Legal Talent
Voltar ao blog

processadores de pagamento · PSP · PLD

Compliance para processadores de pagamento no Brasil: guia prático

Legaltalent29 de janeiro de 20267 min de leitura

Processadores de pagamento vivem em uma zona particularmente sensível de risco. Eles estão entre o cliente final, o merchant, o banco parceiro, o adquirente, o subadquirente, o arranjo de pagamento e, muitas vezes, plataformas de software que querem crescer sem fricção. Quando algo dá errado, quase sempre sobra para quem está no meio da operação.

Por isso, PLD/FT para processadores de pagamento não pode ser tratado como versão reduzida de antifraude. Embora fraude e lavagem de dinheiro conversem, os objetivos não são idênticos. O processador precisa saber quem está integrando, qual atividade econômica está permitindo, como o dinheiro circula e quando o comportamento do merchant ou do usuário deixa de fazer sentido.

Por que o setor exige atenção especial

Diferentemente de outros modelos, processadores, PSPs e subadquirentes costumam concentrar alguns ingredientes de risco ao mesmo tempo:

  • onboarding digital em volume alto;
  • merchants de perfis muito diferentes;
  • liquidação rápida;
  • múltiplos canais e integrações;
  • operação com terceiros, afiliados e facilitadores;
  • exposição a fraude, chargeback, triangulação e uso indevido da conta.

Isso transforma o setor em ambiente naturalmente atraente para abuso. Empresas que fingem ser lojas legítimas, contas abertas com laranjas, merchants que operam atividade diversa da declarada e plataformas usadas para circular recursos de origem duvidosa aparecem com frequência.

Onde o processador se encaixa no Brasil

No Brasil, a régua aplicável depende do modelo operacional, do papel da empresa na cadeia e da supervisão direta ou indireta que existe sobre a atividade. O BACEN é central quando a operação toca instituições de pagamento, arranjos e infraestrutura relevante do sistema. O COAF e a Lei 9.613/98 formam a base do dever de prevenção, registro e comunicação de suspeitas.

Mesmo quando a empresa não se percebe como instituição clássica, ela frequentemente assume funções com impacto real sobre:

  • aceitação de merchants;
  • classificação de risco;
  • roteamento de fluxos;
  • retenção e desbloqueio de valores;
  • análise de comportamento transacional.

Se ainda houver dúvida sobre enquadramento, vale revisar sou obrigado a cumprir PLD/FT?.

KYC e KYB de merchants: o primeiro filtro real

Em processadores de pagamento, a diligência de clientes empresariais é o ponto de partida. Antes de integrar um merchant, o processo deve confirmar:

  • quem é a empresa;
  • quem são os sócios e administradores;
  • quem é o beneficiário final;
  • qual atividade realmente exerce;
  • se há licenças, autorizações ou requisitos específicos;
  • se o uso esperado do processamento é coerente com o porte e o segmento.

Não basta validar CNPJ ativo e contrato social. É necessário entender o modelo de negócio do merchant. Uma loja virtual legítima, uma casa de apostas autorizada, um facilitador de recebíveis, um infoprodutor e um marketplace têm padrões de risco muito diferentes. Em certos setores digitais, inclusive os tocados pela Lei 14.790/2023, a necessidade de prova documental e controle reforçado costuma ser maior.

Beneficiário final, sócios ocultos e atividade real

Grandes problemas começam quando o onboarding olha apenas o representante comercial e ignora quem realmente controla a operação. Merchant de alto risco frequentemente tenta:

  • esconder o controlador real;
  • usar empresa de fachada;
  • operar atividade diferente da declarada;
  • distribuir volume entre CNPJs relacionados;
  • usar terceiros para mascarar origem de recursos.

Por isso, o processador precisa combinar KYB com análise do site, produto, fluxo de venda, canais de divulgação, titularidade bancária e coerência entre segmento declarado e comportamento esperado. Esse trabalho depende de boa diligência prévia de clientes, screening de PEP e adverse media.

Monitoramento de transações: onde o risco aparece de verdade

Mesmo o melhor onboarding não substitui o monitoramento transacional. Em pagamentos, risco de PLD/FT costuma se revelar por padrão de uso. Alguns sinais recorrentes:

  • crescimento abrupto sem justificativa comercial;
  • ticket médio incompatível com o segmento;
  • horários ou geografias atípicas;
  • concentração incomum em poucos cartões ou contas;
  • estornos, chargebacks ou cancelamentos em padrão anormal;
  • uso do merchant para liquidação indireta de terceiros.

O objetivo do monitoramento não é punir desvio estatístico isolado, e sim entender se a atividade observada continua coerente com o perfil aprovado. É por isso que monitoramento contínuo de clientes precisa fazer parte da arquitetura do produto, e não viver como planilha paralela.

Antifraude não substitui PLD/FT

Fraude e compliance se cruzam, mas não se confundem. Um time antifraude quer reduzir perda, chargeback e abuso do meio de pagamento. Um programa de PLD/FT quer entender se há indicativo de crime antecedente, uso indevido do sistema, ocultação de titularidade ou necessidade de reporte.

Na prática, um bom programa faz essas áreas trocarem sinal. Alguns eventos tipicamente vistos como antifraude devem alimentar análise de compliance:

  • documentos suspeitos recorrentes;
  • múltiplas contas relacionadas;
  • merchant com identidade inconsistente;
  • padrão de reprocessamento ou triangulação;
  • reclamações públicas relevantes.

Quando esses sinais se acumulam, podem sair do campo de mera perda operacional e migrar para o campo de suspeita estruturada.

