Osint

OSINT para Investigação de Criptoativos no Brasil

30 min de leitura
OSINT para Investigação de Criptoativos no Brasil

Como transformar rastros públicos de blockchain, dados abertos, vínculos digitais e medidas judiciais em uma investigação robusta de fraude, lavagem de dinheiro, ocultação patrimonial e recuperação de ativos.

Introdução

A investigação de criptoativos exige uma mudança de lente. O erro mais comum é imaginar que investigar criptomoedas significa “quebrar anonimato”. Não significa. A investigação séria não nasce de invasão, adivinhação ou espetáculo técnico. Nasce de método.

Criptoativos operam em uma zona paradoxal: são pseudônimos, mas deixam registros públicos; são globais, mas dependem de pontos de conversão com o mundo real; circulam por carteiras digitais, mas frequentemente passam por exchanges, bancos, telefones, e-mails, IPs, contratos inteligentes, redes sociais, plataformas de custódia, anúncios, domínios, grupos, notas fiscais, declarações tributárias e comportamentos repetitivos.

A blockchain é um livro-razão aberto, mas não é um livro de nomes. O nome aparece quando a cadeia pública encontra o mundo civil: corretora, conta bancária, cadastro, documento, telefone, e-mail, dispositivo, provedor de aplicação, publicidade, contrato, saque, depósito, compra, nota fiscal, declaração fiscal, empresa de fachada, laranja, endereço IP, histórico de domínio ou comunicação.

Por isso, a investigação jurídica de criptoativos no Brasil deve ser construída como uma ponte entre dois universos. De um lado, a camada on-chain: endereços, transações, hashes, blocos, tokens, smart contracts, mixers, bridges, pools, carteiras, exchanges, NFTs, stablecoins e redes. De outro, a camada off-chain: pessoas, empresas, contas bancárias, cadastros, e-mails, telefones, logs, documentos, contratos, redes sociais, anúncios, domínios, notas fiscais, processos judiciais, boletins de ocorrência e comunicações financeiras.

OSINT, nesse campo, é a disciplina que organiza o caos. Não é caça aleatória. Não é “dar Google”. Não é bisbilhotagem. É coleta ética e documentada de informações abertas, análise de vínculos, preservação de evidências, formulação de hipóteses e conversão de sinais em prova juridicamente utilizável.

No Brasil, a investigação de criptoativos ganhou uma densidade nova. A Lei nº 14.478/2022 consolidou diretrizes para o mercado de ativos virtuais; o Decreto nº 11.563/2023 atribuiu competência regulatória ao Banco Central; o Banco Central avançou em normas sobre prestadoras de serviços de ativos virtuais; a Receita Federal estruturou obrigações de informação sobre operações com criptoativos; o Judiciário passou a admitir medidas de localização e constrição de ativos digitais; e o padrão internacional do GAFI/FATF reforçou o dever de rastreabilidade, cooperação e identificação de originador e beneficiário em transferências de ativos virtuais.

Essa convergência regulatória muda a estratégia: o investigador não deve tratar criptoativos como território sem lei, mas como patrimônio rastreável, sujeito a deveres fiscais, medidas cautelares, ordens judiciais, cooperação internacional e responsabilização civil, penal e administrativa.

A pergunta central não é apenas “para onde foi o dinheiro?”. A pergunta correta é mais ampla:

Qual foi o caminho econômico, técnico e humano do valor desde a vítima, origem ou patrimônio ocultado até o ponto em que ele foi convertido, fracionado, misturado, custodiado, sacado ou reintegrado ao sistema formal?

Essa pergunta governa toda a investigação.

1. O que é OSINT aplicado a criptoativos

OSINT, ou Open Source Intelligence, é inteligência produzida a partir de fontes abertas, disponíveis ao público ou acessíveis por meios lícitos. No contexto de criptoativos, OSINT é o conjunto de técnicas para coletar, preservar, cruzar e interpretar dados publicamente verificáveis relacionados a transações, endereços, infraestrutura, identidades digitais e comportamento econômico.

A investigação pode incluir, por exemplo:

  • consulta a exploradores públicos de blockchain;
  • análise de transações, blocos, hashes e endereços;
  • identificação de contratos inteligentes e interações com protocolos DeFi;
  • leitura de páginas públicas de tokens, whitepapers, repositórios e auditorias;
  • análise de anúncios, domínios, sites, perfis sociais e campanhas;
  • consulta a registros públicos de empresas;
  • checagem de carteiras divulgadas em golpes, ransomware, fraudes ou campanhas;
  • correlação com dados bancários, processuais e fiscais quando obtidos por via legal;
  • preservação técnica de páginas, capturas e metadados;
  • elaboração de mapas de fluxo financeiro e relatório probatório.

O ponto delicado é que OSINT não autoriza invasão. A fronteira ética e jurídica deve ser gravada em pedra: não se invade carteira, não se quebra senha, não se acessa e-mail alheio, não se usa engenharia social enganosa, não se contorna autenticação, não se compra base vazada, não se simula identidade perante exchange, não se instala malware e não se coleta dado protegido sem base legal.

A força do OSINT está justamente em ser reprodutível. Um bom relatório deve permitir que terceiro independente refaça o caminho: verificar o endereço, abrir o explorador, conferir a transação, validar o bloco, comparar o horário, confirmar o contrato, examinar o vínculo, observar o padrão e entender por que aquela conclusão foi alcançada.

Em criptoativos, a prova nasce menos do “achado genial” e mais da sequência.

