Boletim Bocater

SEC acusa cidadão britânico de praticar insider trading por meio de hacking

Compartilhe

No dia 27 de setembro a Securities and Exchange Comission (SEC), órgão regulador do mercado norte-americano, promoveu ação cível em face de Robert B. Westbrook, cidadão britânico, acusando-o de utilizar informações relevantes privilegiadas em negociação no mercado, obtidas por meio de invasão ao sistema cibernético de 5 companhias abertas estadunidenses. Westbrook teria auferido um lucro de aproximadamente US$ 3,75 milhões.

De acordo com a SEC, o britânico teve acesso aos sistemas computacionais das companhias de forma fraudulenta da seguinte forma: 

  • primeiro, redefinia a senha de acesso dos executivos aos sistemas das companhias; 
  • depois, com o nome do executivo e a nova senha definida, acessava os sistemas computacionais das companhias hackeadas, em especial os e-mails desses executivos, que continham informações privilegiadas sobre dados econômico-financeiros pendentes de divulgação; 
  • em seguida, configurava (ou tentava configurar) o redirecionamento dos e-mails recebidos por esses executivos para um endereço de e-mail anônimo que acessava para continuar obtendo mais informações relevantes não públicas;
  • assim, com base nas informações obtidas e antes das respectivas divulgações, negociava com os valores mobiliários das companhias hackeadas; e
  • por fim, geralmente liquidava suas posições logo após a publicação das informações financeiras, auferindo lucros expressivos.

A SEC relata em sua petição inicial que as condutas de Westbrook chamaram a atenção das autoridades devido aos elevados volumes negociados e nível de risco de suas transações com derivativos, combinados com os subsequentes acertos e lucro nas negociações dos valores mobiliários com uma precisão temporal suspeita, o que poderia indicar conduta fraudulenta. A investigação utilizou estratégias avançadas de tecnologia para desvendar códigos criptografados e seguir o rastro que suas manobras cibernéticas deixaram.

O esquema perpetrado por Westbrook, conhecido como “hack-to-trade”, também utilizava serviços de VPN, preenchimento automático de Captcha, uso de mais de 50 endereços de e-mail, ferramentas de teste de vulnerabilidade de sistemas, e serviços de empresas para fornecer dados pessoais e familiares dos executivos que tiveram suas contas hackeadas, o que permitia a adivinhação das perguntas de segurança para redefinição de senhas.

Cada vez mais têm sido comuns os ataques cibernéticos a companhias abertas, o que desperta a relevância de se reforçar a política de segurança das informações. Nesse sentido, a Superintendência de Relações com Empresas da Comissão de Valores Mobiliários (CVM) recomenda que as companhias elaborem, divulguem e observem políticas formais para gerenciar os riscos aos quais estão expostas, o que inclui os riscos cibernéticos1.

 


1- Cf. item 13.3 do Ofício Circular/Anual-2024-CVM/SEP, de 07 de março de 2024.

Autores(as)

Isabela Raposo Barbosa

Estagiária

publicações

Você também pode se interessar

CVM traz orientações sobre responsabilidade dos...

A Comissão de Valores Mobiliários (CVM), por meio da Superintendência de Securitização e Agronegócio (SSE), publicou, em 18 de março, o Ofício-Circular nº 2/2025/CVM/SSE, contendo orientações aos administradores e gestores de Fundos de Investimento Imobiliário (FII) sobre a responsabilidade dos cotistas diante de eventual situação de patrimônio líquido…

CVM publica resolução para regulamentar inovações...

A Comissão de Valores Mobiliários (CVM) publicou, em 06 de março, a Resolução 2261, alterando diversos atos normativos2, incorporando as inovações trazidas pelo Marco Legal das Garantias (Lei 14.711, de 30 de outubro de 2023), especialmente no que se refere à simplificação do procedimento de emissão de debêntures. Assim:…