Chamado à ação: é preciso barrar o regime de KYC da FCC

 (blog.lopp.net)
1 pontos por GN⁺ 4 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • O acesso ao serviço telefônico nos EUA deve ser tratado como infraestrutura básica de comunicação, mas a análise das regras de KYC pela FCC pode fazer com que usuários comuns tenham de fornecer informações de identidade antes de contratar ou renovar serviços de operadoras
  • A FCC está avaliando medidas que incluem verificar nome, endereço, documento de identidade emitido pelo governo e número de telefone alternativo e, como nos casos de KYC do setor financeiro, isso não impede de forma confiável criminosos determinados por causa de vazamentos de informações de identificação pessoal e do mercado de compra e venda de documentos
  • Celulares pré-pagos e burner phones não são apenas ferramentas de crime, mas também recursos de privacidade necessários para sobreviventes de violência doméstica, denunciantes, jornalistas, manifestantes e pessoas que tentam evitar retaliação
  • A avaliação de consultas a listas de autoridades policiais, retenção de registros por 4 anos após o fim da relação com o cliente e penalidades de US$ 2.500 por chamada pode levar as operadoras a optar por verificação excessiva, retenção excessiva e recusa excessiva
  • Essa questão ainda não é uma regra final, e a FCC recebe comentários até 25 de junho de 2026 e respostas até 27 de julho de 2026, portanto ainda há oportunidade de se opor ao KYC obrigatório para usuários comuns de telefonia

O problema das robocalls e a análise do KYC

  • Robocalls, chamadas golpistas, falsificação de número, avisos falsos de garantia, alertas bancários fraudulentos e spam político automatizado reduzem a confiança no sistema telefônico e prejudicam o tempo, o dinheiro e a segurança dos americanos
  • O problema das chamadas ilegais existe de fato, mas a solução não deve ser uma verificação ampla de identidade aplicada a todos os usuários comuns
  • Sob o pretexto de combater robocalls, a FCC está avaliando regras de Know Your Customer para fazer com que provedores de telefonia coletem informações de identidade dos usuários
  • Em 30 de abril de 2026, a FCC adotou o Further Notice of Proposed Rulemaking que trata do fortalecimento do KYC para provedores de serviços de voz
  • Entre as medidas em análise está a exigência de verificar nome, endereço, documento de identidade emitido pelo governo e número de telefone alternativo do cliente antes da ativação do serviço
  • A proposta foi aprovada pelo presidente Brendan Carr e pelos comissários Gomez e Trusty

Por que o KYC não impede criminosos de forma confiável

  • O acesso à telefonia deve ser tratado como infraestrutura básica, não como um privilégio condicionado à verificação de identidade
  • O problema não está em a FCC querer punir golpistas de robocalls, mas em colocar milhões de usuários inocentes em bancos de dados de identidade de telecomunicações para dificultar a vida de criminosos
  • Mesmo com exigências de KYC no sistema financeiro, a lavagem de dinheiro por meios regulamentados continua acontecendo
  • Criminosos não têm grande dificuldade para obter os documentos necessários para passar por verificações de KYC
  • Informações de identificação pessoal continuam vazando, existe um mercado para negociá-las, e o custo de comprar uma nova identidade e documentos relacionados é baixo

Burner phones são ferramentas importantes

  • A FCC está avaliando se as exigências de KYC devem diferir entre planos pré-pagos e pós-pagos, que informações operadoras móveis obtêm de clientes de SIM pré-pago e se o KYC também deve ser aplicado a serviços pré-pagos comprados em pontos de venda de terceiros
  • Esse ponto está no centro da questão dos burner phones, e celulares pré-pagos não são apenas adereços de criminosos em filmes
  • Celulares pré-pagos podem ser uma tábua de salvação para sobreviventes de violência doméstica, trabalhadores que denunciam irregularidades no emprego, jornalistas que protegem fontes, manifestantes que querem evitar retaliação e pessoas que não querem vincular todas as suas contas de comunicação a um documento governamental
  • O analista sênior de políticas da ACLU Jay Stanley alertou que essa regulamentação pode tirar das pessoas a capacidade de conseguir burner phones e prejudicar pessoas de baixa renda, vítimas de violência doméstica e quem valoriza a privacidade
  • Comunicação anônima ou sob pseudônimo não é, por si só, comportamento suspeito

