Vazamentos de KYC em Exchanges: Como seus dados são realmente salvos

Quando uma exchange escreve no site “usamos criptografia de nível bancário e seguimos o GDPR”, isso é uma fórmula de marketing, não a descrição da arquitetura real de armazenamento de dados.

Legalmente – eles estão certos.
Tecnicamente – tudo é muito mais complexo e arriscado para o usuário.

É justamente essa lacuna entre a segurança declarada e a prática real que vale a pena analisar.

1. Como os dados são realmente armazenados – sem propagandas

1.1. KYC quase nunca “dentro da exchange”

A maioria dos grandes CEX não possui infraestrutura própria de KYC. É caro, juridicamente arriscado e pouco vantajoso.
Por isso, usam fornecedores terceirizados:

• Onfido
• Jumio
• Sumsub
• Trulioo
• IDnow

O esquema funciona assim:

1. Você envia seu passaporte e selfie não para o servidor da exchange, mas para a nuvem do fornecedor de KYC
2. Os documentos são processados por IA e revisão manual
3. A exchange recebe:
   • status (verificado / rejeitado)
   • metadados
   • frequentemente cópias dos próprios documentos

⚠️ Ponto-chave:
Um único ataque ou vazamento no fornecedor = comprometimento de várias exchanges ao mesmo tempo.
É um risco sistêmico que as exchanges preferem não comentar.

1.2. “Excluir conta” não significa apagar dados

De acordo com requisitos AML/CFT:

• UE: 5 anos
• Reino Unido: até 6 anos
• EUA: 5–10 anos
• Algumas jurisdições: até 12 anos

Mesmo se você:

• fechou a conta
• deletou o perfil
• contatou o suporte

👉 seu passaporte, selfie e comprovante de endereço permanecem arquivados.

Normalmente, a arquitetura é:

• Armazenamento quente – usuários ativos, acesso do suporte técnico
• Armazenamento morno – contas recentemente fechadas
• Arquivos frios – armazenamento offline (S3 Glacier, backup em fita, air-gapped storage)

Mas há um detalhe raramente mencionado:

Durante qualquer “investigação”, rechecagem ou solicitação de regulador
os dados retornam para a zona quente, onde pessoas têm acesso.

1.3. Ameaça interna – o verdadeiro pesadelo da indústria

A parte mais vulnerável do sistema é o ser humano.

Na prática:

• o suporte é frequentemente terceirizado
• salários baixos
• controle formal
• auditoria seletiva

Geografia típica:

• Filipinas
• Índia
• Europa Oriental
• América Latina

O operador do suporte vê:

• passaporte
• selfie
• endereço
• logs de IP
• histórico de logins
• às vezes transações

💡 Fato pouco conhecido:
Em algumas exchanges, um operador pode atender 5–10 projetos ao mesmo tempo (via um único fornecedor).
Isso permite acesso cruzado entre ecossistemas.

2. Vazamentos e incidentes: o que realmente aconteceu

2.1. Binance (2019)

Foram vazadas:

• fotos de usuários com passaportes
• selfies segurando folhas “Binance”

A exchange declarou:

“Foi um vazamento no lado do antigo fornecedor de KYC”

O que é importante:

• os dados surgiram um ano depois da troca de fornecedor
• hackers exigiram 300 BTC
• parte dos dados ainda circula em bases privadas

2.2. Coinbase (2024–2025)

Um dos casos mais emblemáticos.

Não foi hack.
Não foi bug.
Foi suborno de funcionários.

• terceirizados do suporte foram recrutados
• acesso a painéis administrativos
• dados de ~70.000 usuários foram extraídos

Incluindo:

• documentos de ID
• endereços
• histórico de KYC
• anotações internas da equipe de risco

Este é um exemplo clássico de insider breach, impossível de prevenir apenas com criptografia.

2.3. Genesis Market (2023) – sinal de alerta

O Genesis Market não vendia apenas documentos.

Ele vendia:

• cookies
• fingerprint do navegador
• sessões
• fotos de KYC
• padrões de comportamento

Resultado:

• hackers acessavam contas
• 2FA não funcionava
• o sistema reconhecia “dispositivo confiável”

👉 Isso mostrou que KYC + análise comportamental podem ser usados contra o usuário.

2.4. Bot do Telegram BTC-e / WEX (2020)

Um dos casos mais subestimados.

A base incluía:

• passaportes
• endereços
• emails
• comentários internos de funcionários

Exemplos de anotações:

• “suspeito”
• “possível lavagem”
• “provável ligação”

⚠️ Essas anotações não são deletadas, não são zeradas e podem ressurgir anos depois.

3. Estado e exchanges: mais do que solicitações oficiais

3.1. Gateways semi-automáticos

Grandes CEX nos EUA e UE usam sistemas em que:

• solicitação de autoridades
• verificação automática do formato
• resposta em algumas horas

Advogados entram posteriormente.

Já não é procedimento manual, mas um processo similar a API.

3.2. CARF – fim da “anonimidade silenciosa”

Crypto-Asset Reporting Framework:

• implementação: 2026–2027
• troca automática
• saldos
• lucros
• movimentação de fundos

Importante:

• mesmo sem fiat
• mesmo sem saque
• mesmo que você apenas mantenha ativos

👉 A exchange se torna um informante fiscal, não apenas uma plataforma.

