Qual a diferença prática entre KYC e KYT nas regras do Pix?

O KYC (Know Your Customer) ocorre no momento do onboarding e em revisões periódicas, focando em validar a identidade, o histórico e a capacidade financeira do cliente. Já o KYT (Know Your Transaction) atua em tempo real a cada transferência, analisando o comportamento do usuário, o dispositivo útilizado, a geolocalização e as marcações de fraude no DICT para bloquear operações suspeitas em milissegundos.

O que acontece se meu PSP não bloquear uma transação fraudulenta?

Se o PSP recebedor falhar na aplicação das regras de KYT e permitir a entrada de recursos ilícitos em uma conta laranja, ele pode ser responsabilizado financeiramente através do MED (Mecanismo Especial de Devolução). Além disso, falhas sistêmicas geram multas pesadas pelo Banco Central e, em casos extremos, suspensão ou descredenciamento do arranjo Pix.

Participantes indiretos têm as mesmas obrigações de compliance que os diretos?

Sim. O Banco Central não isenta os participantes indiretos de suas responsabilidades. A instituição que detém o relacionamento final com o usuário (a fintech, por exemplo) é obrigada a realizar o KYC completo e garantir que as transações passem por um motor de risco (KYT), mesmo que a liquidação financeira ocorra através de um banco parceiro (participante direto).

Como o Bloqueio Cautelar de 72 horas impacta a experiência do usuário?

O bloqueio cautelar retém temporariamente o dinheiro na conta de destino quando o sistema detecta alto risco de fraude. Para o usuário legítimo que cai em um falso positivo, isso gera atrito, pois o saldo fica inacessível. Por isso, os PSPs devem ter equipes ágeis para analisar o bloqueio e liberar o valor rápidamente caso a transação seja confirmada como segura.

Compliance no Pix: A Nova Era de Obrigações KYC e KYT para PSPs

O Pix movimentou mais de R$ 17 trilhões em 2023. Um oceano de liquidez trocando de mãos em questão de segundos. Mas onde há dinheiro instantâneo, há fraude instantânea. O Banco Central sabe perfeitamente disso. A conta da segurança chegou pesada para os Provedores de Serviço de Pagamento (PSPs). Se você opera uma fintech, corretora de criptomoedas, banco digital ou subadquirente conectada ao arranjo, a régua regulatória subiu de forma irreversível.

Historicamente, o mercado brasileiro de pagamentos priorizou a redução do atrito. A ordem era aprovar cadastros em minutos e liberar transações em milissegundos. Hoje, essa mentalidade cobra seu preço. Contas laranja, golpes de engenharia social e lavagem de dinheiro via transações fracionadas forçaram o regulador a agir com mão de ferro.

Observamos uma mudança drástica na postura do BACEN. A tolerância para falhas sistêmicas de segurança caiu a zero. As atualizações das normativas do Pix deixam um recado cristalino aos participantes: a velocidade da transação nunca pode atropelar a precisão da análise de risco. Quem não consegue equilibrar esses dois pratos vai pagar a conta das fraudes — ou perder a licença para operar no sistema.

A Gênese do Risco: Por que o BACEN mudou as regras do jogo

Quando o Pix nasceu, via Resolução BCB nº 1/2020, o foco era adoção em massa. O Brasil precisava de um choque de digitalização financeira. Missão cumprida. O sistema engoliu o TED e o DOC. Contudo, o sucesso estrondoso criou um vetor de ataque perfeito para o crime organizado.

A resposta do regulador veio em ondas. A Resolução BCB nº 147/2021 introduziu mecanismos de defesa ativos. Depois, a Resolução BCB nº 293/2023 e as constantes atualizações do Regulamento do Pix e do Manual de Penalidades mostraram que o cerco fechou. O BACEN parou de apenas recomendar boas práticas e passou a exigir infraestrutura tecnológica pesada de compliance.

As instituições financeiras não podem mais alegar desconhecimento. A responsabilidade por admitir um fraudador no ecossistema agora tem consequências diretas no balanço do PSP. Se o seu processo de abertura de contas permite a criação de identidades sintéticas, o seu caixa vai sangrar através do Mecanismo Especial de Devolução (MED).

A Anatomia do KYC no Ecossistema Pix

Conhecer o seu cliente (Know Your Customer - KYC) no Brasil de hoje vai muito além de validar um CPF na Receita Federal e pedir uma selfie segurando o RG. O fraudador brasileiro é altamente sofisticado, útilizando deepfakes e bancos de dados vazados para burlar verificações primárias.