2. O princípio-mãe: blockchain não identifica pessoas, identifica eventos

A blockchain registra eventos. Um endereço enviou determinado valor para outro endereço em determinado bloco, com determinada taxa, em determinada data. Isso é evento técnico.

Identidade é outra camada.

O erro mortal é afirmar, sem ponte probatória, que “João é dono da carteira X” apenas porque a carteira recebeu valores suspeitos. O correto é trabalhar com graus de vinculação:

  1. Vínculo técnico fraco: endereço apareceu em transação relacionada ao caso.
  2. Vínculo técnico moderado: endereço interagiu repetidamente com endereços do caso.
  3. Vínculo comportamental: padrão de horários, valores, fracionamento e rotas sugere controle comum.
  4. Vínculo de infraestrutura: endereço está associado a domínio, site, campanha, contrato, exchange ou serviço identificável.
  5. Vínculo declaratório: pessoa publicou a carteira, enviou print, assinou mensagem, informou endereço ou usou-o em contrato.
  6. Vínculo custodial: exchange ou custodiante confirma cadastro, KYC, logs, depósitos e saques.
  7. Vínculo bancário: entrada ou saída fiat corresponde ao fluxo cripto.
  8. Vínculo judicial-pericial: prova técnica e dados requisitados confirmam a titularidade ou o controle.

A boa investigação não salta do nível 1 para o nível 8. Ela sobe degrau por degrau. Cada degrau precisa de data, fonte, método, limitação e consequência.

3. A moldura jurídica brasileira

O Brasil não trata mais criptoativos como exotismo. O tema entrou no vocabulário legislativo, regulatório, fiscal e judicial.

A Lei nº 14.478/2022 estabeleceu diretrizes para a prestação de serviços de ativos virtuais e para a regulamentação das prestadoras desses serviços. O Decreto nº 11.563/2023 atribuiu ao Banco Central competência para regular a prestação de serviços de ativos virtuais, sem afastar competências da CVM quando o ativo virtual tiver natureza de valor mobiliário.

Com isso, a estratégia investigativa mudou. Exchanges e prestadoras de serviços de ativos virtuais tendem a ser tratadas como pontos regulados de entrada e saída, sujeitos a obrigações de governança, identificação, controles, segregação patrimonial, prevenção à lavagem de dinheiro, cooperação e atendimento a ordens de autoridade competente.

No campo fiscal, a Receita Federal já exigia informações de operações com criptoativos sob a sistemática da IN RFB nº 1.888/2019 e avançou para a DeCripto, vinculada à IN RFB nº 2.291/2025, com adaptação ao padrão internacional CARF da OCDE. Isso tem impacto direto na investigação patrimonial: operações relevantes podem ter rastros fiscais, e omissões podem sugerir ilícitos tributários, ocultação patrimonial ou inconsistência econômico-financeira.

No campo processual civil, o entendimento judicial vem reconhecendo que criptoativos têm valor econômico e podem ser objeto de medidas de localização, penhora e constrição. Isso é crucial em execuções, divórcios, partilhas, fraudes contra credores, recuperação de ativos e cumprimento de sentença.

No campo penal, criptoativos podem aparecer como instrumento, produto ou proveito de crimes: estelionato, furto mediante fraude, invasão de dispositivo informático, lavagem de dinheiro, organização criminosa, crimes contra o sistema financeiro, evasão de divisas, crimes tributários, extorsão, ransomware, pirâmides financeiras e financiamento ilícito.

No campo probatório, a investigação deve respeitar o Marco Civil da Internet, a LGPD, o Código de Processo Penal, o Código de Processo Civil e a legislação de lavagem de dinheiro. Dados públicos podem ser coletados; dados protegidos exigem base legal, consentimento, ordem judicial ou requisição por autoridade competente, conforme o caso.

A regra de ouro é simples: OSINT encontra o caminho; o processo legal abre as portas fechadas.

4. Tipologias brasileiras mais comuns

A investigação de criptoativos no Brasil costuma surgir em alguns cenários recorrentes.

4.1 Golpe de investimento

É a matriz mais frequente. A vítima é atraída por promessa de rentabilidade anormal, plataforma com aparência sofisticada, falso assessor, influenciador, grupo de WhatsApp, “sala VIP”, falso robô, token sem lastro, site com dashboard simulado ou exchange inexistente.

A estratégia OSINT deve mapear:

  • domínio usado pela plataforma;
  • data de criação do domínio;
  • histórico DNS;
  • e-mails de contato;
  • telefones e perfis sociais;
  • CNPJ ou empresa estrangeira declarada;
  • carteiras de depósito;
  • transações da vítima;
  • carteiras receptoras;
  • padrões de pulverização;
  • eventuais passagens por exchanges;
  • repetição de carteiras em outras denúncias;
  • imagens, vídeos e anúncios usados na captação;
  • nomes de supostos analistas, brokers ou consultores;
  • linguagem padronizada da fraude.

A prova forte não está apenas no pagamento. Está na promessa, na indução, no roteiro de convencimento, na simulação de lucro, na negativa de saque e na rota do valor.

4.2 Romance scam e “pig butchering”

A vítima é emocionalmente capturada. O criminoso constrói confiança, simula relacionamento, depois introduz investimento em criptoativos. O prejuízo costuma ser progressivo: pequenos aportes, lucro inicial falso, aportes maiores, taxa para saque, imposto falso, bloqueio e desaparecimento.

Aqui, a OSINT deve preservar conversas, perfis, imagens, horários, números, carteiras, páginas de login, suporte falso e transações. A camada emocional é juridicamente relevante porque demonstra engenharia de manipulação, dolo, premeditação e continuidade.

