O que é a Abordagem Baseada em Risco (ABR) exigida pelo BACEN?

A ABR é o princípio central da Resolução 3.978. Ela determina que as instituições financeiras e de pagamento devem identificar e avaliar seus próprios riscos de lavagem de dinheiro (por cliente, produto e geografia) e aplicar controles mais rigorosos onde o risco é maior, abandonando o modelo antigo de 'tamanho único' para todos os clientes.

Qual o prazo legal para uma fintech reportar uma transação suspeita ao COAF?

A fintech tem um prazo máximo de 45 dias a partir da geração do alerta no sistema para concluir a análise da operação. Após a conclusão de que a operação é de fato suspeita, a instituição tem o prazo improrrogável de 24 horas para efetuar a comúnicação ao COAF via sistema SISCOAF.

Fintechs não reguladas (como clientes de BaaS) precisam seguir a Resolução 3.978?

Sim, de forma indireta e obrigatória. Embora o BACEN não regule a fintech white-label diretamente, ele regula o banco parceiro (BaaS). Pelo princípio do KYP (Know Your Partner), o banco regulado é obrigado a repassar todas as exigências da 3.978 para seus parceiros não regulados, sob pena de perder a própria licença.

O que acontece se uma instituição ignorar as regras de PLD/CFT?

As penalidades, regidas pela Lei 13.506, vão desde multas pesadas que podem chegar a R$ 20 milhões (ou 0,5% da receita de serviços), até a inabilitação dos diretores e a cassação da autorização de funcionamento da instituição pelo Banco Central.

Resolução 3.978 do BACEN: O Guia Definitivo de PLD para Fintechs na Prática

O Pix movimenta mais de R$ 2 trilhões por mês no Brasil. Um volume assustador que transformou o país em uma referência global de pagamentos instantâneos. Mas onde há liquidez imediata, há o crime organizado testando as cercas. Observamos que muitas fintechs nascem com um foco obstinado na experiência do usuário (UX) e na aquisição de clientes, relegando a Prevenção à Lavagem de Dinheiro (PLD) a um mero formulário no fim do processo. Essa miopia custa caro.

O Banco Central do Brasil não perdoa amadores. Com a vigência plena da Resolução 3.978, o regulador deixou claro que não aceita mais políticas de compliance genéricas, compradas em prateleiras de consultorias. O jogo mudou do 'cumprir tabela' para a inteligência de dados.

Se você opera uma Instituição de Pagamento (IP), uma Sociedade de Crédito Direto (SCD) ou atua como um player de Banking as a Service (BaaS), a pressão está no seu cangote. A multa por falhas no sistema de PLD pode bater R$ 20 milhões, conforme a Lei 13.506, além do dano reputacional irreversível. Vamos destrinchar como as operações mais sofisticadas do mercado brasileiro estão implementando a Resolução 3.978 na trincheira diária.

O Fim do Checklist: A Abordagem Baseada em Risco (ABR)

Antes da Resolução 3.978, o mercado financeiro operava sob uma lógica engessada. A regra ditava exatamente o que deveria ser feito, passo a passo. O problema? Lavadores de dinheiro liam a mesma regra e adaptavam suas operações para passar logo abaixo do radar.

A grande sacada do BACEN foi introduzir a Abordagem Baseada em Risco (ABR). Agora, o regulador diz o seguinte: você conhece o seu negócio melhor do que eu. Mapeie os seus riscos, crie a sua matriz e aplique controles proporcionais.

Na prática, isso significa que tratar todos os clientes de forma igual é uma violação da norma. Uma conta digital aberta por um estudante de 18 anos que movimenta R$ 500 por mês via Pix exige controles radicalmente diferentes de uma conta PJ de um e-commerce recém-criado que começa a transacionar R$ 200 mil diários em boletos.

Construindo a Matriz de Risco

Nossa análise de dezenas de matrizes de risco em fintechs brasileiras como Nubank, Mercado Pago e Stone revela um padrão claro de segmentação. A matriz deve cruzar quatro pilares fundamentais:

Risco do Cliente: Profissão, renda declarada, idade, localização geográfica (fronteiras costumam ter peso maior) e se é Pessoa Exposta Politicamente (PEP).
Risco do Produto: Uma conta de pagamentos que só aceita Pix é diferente de uma que permite remessas internacionais ou liquidação de criptoativos.
Risco do Canal de Distribuição: O cliente abriu a conta direto no seu app ou veio através de um correspondente bancário num cafundó do país?
Risco Geográfico: Onde a transação está sendo originada? Uma transação de São Paulo para o Rio de Janeiro tem um score; de São Paulo para uma zona de tríplice fronteira tem outro.

