam com base na confiança do sistema blockchain, ou seja, estão lastreadas nelas mesmas. Por essa razão, são muito mais voláteis em comparação com as stablecoins.

As stablecoins vêm ganhando importância como meio internacional de pagamento. Por estarem amparadas normalmente em dólar, funcionam como um instrumento final de dolarização de transações internacionais rápidas, de baixo custo e não sujeitas à tributação. Não sem razão que os EUA incentivam o seu fluxo. E não sem razão que muitos países vêm protestando contra a legitimidade desse instrumento de compensação internacional, que escapa do controle monetário centralizado e pode mundializar inflação em dólar.

O BC, percebendo o crescimento do uso de stablecoins como meios de pagamento (no Brasil, US$ 6,9 bilhões foram movimentados em compra de stablecoins no primeiro trimestre de 2026), limitou consideravelmente o uso de criptomoedas para liquidações de negócios internacionais pelo sistema eletrônico de câmbio (eFX).

A Resolução 561 entrará em vigor em outubro. Ela não proíbe – e nem poderia – o uso de pagamentos internacionais por criptomoedas pelo sistema P2P. Porém, restringe consideravelmente a atuação de intermediárias de pagamentos internacionais (Wize, por exemplo) que usam provedor eFX e sua contraparte estrangeira.

Só esse assunto já abre um universo de questões interessantes que poderão gerar repercussão criminal.

Intermediárias, custodiantes e corretoras

A Resolução 520 tratou dos tipos de Vasps e do funcionamento de cada uma delas. São três as modalidades:

– Intermediárias: responsáveis pela compra, venda e troca de criptoativos; administração das carteiras, subscrição e emissão de ativos virtuais. Essas sociedades não têm a custódia dos criptoativos;

– Custodiantes: sociedades responsáveis pela guarda e controle dos ativos virtuais (chaves privadas);

– Corretoras: sociedades que estão autorizadas a realizar as duas operações anteriores.

O capital social para a criação de cada uma delas aumentou consideravelmente. Antes, variavam de R$ 1 milhão a R$ 3 milhões. Agora, abrir uma dessas empresas pode exigir provisionamento de R$ 10 milhões a R$ 38 milhões.

Outra relevante exigência: segregação patrimonial. Uma Vasp não pode misturar dinheiro seu (real ou virtual) com ativos de clientes – há um limite de 5% tolerado nessa conta. Cada cliente deve ter uma conta corrente identificada e contabilidade própria.

A razão é que a imensa maioria das exchanges realiza operações quase instantâneas de compra e venda de criptomoedas que não espelham imediatamente operações de seus clientes na blockchain. É mais fácil agradar se a operação for rápida.

Negócios com bitcoin (BTC), por exemplo, levam aproximadamente 10 minutos para confirmação; já transações na rede Ethereum — envolvendo ether (ETH) ou tokens nela emitidos — são confirmadas em segundos.

As exchanges que realizam operações quase instantâneas estão, na verdade, liquidando as ordens internamente no seu próprio banco de dados (operações off-chain), utilizando para isso suas reservas em criptomoedas. As movimentações on-chain efetivas (depósitos, saques e rebalanceamentos entre carteiras) ocorrem em momentos distintos das ordens individuais dos clientes e em volumes agregados.

Sem segregação patrimonial e capital robusto, a segurança dessas operações ficaria prejudicada (lembrando que não tem FGC aqui). Desnecessárias maiores explicações para entendermos que as pirâmides fraudulentas de criptoativos exploram essa vulnerabilidade. Mais que justificável a regulamentação.

Governança, compliance e suitability: reflexos na omissão imprópria

As exchanges já consolidadas há muito seguiam as recomendações de transparência que são exigidas pelo mercado mundial de criptomoedas. Cadastro de clientes, análise de origem e destinação de recursos já eram exigências comuns no segmento ocupado por empresas sérias. Mas era uma liberalidade.

A Resolução 520 inovou ao conferir obrigatoriedade e disciplina para modelos satisfatórios de governança corporativa, compliance, regras de know your customer (KYC) e demais mecanismos de transparência no segmento.

Não cabe, aqui, esclarecer em detalhes todas essas novas exigências. Mas há um reflexo criminal relevante: se, agora, a legislação criou a obrigação de respeito a tais parâmetros de prevenção ao mau uso das criptomoedas, então já será possível reconhecer que os artigos 9°, 10 e 11 da Lei n° 9.613/98 aplicam-se ao segmento.

Logo, o descumprimento de um dever de compliance (lato sensu) pode perfazer aquele primeiro — porém não único — pressuposto de imputação objetiva de omissão imprópria (artigo 13, § 2°, a, do CP) em crime de lavagem de dinheiro.

Por exemplo: o compliance officer de uma Vasp, caso omita a conduta que era juridicamente imposta pela regulamentação para a prevenção da lavagem de dinheiro – desde que preenchidos todos os demais critérios de imputação objetiva e subjetiva da omissão imprópria (v. meu livro Direito Penal Econômico — Parte Geral, 4.2) — poderá responder por sua conivência como garantidor do crime comissivo praticado por terceiro.

Se, antes da regulamentação, essa imputação era discutível porque não havia uma obrigação legal em sua significação jurídica restrita, agora esse óbice já não existe mais.

Nova regulamentação e direito ao sigilo

Talvez esse seja o ponto que gerou maior chiadeira nos operadores do mercado cripto.

Existem diversas formas de gerenciar uma carteira de ativos virtuais.