4.3 Ransomware e extorsão digital

Em ransomware, o criptoativo aparece como meio de pagamento de resgate. A investigação deve priorizar preservação de mensagem de resgate, wallet indicada, hash de arquivos, logs internos, e-mails, endereços IP, notas técnicas e transações.

O foco não deve ser “negociar” com criminoso fora de orientação especializada. O foco probatório é registrar demanda, endereço, valor, prazo, eventual pagamento, rota dos fundos e conexão com carteiras já marcadas em bases públicas ou relatórios de inteligência.

4.4 Fraude empresarial, ocultação patrimonial e divórcio

Em disputas patrimoniais, criptoativos podem ser usados para ocultar bens, deslocar liquidez, reduzir artificialmente patrimônio, frustrar credores ou manipular partilha.

A estratégia jurídica deve buscar indícios externos:

  • incompatibilidade entre renda declarada e padrão de vida;
  • transferências bancárias para exchanges;
  • movimentações em cartões ou Pix vinculadas a plataformas cripto;
  • e-mails de cadastro;
  • aplicativos instalados;
  • documentos fiscais;
  • declaração de Imposto de Renda;
  • notas de compra de hardware wallet;
  • prints voluntariamente enviados;
  • menções em conversas;
  • investimentos declarados a terceiros;
  • patrimônio não explicado.

Em processo civil, a tese não deve ser “acho que há cripto”. Deve ser: há sinais objetivos de aquisição, custódia ou movimentação de criptoativos; por isso, requer-se expedição de ofícios, exibição de documentos, pesquisa patrimonial, preservação de dados e eventual constrição.

4.5 Rug pull, token fraudulento e DeFi

O rug pull ocorre quando criadores de um token, pool ou projeto captam liquidez e depois abandonam, drenam ou manipulam o ativo. A investigação deve examinar:

  • contrato inteligente;
  • criador do contrato;
  • permissões administrativas;
  • mint functions;
  • blacklist functions;
  • liquidez inicial;
  • retirada de liquidez;
  • wallets da equipe;
  • whitepaper;
  • site;
  • roadmap;
  • anúncios;
  • auditorias falsas;
  • influenciadores;
  • pools em DEX;
  • transações de deploy e funding;
  • concentração de tokens;
  • repetição de código em outros golpes.

Esse tipo de investigação exige cuidado técnico. Nem toda perda em DeFi é fraude. Há risco de mercado, erro de código, volatilidade e falha operacional. A diferença entre risco e fraude está na prova de indução, ocultação, manipulação, promessa falsa, controle abusivo ou drenagem deliberada.

5. Arquitetura da investigação: do sinal ao dossiê

A investigação deve ser montada em camadas.

flowchart TD
    A[Notícia do fato ou suspeita patrimonial] --> B[Delimitação jurídica]
    B --> C[Preservação inicial das evidências]
    C --> D[Identificação de transações e carteiras]
    D --> E[Análise on-chain]
    E --> F[Clusterização e rotas de valor]
    F --> G[Correlação off-chain]
    G --> H[Hipóteses de autoria, controle ou custódia]
    H --> I[Medidas judiciais ou requisições formais]
    I --> J[Dados de exchanges, bancos, provedores e Receita]
    J --> K[Relatório técnico-jurídico]
    K --> L[Pedido de bloqueio, penhora, sequestro, restituição ou responsabilização]

A cadeia lógica é esta:

  1. Qual é o fato jurídico?
  2. Qual é o ativo?
  3. Qual é a transação inicial?
  4. Qual é a carteira de origem?
  5. Qual é a carteira de destino?
  6. O destino é carteira privada, contrato, exchange, bridge, mixer ou serviço?
  7. Há fracionamento?
  8. Há concentração posterior?
  9. Há conversão para stablecoin?
  10. Há saída para exchange?
  11. Há vínculo com pessoa, empresa, domínio, e-mail, telefone, IP ou banco?
  12. Qual dado precisa de ordem judicial?
  13. Qual medida preserva o resultado útil?
  14. Qual relatório traduz isso para o juiz, o Ministério Público, a polícia, a CVM, o Banco Central ou a Receita?

Sem essa sequência, a investigação vira mosaico. Com essa sequência, vira prova.

6. Fase zero: delimitação jurídica e hipótese de trabalho

Antes de abrir qualquer explorador de blockchain, o investigador deve definir o caso.

Uma investigação de fraude de investimento não é igual a uma investigação de lavagem de dinheiro. Uma execução cível não é igual a um inquérito penal. Um divórcio com ocultação patrimonial não é igual a ransomware. Cada caso tem objetivo, urgência, padrão probatório e medida adequada.

A delimitação mínima deve responder:

  • Quem é a vítima ou interessado?
  • Qual foi a perda ou o patrimônio ocultado?
  • Qual é o período investigado?
  • Qual criptoativo foi usado?
  • Em qual rede?
  • Qual transação inicial é conhecida?
  • Quais documentos existem?
  • Há exchange nacional?
  • Há exchange estrangeira?
  • Há conta bancária vinculada?
  • Há risco de dissipação?
  • O caso exige medida cautelar?
  • O objetivo é recuperar ativo, provar autoria, bloquear patrimônio, instruir ação penal, instruir execução ou produzir dossiê regulatório?

