Desde 1 de janeiro de 2026, a diretiva europeia DAC8 reforça a rastreabilidade das transações de criptomoedas, precisamente no momento em que se multiplicam em França os assaltos e agressões relacionados com ativos digitais. Neste dossier, analisamos o que esta nova transparência implica para os investidores franceses, com a contribuição de Cédric Fontaine, ex-militar e ex-polícia, diretor-geral do Lima Groupe.
Com o objetivo de melhorar a transparência fiscal, a França e os seus vizinhos estão a implementar uma regulamentação cada vez mais rigorosa no que diz respeito às criptomoedas e aos seus detentores. Desde 1 de janeiro de 2026, a diretiva europeia DAC8 obriga os prestadores de serviços de criptoativos a transmitir às autoridades fiscais as informações completas dos seus clientes. Paralelamente, uma alteração legislativa francesa prevê também tornar obrigatória uma declaração anual das carteiras frias de particulares cujo valor exceda 5 000 euros.
Embora certamente animada por boas intenções, a França coloca, no entanto, em risco os detentores de ativos digitais. Com efeito, esta nova iniciativa cria uma vulnerabilidade verdadeiramente crítica, nomeadamente uma base de dados digital centralizada que os criminosos podem explorar.
A França encontra-se decididamente em crise, combinando uma onda de fugas de dados (incluindo uma potencial proveniente do Ministério do Interior), uma série de sequestros em ascensão no país e uma proteção estatal considerada insuficiente. Esta situação sem precedentes torna assim o país um alvo de eleição para o crime organizado, levando infelizmente os investidores a protegerem-se por conta própria através de serviços privados ou, simplesmente, a abandonarem o país. Será que podemos realmente culpá-los?
Uma vontade de transparência a qualquer preço
É assim que uma era chega ao fim em França. Com efeito, desde 1 de janeiro de 2026, a diretiva DAC8 transforma o panorama fiscal dos detentores de criptomoedas na Europa. Segundo a Comissão Europeia, esta regulamentação imporá aos CASP (Crypto Asset Service Provider), o equivalente europeu dos PSAN (Prestadores de Serviços sobre Ativos Digitais) em França, a obrigação de recolher e, posteriormente, transmitir às autoridades fiscais informações detalhadas sobre as transações dos seus clientes.
De notar que a França já tinha implementado medidas relativas a este assunto. Com efeito, a declaração obrigatória das contas de criptomoedas detidas no estrangeiro é exigida através do formulário CERFA 3916-bis, com sanções que podem atingir 1 500 euros por conta não declarada, caso os ativos excedam 50 000 euros. As carteiras cujo saldo seja inferior a 5 000 euros permanecem, no entanto, isentas desta obrigação por enquanto, tal como indica Grégory Raymond no seu tweet:
Info @TheBigWhale_ I Fiscalidade das criptomoedas
Uma alteração apresentada pelos comunistas foi aprovada na terça-feira na comissão da Assembleia Nacional
Propõe obrigar os detentores de carteiras de criptomoedas em autocustódia (@Ledger, @Metamask, @Rabby_io, @DeblockApp, etc.) para dar a conhecer a… pic.twitter.com/ywJ8ylomxZ— Grégory Raymond (@gregory_raymond) 11 de dezembro de 2025
Segundo a Comissão Europeia, estas medidas visam combater a fraude fiscal e o branqueamento de capitais. Assim, a França passará a ter conhecimento das atividades realizadas através das plataformas de criptomoedas, deixando as carteiras geradas automaticamente fora do alcance por enquanto, como salienta com justeza a consultora Deloitte:
Na prática, os Estados-Membros terão conhecimento das atividades relacionadas com ativos digitais realizadas por cada pessoa singular, permitindo assim que as suas autoridades fiscais colmatem eventuais omissões nas declarações.
Infelizmente, esta medida centraliza todas as informações sensíveis em bases de dados governamentais, um alvo perfeito para os hackers, tendo em conta que as fugas de informação em França se tornam cada vez mais comuns.
Desde as fugas de dados do setor privado até às do Estado, um verdadeiro maná para os criminosos
Nos últimos anos, a França tem registado um forte aumento de fugas de dados, afetando tanto as instituições públicas como as empresas privadas. De facto, de acordo com a investigação da France 2, a estação de televisão referiu:
Uma explosão de fugas de dados que afeta numerosas empresas e serviços públicos franceses.
Ainda mais preocupante é o facto de, entre 2021 e 2024, os dados de identificação de pelo menos 14 milhões de cidadãos franceses terem sido comprometidos na sequência de intrusões em plataformas municipais.
As empresas de criptomoedas também não são poupadas e algumas são igualmente incapazes de proteger os dados sensíveis dos seus clientes. De facto, em julho de 2020, a «unicórnio» francesa Ledger, fabricante de carteiras de hardware, sofreu uma fuga massiva que expôs cerca de um milhão de endereços de e-mail de clientes, pouco mais de 250 000 endereços postais e números de telefone, dos quais 16 000 clientes franceses foram diretamente afetados.