  • Telefones sem KYC como tática de segurança e privacidade

    • Serviços telefônicos sem KYC vêm sendo usados há anos como tática de proteção de segurança e privacidade
    • Pessoas que podem ser vistas como tendo acesso a uma quantidade significativa de Bitcoin precisam de forte privacidade para se proteger de ataques com chave inglesa
    • Essa ameaça não é apenas teórica: centenas de Bitcoiners sofreram ataques físicos, e também há casos de swatting e extorsão

Os riscos da estrutura de vigilância, retenção e punição

  • A parte mais preocupante da proposta da FCC vai além da coleta generalizada de documentos
  • Ao discutir diferenças de KYC baseadas em risco, a FCC chega a avaliar se provedores deveriam consultar listas de terroristas, organizações terroristas e “criminosos” mantidas por autoridades policiais
  • Essas listas podem gerar falsos positivos, inclusão opaca de pessoas inocentes e a possibilidade de negação de acesso à infraestrutura básica de comunicação sem condenação ou devido processo significativo
  • Mesmo que a FCC trate isso como pergunta, e não como decisão final, é uma pergunta perigosa demais para um regulador de telecomunicações normalizar

  • Retenção prolongada e ampliação de finalidade

    • A FCC está avaliando exigir a retenção de informações de KYC e registros de suporte por 4 anos após o fim da relação com o cliente
    • O risco não acaba após o cancelamento do serviço, e as informações de identificação podem permanecer por anos nos bancos de dados das operadoras
    • Esses dados remanescentes podem ficar expostos a violações, uso indevido, intimações, venda e ampliação de finalidade
    • A FCC também avalia se regras reforçadas de KYC poderiam ajudar em investigações de crimes além de chamadas ilegais, incluindo crime organizado, tráfico humano, espionagem, operações de influência e outras preocupações de segurança nacional
    • Se provedores de telecomunicações tiverem de verificar, armazenar, reverificar e filtrar clientes, o sistema telefônico ficará mais próximo de um gargalo do que de uma rede aberta de comunicação

  • Estrutura de penalidade por chamada

    • A FCC está avaliando medir violações de KYC com base em cada chamada
    • A FCC propõe especificamente uma multa básica de US$ 2.500 por chamada
    • Se a punição por filtrar de menos puder crescer conforme o volume de chamadas, provedores podem optar por verificação excessiva, retenção excessiva e recusa excessiva para se proteger
    • A escolha mais segura para as empresas pode não ser a que protege a privacidade do consumidor, mas a que a viola de forma severa

Privacidade não é crime

  • Em uma sociedade livre, não deveria ser necessário que os cidadãos lutassem continuamente para preservar sua privacidade
  • Se o governo quiser enfraquecer os direitos dos cidadãos por meio de vigilância, retenção de dados e negação de acesso a ferramentas essenciais de comunicação, deve provar sua justificativa
  • Forças que querem controlar canais de comunicação precisam ser capazes de identificar usuários da rede para silenciar falantes indesejados
  • A FCC pode mirar remetentes comerciais de alto volume, provedores negligentes, infraestrutura de falsificação de número, abuso de SIM-box e reincidentes maliciosos sem obrigar todos os usuários comuns a enviar documentos de identidade para obter um número de telefone
  • A FCC pode reforçar a aplicação contra operadoras que conscientemente permitem tráfego ilegal de chamadas
  • Pode impor exigências estreitas e baseadas em risco de due diligence para remetentes em massa
  • Deve evitar um modelo em que todos os usuários de telefonia precisem provar quem são antes de se comunicar
  • O cidadão médio não quer que o governo crie listas de pessoas que exercem atividades totalmente normais
  • Ninguém quer uma situação em que “proteção ao consumidor” vire vigilância, a privacidade seja tratada como brecha e regras anti-robocall acabem silenciosamente com a última forma prática de acesso telefônico sem permissão do governo

Como o KYC aumenta riscos reais

  • O KYC pode ser chamado de “Kill Your Customer”, já que a própria coleta de informações pessoais sensíveis coloca clientes em risco
  • Regimes de KYC já causaram grandes vazamentos de dados por muitos anos e enfraquecem sua própria confiabilidade ao facilitar que criminosos obtenham novos documentos com identidades roubadas para burlar verificações de KYC
  • No serviço telefônico, o KYC pode degradar ativamente a segurança das contas ao vinculá-las à identidade da pessoa
  • Se criminosos obtiverem informações pessoais suficientes, poderão se passar pela vítima perante a operadora com mais facilidade e tentar transferir o número da vítima para um SIM controlado por eles
  • Esse problema de SIM swapping ou sequestro de SIM existe há mais de uma década e vem piorando à medida que mais partes da vida se digitalizam
  • Uma parte significativa das contas online importantes está vinculada a números de telefone e endereços de e-mail

