A possível inconstitucionalidade do Anexo II-A da Resolução BCB 521 e às limitações ao direito fundamental de autocustódia

Ao expandir, por meio de resolução administrativa, a esfera de incidência do poder de supervisão estatal, o Banco Central do Brasil institui um modelo inédito de rastreamento patrimonial compulsório que, embora formalmente ancorado em delegação legal genérica, revela-se materialmente desproporcional e carente de densidade normativa suficiente à luz da Constituição.

A Resolução BCB n.º 521/2025, ao instituir o Anexo II-A, impõe às prestadoras de serviços de ativos virtuais a obrigação de reportar ao Banco Central, de forma sistemática e individualizada, informações relativas a transferências envolvendo carteiras autocustodiadas, incluindo a identificação do proprietário da carteira privada, a indicação de se esta figura como origem ou destino da operação, bem como dados econômicos associados à movimentação, como a quantidade transferida e o valor de referência do ativo.

Ainda que tais deveres recaiam formalmente sobre as prestadoras, o regime instituído projeta seus efeitos diretamente sobre a esfera jurídica do indivíduo, atingindo a relação entre o titular e o patrimônio mantido sob sua guarda exclusiva.

A possibilidade de um indivíduo manter controle direto e exclusivo sobre seus bens, sem recorrer a intermediários, não constitui mera escolha operacional, mas expressão concreta da autonomia privada no contexto tecnológico contemporâneo. No ambiente dos ativos virtuais, essa autonomia se manifesta por meio da autocustódia, isto é, da guarda direta das chaves criptográficas privadas que viabilizam a administração imediata do próprio patrimônio.

A autocustódia consolidou-se, assim, como um dos pilares da soberania financeira individual, representando manifestação direta do direito de propriedade, da liberdade econômica e da privacidade patrimonial no ambiente informático. Trata-se de um modelo de gestão que afasta intermediários e preserva o domínio exclusivo do titular sobre seus ativos, permitindo que decisões patrimoniais sejam tomadas segundo critérios estritamente privados.

Nesse contexto, causa estranheza que a simples interação entre uma carteira autocustodiada e uma prestadora de serviços de ativos virtuais seja suficiente para acionar um mecanismo de identificação compulsória do titular da carteira privada, com posterior transmissão sistemática dessas informações ao Banco Central. Tal exigência não encontra paralelo no tratamento historicamente conferido pelo ordenamento jurídico a bens mantidos sob posse direta do indivíduo, como dinheiro em espécie ou outros bens móveis transferidos entre particulares sem intermediação financeira.

O Anexo II-A cria, na prática, um regime de rastreabilidade patrimonial generalizada sobre ativos mantidos fora de qualquer sistema de intermediação, submetendo a esfera privada do indivíduo a um grau de escrutínio estatal que não decorre de lei formal específica. Embora a Lei n.º 14.478/2022 tenha atribuído ao Banco Central competência para regular e supervisionar prestadoras de serviços de ativos virtuais, não há, no plano legislativo, autorização expressa e suficientemente delimitada para a coleta e centralização, em bases governamentais, da vinculação entre indivíduos e carteiras autocustodiadas, tampouco para o monitoramento sistemático das movimentações realizadas sob guarda privada.

A Constituição admite, em hipóteses excepcionais, a mitigação do sigilo patrimonial e financeiro, mas exige, para tanto, fundamento legal específico, definição clara da finalidade legítima e salvaguardas proporcionais. Esse foi o entendimento firmado pelo Supremo Tribunal Federal ao apreciar a constitucionalidade da Lei Complementar n.º 105/2001, deixando assente que a transferência de dados patrimoniais ao poder público não pode decorrer de atos infralegais genéricos, sobretudo quando afeta direitos fundamentais como a privacidade e o sigilo de dados, protegidos pelo art. 5º, incisos X e XII, da Constituição.

Além da afronta direta às garantias constitucionais da privacidade e do sigilo de dados, o regime instituído pelo Anexo II-A revela-se incompatível com os princípios estruturantes da Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018). As informações cuja coleta e transmissão são impostas às prestadoras de serviços de ativos virtuais constituem dados pessoais e, em muitos casos, dados pessoais sensíveis de natureza econômica e patrimonial, na medida em que permitem a identificação direta do titular, a reconstrução de seu perfil financeiro e a inferência de padrões de comportamento econômico.