3.3. Listas negras e Source of Wealth

Basta:

• conexão indireta
• via mixer
• via DeFi
• através de 5–10 hops

E você recebe:

• congelamento de fundos
• exigência de SoW
• impossibilidade de provar transações passadas

Nesse momento, a exchange não é sua aliada, mas executa ordens do regulador.

4. IA e responsabilidade coletiva

Desde 2025 são aplicados ativamente:

• modelos gráficos
• clusterização de usuários
• scores de reputação

Se você interage com uma conta “marcada”:

• seu perfil herda risco
• limites são reduzidos
• verificações são mais frequentes

Isso já é scoring social, não AML clássico.

Conclusões curtas, mas duras

• KYC é para sempre, mesmo após o fechamento da conta
• A maior ameaça são as pessoas, não os servidores
• Vazamentos são sistêmicos, não acidentais
• Em 2026, CEX = ponto de vigilância financeira total

Não é teoria.
Já é uma realidade funcionando.

5. Detalhes pouco conhecidos, mas criticamente importantes, sobre os quais quase ninguém fala

Aqui começa a parte que raramente é publicada mesmo pela mídia especializada, porque é desconfortável tanto para as exchanges quanto para os reguladores.

5.1. A «segunda vida» dos seus dados KYC

Após a verificação inicial, os dados não ficam simplesmente parados.

Eles são reutilizados:

• para treinar modelos internos de antifraude
• para calibrar o score de risco
• para análises retrospectivas (“Será que cometemos um erro naquela época?”)

💡 Fato pouco conhecido:
Em algumas jurisdições, a anonimização do KYC é permitida apenas formalmente. Na prática, os dados:

• são parcialmente hasheados
• são tokenizados
• mas podem ser recuperados por chaves internas de conformidade

Ou seja, a «anonimização» muitas vezes é reversível.

5.2. Perfis internos «negros»

Em grandes exchanges existem perfis de risco internos que o usuário nunca vê:

Exemplos de parâmetros:

• «probabilidade de interesse regulatório»
• «instabilidade comportamental»
• «mudança atípica de padrões»
• «anomalias geográficas»

Esses perfis:

• não são deletados
• não são zerados
• são transferidos em fusões, venda de negócios ou mudança de jurisdição

👉 Mesmo que a exchange «mude de país», a base vai junto.

5.3. Fusões, aquisições e transferência de bancos de dados

A LGPD/ GDPR permite a transferência de dados pessoais em casos de:

• compra de empresa
• reestruturação
• falência
• transferência de ativos

Na prática, isso significa:

• você fez KYC em uma exchange
• três anos depois, ela foi adquirida
• seu passaporte legalmente está agora em outra empresa

E você não precisa dar consentimento novamente.

5.4. Logs – a fonte mais subestimada de vazamentos

Mesmo que os documentos estejam criptografados, permanecem:

• logs de acesso
• logs de auditoria
• logs de debug
• erros de API

Frequentemente, eles contêm:

• nome do arquivo do passaporte
• país
• tipo de documento
• data de nascimento
• às vezes fragmentos em base64

⚠️ Esses logs:

• raramente são limpos
• frequentemente acessíveis a DevOps e contratados
• são armazenados por anos

6. Por que «anonimato zero» não é slogan, mas realidade arquitetural

6.1. Combinação KYC + análise on-chain

Hoje, cada grande exchange utiliza:

• Chainalysis
• TRM Labs
• Elliptic
• Crystal

O modelo é simples:

1. KYC → identidade real
2. Endereços → grafo de conexões
3. Comportamento → perfil

Depois, o sistema funciona automaticamente.

Mesmo se você:

• trocou de endereço
• utilizou DeFi
• fez 20 passos intermediários

O grafo ainda assim colapsa.

6.2. Reputação como atributo vitalício

Um ponto pouco conhecido, mas importante:

O risco de reputação é herdado.

Se:

• sua conta antiga tinha uma flag
• você fez KYC novamente
• você usa a mesma jurisdição ou dispositivo

O sistema conecta perfis de forma probabilística, não formal.

Isso já não é uma «conta», mas uma sombra digital.

7. Conclusões práticas sem moralismos

Sem slogans e sem apelos.

O que é importante entender:

1. Uma CEX de ponta não é carteira nem banco.
   É um nó de monitoramento.
2. Excluir conta ≠ apagar dados.
3. O interesse regulatório não desaparece com o tempo.
   Ele se acumula.
4. Tecnologias de controle estão à frente das garantias legais.

O que não se deve fazer (erros comuns):

• pensar que «valores pequenos não interessam a ninguém»
• acreditar que «uma exchange = um banco de dados»
• achar que trocar de conta resolve o problema
• ignorar metadados comportamentais

8. Conclusão principal

KYC em exchanges de ponta é mais do que apenas verificação de identidade.
É o ponto de entrada para um sistema de longo prazo:

• armazenamento
• análise
• correlação
• transferência

E este sistema não esquece.