A hipótese deve ser objetiva. Exemplo:

“A vítima transferiu USDT na rede Tron para endereço indicado por falso assessor. O endereço receptor consolidou valores de múltiplas vítimas e encaminhou parte do saldo para carteira de depósito possivelmente vinculada a exchange centralizada. A investigação busca identificar o custodiante, preservar KYC/logs e requerer bloqueio ou fornecimento de dados.”

Essa hipótese é operacional. Ela contém fato, rede, ativo, endereço, padrão e finalidade.

7. Preservação inicial: a prova morre quando se improvisa

A primeira hora de uma investigação de criptoativos é decisiva. Sites saem do ar, perfis mudam nome, grupos são apagados, domínios expiram, contratos são abandonados, anúncios somem e criminosos trocam carteiras.

A preservação deve incluir:

  • capturas de tela com data e hora visíveis;
  • exportação de conversas quando possível;
  • URLs completas;
  • hashes de arquivos relevantes;
  • cópia local de páginas;
  • registro do fuso horário;
  • identificação do dispositivo usado na coleta;
  • anotação do método;
  • preservação de e-mails com cabeçalhos completos;
  • cópia de comprovantes bancários;
  • comprovantes de transação cripto;
  • TXIDs;
  • endereços de carteira;
  • rede utilizada;
  • token contract address;
  • block number;
  • data e hora UTC e BRT;
  • valor em criptoativo e estimativa em reais na data;
  • fonte da cotação usada.

Para fins jurídicos, a captura não deve ser apenas bonita. Deve ser auditável. O relatório precisa explicar como a informação foi obtida e por que ela é confiável.

Em casos de maior valor, recomenda-se ata notarial, perícia particular, preservação forense de dispositivo, coleta com ferramenta de arquivamento web, geração de hash e armazenamento imutável do material.

8. Identificação técnica: rede, ativo, endereço e transação

Criptoativos não vivem em uma rede única. USDT pode circular em Tron, Ethereum, BNB Chain, Solana e outras redes. Um erro de rede destrói a análise.

A primeira validação técnica deve responder:

  • O endereço pertence a qual blockchain?
  • O ativo é moeda nativa ou token?
  • O token é legítimo ou clone?
  • A transação foi confirmada?
  • Quantas confirmações recebeu?
  • Qual foi o bloco?
  • Qual foi a taxa?
  • O endereço receptor já tinha histórico?
  • O valor foi movimentado depois?
  • O destino é contrato ou carteira simples?
  • O contrato é verificado?
  • Há labels públicas indicando exchange, bridge, mixer, scam ou protocolo?

O TXID é a impressão digital da transação. O endereço é o ponto. O bloco é o contexto. O tempo é a moldura. O valor é o sangue econômico do caso.

Um relatório fraco diz: “Foi transferido para uma carteira suspeita.”

Um relatório forte diz:

“Em 12/03/2026, às 14h32min BRT, a carteira A transferiu 5.000 USDT, na rede Tron, para a carteira B, conforme TXID X, incluído no bloco Y. A carteira B recebeu, no mesmo intervalo de 48 horas, valores de outras 17 carteiras, totalizando 83.400 USDT, e encaminhou 79.900 USDT para o endereço C, identificado publicamente por explorador como endereço de depósito de serviço centralizado. O padrão sugere consolidação de vítimas e posterior tentativa de conversão/custódia.”

A diferença é brutal. Um é relato. O outro é prova em movimento.

9. Análise on-chain: seguir o valor sem inventar autoria

A análise on-chain deve observar padrões. Entre os mais importantes:

9.1 Fracionamento

O valor é dividido em múltiplas transações para dificultar leitura, reduzir risco de bloqueio ou distribuir fundos. Fracionamento não prova crime sozinho, mas é sinal relevante quando combinado com fraude, ocultação ou passagem por serviços de risco.

9.2 Consolidação

Múltiplas carteiras enviam valores para um endereço central. Em golpes, isso pode indicar carteira coletora. Em empresas legítimas, pode ser gestão de tesouraria. A diferença depende do contexto.

9.3 Peeling chain

Técnica em que pequenos valores são retirados sucessivamente e o restante segue para nova carteira. Pode aparecer em lavagem, mas também em operações automatizadas. Exige cuidado.

9.4 Passagem por exchange

Quando fundos chegam a uma exchange centralizada, abre-se a possibilidade de requisição formal de KYC, logs, dados de depósito/saque, vínculos bancários e bloqueio.

9.5 Bridge

Bridges permitem mover valor entre redes. Isso não apaga o rastro, mas muda a superfície da investigação. O relatório deve registrar a ponte, a transação de entrada, a transação de saída e o ativo resultante.

9.6 Mixer

Mixers e técnicas de ofuscação aumentam complexidade e risco. O investigador deve documentar entrada, saída provável, intervalo temporal, valores aproximados, padrões de lote e limitações. Não se deve afirmar certeza onde há apenas probabilidade.

9.7 Stablecoins

Stablecoins são centrais no Brasil porque funcionam como unidade de conta, ponte cambial e instrumento de liquidez. Em investigação, elas podem indicar tentativa de preservar valor em dólar, movimentar patrimônio com menor volatilidade ou acessar mercados internacionais.

9.8 Contratos inteligentes

Quando há smart contract, a investigação deve examinar funções, permissões, deployer, owner, upgradeability, liquidez, eventos, logs, chamadas administrativas e interações com DEX.

A análise on-chain é microscópio. Mas microscópio sem hipótese produz paisagem, não prova.

10. Correlação off-chain: onde a carteira encontra a pessoa

A identidade raramente está dentro da blockchain. Ela aparece nas bordas.

