A Federal Communications Commission (FCC) publicou, em 26 de maio, uma proposta nos processos CG Docket Nos. 17-59 e 02-278 que abriu um debate regulatório sobre identificação de clientes por operadoras de voz nos Estados Unidos. A agência quer saber se provedores que originam chamadas devem coletar e reter nome, endereço físico, número de documento emitido pelo governo, telefone alternativo e registros de verificação antes de ativar o serviço.

Além disso, a proposta prevê retenção desses dados por quatro anos após o fim da relação com o cliente. O texto também estabelece multa-base de US$ 2.500 por chamada em casos de descumprimento das exigências de KYC. O prazo para comentários públicos termina em 25 de junho.

A FCC afirma que chamadas automatizadas ilegais, conhecidas como robocalls, custam bilhões de dólares aos americanos por meio de fraudes e perda de tempo. No entanto, para usuários expostos ao Bitcoin e ao mercado de criptomoedas, a medida pode criar um efeito colateral relevante. Isso ocorre porque contas telefônicas podem se tornar alvos ainda mais valiosos para criminosos.

Telefone vira ponto sensível para contas cripto

Atualmente, números de telefone ocupam papel central em cadastros de exchanges, recuperação de e-mail, autenticação em dois fatores por SMS e suporte de plataformas financeiras. Assim, quanto mais dados de identidade uma operadora vincula a uma linha, maior tende a ser o dano em caso de vazamento, fraude de personificação ou invasão de sistemas.

Esse risco se torna ainda mais importante para detentores de Bitcoin e outros ativos digitais. Afinal, movimentações no mercado de criptomoedas costumam ser rápidas e irreversíveis. Caso um invasor comprometa a conta telefônica, ele pode obter códigos de autenticação, redefinir acessos e avançar sobre contas conectadas àquele número.

Um exemplo citado no debate é a ação civil de confisco movida pelo Departamento de Justiça dos Estados Unidos em setembro de 2025. O caso busca confiscar mais de US$ 5 milhões em Bitcoin supostamente roubados em golpes de SIM swap. Nesse tipo de ataque, criminosos assumem o controle do número da vítima, interceptam códigos de autenticação e se passam por ela em contas de e-mail, exchanges e aplicativos financeiros.

FBI e caso da SEC reforçam o alerta

Promotores afirmam que cinco vítimas nos Estados Unidos perderam Bitcoin após essa sequência de comprometimento. Além disso, o Internet Crime Complaint Center (IC3), do FBI, registrou 1.611 reclamações por SIM swap apenas em 2021, com perdas ajustadas superiores a US$ 68 milhões. Nos três anos anteriores combinados, o órgão havia recebido 320 reclamações e contabilizado cerca de US$ 12 milhões em perdas.

O problema também já atingiu instituições de grande visibilidade. Em janeiro de 2024, uma parte não autorizada obteve o controle do número de telefone associado à conta da U.S. Securities and Exchange Commission (SEC), a Comissão de Valores Mobiliários dos Estados Unidos, na rede X, em um aparente SIM swap. Como resultado, conseguiu redefinir a senha e publicar um anúncio falso sobre aprovação de um ETF spot de Bitcoin antes de a SEC corrigir a informação.

O que a proposta da FCC quer coletar

Pela proposta, operadoras poderiam reunir nome, endereço físico, número de documento oficial, telefone alternativo e, possivelmente, cópias de documentos emitidos pelo governo. Ademais, para clientes de alto volume, a FCC questiona se deve haver coleta sobre uso pretendido do serviço e endereços de IP. Todo esse conjunto de informações permaneceria nos sistemas das operadoras por quatro anos após o cancelamento.

A própria FCC reconhece que a ampliação da coleta de informações pessoalmente identificáveis pode criar novos riscos de privacidade. Nesse sentido, a agência pergunta se as proteções já existentes seriam suficientes ou se medidas adicionais de segurança seriam necessárias.

Na prática, um registro que conecte número de telefone, endereço residencial, documento oficial, contato alternativo e histórico de serviço pode se tornar um ativo valioso para criminosos. Por exemplo, esse material pode abastecer engenharia social contra o suporte das operadoras, pedidos fraudulentos de portabilidade e cruzamentos com bases de KYC de plataformas financeiras.

O pesquisador de segurança em Bitcoin Jameson Lopp argumentou publicamente que serviços telefônicos sem KYC podem funcionar como medida de segurança pessoal para indivíduos suspeitos de manter grandes posições em Bitcoin. Segundo ele, vincular contas telefônicas a trilhas de identidade aumenta a exposição a extorsão, swatting e ataques físicos.

Cenários para usuários de varejo e linhas pré-pagas

A proposta ainda deixa em aberto se as exigências de KYC valeriam apenas para originadores comerciais de alto volume ou se também alcançariam novos clientes de varejo, renovações de serviço e cartões SIM pré-pagos vendidos por terceiros. Ou seja, o texto consulta explicitamente o mercado sobre o tratamento de linhas pré-pagas e pós-pagas e sobre diferenças regulatórias conforme o tipo de cliente.

No cenário mais restritivo para a privacidade, a coleta de identidade se estenderia a novos e antigos usuários, chips pré-pagos e processos recorrentes de revalidação. Dessa forma, a possibilidade de acesso pseudônimo à telefonia nos Estados Unidos diminuiria de modo relevante. As bases de dados das operadoras passariam a reunir número telefônico, endereço físico, documento oficial e quatro anos de histórico de serviço.

Por outro lado, se a regra final da FCC ficar restrita a originadores comerciais de alto volume e deixar de fora usuários de varejo e clientes de pré-pago, a agência ainda manteria uma ferramenta de combate às robocalls sem ampliar de forma significativa a coleta de dados sobre contas telefônicas individuais.

Em suma, o impacto sobre o mercado de criptomoedas depende do alcance da regra final. Enquanto a FCC discute retenção de dados por quatro anos e multa-base de US$ 2.500 por chamada, casos de SIM swap envolvendo Bitcoin, perdas acima de US$ 68 milhões registradas pelo FBI IC3 em 2021 e o comprometimento da conta da SEC na rede X mostram que o número de telefone já é um ponto crítico de segurança.