Na sequência deste ataque, os dados roubados foram posteriormente vendidos em fóruns da dark web. Assim, em outubro de 2024, a CNIL aplicou à Ledger uma multa recorde de 750 000 € por medidas de segurança insuficientes. No entanto, esta multa não restaurou a privacidade das vítimas nem indemnizou as pessoas que foram alvo de assédio por e-mail ou de mensagens de phishing posteriormente.
Exemplo de um e-mail falso da Ledger (partilhado por @_SaxX_ no X)
Na sequência deste vazamento, as consequências revelaram-se desastrosas para os detentores de criptomoedas. De acordo com este artigo do Le Monde de 2024, o meio de comunicação referia que:
A CNIL declarou à Agence France-Presse que a Ledger «não tinha protegido suficientemente os dados dos seus clientes» na sequência de duas violações de dados ocorridas em 2020, que afetaram os dados pessoais de clientes e potenciais clientes da empresa.
Para esclarecer, a Ledger foi efetivamente vítima de uma fuga de dados inequívoca em julho de 2020 no seu site alojado pela Shopify, expondo 270 000 registos de clientes. A isto acrescenta-se uma violação posterior em que funcionários desonestos da Shopify exportaram dados adicionais, afetando outros 290 000 clientes da Ledger.
No início deste ano de 2026, a empresa foi novamente alvo de uma fuga de dados através do seu parceiro de comércio eletrónico Global-e. O incidente expôs assim as informações pessoais de alguns clientes que realizaram compras através da plataforma.
Uma investigação recente revelou ainda que os cibercriminosos criaram um perfil completo dos seus alvos na sequência de várias fugas de dados ao longo dos anos, nomeadamente a fuga de dados da Free em 2024. Clément Domingo, especialista em cibersegurança, explica nomeadamente que:
O grupo de cibercriminosos responsável por esta operação muito provavelmente cruzou as informações postais dos utilizadores de criptomoedas com outras fugas de dados.
Mais recentemente ainda, o Ministério do Interior sofreu um ataque informático aos seus dados na noite de 11 para 12 de dezembro de 2025. Com efeito, o ciberataque reivindicado pelo grupo de hackers BreachForums teve como alvo os servidores de correio eletrónico do serviço.
Em seguida, descreveram os pormenores do seu ataque no seu fórum, especificando que tiveram acesso a bases de dados sensíveis, nomeadamente o tratamento de antecedentes judiciais (TAJ), o ficheiro de pessoas procuradas (FPR), sem esquecer os sistemas interligados que ligam a Interpol, a Direção-Geral das Finanças Públicas (DGFIP) e a Caixa Nacional de Segurança Social, o que lhes deu acesso a ficheiros pessoais, expondo mais de 16 milhões de indivíduos.
Os hackers lançaram então um ultimato ao governo, nomeadamente uma semana para negociar; caso contrário, os dados serão vendidos ao melhor licitante ou tornados públicos, como explica @AureaLibe no seu tweet no X:
ALERTA DE INFORMAÇÃO | Os hackers que afirmam ter invadido o Ministério do Interior reafirmam ter lançado um ultimato ao Estado francês. Caso este não negocie, ameaçam vender ou divulgar os supostos dados roubados.
A sua mensagem:
“Olá a todos,
Nós… pic.twitter.com/cq85hvgDJo
— Aurea (@AureaLibe) 15 de dezembro de 2025
Apesar deste ataque informático que tem dado muito que falar, o governo não parece estar a perceber a gravidade da situação. A este respeito, o ministro do Interior, Laurent Nuñez, minimizou os riscos, declarando na RTL que nenhuma «comprometimento grave» tinha sido detetado nesta fase, embora já tenha sido detida uma pessoa no âmbito do caso.
No entanto, esta intrusão revela uma vulnerabilidade assustadora. Com efeito, se um indivíduo isolado conseguiu penetrar nos sistemas do Ministério do Interior, o que aconteceria perante cibercriminosos organizados ou apoiados por Estados?
Para piorar a situação, o perigo não provém apenas do exterior. Em julho passado, o jornal Le Parisien revelou que uma funcionária da Direção-Geral das Finanças Públicas era suspeita de transmitir informações confidenciais ao crime organizado. Se um funcionário da administração fiscal pode ser corrupto e vender dados sensíveis dos contribuintes, como pode o governo garantir a segurança das futuras bases de dados relacionadas com a DAC8?
Uma onda crescente de sequestros, uma realidade violenta
Desde 2023, a França tem vindo a registar sequestros repetidos que visam principalmente investidores em criptomoedas. O sequestro que mais repercussão teve nos meios de comunicação foi o do cofundador da Ledger, David Balland. A Gendarmerie Nacional da região declarou então:
Na manhã de 21 de janeiro de 2025, um casal foi raptado na sua residência em Vierzon, no departamento de Cher, por um grupo de criminosos. David Balland é o cofundador da Ledger, uma empresa francesa especializada em criptomoedas.