Fontes off-chain lícitas podem incluir:

  • site do golpe;
  • domínio e WHOIS quando disponível;
  • histórico DNS;
  • certificados TLS;
  • e-mails de contato;
  • cabeçalhos de e-mail;
  • telefones;
  • redes sociais;
  • anúncios patrocinados;
  • perfis de influenciadores;
  • CNPJ;
  • contratos sociais;
  • processos judiciais;
  • reclamações públicas;
  • boletins de ocorrência;
  • fóruns de denúncia;
  • carteiras publicadas;
  • prints enviados pelo próprio agente;
  • links de pagamento;
  • comprovantes bancários;
  • notas fiscais;
  • declarações fiscais mediante via legal;
  • dados de KYC mediante ordem judicial;
  • logs de IP mediante ordem judicial quando aplicável.

O objetivo é construir convergência. Um dado isolado pode ser ruído. Três dados independentes, preservados e coerentes, começam a formar prova.

Exemplo de convergência:

  • O site indica depósito em carteira X.
  • A vítima transferiu para carteira X.
  • Carteira X recebeu fundos de outras vítimas.
  • Carteira X enviou fundos para exchange Y.
  • O domínio do site foi registrado com e-mail Z.
  • O mesmo e-mail Z aparece em CNPJ de empresa vinculada ao suposto operador.
  • A exchange Y confirma que o depósito entrou em conta KYC do investigado.
  • A conta bancária do investigado recebeu saque em reais em janela temporal compatível.

Essa cadeia não depende de retórica. Ela se sustenta por vínculos.

11. Estratégia judicial: o que pedir e quando pedir

A investigação privada ou advocatícia pode mapear a superfície aberta. Mas dados protegidos exigem processo.

Pedidos úteis, conforme o caso:

11.1 Preservação de dados

Antes de pedir conteúdo ou KYC, pode ser necessário pedir preservação. Isso evita perda de logs por decurso de prazo.

Pedidos possíveis:

  • preservação de dados cadastrais;
  • preservação de logs de acesso;
  • preservação de registros de depósito e saque;
  • preservação de histórico de ordens;
  • preservação de endereços cripto vinculados;
  • preservação de dados bancários relacionados;
  • preservação de comunicações de suporte.

11.2 Ofícios a exchanges

O pedido deve ser técnico e específico. Não basta “informe se há criptomoedas”. Melhor requerer:

  • existência de conta vinculada a CPF/CNPJ/e-mail/telefone;
  • dados cadastrais;
  • KYC apresentado;
  • endereços de depósito atribuídos ao usuário;
  • endereços de saque usados;
  • histórico de depósitos e saques no período;
  • ordens de compra e venda;
  • saldos atuais;
  • logs de IP;
  • dispositivos;
  • contas bancárias vinculadas;
  • beneficiários;
  • bloqueio cautelar de saldo, se houver fundamento;
  • comunicação sobre tentativa de saque após ciência da ordem.

11.3 Ofícios a bancos e instituições de pagamento

Quando há passagem fiat, o banco fecha o círculo. Pedidos:

  • extratos do período;
  • Pix recebidos/enviados;
  • TEDs;
  • pagamentos a exchanges;
  • identificação de contas de destino;
  • logs e dispositivos, se pertinente e autorizado;
  • bloqueio cautelar.

11.4 Provedores de aplicação e conexão

Para logs, deve-se respeitar o Marco Civil. O pedido deve indicar URL, perfil, período, fuso horário e relevância. Pedido genérico tende a fracassar.

11.5 Receita Federal

Em casos patrimoniais, fiscais ou criminais, pode ser estratégica a requisição judicial de informações declaradas sobre criptoativos, especialmente quando há indícios objetivos de omissão ou ocultação. A Receita não é atalho para curiosidade patrimonial; é ferramenta para casos com pertinência e base concreta.

11.6 COAF e inteligência financeira

Relatórios de inteligência financeira não são prova automática nem são acessíveis por particulares. Mas, em persecução penal ou investigação formal, o fluxo financeiro suspeito pode justificar comunicação aos órgãos competentes e atuação institucional.

11.7 Bloqueio, sequestro, arresto ou penhora

O tipo de medida depende do processo:

  • Execução cível: penhora ou localização de ativos.
  • Fraude contra credores: arresto, tutela cautelar e medidas de preservação.
  • Divórcio/partilha: exibição de documentos, pesquisa patrimonial, indisponibilidade cautelar.
  • Penal: sequestro, arresto, busca e apreensão, quebra de sigilo, cooperação internacional.
  • Consumidor/investidor: tutela de urgência, bloqueio de contas, inversão de ônus quando cabível, dever de informação.

O pedido bom não pede o impossível. Ele pede a próxima porta necessária.

12. Matriz probatória

Elemento Fonte Valor probatório Risco Medida adequada
TXID Explorador blockchain Alto para provar transação Erro de rede ou token clone Validar em mais de uma fonte
Endereço de carteira Blockchain Médio para rota de valor Não prova titularidade Correlacionar com KYC/off-chain
Label de exchange Explorador/analytics Médio Pode estar desatualizado Requisitar confirmação formal
Print de conversa Dispositivo/vítima Médio Alegação de edição Exportação, ata notarial, perícia
Domínio do golpe DNS/WHOIS/site Médio Privacidade ou proxy Histórico DNS, hospedagem, pagamento
Perfil social Plataforma pública Médio Fake ou conta invadida Preservar URL, ID, posts, conexões
KYC exchange Requisição formal Alto Depende de cooperação Ordem judicial específica
Logs de IP Provedor/exchange Alto, com cautela VPN, CGNAT, prazo Pedido temporal preciso
Conta bancária Banco/exchange Alto Interpostas pessoas Quebra/relatório patrimonial
Declaração fiscal Receita, via legal Alto Omissão ou defasagem Requisição judicial fundamentada

13. O relatório técnico-jurídico

O relatório é o momento em que a inteligência vira linguagem de juiz. Ele não pode ser uma colagem de prints. Deve ser claro, cronológico, verificável e juridicamente útil.

