Boletim Bocater

SEC acusa cidadão britânico de praticar insider trading por meio de hacking

Compartilhe

No dia 27 de setembro a Securities and Exchange Comission (SEC), órgão regulador do mercado norte-americano, promoveu ação cível em face de Robert B. Westbrook, cidadão britânico, acusando-o de utilizar informações relevantes privilegiadas em negociação no mercado, obtidas por meio de invasão ao sistema cibernético de 5 companhias abertas estadunidenses. Westbrook teria auferido um lucro de aproximadamente US$ 3,75 milhões.

De acordo com a SEC, o britânico teve acesso aos sistemas computacionais das companhias de forma fraudulenta da seguinte forma: 

  • primeiro, redefinia a senha de acesso dos executivos aos sistemas das companhias; 
  • depois, com o nome do executivo e a nova senha definida, acessava os sistemas computacionais das companhias hackeadas, em especial os e-mails desses executivos, que continham informações privilegiadas sobre dados econômico-financeiros pendentes de divulgação; 
  • em seguida, configurava (ou tentava configurar) o redirecionamento dos e-mails recebidos por esses executivos para um endereço de e-mail anônimo que acessava para continuar obtendo mais informações relevantes não públicas;
  • assim, com base nas informações obtidas e antes das respectivas divulgações, negociava com os valores mobiliários das companhias hackeadas; e
  • por fim, geralmente liquidava suas posições logo após a publicação das informações financeiras, auferindo lucros expressivos.

A SEC relata em sua petição inicial que as condutas de Westbrook chamaram a atenção das autoridades devido aos elevados volumes negociados e nível de risco de suas transações com derivativos, combinados com os subsequentes acertos e lucro nas negociações dos valores mobiliários com uma precisão temporal suspeita, o que poderia indicar conduta fraudulenta. A investigação utilizou estratégias avançadas de tecnologia para desvendar códigos criptografados e seguir o rastro que suas manobras cibernéticas deixaram.

O esquema perpetrado por Westbrook, conhecido como “hack-to-trade”, também utilizava serviços de VPN, preenchimento automático de Captcha, uso de mais de 50 endereços de e-mail, ferramentas de teste de vulnerabilidade de sistemas, e serviços de empresas para fornecer dados pessoais e familiares dos executivos que tiveram suas contas hackeadas, o que permitia a adivinhação das perguntas de segurança para redefinição de senhas.

Cada vez mais têm sido comuns os ataques cibernéticos a companhias abertas, o que desperta a relevância de se reforçar a política de segurança das informações. Nesse sentido, a Superintendência de Relações com Empresas da Comissão de Valores Mobiliários (CVM) recomenda que as companhias elaborem, divulguem e observem políticas formais para gerenciar os riscos aos quais estão expostas, o que inclui os riscos cibernéticos1.

 


1- Cf. item 13.3 do Ofício Circular/Anual-2024-CVM/SEP, de 07 de março de 2024.

Autores(as)

Isabela Raposo Barbosa

Estagiária

publicações

Você também pode se interessar

Base de cálculo de PIS e...

No vácuo da definição pelo Supremo Tribunal Federal (STF) em relação  à definição pela constitucionalidade, ou não, da inclusão do Imposto sobre Serviços de Qualquer Natureza (ISS) na base de cálculo de PIS e Cofins (tema 118 da Repercussão Geral), precedentes de Tribunais Regionais Federais têm dado conta…

O fim do Perse

Na última segunda-feira (24/3), a Receita Federal do Brasil (RFB) publicou o Ato Declaratório Executivo nº 2, que extingue o Programa Emergencial de Retomada do Setor de Eventos (Perse) a partir de abril deste ano.  A Lei 14.148, de 2021, instituiu o Perse com o objetivo de minimizar…