O Banco Central pode multar uma fintech em até qual valor?

A Lei 13.506/2017 estabelece que o limite máximo de multa pecuniária é de R$ 2 bilhões, ou 0,5% da receita de serviços e produtos financeiros da instituição no ano anterior à infração. O valor exato depende da gravidade, reincidência e porte da empresa, calculado via fórmula da Resolução BCB 131.

Diretores de fintechs respondem com o próprio patrimônio por sanções do BC?

Sim. O regime sancionatório atinge tanto a pessoa jurídica quanto a pessoa física (diretores, conselheiros e controladores). Além de multas pessoais, os executivos podem sofrer inabilitação para atuar no mercado financeiro por até 20 anos.

O que é o Termo de Compromisso do BACEN?

É um acordo administrativo onde a instituição se compromete a cessar a prática irregular, corrigir o problema apontado e pagar uma contribuição financeira ao BC. A vantagem é que a assinatura do Termo de Compromisso suspende o Processo Administrativo Sancionador (PAS) e não configura confissão de culpa.

Uma Admoestação Pública afeta a operação da fintech?

Financeiramente de forma direta, não, pois não exige pagamento de multa. Porém, comercialmente o impacto é gigante. A penalidade fica registrada públicamente, o que trava negociações de M&A, captação de fundos de Venture Capital e parcerias B2B com bancos tradicionais que possuem compliance rígido.

O Regime Sancionatório do BACEN: Como a Gradação de Penalidades Atinge as Fintechs (e Como Escapar Delas)

A lua de mel entre o Banco Central e as fintechs ficou no passado. Se você abriu sua Instituição de Pagamento (IP) ou Sociedade de Crédito Direto (SCD) na época em que o regulador distribuía sorrisos e incentivos para quebrar o oligopólio bancário, prepare-se para o choque de realidade de 2026. O mercado amadureceu, o Pix movimenta trilhões e o Open Finance virou infraestrutura crítica. Com grandes poderes, vêm multas colossais.

Hoje, o BACEN não tolera amadorismo. A autarquia consolidou um braço punitivo que opera com a precisão de um relógio suíço e o peso de uma bigorna. Estamos falando de um teto de multa que chega a absurdos R$ 2 bilhões por infração. E a responsabilidade não fica restrita ao CNPJ: diretores e controladores respondem com o próprio CPF.

Observamos que muitos fundadores de fintechs ainda tratam o compliance como um "mal necessário" ou uma despesa chata de backoffice. Se você opera uma IP, uma SCD ou um ecossistema de criptoativos regulado, preste atenção aqui. Entender o Processo Administrativo Sancionador (PAS) e a gradação de penalidades do BC não é luxo jurídico. É questão de sobrevivência.

A Base Legal: A Lei 13.506 e o Fim da Subjetividade

Até meados da década passada, o sistema de punições do BC era arcaico. As multas eram limitadas a valores irrisórios (para o mercado financeiro) e o rito processual era confuso. A Lei 13.506, sancionada em 2017, mudou as regras do jogo e estabeleceu o moderno Marco Legal do Processo Administrativo Sancionador do BACEN e da CVM.

Esta lei trouxe dentes afiados para o regulador. Ela não apenas multiplicou o valor das multas, mas definiu critérios objetivos para a aplicação das penas. O BC não acorda de mau humor e decide fechar sua fintech. Existe uma matriz de risco, uma fórmula matemática para calcular o dano e uma escada de punições.

O Processo Administrativo Sancionador (PAS)

Na prática, a punição não cai do céu. Tudo começa com a supervisão rotineira. O Departamento de Supervisão de Conduta (Decon) ou o Departamento de Monitoramento do Sistema Financeiro (Desig) detecta uma anomalia. Pode ser uma falha nos relatórios de PLD/FT (Prevenção à Lavagem de Dinheiro), um furo nos limites de capital (Basileia) ou indisponibilidade recorrente no sistema do Pix.

