Compliance com sanções internacionais: como fintechs brasileiras filtram listas OFAC

Imagine a seguinte situação: você opera uma fintech de pagamentos cross-border na Faria Lima. Um cliente faz uma remessa aparentemente inofensiva de US$ 50 mil para um fornecedor na Turquia. O dinheiro sai da sua conta de liquidação, baté no seu banco correspondente em Nova York e, subitamente, congela. O motivo? O fornecedor turco tem um nome quase idêntico ao de um operador logístico sancionado pelo Tesouro Américano. O dinheiro fica retido, seu banco correspondente ameaça cortar suas APIs e o compliance entra em pânico.

Essa é a realidade diária de qualquer instituição brasileira que ouse cruzar fronteiras. Se você opera um e-commerce internacional, uma conta global ou fácilita investimentos no exterior, preste atenção aqui. O mercado brasileiro de pagamentos evoluiu absurdamente com o Pix e o novo marco cambial (Resolução BCB 277), mas a infraestrutura global de compliance não perdoa amadores. Quando o assunto é sanção internacional, a tolerância ao erro é exatamente zero.

Nós observamos uma mudança drástica na postura das fintechs brasileiras nos últimos dois anos. Antes, nomes como Nubank, Ebanx, Remessa Online e Nomad podiam focar quase exclusivamente em PLD (Prevenção à Lavagem de Dinheiro) doméstico. Agora em 2026, com a internacionalização agressiva do setor, o filtro de sanções — conhecido como Sanctions Screening — tornou-se a espinha dorsal da operação. Vamos dissecar como essa engrenagem funciona nos bastidores, quem dita as regras e como estruturar uma mesa de compliance que não sufoque o crescimento da sua empresa.

O braço longo do Tio Sam (e por que ele alcança Faria Lima)

A primeira lição que qualquer diretor de compliance aprende ao operar em dólar é sobre extraterritorialidade. A OFAC (Office of Foreign Assets Control), agência ligada ao Departamento do Tesouro dos EUA, não precisa que sua empresa seja americana para destruir seu negócio. Basta que a transação envolva dólares americanos, passe por servidores nos EUA ou útilize o sistema financeiro americano em qualquer etapa.

Se a sua fintech brasileira fácilitar uma transação para um indivíduo ou empresa listada na SDN (Specially Designated Nationals), você cometeu uma violação primária. A punição? Multas que frequentemente ultrapassam a casa dos bilhões — basta lembrar do acordo de US$ 4,3 bilhões da Binance há alguns anos — e, o mais letal para uma fintech: a perda imediata de acesso a bancos correspondentes (Correspondent Banking). Sem um banco americano parceiro, sua fintech simplesmente não liquida operações cambiais.

No Brasil, o arcabouço regulatório também aperta o cerco. A Lei 13.810/2019 e a Resolução 44/2020 do COAF obrigam as instituições financeiras a cumprirem imediatamente as sanções impostas pelo Conselho de Segurança das Nações Unidas (CSNU). O BACEN monitora isso de perto. Se um auditor do Banco Central bater na sua porta, a primeira coisa que ele vai pedir são os logs de atualização das suas listas de restrição. Se a sua base estiver desatualizada por 24 horas, você já está operando fora da conformidade.

Na prática, as fintechs brasileiras não filtram apenas a ONU. O padrão ouro do mercado exige o monitoramento simultâneo da OFAC (EUA), da União Europeia (Consolidated List), do HM Treasury (Reino Unido) e das listas locais de terrorismo e trabalho escravo. É um volume massivo de dados que muda literalmente todos os dias. A invasão da Ucrânia pela Rússia, por exemplo, gerou milhares de novas adições à OFAC em questão de semanas, testando os limites da infraestrutura de dados das corretoras e bancos de câmbio brasileiros.

A engenharia do caos: como o screening funciona na prática

Fazer o match de um nome contra uma lista de terroristas parece simples na teoria. Na realidade, é um dos problemas computacionais mais complexos do setor financeiro. O desafio central atende pelo nome de transliteração e variação fonética. Um indivíduo sancionado do Oriente Médio ou do Leste Europeu terá seu nome traduzido de alfabetos como o cirílico ou árabe para o alfabeto latino.