As fintechs mais eficientes rodam algoritmos que recalculam esse score de risco dinamicamente. Se o estudante de 18 anos subitamente recebe uma transferência de R$ 50 mil e tenta pulverizar o valor em 10 contas diferentes, o rating de risco dele salta do nível 'Baixo' para 'Crítico' em milissegundos, travando o saldo preventivamente.

KYC, KYE e KYP: O Trio de Ferro do Cadastro

Conhecer o cliente (Know Your Customer - KYC) é o básico. Mas a Resolução 3.978 ampliou drasticamente a responsabilidade das instituições para incluir parceiros e funcionários.

KYC Além da Selfie com RG

Pedir uma foto do documento e uma selfie já não basta para mitigar fraudes de identidade sintética. O mercado hoje exige fricção inteligente. As fintechs brasileiras integram APIs do Serasa, ClearSale ou idwall logo no onboarding.

O motor de regras cruza o CPF na Receita Federal, verifica bases de PEP (Pessoas Expostas Politicamente) e listas restritivas (OFAC, CSNU). Se o score de risco do cliente dá alto na entrada, a diligência é aprofundada. Exige-se comprovante de renda, declaração de imposto de renda e, em contas PJ, a identificação dos Beneficiários Finais (UBO - Ultimaté Beneficial Owner).

O BACEN foca muito no Beneficiário Final. Criminosos adoram esconder patrimônio atrás de holdings de participação ou empresas de fachada. A sua fintech precisa rasgar o véu corporativo até encontrar o CPF que realmente manda no dinheiro.

KYP: O Calcanhar de Aquiles do BaaS

Know Your Partner (Conheça seu Parceiro) é onde o bicho pega para plataformas de Banking as a Service. Vimos recentemente o Banco Central liquidar ou punir severamente instituições reguladas porque seus clientes não regulados (fintechs white-label) estavam fácilitando fraudes.

A responsabilidade pelo PLD flui para cima. Se a sua IP fornece infraestrutura de contas para um aplicativo de apostas (bet) ou para um subadquirente, você responde pelas falhas deles. Na prática, as IPs estão exigindo auditorias completas nas políticas de PLD de seus parceiros comerciais antes de plugar a API. Contratos estão sendo rompidos sumariamente quando o parceiro apresenta um volume anômalo de fraudes Pix ou chargebacks.

KYE: Conheça seu Funcionário

Know Your Employee. O perigo interno é real. Como a sua fintech garante que um desenvolvedor sênior com acesso ao banco de dados não está alterando os limites de transação de contas laranjas pertencentes a uma facção criminosa?

A implementação exige background checks rigorosos na contratação, monitoramento do padrão de vida dos colaboradores em posições de risco e trilhas de auditoria imutáveis nos sistemas internos. A regra de ouro é o princípio do menor privilégio: ninguém tem acesso a tudo.

Monitoramento Transacional e a Inteligência da Máquina

Ter um bom cadastro não impede que um cliente legítimo venda ou alugue sua conta para o crime (as famosas contas de passagem). É aqui que entra o monitoramento contínuo, a espinha dorsal de qualquer operação de PLD que se preze.

A regra antiga baseava-se em limites fixos. Transacionou mais de R$ 50 mil em espécie? Alerta. Essa abordagem estática gera um oceano de falsos positivos, afogando os analistas de compliance em alertas inúteis e deixando os crimes reais passarem.

Hoje, fintechs maduras útilizam Machine Learning para traçar o perfil comportamental de cada usuário. O modelo aprende que o 'João da Padaria' recebe 200 transações Pix de baixo valor entre 6h e 20h. Se a conta do João começa a receber transferências de R$ 10 mil às 3h da manhã de contas recém-criadas, o sistema bloqueia a operação pela Circular 3.978 do BACEN (e também pela Resolução BCB 147 de segurança do Pix).

