O que acontece se uma fintech não reportar uma transação suspeita ao COAF?

A fintech fica sujeita a sanções severas do Banco Central, conforme a Lei 13.506/2017. As penalidades incluem multas que podem chegar a R$ 20 milhões, inabilitação de diretores e, em casos extremos, a cassação da licença de funcionamento da instituição.

O COAF bloqueia a conta do usuário quando recebe um alerta?

Não. O COAF é uma Unidade de Inteligência Financeira (UIF) e não tem poder de polícia ou de bloqueio. Ele recebe os relatórios das fintechs, analisa os dados e gera o RIF (Relatório de Inteligência Financeira). Quem executa bloqueios e apreensões é a Polícia Federal, o Ministério Público ou a Justiça, com base nesses relatórios.

Qual o prazo legal para uma fintech reportar uma operação ao COAF?

Segundo a Circular 3978 do Banco Central, após a transação ser identificada e analisada internamente como suspeita, a instituição tem o prazo máximo de 24 horas para efetuar o reporte formal no sistema do COAF (SISCOAF).

Como a LGPD afeta o envio de dados de clientes ao COAF?

A LGPD não impede o reporte. A lei possui bases legais específicas que permitem o tratamento e compartilhamento de dados sem o consentimento do usuário quando o objetivo é o cumprimento de obrigações legais/regulatórias e a prevenção à fraude. O sigilo financeiro é mantido perante o público, mas os dados devem fluir para o regulador.

COAF na era digital: como fintechs reportam operações suspeitas em tempo real

Imagine a seguinte cena: são 3h15 da madrugada de um domingo. Uma conta recém-aberta em uma fintech de pagamentos, registrada no nome de um estudante universitário de 19 anos sem renda declarada, recebe três transferências via Pix de R$ 45 mil cada. Exatos dez segundos depois, o usuário tenta pulverizar esse montante para doze contas diferentes em instituições variadas.

Se estivéssemos em 2014, essa transação passaria despercebida no calor do momento. Um analista de compliance exausto, debruçado sobre uma planilha de Excel com milhares de linhas, talvez notasse a anomalia trinta dias depois, durante uma varredura mensal de rotina. O reporte ao Conselho de Controle de Atividades Financeiras (COAF) chegaria frio, semanas após o dinheiro já ter sido sacado, convertido em criptomoedas ou enviado para o exterior.

Agora em 2025, a realidade é brutalmente diferente. A transação do nosso exemplo não leva trinta dias para ser classificada. Ela é interceptada, analisada, escorada por risco e, se necessário, bloqueada preventivamente em menos de 300 milissegundos. O reporte de operação suspeita viaja pelos dutos digitais diretamente para o SISCOAF com uma velocidade que beira o tempo real.

Observamos que a revolução dos meios de pagamento no Brasil — capitaneada pelo Pix e pelo Open Finance — forçou uma evolução darwiniana nos departamentos de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo (PLD/FT). Quem não se adaptou, ficou pelo caminho ou pagou multas pesadas ao Banco Central.

A morte do compliance manual e a ascensão das APIs

A virada de chave no mercado brasileiro tem nome, sobrenome e número: Circular 3978 do Banco Central, editada no início de 2020. A norma enterrou as antigas regras engessadas e instituiu a Abordagem Baseada em Risco (ABR). O recado do regulador foi claro: não me importam apenas os limites fixos de valores; quero que você entenda o perfil do seu cliente e monitore o comportamento dele de forma contínua.

Instituições como Nubank, Mercado Pago, Stone e PagSeguro processam, juntas, dezenas de milhares de transações por segundo. Colocar humanos para validar essas operações na unha é matemáticamente impossível. A única saída encontrada pelas gigantes da tecnologia financeira foi integrar seus motores internos de risco diretamente às bases regulatórias via APIs (Application Programming Interfaces).

O SISCOAF, sistema central do COAF que recebe as comúnicações de atividades suspeitas, deixou de ser um portal onde analistas faziam upload de arquivos .TXT ou .CSV no fim do expediente. A comúnicação hoje é uma via de mão dupla, alimentada por webhooks e endpoints seguros. Quando o motor de risco de uma fintech decide que uma operação cheira a lavagem de dinheiro, o pacote de dados criptografado é montado e disparado sistemicamente.

