BACEN Pesa a Mão: Os 10 Processos Administrativos Mais Relevantes Contra Fintechs em 2025

O ano de 2025 marcou o fim definitivo da paciência do Banco Central com as fintechs brasileiras. Acabou a era do "crescer primeiro, arrumar a casa depois". Se você opera no Sistema Financeiro Nacional (SFN) e quebra coisas, o regulador quebra o seu caixa.

Acompanhamos de perto as públicações no Diário Oficial da União e os Termos de Compromisso (TC) firmados no Departamento de Controle e Análise (DECON) do BC ao longo dos últimos doze meses. O saldo assusta quem estava acostumado com a benevolência da última década. Vimos multas recordes, suspensões temporárias de operação e até inabilitação de diretores estatutários.

O mercado hoje opera sob uma lupa microscópica. Com mais de 500 Instituições de Pagamento (IPs) ativas e o Pix processando bilhões de transações diárias, o risco sistêmico mudou de patamar. O BC não atua mais como um guarda de trânsito orientando o fluxo. Ele instalou radares de velocidade em cada esquina e está enviando a conta direto para a sede da sua empresa.

Mapeamos os 10 processos administrativos sancionadores (PAS) mais relevantes deste ano. Analisar esses casos não é apenas um exercício jurídico. É um roteiro exato de onde o regulador vai bater na sua porta em 2026.

O Fim do "Move Fast and Break Things" no SFN

Para entender o peso da caneta do BC agora em 2025, precisamos olhar para trás. A Lei 12.865 de 2013 abriu as portas do mercado de pagamentos. Nomes como Nubank, Stone e PagSeguro pavimentaram o caminho, provando que era possível competir com os bancões.

O regulador adotou uma postura deliberadamente assimétrica nos primeiros anos. A regra era clara: deixar a inovação florescer. Exigir Basileia III de uma startup de pagamentos em 2015 seria matar a competição no berço. O resultado prático foi a revolução que vivemos: inclusão financeira massiva e a digitalização do dinheiro no Brasil.

Mas a assimetria regulatória tem prazo de validade. Quando uma carteira digital atinge 30 milhões de clientes, ela deixa de ser uma startup fofinha. Ela vira infraestrutura crítica de mercado.

As Resoluções recentes do Conselho Monetário Nacional (CMN) e do próprio BC deixaram isso evidente. A exigência de capital aumentou, as regras de cibersegurança (Resolução 4.893) ficaram draconianas e a Prevenção à Lavagem de Dinheiro (PLD - Circular 3.978) virou questão de segurança nacional. O enforcement de 2025 é apenas a aplicação prática desse novo arcabouço.

O Top 10 do Enforcement: Onde o Bacen Bateu Mais Forte em 2025

Nossa análise dos processos não expõe nomes de empresas por questões de sigilo nos acordos em andamento, mas os fatos narrados nos despachos do BC são de domínio público e revelam padrões claros de falhas operacionais.

Se você opera um e-commerce, uma subadquirente ou um Banking as a Service (BaaS), preste atenção aqui. O erro deles pode estar rodando no seu código agora mesmo.

1. O BaaS Cego: Falha Crítica em KYC

O processo mais ruidoso do ano envolveu uma grande fornecedora de infraestrutura de BaaS. A empresa oferecia contas digitais white-label para dezenas de parceiros, mas terceirizou completamente o processo de Know Your Customer (KYC).

O resultado? Centenas de contas foram abertas com CPFs de pessoas falecidas e usadas para escoar fraudes do Pix. O BC aplicou uma multa de R$ 12,5 milhões e foi taxativo: a responsabilidade final pela identificação do cliente é da IP que detém o código ISPB (Identificador de Sistema de Pagamentos Brasileiro), não do parceiro comercial.

2. A Corretora Cripto Disfarçada de IP

Com a entrada em vigor do novo marco cripto, o BC assumiu a supervisão das VASPs (Virtual Asset Service Providers). Uma exchange estrangeira tentou operar no Brasil usando uma IP parceira apenas como fachada de liquidação, sem reportar as operações de câmbio adequadamente.

O processo administrativo culminou na suspensão cautelar das operações da IP parceira. A lição é dura: alugar seu acesso ao STR (Sistema de Transferência de Reservas) para players não regulados operarem em zonas cinzentas é suicídio regulatório.

3. Subadquirência e a Lavagem de Dinheiro das Bets

O mercado de apostas esportivas (Bets) explodiu, e o dinheiro precisava circular. Uma subadquirente foi autuada por não classificar corretamente o MCC (Merchant Category Code) de grandes plataformas de apostas, mascarando o volume financeiro.

A falha no monitoramento de PLD resultou em um Termo de Compromisso de R$ 8 milhões. O BC cruzou dados do COAF e identificou que a empresa ignorava alertas básicos de movimentações atípicas nas madrugadas.

4. O Apagão do Pix na Sexta-feira de Pagamento

O Pix é a espinha dorsal da economia brasileira hoje. Uma grande carteira digital sofreu uma instabilidade de 14 horas em um quinto dia útil, impedindo o pagamento de salários e recebimentos de lojistas.

O BC não aceitou a desculpa de "instabilidade no provedor de nuvem". Pela Resolução BCB 1, as instituições precisam ter redundância e planos de contingência testados. A multa passou de R$ 5 milhões, calculada com base no volume de transações negadas.

5. Open Finance: Vazamento de Consentimento

O Open Finance baseia-se em confiança. Um processo gravíssimo envolveu uma instituição iniciadora de transação de pagamento (ITP) que continuou capturando dados de clientes 30 dias após a revogação explícita do consentimento no app.