Estrutura recomendada:

  1. Objeto: qual fato é investigado.
  2. Escopo: período, redes, carteiras, pessoas, limites.
  3. Fontes utilizadas: exploradores, documentos, prints, registros públicos, consultas abertas.
  4. Metodologia: como a coleta foi feita.
  5. Preservação: hashes, datas, arquivos, ata notarial, anexos.
  6. Linha do tempo: eventos ordenados.
  7. Fluxo financeiro: origem, destino, intermediários, conversões.
  8. Mapa de vínculos: carteiras, pessoas, empresas, domínios, exchanges.
  9. Achados principais: conclusões graduadas.
  10. Limitações: o que não se pode afirmar ainda.
  11. Medidas recomendadas: ofícios, bloqueios, perícia, cooperação.
  12. Anexos: TXIDs, capturas, tabelas, documentos.

A linguagem deve evitar exageros. Palavras como “comprova” devem ser reservadas ao que realmente está comprovado. Quando houver probabilidade, diga probabilidade. Quando houver hipótese, diga hipótese. Quando houver inferência, explique a inferência.

A credibilidade nasce da humildade técnica.

14. Estratégias por tipo de caso

14.1 Ação cível de reparação por golpe cripto

Objetivo: provar fraude, dano, nexo causal e responsáveis.

Estratégia:

  1. preservar comunicações;
  2. mapear domínio e perfis;
  3. demonstrar promessa falsa;
  4. comprovar pagamento;
  5. rastrear carteira;
  6. apontar exchange de destino;
  7. pedir preservação e KYC;
  8. pedir bloqueio de saldo;
  9. incluir responsáveis identificados;
  10. requerer inversão ou distribuição dinâmica do ônus quando aplicável.

Pedido forte:

“A parte autora não pretende devassa genérica do mercado de criptoativos, mas medida específica sobre endereços e transações individualizados, com TXIDs, datas, valores e destino provável em prestadora identificada.”

14.2 Inquérito policial ou notícia-crime

Objetivo: demonstrar justa causa investigativa.

Estratégia:

  1. narrar fato com cronologia;
  2. anexar TXIDs;
  3. demonstrar fraude ou ameaça;
  4. apresentar fluxo inicial;
  5. indicar pontos de custódia;
  6. pedir preservação urgente;
  7. requerer diligências técnicas;
  8. sugerir ofícios a exchanges e bancos;
  9. solicitar cooperação internacional se houver serviço estrangeiro;
  10. pedir medidas patrimoniais antes da dissipação.

Em matéria penal, o tempo é inimigo. Criptoativo pode ser movimentado em minutos. A petição deve mostrar risco concreto de dissipação.

14.3 Execução e penhora de criptoativos

Objetivo: localizar patrimônio do devedor.

Estratégia:

  1. demonstrar indícios de operação com criptoativos;
  2. apontar exchanges usadas;
  3. requerer ofícios a prestadoras nacionais;
  4. pedir pesquisa por CPF/CNPJ, e-mail e telefone;
  5. pedir bloqueio/constrição de saldo;
  6. requerer conversão/liquidação conforme viabilidade;
  7. pedir medidas complementares se houver evasão.

A tese deve ser patrimonial: criptoativo tem valor econômico e integra o patrimônio do devedor.

14.4 Divórcio, partilha e ocultação patrimonial

Objetivo: provar existência ou indícios de patrimônio cripto comum ou ocultado.

Estratégia:

  1. buscar sinais objetivos de aquisição;
  2. demonstrar transferências para exchanges;
  3. apontar incompatibilidade patrimonial;
  4. requerer exibição de informes;
  5. pedir ofícios a exchanges;
  6. pedir declaração fiscal;
  7. pedir tutela de preservação;
  8. requerer perícia contábil e financeira;
  9. evitar acusação genérica;
  10. construir nexo entre renda, aporte e patrimônio.

A frase central:

“Não se requer devassa especulativa; requer-se confirmação de patrimônio digital a partir de indícios documentais objetivos.”

14.5 Recuperação de ativos empresariais

Objetivo: identificar desvio, fraude interna ou apropriação.

Estratégia:

  1. auditar carteiras corporativas;
  2. mapear chaves e responsáveis;
  3. revisar logs internos;
  4. identificar saques incomuns;
  5. comparar políticas de aprovação;
  6. rastrear destino;
  7. preservar evidência;
  8. acionar medidas contra custodiante, empregado ou terceiro;
  9. avaliar seguro, compliance e comunicação a autoridades.

Empresas devem ter governança de chaves. Sem governança, a investigação começa tarde e sangra precisão.

15. Erros que destroem a investigação

15.1 Confundir carteira com pessoa

Endereço não é CPF. Sem ponte probatória, titularidade é hipótese.

15.2 Não registrar a rede

USDT sem rede é metade da informação. Pode ser Tron, Ethereum, BNB Chain ou outra rede.

15.3 Ignorar fuso horário

Blockchain costuma exibir horário UTC. O processo brasileiro usa horário local. A conversão precisa estar clara.