Machine Learning na caça aos "Smurfs"

Na gíria do submundo financeiro, o "smurfing" é a tática de fracionar grandes quantias de dinheiro ilícito em depósitos menores para fugir dos radares automáticos — específicamente o limite de R$ 50 mil que obriga a comúnicação em espécie.

Criminosos usam centenas de "contas laranja" para movimentar R$ 4.900 aqui, R$ 9.999 ali. Um humano olhando transações isoladas nunca conectaria os pontos. Uma Inteligência Artificial treinada com redes neurais faz isso antes do café da manhã.

Os modelos de machine learning adotados pelas fintechs brasileiras não olham apenas para o valor do Pix. Eles devoram milhares de variáveis simultâneas:

Device Fingerprinting: O celular usado para fazer a transação já esteve associado a fraudes anteriores?
Geolocalização: Faz sentido um cliente que mora em São Paulo fazer um login em Roraima e, dois minutos depois, outro na fronteira com o Paraguai?
Velocidade de digitação (Biometria Comportamental): O usuário está colando a senha ou digitando com a hesitação natural de um humano?
Grafo de relacionamentos: Essa conta está transferindo dinheiro para uma carteira que, três saltos adiante, envia fundos para um conhecido doleiro?

Na nossa análise diária do setor, vemos que empresas de RegTech (Regulatory Technology) como Feedzai e FICO fornecem motores que rodam modelos de Random Forest e Gradient Boosting para cruzar esses dados instantaneamente.

O pesadelo dos falsos positivos

Existe uma linha tênue e extremamente perigosa entre um compliance rigoroso e uma experiência do cliente (CX) desastrosa. Se a fintech calibra a IA para ser agressiva demais, bloqueia o Pix de R$ 50 mil de um empresário legítimo comprando um carro usado no fim de semana. O cliente fica furioso, vai para o ReclameAqui, xinga no X (antigo Twitter) e encerra a conta.

As equipes de dados lutam diariamente para reduzir a taxa de falsos positivos. O objetivo é afiar o bisturi: cortar o tumor da lavagem de dinheiro sem amputar a perna da usabilidade. Fintechs que dominam essa calibração ganham vantagem competitiva direta. Quem erra a mão, sangra dinheiro com churn de clientes ou sangra dinheiro com multas regulatórias.

O rito da comúnicação: do alerta ao COAF

Vamos detalhar a mecânica exata. Como funciona, na prática, o reporte de uma operação suspeita?

A detecção: O motor de regras capta a anomalia (ex: incompatibilidade de renda, movimentação atípica em horário noturno, triangulação rápida de fundos).
O alerta interno: A transação gera um ticket no sistema interno de PLD da fintech. Dependendo do score de risco, a operação pode ser bloqueada cautelarmente (o famoso bloqueio preventivo do Pix, que permite reter fundos por até 72 horas para análise, conforme a Resolução BCB 147).
A análise humana (quando necessária): A IA filtra 99% do ruído. O 1% mais complexo cai na tela de um investigador de PLD. O profissional cruza dados de fontes abertas, Serasa, Receita Federal e redes sociais.
A decisão e o reporte: Confirmada a suspeita, a fintech tem até 24 horas para comúnicar o COAF a partir do momento da conclusão da análise (prazo estipulado pela Circular 3978).

O reporte vai acompanhado de um dossiê digital completo. O COAF, por sua vez, não bloqueia dinheiro. O COAF é uma unidade de inteligência financeira (UIF). Ele recebe essas peças de quebra-cabeça de dezenas de bancos, corretoras de criptomoedas e adquirentes, monta o cenário e produz os RIFs (Relatórios de Inteligência Financeira). Esses relatórios municiam a Polícia Federal, o Ministério Público e a Receita Federal para deflagrar operações de busca e apreensão.