O resultado? O nome 'Mohammad' pode ser escrito de mais de 60 formas diferentes (Mohammed, Muhamad, Mahomet, etc.). Se o seu sistema procurar apenas por correspondências exatas (Exact Match), sua fintech será multada no primeiro mês de operação. É aqui que entra a tecnologia de Fuzzy Logic (Lógica Nebulosa). Os motores de busca útilizam algoritmos como a Distância de Levenshtein, que mede o número mínimo de edições de um único caractere necessárias para transformar uma palavra na outra.

O desafio do Fuzzy Matching

Configurar o motor de Fuzzy Matching é uma arte. Se você configurar a sensibilidade do algoritmo para 95% de similaridade, vai deixar passar variações perigosas. Se baixar para 70%, vai gerar um volume tão grande de alertas que precisará contratar um exército de analistas para revisar manualmente cada transação. Conversando com diretores de operações das principais plataformas de banking as a service do Brasil, o consenso é que o 'sweet spot' de configuração exige calibração contínua e uso de Machine Learning para entender padrões de falsos positivos.

Além do nome, o algoritmo cruza metadados vitais: data de nascimento, país de residência, números de passaporte e áreas de atuação. O problema é que as listas oficiais muitas vezes trazem dados incompletos. A OFAC frequentemente pública a sanção de um oligarca russo listando apenas o nome e um ano aproximado de nascimento. Como você diferencia esse indivíduo de um cidadão comum com o mesmo nome que está tentando abrir uma conta na sua fintech?

Falsos positivos: o buraco negro do orçamento de compliance

O calcanhar de Aquiles de qualquer operação de screening é a taxa de falsos positivos. Na média da indústria, entre 95% e 99% dos alertas gerados pelo sistema não são os criminosos reais. São apenas pessoas com nomes parecidos (os chamados homônimos). Para uma fintech que processa milhões de transações diárias via Pix ou cartões pré-pagos internacionais, uma taxa de alerta de 2% significa dezenas de milhares de transações travadas por dia.

Cada alerta gerado interrompe o fluxo financeiro (Straight-Through Processing - STP). O dinheiro fica em uma conta de custódia transitória e um analista humano precisa analisar o caso. Esse profissional vai olhar os documentos de KYC (Know Your Customer) coletados no onboarding e compará-los com o dossiê da lista de sanções. Se o cliente for de São Paulo e o sancionado for de Damasco, o analista descarta o alerta e libera o pagamento.

O custo disso é astronômico. Fintechs brasileiras de alta performance gastam milhões anualmente apenas para manter mesas de L1 (Nível 1) e L2 (Nível 2) de compliance rodando 24/7. A solução adotada pelas líderes de mercado envolve a criação de 'Whitelists' (Listas de Exceção) dinâmicas. Uma vez que o 'José da Silva' cliente da fintech é investigado e provado que não é o 'José da Silva' traficante sancionado, o sistema cria uma regra para que as futuras transações desse CPF específico não gerem mais alertas. Sem essa automação, a operação simplesmente colapsa sob o próprio peso.

A regra dos 50% e o labirinto dos Beneficiários Finais (UBO)

Se você acha que filtrar nomes de pessoas físicas é difícil, o screening de pessoas jurídicas (B2B) é um pesadelo logístico. A OFAC possui uma diretriz draconiana conhecida como 'The 50 Percent Rule'. A regra dita que se uma ou mais pessoas sancionadas possuírem, direta ou indiretamente, 50% ou mais do capital de uma empresa não listada, essa empresa herda automaticamente as sanções.

Vamos traduzir isso para a realidade do mercado corporativo. Sua fintech atende uma exportadora brasileira. A empresa tem um CNPJ limpo e os diretores não estão em nenhuma lista. Porém, ao investigar a cadeia societária (Ultimaté Beneficial Owner - UBO), você descobre que a holding controladora no exterior tem 51% de suas ações detidas por um fundo soberano iraniano listado na OFAC. Se a sua fintech processar pagamentos para essa exportadora brasileira, você está violando sanções americanas.

