# BACEN Resolução 3.909 - PLD/FT e Cibersegurança > [!abstract] Síntese > A Resolução BACEN 3.909/2007 estabelece o framework brasileiro de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT) para o sistema financeiro. Embora anterior à era dos ataques cibernéticos sofisticados, a norma tem relevância crescente no contexto CTI: trojans bancários brasileiros, ransomware e grupos como o [[g0032-lazarus-group|Lazarus Group]] usam o sistema financeiro para **lavar** os fundos obtidos em ataques - criando uma interseção direta entre PLD/FT e cibersegurança. --- ## Contexto: A Convergência entre PLD e Cibersegurança A Res. 3.909 foi promulgada como resposta às pressões internacionais do **GAFI/FATF** (Grupo de Ação Financeira Internacional) e do **Grupo Egmont** para que o [[brasil|Brasil]] modernizasse seu framework antilavagem. Em 2007, o vetor predominante de lavagem era o crime organizado tradicional. Hoje, o cenário é radicalmente diferente: **crimes cibernéticos geraram mais de USD 8 trilhões em 2023** (Cybersecurity Ventures), e grande parte desse valor precisa ser lavado pelo sistema financeiro. A convergência entre PLD e cibersegurança cria novas obrigações para o [[financial|setor financeiro]] brasileiro: > [!important] Obrigação Dual > IFs brasileiras precisam simultaneamente **prevenir** ataques cibernéticos (via [[bacen-4893|Res. 4.893]]) e **detectar** quando o sistema financeiro está sendo usado para processar os frutos desses ataques (via Res. 3.909). O time de segurança e o time de compliance PLD precisam colaborar ativamente. --- ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Estrutura do Framework PLD/FT ```mermaid graph TB COAF["🏛️ COAF<br/>Conselho de Controle de<br/>Atividades Financeiras"] BACEN["⚖️ BACEN<br/>Supervisão e regulação"] BACEN --> IF["🏦 IF Brasileira<br/>Sujeita à Res. 3.909"] IF --> KYC["👤 KYC<br/>Know Your Customer"] IF --> MON["🔍 Monitoramento<br/>Transações suspeitas"] IF --> REG["📋 Registros<br/>5 anos de retenção"] IF --> TRAIN["🎓 Treinamento<br/>Funcionários capacitados"] KYC --> K1["Identificação completa"] KYC --> K2["Qualificação de clientes PEP"] KYC --> K3["Beneficiário final de PJ"] KYC --> K4["Reavaliação periódica"] MON --> M1["Padrões suspeitos automatizados"] MON --> M2["Análise humana de alertas"] MON --> M3["Comúnicação ao COAF (48h)"] COAF --> M3 style COAF fill:#1a1a2e,stroke:#4ade80,color:#fff style BACEN fill:#1a1a2e,stroke:#e94560,color:#fff ``` --- ## Know Your Customer (KYC) como Defesa Cibernética O **KYC** é a primeira linha de defesa contra uso do sistema financeiro para fins ilícitos. Na era de crimes cibernéticos, o KYC tem papel duplo: ### KYC Tradicional | Requisito | Descrição | | --------- | --------- | | Identificação | Nome, CPF/CNPJ, endereço, data de nascimento | | Qualificação | Renda, patrimônio, atividade econômica | | PEP (Pessoa Politicamente Exposta) | Diligência ampliada para cargos públicos | | Beneficiário final | Para PJs, identificar pessoas físicas controladoras | | Reavaliação | Periódica e por alteração de perfil | ### KYC Digital e Contas Laranjá O maior desafio PLD na era digital é a **conta laranjá** - conta bancária aberta em nome de pessoa real (geralmente mediante pagamento ou coerção) usada para receber e dispersar fundos de fraudes. Os trojans bancários brasileiros dependem de redes extensas de contas laranjá: - [[s0531-grandoreiro|Grandoreiro]] opera redes de **mulas financeiras** no Brasil, Espanha e Portugal - [[casbaneiro|Casbaneiro]] usa CPFs de terceiros comprometidos via engenharia social para abertura de contas digitais - [[mekotio|Mekotio]] automatiza transferências em cascata por múltiplas contas laranjá para dificultar rastreamento O KYC robusto - especialmente a verificação **biométrica** e **prova de vida** para abertura de contas digitais - é o principal controle contra a criação de contas laranjá. --- ## Monitoramento de Transações Suspeitas A Res. 3.909 exige sistemas automatizados para detecção de padrões suspeitos. No contexto de crimes cibernéticos, os padrões incluem: ### Indicadores de Lavagem Pós-Ataque Cibernético | Padrão | Relevância CTI | | ------- | -------------- | | Múltiplas transferências de pequeno valor em sequência rápida | Smurfing pós-fraude PIX ou ransomware | | Saque imediato após recebimento de TED/PIX | Contas laranjá de trojans bancários | | Transações entre contas sem relação comercial óbvia | Movimentação de fundos de ransomware | | Uso intensivo de criptomoedas após recebimento bancário | Conversão de fundos roubados em crypto | | Diversificação rápida por múltiplas IFs | Evasão de monitoramento centralizado | > [!warning] Crypto como Vetor de Lavagem > Grupos como o [[g0032-lazarus-group|Lazarus Group]] usam exchange de criptomoedas brasileiras como ponto de saída após ataques financeiros. O caso [[bybit-heist-2025|Bybit Heist (2025)]] - USD 1,5 bilhão roubado - demonstra como fundos de ataques cibernéticos transitam pelo sistema