  • Caminho comum de ataque no sequestro de SIM

    • Criminosos roubam o número de telefone da vítima
    • Usam esse número para redefinir o acesso à conta principal de e-mail da vítima
    • Usam a conta de e-mail e o número de telefone para redefinir o acesso a contas financeiras
    • Embora o KYC seja apresentado como forma de impedir criminosos, na prática ele se parece mais com teatro de segurança que enfraquece privacidade e segurança em vez de proteger consumidores de agentes maliciosos
    • Um sistema quebrado não deve ser expandido para mais áreas da vida

Ainda não é tarde

  • Essa questão ainda não é uma regra final
  • A FCC está pedindo comentários sobre essa proposta modificada no Federal Register
  • O prazo para envio de comentários é 25 de junho de 2026, e o prazo para respostas é 27 de julho de 2026
  • É possível enviar à FCC um comentário público se opondo à verificação obrigatória de identidade por KYC
  • O envio pode ser feito pelo formulário da FCC
  • Como os comentários à FCC são públicos, é preciso presumir que dados pessoais incluídos no texto ou em anexos poderão ficar disponíveis online para consulta pública
  • Não se deve incluir informações pessoais que não seriam seguras se fossem expostas publicamente ao mundo inteiro

Pontos principais da carta de comentário proposta

  • Oponho-me a regras da FCC que exijam que usuários comuns de telefonia e usuários de serviços pré-pagos forneçam números de identificação emitidos pelo governo, documentos de identidade, endereço real, número de telefone alternativo e informações pessoais semelhantes como condição para obter ou renovar serviço telefônico
  • Robocalls e chamadas golpistas são problemas graves, mas a coleta obrigatória de identidade de todos os usuários é ampla demais, invasiva para a privacidade e tem grande potencial de prejudicar usuários com necessidades legítimas de privacidade
  • Entre os usuários possivelmente afetados estão sobreviventes de violência doméstica, jornalistas, denunciantes, cidadãos de baixa renda, organizadores políticos e pessoas sujeitas a retaliação ou perseguição
  • A FCC deve rejeitar qualquer exigência de consulta a listas de vigilância de autoridades policiais ou listas de “criminosos” antes da prestação do serviço
  • O acesso à infraestrutura básica de comunicação não deve depender de listas opacas, sistemas de triagem vulneráveis a abuso e falsos positivos, ou processos com pouca transparência
  • A FCC também deve rejeitar a ideia de reter por vários anos registros de KYC de clientes comuns
  • Reter informações de identidade e registros de suporte depois que o cliente deixa o serviço cria riscos desnecessários de violação, uso indevido e vigilância
  • A FCC deve adotar uma aplicação estreita e baseada em evidências contra remetentes ilegais de alto volume, abuso de falsificação de número, operações de SIM-box e provedores que deliberadamente ou de forma imprudente tornam possível o tráfego ilegal
  • Novas regras devem ser direcionadas, preservar a privacidade, minimizar a coleta de dados e manter o acesso de usuários legítimos a serviços telefônicos pré-pagos e voltados à privacidade
  • O serviço telefônico não deve ser transformado em um posto de controle de identidade
  • Americanos preocupados com a erosão contínua da privacidade devem se manifestar agora

Leituras relacionadas

1 comentários

 
GN⁺ 4 시간 전
Comentários do Hacker News

  • Bastaria fazer com que as operadoras não permitissem falsificação de número de origem
    Nem precisa do nome, mas se houver um número real dá para denunciar esse tipo de golpe
    Mesmo que esconder o número seja permitido, por padrão todos os telefones não comerciais deveriam bloquear chamadas de números ocultos

    • O que afinal aconteceu com SHAKEN/STIR?
      Isso não já deveria estar funcionando há uns 5 anos? Não sei se ficaram com medo de realmente bloquear as operadoras que enviam volumes massivos de spam
      Como ainda recebo um monte de ligações de spam, algo deu errado ou está tão lento que nem dá para distinguir de algo que deu errado
    • Cortar essa estrutura de lavagem de dinheiro de milhões de dólares por ano que fornece esse tipo de serviço para organizações de fraude? Nem pensar
    • Isso já não é permitido
      Se a operadora aceita chamadas falsificadas, ela já está violando a orientação da FCC
    • Instituições médicas ocultam o número por um motivo bem legítimo
      Em casos de cônjuge abusivo, muitas vezes a pessoa não quer que o número da instituição médica apareça no histórico de chamadas
      O resultado é que às vezes acabam ignorando ligações muito importantes
    • Nem entendo por que ainda temos de usar um sistema de números de telefone do século 20
      Por que não existe um sistema melhor de endereçamento de chamadas?