O Fim do Onboarding Superficial

Para os PSPs participantes do Pix, o KYC exige uma camada profunda de enriquecimento de dados. O BACEN determina que as instituições avaliem a compatibilidade entre o perfil socioeconômico do cliente e o volume transacional esperado. Um estudante universitário sem renda comprovada não deve receber um limite de transferência noturno de R$ 50.000,00 logo no primeiro dia de conta ativa.

As regras do arranjo exigem uma esteira de aprovação dinâmica. Isso significa cruzar dados de birôs de crédito, Receita Federal, listas restritivas do COAF e até mesmo geolocalização do dispositivo móvel durante o cadastro. Se um CPF de São Paulo tenta abrir uma conta usando um IP da Rússia, o alerta vermelho deve soar imediatamente na mesa de compliance.

Participantes Diretos vs. Indiretos

A regulamentação não faz distinção leniente entre participantes diretos (que possuem conta de liquidação no BACEN) e indiretos (que acessam o SPI via liquidante). Ambos são PSPs. Ambos precisam implementar rotinas exaustivas de KYC.

Na nossa análise, muitos participantes indiretos cometeram o erro crasso de terceirizar o compliance para o seu banco liquidante. Isso é uma armadilha. O liquidante monitora a macro-operação, mas a responsabilidade de identificar e qualificar o usuário final recai sobre a fintech que detém o relacionamento comercial. Falhar nisso gera multas aplicadas diretamente ao participante indireto, além do risco de ter o contrato de liquidação sumariamente rompido pelo parceiro bancário.

KYT (Know Your Transaction): O Motor de Regras em Tempo Real

Se o KYC é o porteiro do prédio, o KYT (Know Your Transaction) é o circuito interno de câmeras espalhadas por todos os andares. Monitorar transações no Pix é um desafio tecnológico brutal. Estamos falando de um sistema síncrono que exige respostas em até 10 segundos na imensa maioria das operações.

O Desafio dos Milissegundos

O motor de risco de um PSP precisa analisar dezenas de variáveis em tempo real antes de autorizar a liquidação. Qual é o histórico do pagador? O recebedor abriu a conta há menos de 30 dias? O valor desvia do padrão de consumo? O IP da transação baté com a geolocalização habitual do celular?

Tudo isso precisa ser processado, calculado e decidido em milissegundos. Se o seu motor de regras depende de processamento em lote (batch) que roda de madrugada, você está obsoleto. O KYT no Pix exige processamento de fluxo (stream processing). A inteligência artificial entra aqui não como um jargão de marketing, mas como a única ferramenta capaz de encontrar padrões de fraude de forma não linear nesse curtíssimo espaço de tempo.

Marcadores de Risco no DICT

Uma das ferramentas mais poderosas fornecidas pelo BACEN é o DICT (Diretório de Identificadores de Contas Transacionais). Ele não guarda apenas as chaves Pix. Ele armazena o histórico de infrações vinculadas àquele usuário.

O PSP tem a obrigação regulatória de consultar o DICT antes de processar um pagamento. Se a chave de destino possui marcações de fraude inseridas por outras instituições, a transação deve ser bloqueada ou, no mínimo, retida para análise manual. Ignorar os marcadores do DICT é assinar um atestado de negligência perante a fiscalização do Banco Central.

Bloqueio Cautelar e MED: As Ferramentas Táticas do Compliance

A Resolução 147 trouxe duas inovações agressivas para proteger o usuário e forçar os PSPs a trabalharem juntos: o Bloqueio Cautelar e o Mecanismo Especial de Devolução (MED).

O Bloqueio Cautelar permite que a instituição recebedora retenha os fundos de uma transação suspeita por até 72 horas. Isso muda o jogo. Antes, o dinheiro caía na conta do fraudador e era imediatamente pulverizado para dezenas de outras contas. Agora, o PSP de destino tem a obrigação de agir. Se o motor de KYT apontar um comportamento anômalo — como uma conta recém-criada recebendo múltiplos depósitos de alto valor durante a madrugada —, o bloqueio deve ser acionado automaticamente.

Já o MED é a via de mão dupla. Se o cliente pagador notificar seu banco sobre um golpe, a instituição inicia o processo de devolução via API do Pix. O banco recebedor tem prazos estritos para analisar a denúncia e, caso o recurso ainda esteja na conta (graças ao bloqueio cautelar ou lentidão do fraudador), o estorno é realizado.

O problema? O índice de sucesso do MED ainda gravita em torno de 10% a 15% na média do mercado. O dinheiro sai rápido demais. É por isso que o BACEN exige que o KYT seja preventivo, não apenas reativo.

Como Nubank, Mercado Pago e Stone Resolvem a Equação

Olhar para os grandes players do mercado brasileiro ajuda a entender o padrão-ouro de compliance que o regulador espera.

