É difícil pensar no JPMorgan Chase Bank – um gigante com mais de US$ 3 trilhões em ativos totais, valor de mercado de US$ 415 bilhões, o quinto maior banco do mundo – como uma vítima infeliz que merece nossa simpatia. Mas aqui está o que aconteceu, de acordo com alegações do DOJ, da SEC e do próprio banco. 

Em 2021, o JPMorgan concordou em adquirir a plataforma de planejamento financeiro de faculdades “Frank” por US $ 175 milhões. Ele estava comprando dados de usuários – nomes, endereços de e-mail e números de telefone – para 4,25 milhões de pessoas reais, ou assim acreditava. 

O banco insistiu em verificar a lista de usuários da Frank durante a devida diligência. A fundadora e CEO da Frank, Charlie Javice, de 31 anos, se opôs à divulgação por causa da privacidade do usuário. 

Eventualmente, os dois lados se comprometeram. Javice concordou em fornecer a lista de usuários da Frank a um “validador” de terceiros que reportaria seus resultados diretamente ao JPMorgan. O validador – Acxiom, listado na Nasdaq, um grande player no setor de dados com mais de 2.000 funcionários – revisou a lista. Ele informou ao JPMorgan que “100% das 4.265.085 de entradas analisadas tinham dados nos campos de nome, sobrenome, endereço de e-mail e telefone”. 

O que o JPMorgan não sabia era que a lista de usuários da Frank vinha de um professor de ciência de dados que Javice havia contratado. O professor usou a lista da Frank de menos de 300.000 usuários reais como uma amostra. A partir disso, ele criou dados sintéticos, e isso é principalmente o que o validador revisou. 

Com o relatório do validador em mãos, o JPMorgan fechou o negócio. A parte de Javice do preço de venda de US $ 175 milhões da Frank deveria ser de cerca de US $ 41 milhões. 

Logo após o fechamento, o JPMorgan enviou 400.000 e-mails para testar a lista de usuários. Os e-mails tinham taxas de entrega e abertura sombrias, muito abaixo das taxas típicas que o JPMorgan experimentou com outras campanhas de e-mail. 

O JPMorgan fechou a Frank em janeiro de 2023. 

O que são dados sintéticos? Ao contrário da arte forjada ou do dinheiro falsificado, as empresas legítimas o produzem e comercializam, e os clientes respeitáveis o usam para fins legais. 

Muitas empresas precisam de dados em grandes quantidades para testar algoritmos, escalabilidade e sistemas de aprendizado de máquina. Quando eles não podem usar dados reais – porque eles ainda não existem, ou há restrições de privacidade ou preocupações relativas à propriedade – eles usam dados sintéticos. 

Telecomunicações e varejistas usam dados sintéticos para testar sistemas no nível do cliente. As empresas de saúde o usam para depurar programas de rastreamento de pacientes. Os processadores de pagamento precisam de dados sintéticos para executar a seco as proteções antifraude antes de serem ativadas. E assim por diante. 

Aqui está a parte complicada sobre dados sintéticos: a qualidade é importante. Para serem úteis para compradores legítimos, os dados sintéticos devem imitar dados reais. É para enganar as máquinas mais inteligentes do mundo. Como resultado, os melhores dados sintéticos são extremamente difíceis de diferenciar dos reais. 

Como o cientista da computação do MIT Kalyan Veeramachaneni coloca: “Você pode pegar um número de telefone e dividi-lo. Quando você o ressintetiza, você está gerando um número completamente aleatório que não existe. O resultado é um conjunto de dados que contém os padrões e propriedades gerais do original – que podem chegar a bilhões – juntamente com ‘ruído’ suficiente para mascarar os próprios dados.” 

Os problemas de due diligence tornam-se aparentes. Mesmo a análise de dados de alto nível pode não detectar que é sintética. E, de qualquer forma, quão fundo na verificação os potenciais compradores podem ir? Muitas vezes, durante a pré-aquisição, há preocupações de proteção de dados e privacidade, restrições legais como o GDPR e relutância em expor dados. 

Qual é a resposta? Todos os produtores de dados sintéticos devem marcar seus produtos com isenções de responsabilidade? Isso é viável ou as marcas d’água eletrônicas tornariam os dados sintéticos impróprios para o seu propósito? E quanto à regulamentação e supervisão do governo – um FDA para dados sintéticos? Isso manteria os dados sintéticos fora de mãos inescrupulosas, ou levaria mais criminalidade ao subsolo? 

E isto: Quantas vezes mais os dados sintéticos confundirão a devida diligência? Boa pergunta. A emergente indústria de dados sintéticos é mais competitiva e sofisticada a cada dia, e ainda estamos no início da jornada. Ninguém sabe para onde tudo está indo, mas é provável que haja surpresas. 

No início deste mês, o DOJ acusou Charlie Javice de quatro acusações de fraude, três puníveis com até 30 anos de prisão e uma de até 20 anos. A SEC acrescentou acusações de fraude civil e está pedindo desembolso e penalidades civis. 

O JPMorgan entrou com uma ação civil contra Javice em janeiro. 

(Nem o professor de ciência de dados que Javice supostamente contratou para produzir a lista sintética de usuários nem o validador da lista, Acxiom, são nomeados como réus pelo DOJ, SEC ou JPMorgan). 

Javice – que apareceu na lista “30 under 30” da Forbes em 2019 – também processou o JPMorgan. Ela diz que o banco “fabricou” razões para demiti-la e evitar pagar o dinheiro que lhe é devido com a venda da Frank. 

O advogado de Javice, Alex Sprio, a classificou como vítima. Ele disse ao Wall Street Journal em janeiro: “Depois que a JPM se apressou em adquirir o negócio ascendente de Charlie, a JPM percebeu que não poderia contornar as leis de privacidade estudantil existentes, cometeu má conduta e, em seguida, tentou renegociar o acordo. Charlie soprou o apito e depois processou.” 

No momento da publicação, Javice – que se presume inocente, a menos que seja condenada em um tribunal – não entrou com um apelo às acusações criminais do DOJ e está livre sob fiança de US $ 2 milhões. Ela ainda não respondeu no tribunal à queixa de fraude civil da SEC. 

No processo com o JPMorgan, ela pediu ao juiz que rejeitasse o caso e obrigasse a arbitragem das reivindicações de ambas as partes sob as disposições de seus acordos com o banco.

Fonte: The FCPA Blog