Boletim Bocater

SEC acusa cidadão britânico de praticar insider trading por meio de hacking

Compartilhe

No dia 27 de setembro a Securities and Exchange Comission (SEC), órgão regulador do mercado norte-americano, promoveu ação cível em face de Robert B. Westbrook, cidadão britânico, acusando-o de utilizar informações relevantes privilegiadas em negociação no mercado, obtidas por meio de invasão ao sistema cibernético de 5 companhias abertas estadunidenses. Westbrook teria auferido um lucro de aproximadamente US$ 3,75 milhões.

De acordo com a SEC, o britânico teve acesso aos sistemas computacionais das companhias de forma fraudulenta da seguinte forma: 

  • primeiro, redefinia a senha de acesso dos executivos aos sistemas das companhias; 
  • depois, com o nome do executivo e a nova senha definida, acessava os sistemas computacionais das companhias hackeadas, em especial os e-mails desses executivos, que continham informações privilegiadas sobre dados econômico-financeiros pendentes de divulgação; 
  • em seguida, configurava (ou tentava configurar) o redirecionamento dos e-mails recebidos por esses executivos para um endereço de e-mail anônimo que acessava para continuar obtendo mais informações relevantes não públicas;
  • assim, com base nas informações obtidas e antes das respectivas divulgações, negociava com os valores mobiliários das companhias hackeadas; e
  • por fim, geralmente liquidava suas posições logo após a publicação das informações financeiras, auferindo lucros expressivos.

A SEC relata em sua petição inicial que as condutas de Westbrook chamaram a atenção das autoridades devido aos elevados volumes negociados e nível de risco de suas transações com derivativos, combinados com os subsequentes acertos e lucro nas negociações dos valores mobiliários com uma precisão temporal suspeita, o que poderia indicar conduta fraudulenta. A investigação utilizou estratégias avançadas de tecnologia para desvendar códigos criptografados e seguir o rastro que suas manobras cibernéticas deixaram.

O esquema perpetrado por Westbrook, conhecido como “hack-to-trade”, também utilizava serviços de VPN, preenchimento automático de Captcha, uso de mais de 50 endereços de e-mail, ferramentas de teste de vulnerabilidade de sistemas, e serviços de empresas para fornecer dados pessoais e familiares dos executivos que tiveram suas contas hackeadas, o que permitia a adivinhação das perguntas de segurança para redefinição de senhas.

Cada vez mais têm sido comuns os ataques cibernéticos a companhias abertas, o que desperta a relevância de se reforçar a política de segurança das informações. Nesse sentido, a Superintendência de Relações com Empresas da Comissão de Valores Mobiliários (CVM) recomenda que as companhias elaborem, divulguem e observem políticas formais para gerenciar os riscos aos quais estão expostas, o que inclui os riscos cibernéticos1.

 


1- Cf. item 13.3 do Ofício Circular/Anual-2024-CVM/SEP, de 07 de março de 2024.

Autores(as)

Isabela Raposo Barbosa

Estagiária

publicações

Você também pode se interessar

STJ revisita entendimento sobre aplicação de...

O Superior Tribunal de Justiça (STJ) vai definir se a prévia intimação pessoal do devedor constitui condição necessária para a cobrança de multa pelo descumprimento de obrigação de fazer ou não fazer. A questão será tratada no julgamento do Tema Repetitivo 1.2961, sob a relatoria da ministra Nancy…

Cópias certificadas são suficientes para comprovação...

A Corte Especial do Superior Tribunal de Justiça (STJ) determinou que as cópias certificadas dos autos de processo judicial são suficientes para comprovação de falha na digitalização, sem necessidade de certificação de erro de procedimento por parte da própria serventia judicial. No caso em exame, o STJ entendeu…