Funcionários fiscais franceses vendem dados de identidade, levando a um ataque ao regulador em Montreuil

Um funcionário fiscal em Bobigny aproveitou o software interno para criar perfis de especialistas em crypto, bilionário Vincent Bolloré, guardas prisionais e um juiz. Este posteriormente vendeu as informações a criminosos, que pagaram 800 euros para organizar um ataque a um guarda na sua residência em Montreuil.

O recurso de apelação do réu foi rejeitado em 6/1, segundo a imprensa local.

O caso não é apenas notável pelo comportamento criminoso, mas sobretudo pela forma como as vítimas foram selecionadas. O novo vetor de ataque não é mais doxxing no Telegram ou em exchanges comprometidas, mas o acesso privilegiado ao sistema de identificação do Estado – onde uma única consulta pode vincular nome a endereço, telefone e estrutura familiar.

Em 2024, a Inspeção Geral da Polícia Nacional Francesa registrou 93 investigações relacionadas a violações de confidencialidade profissional e 76 casos de desvio de dados não autorizados. A agência chama de “uberização” da venda de consultas a bancos de dados do governo via redes sociais e dark web o fenômeno de compra e venda de perfis.

Uma investigação própria da TF1 também revelou um “menu de serviços” operando no Snapchat: 30 euros por consulta de registro de veículos, 150 euros por verificação de lista de procurados, e 250 euros para desbloqueio ilegal de veículos. Transações bancárias relacionadas a um suspeito variam de 15 a 5.000 euros.

O modelo de segurança do crypto baseia-se na imutabilidade das transações, e a custódia própria elimina riscos de intermediários. Contudo, uma vez que o atacante conhece a identidade real, o problema deixa de ser criptografia e passa a ser uma questão de coerção.

Pode-se considerar isso como o “valor máximo explorável” na vida real – IRL MEV. Na blockchain, o MEV vem de ver o fluxo de transações antes dos outros. No espaço físico, o valor é explorado observando o perfil de identidade e escolhendo o caminho de coerção mais barato.

*Serviços ilegais de consulta a bancos de dados são vendidos a preços transparentes: 30 euros por registro de veículo, 150 euros por verificação de lista de procurados, 250 euros por desbloqueio de veículos.*O mercado de consulta de dados ilegais já se estabeleceu com uma tabela de preços clara. O Le Parisien informou em 18/12 que ataques a investidores de crypto na França aumentaram significativamente, levando o governo a emitir um decreto em 8/2025 para remover o endereço residencial de líderes de empresas de crypto do registro comercial RCS.

Essa medida ajuda a reduzir riscos de violência e assédio, embora forças de segurança, alfândega e fiscais ainda tenham acesso.

Antes, o RCS tornava público o endereço dos líderes empresariais em documentos Kbis – registros públicos de empresas. O decreto de agosto apenas fechou uma brecha. Enquanto isso, a base de dados fiscal permanece acessível a milhares de funcionários, e a fiscalização depende principalmente de detectar anomalias após o ocorrido.

O sistema fiscal contém dados extremamente detalhados: endereço atualizado via declaração, telefone presente na correspondência, estrutura familiar refletida na declaração de dependentes, e registros de lucros de capital vinculando tipos de ativos a indivíduos específicos. A TF1 informa que funcionários fiscais franceses podem acessar toda essa informação.

Do ponto de vista “econômico”, esse modelo favorece o atacante: uma consulta custa poucos dezenas a algumas centenas de euros, enquanto uma invasão bem-sucedida pode gerar receitas de cinco ou seis dígitos.

A ENISA registrou 586 incidentes afetando órgãos públicos na UE em 2024. A ameaça principal não vem de ataques técnicos complexos, mas de insiders com acesso legítimo que extraem dados para vender no mercado secundário.

*Órgãos públicos da UE enfrentaram 586 incidentes de segurança em 2024, enquanto a França registrou 93 violações de confidencialidade profissional e 76 casos de roubo de dados.*Ghalia C. admitiu ter fornecido informações a três pessoas que realizaram o ataque ao guarda. Os 800 euros indicam uma transação de serviço. Seu histórico de consultas inclui especialistas em crypto, bilionários como Bolloré, inspetores de saúde e juízes – demonstrando uma prática de venda de acessos, não uma vingança pessoal isolada.

Detentores de crypto com perfis de risco – lucros especialmente atraentes para criminosos violentos. Os ativos são autogeridos, não podendo ser bloqueados por bancos ou revertidos por tribunais. Seu valor elevado pode ser transferido imediatamente. E denunciar às vezes significa se colocar na mira da fiscalização.

Remover o endereço do registro público mostra que as instituições perceberam que o risco físico relacionado ao crypto difere fundamentalmente do financeiro tradicional. Bancos podem congelar contas, corretoras podem reverter transações, mas transações de crypto não.

Essa característica definitiva mudou o panorama de ameaças de segurança de técnica para identidade. Quando o problema de identidade é resolvido, a coerção torna-se simples.

A reação da França à onda de ataques a crypto inclui esconder o endereço a partir de 2025, mas propostas de declaração de ativos em 2026 criam novos riscos. Se os dados de identidade forem recursos escassos, podemos prever três tendências: ampliar a segurança do registro, reforçar o controle no sistema estatal, e continuar vendendo acessos internos por motivos econômicos.

O paradoxo é que a Europa está expandindo a transparência do crypto via KYC obrigatório, relatórios de carteiras e monitoramento de transações DeFi para combater lavagem de dinheiro e evasão fiscal. Essas exigências criam bancos de dados centralizados vinculando identidade e ativos. Quanto mais completos, mais valiosos para atacantes.

O projeto de orçamento da França para 2026 propõe um imposto de 1% ao ano sobre ativos de crypto acima de 2 milhões de euros, obrigando a declaração de ativos autogeridos e no exterior. Isso cria uma “honeypot”: uma lista gerenciada pelo Estado de indivíduos com grandes holdings de crypto, incluindo seus endereços.

A comunidade técnica costuma ver a segurança do crypto como gerenciamento de chaves, o que é válido para ataques on-chain. Mas o caso de Bobigny mostra que gerenciar chaves torna-se inútil quando a coerção física entra no modelo de ameaça. Carteiras físicas não protegem quando o atacante conhece o endereço residencial e aparece armado. A vulnerabilidade está na camada de identidade, não na blockchain.

Este incidente revela uma estrutura de mercado de capitais que opera silenciosamente. Os alvos nem sabem que foram consultados, até que o atacante bata à porta.

Thạch Sanh