15.4 Confiar em print sem preservação

Print é frágil. Deve ser reforçado por exportação, metadados, ata, perícia ou corroboração.

15.5 Pedir ordem judicial genérica

“Oficie todas as exchanges” pode ser visto como pescaria probatória. Melhor indicar elementos objetivos.

15.6 Afirmar lavagem sem infração antecedente ou ocultação

Movimentação complexa não basta. Lavagem exige ocultação/dissimulação de bens, direitos ou valores provenientes de infração penal.

15.7 Ignorar hipóteses lícitas

Nem toda bridge é lavagem. Nem toda DEX é fraude. Nem todo fracionamento é crime. A investigação deve excluir alternativas.

15.8 Esquecer a recuperação

Investigar sem pedir preservação e bloqueio pode produzir uma bela autópsia do dinheiro.

16. A lógica da urgência

Em criptoativos, a urgência é técnica antes de ser retórica. O valor pode circular por diversas redes, ser convertido, misturado, sacado ou custodiado fora do país em minutos.

A tutela de urgência deve demonstrar:

  • probabilidade do direito;
  • transação individualizada;
  • risco de dissipação;
  • endereço ou serviço de destino;
  • necessidade de preservação;
  • proporcionalidade do pedido;
  • reversibilidade ou adequação da medida;
  • delimitação temporal.

Modelo de lógica:

sequenceDiagram
    participant V as Vítima/Credor
    participant W as Wallet suspeita
    participant E as Exchange/Custodiante
    participant J as Juízo
    participant P as Provedor/Banco/RFB

    V->>W: Transfere criptoativo identificado por TXID
    W->>E: Encaminha saldo para endereço de depósito
    V->>J: Apresenta TXID, fluxo e risco de dissipação
    J->>E: Determina preservação, KYC, logs e bloqueio
    J->>P: Requisita dados complementares lícitos
    E->>J: Informa titularidade, saldos, depósitos e saques
    J->>V: Possibilita recuperação, responsabilização ou nova diligência

A urgência deve ser convertida em pedido operacional.

17. O papel das exchanges

Exchanges centralizadas são gargalos de identificação. Quando o valor entra em exchange, pode haver KYC, IP, dispositivo, conta bancária e histórico de ordens.

Mas a estratégia exige precisão. A exchange pode não reconhecer uma carteira como sua; o endereço pode ser de usuário, pool, hot wallet, cold wallet, parceiro ou serviço intermediário. Por isso, o pedido deve apresentar transações e solicitar confirmação.

Exchanges estrangeiras elevam a complexidade. Algumas cooperam com ordens brasileiras, outras exigem cooperação internacional. Em casos urgentes, pode-se pedir preservação imediata e posterior formalização.

O argumento jurídico deve unir:

  • valor econômico do ativo;
  • risco de dissipação;
  • identificação técnica do fluxo;
  • dever de cooperação;
  • proporcionalidade;
  • proteção da vítima/credor;
  • delimitação objetiva da requisição.

18. Privacy coins, mixers e limites de inferência

Moedas de privacidade e mixers existem para reduzir rastreabilidade. Isso não torna a investigação impossível, mas muda o padrão de prova. O foco passa a ser:

  • ponto de entrada;
  • ponto de saída;
  • valor aproximado;
  • janela temporal;
  • comportamento anterior e posterior;
  • interações com exchanges;
  • comunicações off-chain;
  • dados de custodiantes;
  • vínculos bancários;
  • padrão repetido.

A investigação honesta deve separar certeza de probabilidade. Em ambientes de ofuscação, o relatório deve indicar margem de incerteza. Juízes toleram complexidade; não toleram falsa certeza quando bem assessorados.

19. Inteligência financeira: o dinheiro fala em dialeto híbrido

Criptoativos não substituem o sistema financeiro tradicional. Frequentemente orbitam em torno dele. O dinheiro entra por Pix, TED, boleto, cartão, P2P, exchange, stablecoin, carteira e volta por banco, cartão, saque, compra de bens ou nova conversão.

A estratégia deve mapear três momentos:

  1. Entrada: como o valor saiu da vítima ou do patrimônio lícito.
  2. Circulação: como o valor circulou on-chain.
  3. Saída: onde houve conversão, custódia, saque, consumo ou reintegração.

Lavagem de dinheiro costuma envolver ocultação, dissimulação, fracionamento, interpostas pessoas, empresas de fachada, circularidade, incompatibilidade econômica e tentativa de dar aparência lícita ao valor.

Mas não basta chamar de lavagem. É preciso demonstrar:

  • infração antecedente em tese;
  • valor derivado dessa infração;
  • atos de ocultação ou dissimulação;
  • consciência ou dolo, conforme o contexto;
  • rota econômica verificável.

A blockchain ajuda no segundo ponto. O resto exige investigação jurídica.

20. OSINT defensivo e compliance

A mesma metodologia serve para defesa. Empresas, investigados e advogados podem usar OSINT para demonstrar licitude, origem de fundos, falha de identificação, erro de atribuição ou inexistência de vínculo.

Exemplos:

  • carteira acusada é endereço de depósito compartilhado de exchange;
  • transação é devolução ou arbitragem legítima;
  • ativo veio de mineração, staking, venda documentada ou rendimento declarado;
  • label pública está errada;
  • endereço foi reutilizado por terceiro;
  • print foi adulterado;
  • horário foi convertido de forma incorreta;
  • token indicado não corresponde ao contrato verdadeiro;
  • acusação confundiu rede;
  • valor passou por contrato automatizado sem controle humano direto do acusado.

