Thomas Daniels
Em um exemplo impressionante de evasão de sanções cibernéticas, Christina Marie Chapman, uma moradora de 50 anos de Litchfield Park, Arizona, foi condenada a 102 meses de prisão federal por seu papel em uma sofisticada operação de fraude internacional que permitiu que agentes de TI norte-coreanos se infiltrassem em mais de 300 empresas dos EUA, incluindo plataformas de criptomoedas e grandes empresas de tecnologia.
Operando o que os promotores descreveram como uma "fazenda de laptops" em sua casa no subúrbio, Chapman ajudou cidadãos norte-coreanos — disfarçados de legítimos trabalhadores remotos de TI nos EUA — a conseguir empregos usando identidades roubadas e fabricadas. O esquema gerou mais de US$ 17 milhões em lucros ilícitos, com uma parcela significativa supostamente canalizada para financiar os programas de desenvolvimento de armas da Coreia do Norte.
Chapman se declarou culpada de conspiração para cometer fraude eletrônica, roubo de identidade qualificado e conspiração para lavagem de dinheiro. Além da pena de prisão, ela foi sentenciada a três anos de liberdade supervisionada, a perder mais de US$ 284,000 e a pagar US$ 176,850 em restituição.
A Segurança Nacional Encontra o Crime de Colarinho Branco
Promotores federais enquadraram o caso como uma das maiores e mais danosas operações de fraude envolvendo funcionários de TI ligadas à República Popular Democrática da Coreia (RPDC) já processadas pelo Departamento de Justiça. Investigadores apreenderam mais de 90 laptops na residência de Chapman, confirmando que dezenas de dispositivos foram enviados para locais afiliados à RPDC no exterior.
A operação afetou uma ampla gama de empresas americanas, incluindo empresas da Fortune 500, grandes instituições financeiras, um fabricante aeroespacial e diversas empresas dos setores de Web3 e criptomoedas. Os promotores observaram que os funcionários falsificados acessaram sistemas sensíveis, representando uma grave ameaça à segurança cibernética e à segurança nacional.
“Este não foi apenas um crime financeiro — foi uma violação geopolítica”, disse um promotor federal envolvido no caso.
Risco legal para empregadores nos EUA
O caso Chapman causou comoção no setor corporativo dos EUA, levantando questões sobre a responsabilidade do empregador em uma era de trabalho remoto globalizado. Especialistas jurídicos alertaram que empresas que, sem saber, contratam indivíduos sancionados — especialmente aqueles de regimes controlados pelo Estado, como a Coreia do Norte — ainda podem enfrentar ações de execução sob o regime de responsabilidade estrita do Tesouro dos EUA, administrado pelo Escritório de Controle de Ativos Estrangeiros (OFAC).
“Pagar um desenvolvedor sediado na RPDC, mesmo sem saber, constitui uma violação das normas do OFAC”, disse Aaron Brogan, advogado especializado em sanções e conformidade com criptomoedas. “As empresas devem aprimorar suas práticas de KYC e due diligence, sob pena de prejuízos financeiros e de reputação.”
O esquema de Chapman explorava vulnerabilidades em processos de contratação remota e verificação de identidade. Autoridades americanas também citaram o uso crescente de identidades geradas por IA e tecnologia deepfake como um fator complicador na detecção de candidatos fraudulentos.
Um padrão crescente de infiltração patrocinada pelo Estado
Este incidente faz parte de um padrão mais amplo. O Departamento do Tesouro dos EUA sancionou recentemente diversos indivíduos e entidades envolvidos em esquemas semelhantes, alegando que profissionais de TI norte-coreanos se infiltraram discretamente em empresas globais de criptomoedas e tecnologia, às vezes por anos, enquanto enviavam lucros de volta ao regime de Pyongyang.
Estimativas recentes de especialistas das Nações Unidas sugerem que as operações de TI da Coreia do Norte podem gerar entre US$ 250 milhões e US$ 600 milhões anualmente, muitas vezes roteadas por meio de bolsas de criptomoedas e ferramentas de blockchain focadas em privacidade para evitar a detecção.