O monitoramento precisa identificar tipologias clássicas de lavagem:

Smurfing: Fracionar grandes quantias em pequenas transações para fugir dos limites de reporte.
Passagem rápida: O dinheiro entra e sai em questão de minutos para contas de terceiros.
Incompatibilidade financeira: Um motorista de aplicativo movimentando volumes de uma transportadora corporativa.

A Hora da Verdade: O Reporte ao COAF

O Conselho de Controle de Atividades Financeiras (COAF) é a unidade de inteligência financeira do Brasil. A Resolução 3.978 estabeleceu prazos draconianos e fluxos estritos para o reporte de operações suspeitas.

Prazos e Operacionalização

Quando o sistema de monitoramento gera um alerta, o relógio começa a correr. A instituição tem um prazo máximo de 45 dias para analisar o alerta, recolher evidências, pedir explicações ao cliente (se isso não configurar tip-off, ou seja, alertar o criminoso) e tomar uma decisão.

Uma vez que o comitê de PLD decide que a operação é de fato suspeita, a fintech tem exatamente 24 horas para enviar a comúnicação ao COAF através do sistema SISCOAF. Atrasar esse reporte é uma das infrações mais penalizadas pelo BACEN.

As comúnicações ao COAF (COA) devem ser ricas em detalhes. Dizer apenas 'movimentação atípica' não serve. O analista precisa narrar a história: quem enviou, quem recebeu, qual a tipologia suspeita, quais os IPs de acesso do celular do cliente e qual a justificativa (ou falta dela) para a transação.

Além disso, existem as comúnicações de espécie. Saques ou depósitos em dinheiro vivo acima de R$ 50.000,00 exigem comúnicação obrigatória, independente de suspeita. Para fintechs 100% digitais, isso geralmente ocorre através de caixas eletrônicos da rede Banco24Horas ou depósitos via boleto, exigindo controles cruzados pesados.

Governança e a Figura do Diretor de PLD

A Resolução 3.978 exige que a instituição nomeie um Diretor responsável pelo cumprimento da norma. Não é um cargo figurativo. Esse diretor responde civil e criminalmente pelas falhas estruturais do programa de PLD.

Para garantir a independência, esse profissional não pode estar atrelado à diretoria comercial ou de metas de crescimento. O conflito de interesses seria óbvio: a área de negócios quer aprovar todo mundo, a área de PLD precisa barrar os riscos.

A governança exige também a elaboração do Relatório de Efetividade da estrutura de PLD/CFT, que deve ser emitido anualmente até 31 de março do ano seguinte. Este documento vai para a mesa da auditoria interna, do comitê de risco e do conselho de administração. É um raio-X completo das vulnerabilidades da fintech, apontando quantas contas foram encerradas por desinteresse comercial (suspeita de lavagem), quantos alertas foram gerados e se a equipe tem o tamanho e o treinamento adequados para o volume da operação.

Implicações Práticas: O Custo de Ignorar a Regra

O mercado brasileiro de fintechs passou por uma fase de consolidação brutal. Investidores de Venture Capital não assinam mais cheques em branco para crescimento a qualquer custo. Durante as due diligences de M&A ou rodadas de captação, o passivo regulatório é dissecado.

Encontramos casos de fintechs promissoras que perderam valuations na casa dos milhões porque suas estruturas de PLD eram artesanais. O racional do investidor é simples: se o BACEN fizer uma inspeção e encontrar furos graves na matriz de risco ou atrasos sistêmicos no reporte ao COAF, a instituição pode sofrer um Termo de Compromisso (TC) punitivo ou ter suas operações suspensas.

Implementar a Resolução 3.978 na prática não é apenas colocar um software para rodar. Exige cultura de compliance desde o desenvolvedor júnior até o CEO. Exige calibrar os modelos de machine learning semanalmente para acompanhar a criatividade dos criminosos. Exige demitir clientes que trazem lucro no curto prazo, mas risco sistêmico no longo prazo.

A prevenção à lavagem de dinheiro deixou de ser uma barreira burocrática e se tornou um diferencial competitivo. As fintechs que dominam essa engenharia operam com mais eficiência, sofrem menos perdas com fraudes e atraem parceiros institucionais maiores. As que ignoram a regra, inevitavelmente, acabam nas manchetes pelos motivos errados.