A LGPD exige, para o tratamento de dados pessoais pelo poder público, base legal específica, finalidade determinada, necessidade estrita, adequação e proporcionalidade, além da observância do princípio da minimização de dados. O Anexo II-A, ao impor a coleta sistemática, abrangente e individualizada de informações vinculadas a carteiras autocustodiadas, não delimita de forma clara a finalidade específica do tratamento, tampouco demonstra a imprescindibilidade da medida para o exercício das competências regulatórias atribuídas ao Banco Central.

O contraste entre o tratamento conferido à autocustódia e o regime jurídico tradicional do sigilo bancário evidencia, ainda com maior clareza, a desproporcionalidade do modelo instituído. No âmbito do sistema financeiro nacional, o acesso estatal a informações bancárias individualizadas é rigidamente condicionado à observância da Lei Complementar n.º 105/2001, que exige fundamento legal específico, finalidade legítima claramente definida e, em determinados casos, controle jurisdicional.

Mesmo quando admitida a mitigação do sigilo bancário para fins fiscais ou de persecução penal, o ordenamento jurídico brasileiro repudia a coleta generalizada e preventiva de dados financeiros de toda a população, vedando a formação de cadastros patrimoniais estatais desvinculados de procedimento formal e de critérios objetivos de necessidade. A jurisprudência consolidada do Supremo Tribunal Federal reconhece que o sigilo bancário não constitui obstáculo absoluto à atuação estatal, mas também afirma, de modo inequívoco, que sua relativização não pode ocorrer por atos infralegais genéricos nem por presunções abstratas de risco.

No caso da autocustódia, a ausência de lei formal que autorize, de modo claro e proporcional, o acesso estatal a informações sobre a titularidade e a movimentação de ativos mantidos sob guarda privada revela uma extrapolação do poder regulamentar. O Anexo II-A densifica a delegação legislativa de forma excessiva, criando obrigações informacionais que, pela intensidade e alcance, demandariam previsão legal específica.

Embora a obrigação normativa recaia sobre as prestadoras de serviços de ativos virtuais, sua execução depende estruturalmente da colaboração do próprio titular da carteira autocustodiada, que se vê compelido a revelar informações patrimoniais sensíveis como condição para realizar operações lícitas. Forma-se, assim, uma devassa patrimonial por via indireta, na qual o indivíduo é constrangido a expor dados que não poderiam ser exigidos diretamente pelo Estado sem lei formal.

A gravidade desse modelo se acentua quando se considera o destino das informações transmitidas ao Banco Central. A centralização de dados que vinculam indivíduos a carteiras autocustodiadas cria um acervo informacional sensível, cujo compartilhamento com outros órgãos estatais, como a Receita Federal, tende a ocorrer no âmbito dos mecanismos de cooperação administrativa existentes. Ainda que não explicitado na norma, esse cruzamento é estruturalmente compatível com a lógica de consolidação de dados patrimoniais para fins fiscais, ampliando significativamente o potencial de monitoramento estatal.

Além disso, a padronização dessas informações pode, no futuro, reduzir as barreiras informacionais para a expansão de sistemas como o CriptoJud, hoje direcionados a ativos custodiados por intermediários, mas que poderiam vir a alcançar, de forma indireta, bens mantidos em autocustódia. Tal cenário esvaziaria a própria essência desse instituto, submetendo patrimônio privado a mecanismos de constrição concebidos para o sistema financeiro tradicional.

Diante desse quadro, o Anexo II-A da Resolução BCB n.º 521/2025 padece de inconstitucionalidade material (por violação aos direitos fundamentais à privacidade, ao sigilo de dados e à autonomia patrimonial do titular de ativos mantidos em autocustódia) e formal (por extrapolação do poder regulamentar, em afronta à reserva legal qualificada exigida para restrições dessa intensidade), por violar direitos fundamentais e por extrapolar os limites da competência regulatória do Banco Central, ao instituir, sem densidade legislativa suficiente, um regime de rastreabilidade estatal sobre bens mantidos fora da intermediação financeira.

A natureza geral e autônoma das obrigações impostas torna o ato normativo suscetível de controle concentrado de constitucionalidade, podendo sua validade ser questionada perante o Supremo Tribunal Federal por meio de Ação Direta de Inconstitucionalidade proposta por partido político com representação no Congresso Nacional, pelo Conselho Federal da OAB ou por entidade de classe de âmbito nacional. Caberia, assim, ao STF restabelecer os limites da atuação administrativa, assegurando que a autocustódia permaneça protegida como expressão legítima do direito de propriedade, da liberdade econômica e da privacidade informacional no ambiente informático.