A falha sistêmica violou as diretrizes de interoperabilidade. O BC trabalhou em conjunto com a ANPD (Autoridade Nacional de Proteção de Dados), gerando uma dupla penalização para a fintech.

6. Silêncio Cúmplice com o COAF

A regra é clara: transações em espécie acima de R$ 50 mil ou movimentações suspeitas devem ser comúnicadas ao COAF em até 24 horas. Uma IP focada no agronegócio falhou em reportar mais de 300 transações atípicas de seus clientes.

O processo sancionador focou na negligência do diretor de compliance. Diferente de outros casos, o BC optou por inabilitar o diretor responsável por cinco anos, além da multa à pessoa jurídica. A mensagem? O CPF do executivo está na reta.

7. Maquiagem no Índice de Basileia

Crescer custa caro. Uma fintech de crédito tentou inflar artificialmente seu Patrimônio de Referência (PR) para não desenquadrar dos limites mínimos exigidos pelo BC para sua modalidade de risco.

A supervisão contínua do Banco Central detectou a manobra contábil através do envio dos arquivos CADOC. O processo exigiu a capitalização imediata pelos controladores sob pena de liquidação extrajudicial. A empresa precisou captar R$ 50 milhões em rodada de emergência.

8. Tarifação Abusiva em Contas Essenciais

Embora o foco do BC seja o risco sistêmico, a conduta de mercado também entrou no radar. Uma IP popular passou a cobrar taxas de manutenção em contas inativas sem comúnicação prévia e transparente aos usuários.

O Departamento de Proteção ao Cidadão do BC abriu processo após uma enxurrada de reclamações no portal Consumidor.gov. A fintech teve que devolver os valores em dobro e assinou um TC milionário.

9. Incidente Cibernético Não Reportado

Uma infraestrutura de pagamentos sofreu um ataque de ransomware no início de 2025. O problema não foi o ataque em si, mas o fato de a empresa ter tentado abafar o caso, resolvendo internamente sem comúnicar o regulador.

A Resolução 4.893 exige comúnicação imediata ao BC em caso de incidentes relevantes. A descoberta tardia pelo regulador transformou o que seria um problema técnico em uma infração gravíssima de ocultação.

10. Liquidação de Operações Fictícias

O décimo processo de maior impacto envolveu uma arranjo de pagamento fechado que permitia a liquidação de recebíveis de cartão de crédito sem lastro real, operando um esquema de "maquininha de fumaça" para gerar limite artificial.

O BC descredenciou a instituição do Sistema de Pagamentos Brasileiro e encaminhou o dossiê para a Polícia Federal e Ministério Público. Foi o caso mais extremo de enforcement do ano.

O Preço da Negligência: Como o BC Calcula a Conta

A Lei 13.506/2017 deu dentes ao Banco Central. Antes dela, as multas eram limitadas a valores irrisórios que muitas vezes compensavam o risco da infração. Hoje, o cenário mudou drasticamente.

O BC pode aplicar multas de até R$ 2 bilhões ou 0,5% da receita de serviços e produtos financeiros da instituição. Na prática, vemos a maioria das autuações variando entre R$ 2 milhões e R$ 20 milhões.

Uma multa de R$ 5 milhões quebra o caixa de uma IP entrante. O cálculo leva em conta a gravidade da infração, o grau de lesão ao SFN, a reincidência e a capacidade econômica do infrator. Cooperar com as investigações e confessar o erro (firmando o Termo de Compromisso) costuma reduzir o valor final, mas não evita o desgaste reputacional.

Observamos que o BC cruza dados de forma automatizada. Eles não dependem mais de inspetores físicos visitando a sua sede. Os robôs do regulador analisam os arquivos XML diários enviados pela sua fintech. Se a sua base de dados não baté com as regras de validação, o alerta dispara na mesa do supervisor em Brasília.

Lições Práticas para Founders e Diretores de Compliance

A leitura desses 10 processos revela um padrão assustador de amadorismo em áreas críticas. Se você está na cadeira de liderança de uma fintech, extraímos três lições inegociáveis deste ano de 2025.

Primeira lição: Compliance não é centro de custo, é barreira de sobrevivência. Contratar advogados juniores para tocar a área de PLD é economizar centavos para perder milhões. O BC exige sistemas robustos de monitoramento, com regras calibradas para o perfil de risco do seu cliente.

Segunda lição: O BaaS não blinda você. Fornecer infraestrutura (Banking as a Service) significa assumir o risco da ponta. Se o seu parceiro comercial está lavando dinheiro, o BC vai multar o dono do ISPB. Os contratos de indenidade entre as partes não impedem a ação sancionadora do regulador.

Terceira lição: Transparência radical com o regulador. Tentar esconder um vazamento de dados ou uma queda no Pix do Banco Central é a pior estratégia possível. O BC valoriza a postura da instituição que reporta o problema, apresenta o plano de mitigação e resolve rápido. A ocultação transforma infração em dolo.

O Que Esperar para 2026? A Régua Vai Subir

O ano de 2025 provou que o Banco Central tem braço e tecnologia para fiscalizar em massa. Olhando para o horizonte de 2026, com o avanço do Drex (o Real Digital) e a maturidade plena do Open Finance, a complexidade tecnológica vai aumentar vertiginosamente.

As fintechs que sobreviverão à próxima década serão aquelas que entenderem que a regulação é o produto. Escrever um código bonito e ter um app fluido é o básico. O verdadeiro diferencial competitivo hoje é ter uma esteira de liquidação impecável, um motor de PLD que aprende com o mercado e um balanço financeiro que aguente o tranco regulatório.

O recado de Brasília foi dado de forma clara e custosa. Quem não escutou em 2025, difícilmente terá caixa para escutar em 2026.