O custo do erro: multas e o abismo regulatório

Se você opera um e-commerce, uma subadquirente ou uma fintech de nicho, preste atenção aqui. O compliance regulatório não é um departamento de despesas; é o seu seguro de vida corporativo.

A Lei 13.506/2017 deu dentes afiados ao Banco Central. As multas por falhas no sistema de PLD/FT ou por omissão de comúnicação ao COAF podem chegar a R$ 20 milhões por infração. Pior do que a multa financeira é o risco de imagem e a possibilidade de ter a licença de funcionamento cassada pelo BACEN.

Nos últimos anos, assistimos a corretoras de criptoativos (exchanges) e pequenas instituições de pagamento sofrerem intervenções duríssimas porque tentaram economizar na infraestrutura de compliance. Acharam que um sistema básico de checagem de CPF seria suficiente para navegar no mercado brasileiro. Foram engolidas por sindicatos do crime organizado que testam as defesas das fintechs 24 horas por dia com scripts automatizados.

A colisão entre PLD e LGPD

Um dos debates mais quentes nos bastidores das diretorias jurídicas envolve o atrito natural entre a Lei Geral de Proteção de Dados (LGPD) e as obrigações de reporte ao COAF. Como você compartilha dados sensíveis de clientes sem violar a privacidade?

A resposta está nas bases legais da própria LGPD. O tratamento e o compartilhamento de dados para o cumprimento de obrigação legal ou regulatória (Art. 7º, inciso II) e para a prevenção à fraude (Art. 7º, inciso X) blindam as instituições financeiras.

Os times de compliance têm carta branca para vasculhar, analisar e reportar, desde que sigam os princípios da necessidade e finalidade. O que a fintech não pode fazer é usar os dados coletados pelo time de PLD para vender cartão de crédito. A muralha da China interna (Chinese Wall) entre as áreas de negócios e as áreas de risco precisa ser intransponível.

Implicações práticas: o que isso significa para o mercado

Construir um banco digital ou uma infraestrutura de pagamentos no Brasil exige um apetite gigantesco para tecnologia regulatória. O Pix elevou o sarrafo. Se o dinheiro liquida em 3 segundos, a fraude e a lavagem também liquidam em 3 segundos.

Para os fundadores e executivos do setor, a mensagem é cristalina. Não tente construir o seu próprio motor de PLD do zero, a menos que você tenha dezenas de milhões de reais e anos para queimar em P&D. O mercado hoje exige parcerias estratégicas. Contraté soluções de mercado (SaaS) especializadas em PLD, conecte suas APIs e garanta que sua equipe de compliance seja formada por cientistas de dados, não apenas advogados.

O regulador brasileiro é um dos mais sofisticados do mundo. O Banco Central olha para a infraestrutura das fintechs com uma lupa tecnológica. Eles sabem diferenciar quem faz compliance de fachada e quem tem sistemas robustos de monitoramento contínuo.

Visão de futuro: Aprendizado Federado e a rede de proteção

O próximo grande salto na comúnicação de operações suspeitas já está sendo desenhado nos laboratórios das grandes techs financeiras: o Aprendizado Federado (Federated Learning).

Imagine se o Nubank, o Itaú, a Stone e o Mercado Pago pudessem treinar um único supermodelo de Inteligência Artificial para identificar lavagem de dinheiro, sem nunca compartilhar os nomes, CPFs ou saldos de seus clientes entre si. O Aprendizado Federado permite exatamente isso. Os modelos aprendem os padrões de fraude localmente nos servidores de cada banco e compartilham apenas os "pesos matemáticos" (o conhecimento) com uma rede central.

Quando uma quadrilha descobrir uma nova forma de burlar o sistema em uma instituição no Sul do país, todas as outras fintechs do Brasil estarão imunizadas contra aquele padrão em questão de minutos. A comúnicação ao COAF será alimentada por uma inteligência coletiva, descentralizada e implacável.

O jogo mudou. A lavagem de dinheiro no Brasil deixou de ser uma caçada de gato e rato em becos escuros. Virou uma guerra de algoritmos travada em servidores na nuvem. E, na nossa visão, quem tiver a melhor tecnologia sempre terá a última palavra.