O BC emite um ofício pedindo explicações. Se a resposta for insatisfatória, instaura-se o PAS. A partir desse momento, sua empresa entra oficialmente na mira. O processo corre em sigilo durante a fase de instrução, mas o resultado final é público. E no mercado financeiro, reputação manchada custa muito caro.

A Escala de Dor: A Gradação das Penalidades

O regime sancionatório do BACEN funciona como um sistema de cartões no futebol, mas com consequências financeiras brutais. A Resolução BCB 131 detalha exatamente como a dosimetria da pena é calculada. O regulador avalia a gravidade da infração, o porte da instituição, a reincidência e se houve vantagem auferida.

Vamos destrinchar cada nível dessa escada de punições.

Nível 1: Admoestação Pública (O "Puxão de Orelha")

A admoestação é a penalidade mais leve. Trata-se de uma censura pública. O BC pública no Diário Oficial e em seu site que a fintech X violou a norma Y. Não há desembolso financeiro imediato atrelado a essa pena.

Parece inofensivo? Longe disso. Se sua fintech busca rodadas de investimento, tenta fechar parcerias B2B com players como Stone, Mercado Pago ou Nubank, ou negocia linhas de crédito, uma admoestação pública trava o processo. Equipes de compliance de grandes bancos vasculham o histórico do BC antes de assinar qualquer contrato de Banking as a Service (BaaS). Uma admoestação é um sinal vermelho luminoso sobre a sua governança.

Nível 2: A Multa Pecuniária (Onde o Bolso Chora)

Aqui a brincadeira fica séria. A multa pecuniária substituiu o modelo antigo de valores fixos por uma lógica proporcional. A lei estabelece que a multa pode ser de até 0,5% da receita de serviços e de produtos financeiros da empresa no ano anterior, limitada ao teto de R$ 2 bilhões.

A fórmula do BC cruza o Valor Base (que depende do porte do infrator e da gravidade) com fatores de majoração e atenuação. Se sua IP movimentou bilhões no ano e cometeu uma infração grave de lavagem de dinheiro, a multa será calibrada para machucar o balanço.

Além disso, o BC pode aplicar multas diárias para forçar a empresa a cessar uma infração contínua. Vemos frequentemente fintechs de médio porte tomando multas na casa dos R$ 500 mil a R$ 2 milhões por falhas operacionais e de reporte.

Nível 3: Suspensão, Inabilitação e Proibição

Se a infração é gravíssima — como fraudes sistêmicas, ocultação de informações do regulador ou gestão temerária — o BC mira no CPF dos diretores e controladores. A Lei 13.506 permite:

Inabilitação para atuar como administrador ou membro de conselho em qualquer instituição financeira por até 20 anos.
Suspensão do exercício de cargo por até 3 anos.
Proibição de prestar serviços para instituições do sistema financeiro.

Na nossa análise, esta é a arma mais letal para os fundadores. O BACEN expulsa físicamente os maus atores do mercado. O histórico recente mostra diretores de cooperativas e pequenas IPs sendo banidos do setor por aprovarem operações de crédito cruzado ilegais ou mascararem o patrimônio de referência.

Nível 4: Cassação da Autorização (A Pena Capital)

O último degrau da escada sancionatória. A cassação da licença de funcionamento. O BC simplesmente desliga os servidores da fintech do Sistema Financeiro Nacional (SFN). A empresa perde o acesso ao STR (Sistema de Transferência de Reservas), ao SPI (Sistema de Pagamentos Instantâneos) e precisa ser liquidada.

O caso clássico (embora anterior à nova lei, a lógica permanece) foi a liquidação extrajudicial do Banco Neon (antigo Banco Pottencial) em 2018. A operação do aplicativo Neon teve que ser rápidamente migrada para o Banco Votorantim para sobreviver. Mais recentemente, vimos o BC cassar licenças de corretoras de câmbio e financeiras (como Portocred e BRK) por insolvência e violações graves contínuas. Para uma fintech, a cassação é a morte súbita.

O Que Coloca Sua Fintech na Mira do BC Hoje?

O mercado mudou. O que causava multas em 2020 não é o mesmo que causa multas agora em 2026. O regulador ajustou seus radares para os maiores riscos sistêmicos atuais.