A defesa técnica em criptoativos não nega a blockchain. Ela a lê melhor.

21. Checklist operacional

Coleta inicial

  • Identificar rede.
  • Identificar ativo.
  • Identificar TXID.
  • Identificar endereço de origem.
  • Identificar endereço de destino.
  • Registrar data UTC e BRT.
  • Registrar valor em cripto.
  • Registrar valor estimado em reais.
  • Salvar URL do explorador.
  • Preservar comprovantes.
  • Gerar hash dos arquivos.
  • Salvar conversas e e-mails.
  • Registrar fonte de cotação.

Análise on-chain

  • Mapear transações subsequentes.
  • Identificar consolidação.
  • Identificar fracionamento.
  • Identificar exchange/bridge/mixer.
  • Verificar labels em fontes distintas.
  • Identificar contratos inteligentes.
  • Examinar concentração de tokens.
  • Montar gráfico de fluxo.
  • Anotar limitações.

Correlação off-chain

  • Domínios.
  • Redes sociais.
  • E-mails.
  • Telefones.
  • CNPJ.
  • Reclamações públicas.
  • Anúncios.
  • Perfis vinculados.
  • Bancos/exchanges.
  • Dados fiscais mediante via legal.

Judicialização

  • Preparar linha do tempo.
  • Indicar TXIDs.
  • Indicar carteiras.
  • Indicar exchanges prováveis.
  • Pedir preservação.
  • Pedir KYC.
  • Pedir logs, com período.
  • Pedir saldos e bloqueio.
  • Pedir dados bancários.
  • Pedir cooperação internacional se necessário.
  • Requerer perícia, se o caso exigir.

22. Modelo de sumário executivo

A presente análise OSINT identificou que, após indução fraudulenta documentada em conversas preservadas, a vítima transferiu criptoativos para o endereço [X], na rede [Y], por meio da transação [TXID], confirmada no bloco [Z], em [data/hora]. O endereço receptor apresentou padrão de carteira coletora, recebendo valores de múltiplas origens em curto intervalo temporal e encaminhando parte substancial dos ativos para endereço identificado como vinculado a serviço centralizado. A análise não afirma, por si só, a titularidade humana da carteira receptora, mas estabelece fluxo financeiro verificável, risco de dissipação e necessidade de ordem judicial dirigida à prestadora identificada para preservação, KYC, logs, histórico de depósitos/saques e eventual bloqueio de saldo remanescente.

Esse tipo de texto mostra força sem excesso. Ele não promete mais do que prova. Mas entrega ao juiz o que importa: fato, transação, padrão, risco e providência.

23. Conclusão

Investigar criptoativos no Brasil é seguir rastros em duas línguas: a língua matemática da blockchain e a língua jurídica da prova.

A blockchain mostra que algo aconteceu. O OSINT mostra onde procurar. O direito define o que pode ser usado. O processo judicial abre o que não é público. A perícia valida o que é técnico. A estratégia transforma tudo em consequência: bloqueio, penhora, sequestro, restituição, indenização, denúncia, absolvição, acordo, recuperação ou responsabilização.

O investigador maduro não busca mágica. Busca cadeia.

A cadeia é esta: preservar, validar, rastrear, correlacionar, graduar, judicializar, bloquear e provar.

No Brasil, a janela de eficiência está exatamente aí. A regulação avançou, o Judiciário já reconhece valor econômico e possibilidade de constrição, a Receita estruturou obrigações informacionais, o Banco Central passou a disciplinar prestadoras de serviços de ativos virtuais, e padrões internacionais reforçam cooperação e rastreabilidade.

O mito do anonimato absoluto morreu. O que existe agora é uma disputa entre velocidade de dissipação e qualidade metodológica.

Quem improvisa perde o rastro. Quem documenta, cruza e pede a medida certa no momento certo transforma a névoa em mapa.

E em criptoativos, mapa é poder probatório.

Tags:

Precisa de orientação sobre vínculos familiares?

O Portal Parental reúne informação, orientação inicial e caminhos práticos para proteger vínculos familiares saudáveis com responsabilidade.

Enviar relato Ler guias práticos

Este conteúdo tem finalidade informativa e educativa. Não substitui orientação jurídica, psicológica ou institucional individualizada. Situações de violência real devem ser tratadas com seriedade, proteção imediata e atuação das autoridades competentes.

Leia também

Top 10 open-source de OSINT, Grafos e IA em 2026

Top 10 open-source de OSINT, Grafos e IA em 2026

A nova fronteira da investigação digital não está apenas em encontrar dados, mas em entender relações. Ferramentas abertas de OSINT,…
Guia Geral da Trilha OSINT PARENTAL

Guia Geral da Trilha OSINT PARENTAL

Como ler, usar e conectar os artigos sobre OSINT, prova digital, criptoativos, IA forense e grafos jurídicos 1. Visão geral…
Guia OSINT no Direito: Como usar para Construir Provas

Guia OSINT no Direito: Como usar para Construir Provas

Como usar inteligência de fontes abertas, sem invasão, sem perseguição e sem violar a LGPD, para reconstruir cronologias, testar narrativas,…
OSINT: O PODER SILENCIOSO DA INTELIGÊNCIA DE FONTES ABERTAS

OSINT: O PODER SILENCIOSO DA INTELIGÊNCIA DE FONTES ABERTAS

INTRODUÇÃO: A REVOLUÇÃO INVISÍVEL DA INFORMAÇÃO PÚBLICA No ano de 2013, um analista de inteligência chamado Edward Snowden demonstrou ao…