Descobrir o UBO exige integrações profundas. Não basta consultar o quadro societário da Receita Federal do Brasil, pois muitas estruturas usam holdings em paraísos fiscais (Cayman, BVI, Delaware) para ofuscar o controle real. As fintechs B2B precisam consumir bases de dados corporativas de fornecedores globais como LexisNexis, Dow Jones ou Refinitiv (LSEG), que mapeiam essas teias societárias em escala global. Falhar na identificação do UBO é a principal causa de multas regulatórias aplicadas a instituições financeiras nos últimos cinco anos.

Criptoativos e o labirinto do blockchain

O ecossistema cripto adicionou uma camada de complexidade brutal ao screening. Fintechs que operam como rampas de entrada e saída (fiat-to-crypto), como Mercado Pago, Nubank Cripto e Cloudwalk, lidam com um vetor de risco que não existe no sistema bancário tradicional: os endereços de carteiras (wallet addresses).

A OFAC não sanciona apenas pessoas e empresas; ela sanciona códigos e endereços na blockchain. O caso mais emblemático foi o do Tornado Cash, um mixer de criptomoedas sancionado pelo Tesouro dos EUA por fácilitar a lavagem de dinheiro de hackers norte-coreanos. Qualquer carteira que interaja com o contrato inteligente do Tornado Cash torna-se 'tóxica'.

Para lidar com isso, as fintechs brasileiras integram ferramentas forenses de blockchain, como Chainalysis, TRM Labs ou Elliptic. Antes de processar um saque de Bitcoin ou USDT, o sistema analisa o histórico da carteira de destino. Se houver qualquer salto (hop) recente associado a uma entidade sancionada, a transação é bloqueada, e a conta do usuário pode ser reportada ao COAF. O screening em cripto não é apenas sobre 'quem' você é, mas 'por onde' o seu dinheiro passou nas últimas horas.

Implicações práticas: estruturando sua mesa de compliance

A regra de ouro para qualquer empreendedor ou diretor de operações no Brasil é: nunca tente construir sua própria base de sanções do zero. O risco de engenharia e a responsabilidade legal são insustentáveis. O mercado oferece APIs robustas que já fazem a ingestão, limpeza e consolidação de centenas de listas globais em tempo real.

O seu foco tecnológico deve estar na orquestração. O fluxo ideal que nós recomendamos começa no Onboarding (KYC inicial). O cliente baixa o app da sua fintech, tira a selfie e manda o documento. Nesse milissegundo, a API dispara o nome contra as listas. Se der alerta positivo verdadeiro, a conta sequer é aberta.

A segunda barreira é o monitoramento transacional (Ongoing Screening). Um cliente aprovado em 2025 pode ser incluído na lista da OFAC em 2026. Portanto, toda a base de clientes ativa deve ser re-escaneada diariamente contra os deltas (atualizações diárias) das listas globais. Além disso, toda transação cross-border (remessa, uso de cartão no exterior, liquidação de câmbio) deve ser filtrada em tempo real (Real-time Screening) antes da mensagem SWIFT ou da liquidação via blockchain ser assinada.

Outro ponto crítico é a rastreabilidade. O BACEN exige trilhas de auditoria (audit trails) impecáveis. Quando um analista da sua equipe libera um alerta de falso positivo, o sistema deve registrar o timestamp, o usuário, a justificativa e os documentos anexados. Esses logs precisam ser guardados por um período mínimo de cinco a dez anos, dependendo da jurisdição em que sua empresa opera.

O futuro do screening já baté à porta com a adoção de Inteligência Artificial generativa e modelos de linguagem (LLMs) para apoiar os analistas de Nível 1. A IA consegue ler o dossiê de um cliente, cruzar com a notícia que gerou a sanção e emitir um parecer sugerindo se é um falso positivo ou não, reduzindo o tempo de análise de 10 minutos para 30 segundos. Contudo, a responsabilidade final sempre será humana. O regulador não aceita 'o algoritmo errou' como defesa. Estruturar uma área de sanções eficiente não é apenas um custo regulatório; é o passaporte que garante que sua fintech continue jogando no tabuleiro do sistema financeiro global.