Quando considerar comunicação ao COAF

Em processadores de pagamento, a comunicação de operação suspeita ao COAF costuma surgir quando a empresa não consegue mais reconciliar o comportamento do merchant ou do usuário com a narrativa comercial apresentada.

Exemplos típicos:

  • merchant aparentemente legítimo operando atividade proibida ou oculta;
  • uso de conta para circular recursos de terceiros;
  • inconsistência séria entre faturamento, perfil e origem de recursos;
  • recusa injustificada em esclarecer estrutura societária ou titularidade;
  • combinação de notícia negativa, PEP e comportamento transacional atípico.

O ponto mais importante é o fluxo interno. O alerta precisa chegar a alguém com autonomia para revisar, pedir informações, limitar operação e decidir com base em evidência, sem informar o cliente de forma indevida.

Terceiros, parceiros e responsabilidade compartilhada

Boa parte do ecossistema de pagamentos opera com múltiplos terceiros: bancos liquidantes, adquirentes, subadquirentes, integradores, plataformas white-label, BaaS e vendors de KYC. Isso não elimina responsabilidade. Ao contrário, aumenta a necessidade de governança.

O processador precisa saber:

  • quem faz o quê no onboarding;
  • onde nascem os alertas;
  • quem mantém a trilha documental;
  • como os bloqueios e retenções são acionados;
  • como dados e evidências circulam entre as partes.

Se ninguém consegue responder isso claramente, a cadeia toda fica frágil. Parceiros regulados normalmente vão exigir essa clareza contratual e operacional.

Documentação, retenção e auditabilidade

Operações de pagamento geram grande volume de dados. Sem organização, isso não vira evidência útil. O programa precisa conseguir guardar e recuperar:

  • documentos de onboarding;
  • análise de merchant;
  • decisões de risco;
  • histórico de alertas;
  • justificativas de bloqueio, desbloqueio ou recusa;
  • bases que sustentaram eventual reporte.

Esses elementos devem seguir política de registro e conservação de documentos. Em auditoria, o desafio não é ter muitos dados, e sim provar que a empresa tomou decisões coerentes com o que sabia naquele momento.

Métricas e governança que fazem diferença

Para sair do improviso, times de pagamento devem acompanhar indicadores como:

  • tempo de aprovação por faixa de risco;
  • taxa de revisões manuais;
  • alertas por merchant e por segmento;
  • percentual de reclassificação de risco após onboarding;
  • tempo de resposta a caso crítico;
  • motivos de bloqueio, recusa e encerramento.

Métricas assim ajudam a calibrar produto, melhorar experiência e mostrar para diretoria e parceiros que o programa de compliance está operando de forma real.

Como implementar sem travar crescimento

O caminho prático costuma ser:

  1. mapear segmentos e apetite de risco;
  2. padronizar KYB e beneficiário final;
  3. integrar screening de listas, PEP e mídia adversa;
  4. configurar monitoramento transacional por tipo de merchant;
  5. formalizar fluxo de investigação e reporte;
  6. treinar operação, comercial e suporte.

Processador que cresce sem isso costuma descobrir o problema só quando o volume já está alto e o custo de correção é muito maior. Em pagamentos, compliance não é freio. É infraestrutura básica para crescer sem perder parceiro, reputação e controle.

Precisa automatizar seu processo de compliance?

A Legaltalent ajuda fintechs, processadores de pagamento e obrigados a cumprir PLD/FT de forma simples e eficiente. Nossa plataforma permite verificar identidades, fazer screening contra listas de sanções e PEPs, e manter toda a documentação organizada.

Comece grátis e descubra como podemos ajudar você a cumprir sem complicações.

Perguntas frequentes

Processador de pagamento precisa de PLD/FT próprio?

Na maior parte dos modelos, sim. Mesmo quando há banco ou parceiro regulado na cadeia, o processador costuma ter papel real no onboarding, no monitoramento e na gestão de alertas, o que exige controles próprios e auditáveis.

Qual a diferença entre antifraude e PLD/FT para PSPs?

Antifraude busca reduzir perda operacional e abuso do meio de pagamento. PLD/FT busca identificar uso do sistema para ocultar origem de recursos, operar atividades ilícitas ou sustentar transações suspeitas.

Preciso fazer KYB completo de merchants?

Sim, especialmente em segmentos de maior risco. É importante validar empresa, sócios, beneficiário final, atividade real, documentos e coerência entre o perfil declarado e o comportamento esperado.

Chargeback alto pode ser sinal de risco de PLD?

Pode. Sozinho, nem sempre. Mas, combinado com outros sinais, como atividade divergente, múltiplas contas relacionadas ou ocultação societária, pode justificar diligência reforçada e investigação.

Quando um merchant deve ser escalado para análise mais profunda?

Quando houver inconsistência cadastral, mudança abrupta de volume, incompatibilidade com o segmento, exposição reputacional relevante, indício de uso por terceiros ou qualquer padrão que fuja do perfil aprovado.

Processadores precisam comunicar ao COAF?

Quando o enquadramento e o caso concreto apontarem para obrigação de reporte, sim. O essencial é ter fluxo claro de investigação, decisão e documentação sem informar o cliente de forma indevida.

Que documentos devo conservar em pagamentos?

Documentos de onboarding, KYB, beneficiário final, histórico de alertas, revisões de risco, decisões operacionais e evidências que sustentem bloqueios, recusas ou comunicações.

Compartilhar este artigo:
Ver mais artigos →

Pronto para automatizar seu compliance?

Teste nossa plataforma grátis e simplifique seu processo de KYC e compliance.

Começar grátis
    Compliance para processadores de pagamento no Brasil: guia prático | Legal Talent KYC