O pedido de resgate tinha sido, evidentemente, exigido em criptomoedas, tendo os sequestradores fornecido uma prova de vida do empresário através de um vídeo.
Alguns meses mais tarde, em maio passado, o pai de outro empresário do setor foi também sequestrado e mantido como refém durante cerca de 48 horas nos arredores de Paris. Os criminosos exigiram igualmente uma contrapartida em criptomoedas em troca do refém.
Outro facto alarmante: uma mulher grávida, filha do CEO da Paymium, escapou por pouco a um sequestro no 11.º arrondissement de Paris.
No passado dia 18 de dezembro, um casal de investidores residente perto de La Rochelle foi sequestrado na sua residência. Foram amarrados e espancados durante cerca de duas horas para que os agressores obtivessem acesso à sua carteira de criptomoedas. Segundo fontes policiais locais, os agressores terão roubado cerca de 10 milhões de dólares em criptomoedas e dispunham de detalhes muito precisos sobre os montantes detidos pelas vítimas, informação obtida através de uma fuga de dados encontrada online.
Desde então, a espiral infernal acelera: no espaço de apenas 3 dias, a França registou 3 ataques, entre tentativas de rapto e agressões direcionadas, ilustrando uma viragem preocupante em que a posse de criptomoedas pode tornar-se um fator de risco físico, tanto para o investidor como para os seus familiares.
A situação crítica que se apresenta em França é incontestável. Quanto mais a regulamentação tornar os ativos dos cidadãos em criptomoedas transparentes para o governo, mais os criminosos adaptarão a sua estratégia de alvos, apostando em dados sensíveis, dando assim razão ao seguinte ditado: para vivermos felizes, vivamos escondidos.
Uma resposta insuficiente da França em matéria de segurança
Perante a crescente ameaça que paira sobre os intervenientes no setor das criptomoedas, o governo implementou uma proteção primária que reflete a sua falta de interesse neste assunto. O Ministério do Interior anunciou assim que:
Os empresários do setor das criptomoedas teriam acesso prioritário ao número de emergência 17 e receberiam informações das unidades de elite da polícia francesa.
Estas medidas implementadas são mais simbólicas do que tranquilizadoras. Em caso algum os empresários do setor se sentem mais seguros, pois isso não resolve de forma alguma a vulnerabilidade dos sistemas de dados centralizados e, pior ainda, o governo parece estar efetivamente a minimizar a dimensão da ameaça que se intensifica, como salienta Cédric Fontaine, CEO da Lima Protection:
Atualmente, a relação custo-benefício favorece os criminosos. O Estado não poderá fazer nada ao seu nível enquanto tivermos um sistema judicial que seja permissivo.
Em consequência da ineficácia do país em proteger os seus cidadãos, alguns dos investidores mais abastados em criptomoedas recorreram a empresas de segurança privada, dando origem a um panorama de duas velocidades no que diz respeito à segurança no país.
É provável que a procura por segurança privada tenha disparado, especialmente entre empresários e investidores que gerem carteiras de grande valor. Jethro Pijlman, CEO da Infinite Risks International, uma empresa de segurança especializada sediada na Holanda, partilhou com a Bloomberg a sua observação:
Temos recebido mais pedidos, assinado mais contratos de longo prazo e constatado um aumento das solicitações proativas por parte de investidores em criptomoedas que não querem ser apanhados de surpresa. Eles compreendem que medidas de segurança inteligentes fazem agora parte integrante dos seus custos operacionais.
Ainda segundo a Bloomberg, a Coinbase terá gasto até 6,2 milhões de dólares na segurança pessoal do seu CEO, Brian Armstrong, só em 2024. Um exemplo emblemático do facto de que os «VIPs das criptomoedas» têm agora de desembolsar um orçamento considerável de 7 dígitos para a sua segurança.
Para além dos serviços de segurança pessoal, existem soluções menos onerosas, como a proposta pela Perimeter Lab. Esta startup francesa, fundada por três ex-funcionários da Ledger, oferece uma auditoria completa que permite aos investidores em criptomoedas identificar as suas vulnerabilidades antes que estas sejam exploradas.
Assim, chegou a era em que a proteção do Estado é insuficiente e em que apenas os mais ricos podem permitir-se uma segurança à altura da crescente ameaça, refletindo um colapso da França em matéria de segurança pública.
A situação da França agrava-se com estas ameaças, estamos numa espiral descendente. Nós vemos isso no número de pedidos que recebemos, vemos isso no número de pessoas que são atacadas, acrescenta Cédric Fontaine
De facto, entre o potencial roubo de milhões de dados do Ministério do Interior, a impotência do governo face à entidade de cibercriminalidade BreachForums e a implementação da DAC8 com a sua base centralizada, a França parece colocar um alvo evidente nas costas dos franceses sem se aperceber do impacto das suas ações.