  • Pior ainda: celulares estão sempre transmitindo localização, então na prática você está informando sua localização o tempo todo a centenas de empresas e a vários governos
    Isso já é um problema na maioria dos celulares, e aplicar isso também a pré-pagos só piora a situação

    • Fico me perguntando se isso é só mais um passo até chegar ao ponto de “agora temos causa provável e identidade verificada para prender todo usuário por qualquer fala de que não gostarmos”
      A FCC de Carr, em resumo, parece uma instituição que quer controlar a fala controlando o espectro. Pelas ações dele, isso parece um fato explícito
      Depois de fazer as emissoras dizerem o que você quer, o que resta além de ampliar um pouco a definição de interesse público para a internet e restringir a fala?
    • A Apple implementou um recurso no novo modem para mitigar isso, mas infelizmente é de adoção opcional pela operadora, então na prática só é útil na Europa
      https://www.pcmag.com/news/apple-expands-this-location-focus...
    • No fim, isso não está nos levando ao dia em que o celular que passou no KYC vai ficar na gaveta de casa, no endereço oficial que a operadora já conhece, enquanto o aparelho que você realmente usa terá software para encaminhar por VoIP chamadas e SMS, ou abrir um servidor para buscar mensagens de qualquer lugar?
    • É o celular que transmite a localização, não nós
      Você pode sair sem levar o celular
    • Quem faz coleta downstream vai se divertir bastante com esses dados

  • Moro nos EUA e uso serviço pré-pago porque não quero fornecer dados de consulta de crédito para obter um plano pós-pago
    Não há motivo algum para operadoras americanas terem de guardar os identificadores pessoais mais sensíveis dos clientes
    Todas as grandes operadoras têm histórico de violações e de venda de dados de clientes
    As telefônicas já rastreiam, armazenam e vendem inúmeros pontos de dados dos clientes
    Não dá para confiar nenhuma informação a elas

    • Meu número principal é uma conta do Google Voice desde 2010
      Não está claro como as novas regras me afetariam, mas não imagino que haja obrigação de fornecer identificadores pessoais para conseguir um número VoIP
    • Em janeiro ativei um ATT pré-pago e mesmo assim tive de apresentar documento
      Estranhamente não pediram isso de início, só depois, na hora de realmente ativar o serviço. Não sei o que houve
    • Por outro lado, do meu ponto de vista, eu gostaria que toda linha capaz de ligar ou mandar mensagem para o meu telefone pudesse ser rastreada até um ser humano com nome real que pudesse ser responsabilizado por spam, abuso e assédio
      Parece difícil ter as duas coisas ao mesmo tempo
      Uma solução possível seria permitir linhas anônimas, mas deixar minha operadora se recusar a conectar para mim chamadas vindas dessas linhas
      Claro, o mesmo princípio teria de ser estendido a dados e ao tráfego IP gerado por dispositivos. Se você não quer ser rastreável, também parece razoável que o serviço tenha o direito de se recusar a processar o tráfego IP que você gerou
      Esse nível meio mal cozido de acesso à rede já seria suficiente?

  • “Ao marcar esta caixa, reconheço que estou enviando um documento a um procedimento oficial da FCC. Todas as informações enviadas, incluindo nome e endereço, serão publicadas na web.”
    Sério que não existe um jeito de enviar um comentário simplificado à FCC sem expor todos os meus dados pessoais na web? Argh

    • É como assinar uma petição ou depor no Congresso
      O ponto central é falar em seu próprio nome e assumir responsabilidade
      E, se você acha que seu nome e endereço já não são públicos, tenho más notícias
    • Para ter influência como cidadão, você precisa aparecer pessoalmente. Eles realmente fazem verificação cruzada também
      Deixar isso público por padrão é um pouco excessivo e inibe a fala, mas também é importante que o registro federal permaneça publicado na web junto com todos os comentários públicos
      Este é um comentário oficial que fica registrado
    • Em vez disso, ligue para o representante do seu distrito