financeiro regulado de múltiplos países antes da lavagem final via crypto mixers. --- ## PLD/FT e Crimes Cibernéticos: Interseção Crescente ### Ransomware e o Sistema Financeiro O ransomware é o crime cibernético com maior impacto na PLD: ```mermaid graph TB RAN["🔒 Ataque Ransomware<br/>Vítima paga resgate"] RAN --> CRYPTO["₿ Criptomoeda<br/>Bitcoin / Monero / USDT"] CRYPTO --> MIXER["🔄 Crypto Mixer<br/>Tornado Cash / ChipMixer"] MIXER --> EXCHANGE["💱 Exchange<br/>Conversão para BRL/USD"] EXCHANGE --> MULE["🏦 Contas Laranjá<br/>Sistema financeiro regulado"] MULE --> CLEAN["✅ Fundos Lavados<br/>Aparência legítima"] style RAN fill:#1a1a2e,stroke:#e94560,color:#fff style MIXER fill:#1a1a2e,stroke:#f59e0b,color:#fff style CLEAN fill:#1a1a2e,stroke:#4ade80,color:#fff ``` IFs brasileiras são frequentemente o ponto de entrada para **cash-out** de grupos ransomware internacionais - o grupo compra reais em exchanges P2P usando crypto do resgate, e o vendedor do P2P deposita reais em conta laranjá bancária. ### Grupos com Operações de Lavagem Relevantes para Brasil | Grupo | Método de Lavagem | Conexão com Brasil | | ----- | ----------------- | ------------------ | | [[g0032-lazarus-group\|Lazarus Group]] | Crypto mixers + exchanges asiáticas | Caso [[bybit-heist-2025\|Bybit Heist]] - parte dos fundos transitou por exchanges LATAM | | [[g0008-carbanak\|Carbanak / FIN7]] | Contas laranjá em múltiplos países | Operações documentadas no Brasil | | [[g0082-apt38\|APT38]] | Ataques a SWIFTs + lavagem via bancos intermediários | Tentativas de acesso a bancos brasileiros via SWIFT | | Grupos locais de fraude PIX | Redes de mulas nacionais | Endêmico no ecossistema financeiro brasileiro | --- ## Correlação com Ameaças e TTPs ### Como PLD Falhou - Casos Notórios A falha do KYC e do monitoramento de transações permitem que ataques cibernéticos sejam economicamente viáveis: - **Abertura de contas digitais com documentação roubada**: trojans bancários como [[s0373-astaroth|Astaroth]] e [[casbaneiro|Casbaneiro]] coletam documentos pessoais para abertura fraudulenta de contas em fintechs com KYC digital fraco - **Mulas recrutadas via redes sociais**: engenharia social para recrutar pessoas que abrem contas em nome próprio - **Crypto como camada de ofuscação**: elimina rastreabilidade entre o crime e o cash-out ### TTPs Relevantes | TTP | Técnica | Conexão PLD | | --- | ------- | ----------- | | [[t1657-financial-theft\|T1657]] | Financial Theft | Objetivo final - extração de valor que requer lavagem | | [[t1566-phishing\|T1566]] | Phishing | Recrutamento de mulas financeiras via e-mail | | [[t1110-brute-force\|T1110]] | Brute Force | Comprometer contas para usar como laranjá | | [[t1078-valid-accounts\|T1078]] | Valid Accounts | Uso de credenciais bancárias legítimas de vítimas | --- > [!latam] Relevância para o Brasil > O Brasil é o principal alvo da América Latina para trojans bancários - com famílias como **Grandoreiro**, **Casbaneiro** e **Mekotio** operando redes extensas de contas laranjá para escoar fundos de fraudes PIX. A Resolução 3.909 cria o arcabouço legal que permite ao BACEN e ao COAF rastrear e bloquear esses fluxos. Em 2024, o COAF registrou mais de 400 mil comúnicações de operações suspeitas - parcela crescente relacionada a crimes cibernéticos. A convergência entre times de SOC e compliance PLD é prioritária no setor financeiro brasileiro para fechar o ciclo de resposta a incidentes com impacto financeiro. ## Obrigações Operacionais para SOC e Compliance A convergência PLD-cibersegurança cria obrigações híbridas: | Área | Obrigação | | ---- | --------- | | SOC | Correlacionar incidentes de segurança com padrões transacionais suspeitos | | SOC | Comúnicar imediatamente ao time PLD casos de trojan bancário detectado | | Compliance PLD | Incluir indicadores de origem cibernética nas regras de monitoramento | | Compliance PLD | Treinar analistas para reconhecer padrões de lavagem pós-ciberataque | | TI + Compliance | Compartilhar logs de acesso com sistema de monitoramento PLD | | Gestão | Estabelecer canal formal de comúnicação SOC - PLD para casos híbridos | > [!tip] Para o Blue Team > A Res. 3.909 é aliada do blue team: ela obriga a IF a manter logs de transações por 5 anos e a ter um sistema automatizado de monitoramento. Esses logs são fontes valiosas para investigação forense de incidentes envolvendo fraude financeira - especialmente para rastrear contas laranjá usadas em ataques PIX. --- ## Referências - [Resolução CMN 4.753/2019 - Atualização da Res. 3.909](https://www.bcb.gov.br/) - [COAF - Conselho de Controle de Atividades Financeiras](https://www.gov.br/coaf/) - [GAFI/FATF - Recomendações 2023](https://www.fatf-gafi.org/) - [Lei 9.613/1998 - Lei de Lavagem de Dinheiro (atualizada)](https://www.planalto.gov.br/ccivil_03/leis/l9613.htm) - [Bybit Heist 2025 - [[bybit-heist-2025|Análise do Roubo Crypto]]](bybit-heist-2025) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**