Há uma distinção conceitual entre carteiras frias (cold wallets) e carteiras quentes (hot wallets). Cada uma dessas carteiras pode assumir tipos de setup variados conforme o perfil do usuário e o grau de segurança desejada.

As cold wallets são carteiras autocustodiadas mantidas totalmente offline, em um dispositivo físico dedicado (hardware wallet, por exemplo, Ledger ou Trezor), em papel (paper wallet) ou em equipamento isolado da internet.

As hot wallets, que podem ou não ser autocustodiadas, incluem aplicativos em celulares e computadores conectados à rede (Rabby, na EVM; Phantom, na Solana etc.).

O usuário cria um endereço público na blockchain que ficará vinculado à sua cripto. Ele pode criar diversos endereços, conforme sua necessidade. O que é secreto é a chave. Tanto em carteiras quentes quanto frias, é possível criar uma seed phrase de 24 palavras aleatórias (p. ex., no app Blue Wallet) que funcionará como uma senha necessária para operações e recuperação de seus ativos. E ainda há a possibilidade de criação de uma camada extra de segurança (passphrase), conhecida como a 25ª palavra.

Essa senha é que será a “menina-dos-olhos” do usuário. Tem gente que anota em duas ou três folhas de papel e as esconde em locais estratégicos (há quem enterre em três continentes variados). Se perder, bye bye criptoativos.

Quem não quer correr o risco de armazenar suas chaves privadas pode abrir uma conta numa exchange que faça essa custódia, a quem caberá a segurança do ativo. Essas exchanges – quando operarem em território nacional – é que estão sujeitas à nova regulamentação.

Nas consultas públicas que a antecederam, houve debate sobre a necessidade, ou não, de o BC proibir as cold wallets. São elas que possibilitam a imensa maioria de transações ilegais por meio de criptoativos. É o paraíso monetário digital da criminalidade.

Claro, também existe gente séria e com dinheiro lícito que apenas deseja fazer uma reserva segura de riqueza. Ou então criar um meio digital de pagamentos e transações que escape de tributação (essas operações, por enquanto, são isentas de IOF).

Após muito debate, chegou-se à conclusão de que proibir seria inviável e ineficaz. Então, a saída foi jogar no colo das Vasps a obrigação de identificação do usuário e de detalhes da operação sempre que o criptoativo entrar na (ou sair de uma) carteira por elas administrada. Mensalmente, as Vasps devem informar ao BC todos os detalhes dessas operações.

Isso gerou muita gritaria. Houve quem alegou violação do direito ao sigilo. Dados pessoais do titular da cold wallet seriam armazenados em bancos de dados com possibilidade de vazamento. Assim, disseram alguns, se os dados vazarem, alguém pode descobrir o meu endereço, arrombar minha casa e roubar minha carteira.

A mim, parece que o argumento não cola. Eu já forneço informações pessoais aos mais variados bancos de dados digitais, públicos e privados. Se minha declaração de imposto de renda vazar, irão descobrir meu endereço e meus bens. O mesmo ocorre com meus dados bancários.

Esse argumento libertário de mercado pretende insurgir-se contra a transparência exigida pela macroeconomia mundial contemporânea sob a premissa de que jamais teremos uma segurança de armazenamento de dados 100% confiável. Critica-se a vida ao argumento de que pode haver doença. Não é por aí…

A incipiente leitura econômico-criminal que eu tenho feito sobre a nova regulamentação é a de que o objetivo do BC em trazer para o controle do mercado de câmbio as operações envolvendo ativos digitais deve-se muito mais à necessidade de mapeamento de operações e de titulares do que à lógica mais elementar da política cambial: previsão de fluxo monetário para proteção de reservas cambiais.

Na coluna da semana que vem eu irei explicar melhor isso e analisar as consequências que a regulamentação traz em termos de ofensividade ao bem jurídico “política cambial”.

Em outras palavras: operações com criptoativos inserem-se na lógica de operações de câmbio? Ou só as operações intermediadas pelas Vasps é que estão alcançadas pelo segmento? Mesmo estas, são assim tratadas como operações de câmbio só porque a lei as definiu como tal?

Responder isso adequadamente pode trazer implicações bem interessantes no alcance material dos crimes cambiais.

Antes mesmo dessa análise, é possível propor a hipótese (sim, porque somente um irresponsável poderá chegar a conclusões prontas sobre um assunto ainda em maturação) de que a complexidade dos fluxos monetários digitais vai obrigar os países a mapearem adequadamente essas transações e seus titulares, sob pena de a circulação da riqueza tornar vulnerável a soberania estatal. Ativos virtuais são um mecanismo eficiente de compensação internacional. Logo, trata-se de um fluxo econômico que necessita de ser mapeado.

É uma missão que nasce fadada a não ser eficaz. É impossível evitar que alguém administre sua cold wallet sem qualquer tipo de controle institucional.

Por isso, não pratica crime algum aquele que, mediante autocustódia, recebe ou transfere ativos virtuais pelo mundo, qualquer que seja o volume da transação, desde que respeite as normas fiscais (declaração à Receita Federal) e cambiais (declaração ao BC via DCBE caso a custódia não esteja em território nacional e o ativo seja igual ou superior a US$ 1 milhão). Esse também é um ponto que retomarei em detalhe na coluna da semana que vem.

Por aqui, vou encerrando com a provocação de que a nova regulamentação parece ter uma ratio muito mais afeita à ofensividade de crimes de lavagem de dinheiro do que crimes cambiais.

[1] V. Voto CMN nº 239 de 1985 (Anexo I)