  • Acho que a solução real para golpes, spam e robocalls não é simplesmente o número de origem, mas transmitir junto informações de REAL(TM) Caller ID que realmente sejam cobradas, para que o destinatário possa desligar facilmente quando as duas não coincidirem
    Não conheço os detalhes técnicos exatos de Stir/Shaken, mas alguém está pagando ou recebendo dinheiro por cada ligação, e essa informação deveria ser disponibilizada com transparência ao destinatário da ligação ou da mensagem
    Se há um motivo “legítimo”, como médico ou call center, então já deveria existir uma linha comercial separada; não se deveria permitir o uso de linha pessoal
    Operadoras frouxas deveriam ser bloqueadas por completo. Nada de bom vem dali
    Basicamente, a ideia é bloquear por padrão chamadas e mensagens de texto que não tenham o nível completo de comprovação, o nível A, a menos que o cliente opte explicitamente por recebê-las. Não sei por que alguém escolheria isso

    • Eu estava balançando a cabeça concordando, até perceber que certamente há uma pegadinha nisso
      Se fosse tão simples, provavelmente isso já teria sido implementado há muito tempo
      Meu palpite é que existe a exigência de que qualquer número funcional deva poder ligar para os serviços de emergência, e essa brecha parece ser explorada
      Então a resposta da FCC parece ser: se todo número precisa funcionar, vamos empurrar a checagem diretamente para o assinante

  • Para pedir ação, precisamos criar uma chamada para ação melhor
    O link citado no artigo é este
    https://www.federalregister.gov/documents/2026/05/26/2026-10...
    Parece quase suficiente para chegar a este link que alguém postou no HN alguns dias atrás
    https://www.fcc.gov/ecfs/filings/express
    Para concluir, é preciso o docket-id
    Docket No: 17-59
    Esse número de docket também pode ser confirmado aqui: https://www.fcc.gov/document/fcc-seeks-comment-enhanced-know...

    • As pessoas deveriam enviar comentários não só para a FCC, mas também para aquele link do Federal Register
      O FR é o canal oficial para cidadãos enviarem comentários sobre propostas de regulamentação de agências
      Como é independente, pode ir mais longe, então é melhor fazer os dois

  • Precisamos de um novo sistema de telefonia em que os “números de telefone” sejam projetados para ser descartáveis
    Os números de telefone foram concebidos com a premissa de que deveriam ser fáceis de memorizar, mas hoje em dia isso não parece muito necessário
    Eu deveria poder descartar meu contato a qualquer momento e redistribuí-lo diretamente
    A ideia de números antigos serem reciclados também não faz o menor sentido

    • O telefone em si deveria ser abolido
      Ninguém deveria poder tocar aleatoriamente e interromper outra pessoa exigindo sua atenção

  • Em vez de conheça seu cliente, talvez fosse melhor fazer “conheça sua empresa”, para que o consumidor receba informações sobre a empresa para a qual está ligando

  • Tentei enviar um comentário à FCC pelo link do artigo, mas o reCAPCHA não me reconhece como humano
    Depois de resolver com sucesso uns 20 quebra-cabeças, desisti
    É assim que a nossa democracia funciona

  • Existe alguma razão especial pela qual não se possa argumentar em tribunal contra o governo estadual, o governo federal, ou ambos, que o governo está causando dano econômico ao criar oportunidades para o roubo de informações de identificação pessoal
    Claro, essa briga não renderia muito dinheiro, mas praticamente qualquer PAC conseguiria bancar isso
    Se você alegar que há dinheiro em jogo, e não a segurança real das pessoas, parece até menos provável que seja rejeitado, já que o sistema judiciário funciona assim

    • Se você nunca foi realmente vítima de fraude, é difícil convencer
      Que valor em dólares você usaria como referência para o prejuízo? Vai cobrar alguns anos de monitoramento de crédito? Normalmente é esse tipo de solução que oferecem às vítimas de vazamento de informações pessoais
      Talvez desse para alegar que as forças da lei, as operadoras e os reguladores não fizeram o suficiente para prevenir fraude e entrar com algo como uma ação coletiva, mas isso já chega perto de uma alegação bem forçada
    • O governo pode criar regulações que causem prejuízo econômico às pessoas
      Essa briga provavelmente estaria perdida desde o começo, e também não haveria muito dinheiro a ganhar