Falhas em PLD/FT (Prevenção à Lavagem de Dinheiro)

A Circular 3.978/2020 é a bíblia do PLD no Brasil. Fintechs que abrem contas digitais em massa sem um processo de KYC (Know Your Customer) rigoroso estão na linha de tiro. O BC exige monitoramento transacional contínuo.

Se a sua plataforma de pagamentos está sendo usada para escoar dinheiro de cassinos ilegais, apostas esportivas irregulares ou golpes de engenharia social no Pix, o BACEN vai bater na sua porta. O regulador não aceita a desculpa de "somos apenas a infraestrutura". A responsabilidade por monitorar contas laranjas é da instituição que detém a conta.

Resiliência Cibernética e Risco Operacional

A Resolução CMN 4.893 (e resoluções BCB correspondentes para IPs) dita as regras de segurança cibernética. O BC exige planos de continuidade de negócios testados e provados.

Fintechs que ficam fora do ar no dia de pagamento de salários, ou que sofrem vazamentos de dados de clientes, enfrentam punições severas. O regulador entende que a confiança no Pix e no Open Finance depende da estabilidade da infraestrutura. Caiu o sistema e não reportou ao BC em tempo hábil? A multa é certa.

Omissão ou Erro de Reporte (O Famoso "Furo de CADOC")

O BC governa por meio de dados. As instituições precisam enviar dezenas de arquivos periódicos (os CADOCs) detalhando risco de liquidez, exposições cambiais, balancetes, etc. Atrasar o envio, enviar com inconsistências ou fraudar esses relatórios aciona o alarme vermelho do Decon imediatamente.

Termo de Compromisso: O Botão de Pânico

Nem tudo está perdido se sua fintech cometer um erro. A Lei 13.506 aprimorou o uso do Termo de Compromisso (TC), uma espécie de acordo de leniência administrativo.

Se a sua equipe de compliance detectar uma violação antes do BC, ou logo no início de uma fiscalização, a empresa pode propor a assinatura de um TC. O acordo envolve dois requisitos não negociáveis:

Cessar a prática infrativa imediatamente e corrigir o problema (ex: implementar o software de PLD que faltava).
Pagar uma contribuição pecuniária (que costuma ser bem menor que a multa de um julgamento final).

A principal vantagem do Termo de Compromisso é que ele não importa em confissão de culpa. A fintech assina, paga, arruma a casa e a vida segue sem uma condenação formal no currículo. Players gigantes como Itaú, Bradesco, e também grandes adquirentes como Cielo e PagSeguro, assinam TCs regularmente para encerrar investigações sobre falhas operacionais pontuais.

Como Proteger a Operação na Prática

Blindar uma fintech contra o regime sancionatório do BACEN exige orçamento e mudança de mentalidade dos fundadores.

Primeiro, a comúnicação com o Banco Central deve ser proativa, não reativa. Se a sua IP sofreu um ataque DDoS e ficou instável, o seu Diretor de Riscos deve notificar o BC imediatamente, detalhando o plano de contingência. O regulador odeia descobrir problemas lendo o jornal ou pelo Twitter/X.

Segundo, automatize seu compliance regulatório (RegTech). Não dá para controlar limites de Basileia de uma SCD rodando uma planilha de Excel. O volume de transações do Pix exige ferramentas de inteligência artificial para detecção de anomalias em milissegundos.

Terceiro, documente tudo. O processo de decisão do comitê de crédito, as atas de reunião da diretoria sobre segurança da informação, a matriz de risco de novos produtos. Se o PAS for instaurado, a melhor defesa é provar que a alta gestão tomou todas as medidas razoáveis para mitigar o risco, e que a infração ocorreu por um desvio isolado, não por negligência sistêmica.

O regulador brasileiro é um dos mais sofisticados do mundo. A infraestrutura que construímos aqui permitiu a inclusão financeira de milhões, mas o pedágio para operar nessa via expressa é a conformidade absoluta. Ajuste seus controles internos hoje, ou prepare o caixa para pagar multas amanhã.