O Nubank, por exemplo, construiu modelos proprietários de machine learning que analisam a biometria comportamental do usuário. O aplicativo monitora a forma como o cliente digita, o ângulo em que segura o celular e a velocidade de navegação nas telas. Se um golpista rouba o aparelho desbloqueado, o motor de KYT percebe a mudança no padrão físico de uso e trava a transferência via Pix, mesmo que a senha correta seja inserida.

O Mercado Pago aplica uma política de 'score de risco de rede'. Eles não avaliam apenas o remetente e o destinatário, mas a teia de conexões entre as contas. Se uma conta tenta enviar um Pix para um CPF que recentemente transacionou com um nó conhecido de lavagem de dinheiro, o score da transação despenca e o bloqueio cautelar é acionado.

A Stone, com forte presença em adquirência e subadquirência, foca no monitoramento de estabelecimentos comerciais. O motor de regras deles cruza o CNAE (código de atividade) da empresa com o volume de recebimentos via Pix. Uma padaria de bairro que subitamente começa a receber milhares de micropagamentos via QR Code às 3h da manhã sofre intervenção imediata da equipe de compliance.

O Custo do Não-Compliance: Multas, Responsabilidade Solidária e Descredenciamento

Brincar com as regras do Pix custa caro. O Manual de Penalidades do arranjo estabelece multas que podem ultrapassar R$ 1 milhão por infração, dependendo da gravidade e da reincidência. Mas a multa financeira muitas vezes é o menor dos problemas.

A verdadeira ameaça é a responsabilização solidária. Se o seu PSP falha no KYC e permite a abertura de uma conta laranja, e essa conta é usada para aplicar um golpe, a justiça brasileira tem reiteradamente condenado a instituição a ressarcir a vítima. Os tribunais entendem que houve falha na prestação do serviço e negligência na prevenção a fraudes.

Além disso, o Banco Central possui a prerrogativa de suspender temporariamente ou descredenciar definitivamente um participante do Pix. Imagine o impacto no seu negócio se a sua fintech acordar amanhã proibida de enviar ou receber Pix. É a morte súbita da operação.

Implicações Práticas: O Que Muda Para a Sua Operação

Se você opera uma instituição de pagamento, preste atenção aqui. A adequação regulatória não é um projeto com data de fim; é uma operação contínua.

Primeiro, audite a sua esteira de onboarding. A taxa de fricção vai aumentar, e o seu time de marketing vai reclamar da queda na conversão. Compre essa briga. Um usuário bloqueado na porta por suspeita de fraude custa infinitamente menos do que gerenciar um processo do MED, responder a ofícios do PROCON e pagar indenizações judiciais meses depois.

Segundo, teste o estrêsse do seu motor de KYT. Ele consegue processar 500 transações por segundo mantendo a latência abaixo de 2 segundos? Ele consulta a API do DICT de forma assíncrona sem travar o checkout do cliente? Se a resposta for não, a sua arquitetura de software precisa de um redesenho urgente.

Terceiro, treine a sua equipe de atendimento. Quando o bloqueio cautelar de 72 horas é acionado, o cliente legítimo (falso positivo) vai ligar enfurecido. O suporte precisa ter ferramentas para validar a identidade do usuário de forma rápida e segura, liberando o saldo sem violar os protocolos de compliance.

O Futuro do Compliance no Pix: Inteligência Artificial e Federação de Dados

Agora em 2024, mirando em 2025, o ecossistema caminha para um modelo de defesa colaborativa. O fraudador não ataca um banco de cada vez; ele opera em rede. A resposta dos PSPs precisará seguir a mesma lógica.

Iniciativas de compartilhamento de dados de fraude estão ganhando tração. O Banco Central tem incentivado a criação de consórcios de informação onde as instituições podem trocar inteligência sobre IPs maliciosos, chaves Pix contaminadas e padrões de ataque em tempo real, respeitando os limites da LGPD.

Com a chegada de novas modalidades, como o Pix Automático, o vetor de risco mudará novamente. O KYC de empresas recebedoras (útilities, academias, escolas) precisará ser ainda mais granular, garantindo que empresas de fachada não útilizem o débito direto para escoar dinheiro de contas invadidas.

O compliance no Pix deixou de ser um centro de custo burocrático. Hoje, um motor de KYT afiado e um KYC implacável são vantagens competitivas. As instituições que garantirem a segurança do usuário, sem destruir a experiência de uso, dominarão a próxima década do mercado financeiro brasileiro. O Banco Central desenhou o campo; sobrevive quem souber jogar com as regras debaixo do braço.