diligência prévia · KYC · PLD
Diligência prévia de clientes: guia passo a passo
No Brasil, muita empresa acredita que diligência prévia de clientes é sinônimo de pedir documento, validar selfie e seguir em frente. Isso é só uma fração do trabalho. Em PLD/FT, diligência prévia é o conjunto de procedimentos usados para entender quem é o cliente, por que ele quer a relação comercial, qual risco ele representa e como esse risco será acompanhado ao longo do tempo.
Se você precisa estruturar onboarding com base regulatória, reduzir atrito operacional e manter evidência auditável, este guia mostra como fazer diligência prévia de forma prática. Ele conversa com nosso conteúdo sobre onboarding de clientes em compliance, mas aqui o foco é a mecânica de risco e documentação.
O que é diligência prévia no contexto brasileiro
Diligência prévia é a tradução operacional do dever de identificar, conhecer e avaliar o cliente antes e durante a relação comercial. Ela aparece de forma recorrente na Lei 9.613/98, nas normas do COAF e do BACEN, e em regulamentações setoriais que exigem postura baseada em risco.
Na prática, a diligência serve para:
- confirmar identidade e legitimidade;
- entender o propósito da relação;
- identificar beneficiário final e representantes;
- classificar o risco inicial;
- aplicar camadas adicionais quando houver sinais de alerta;
- gerar base para monitoramento contínuo e eventual comunicação ao COAF.
Sem diligência bem feita, o onboarding vira um ritual cego. A empresa até coleta dados, mas não consegue explicar por que aprovou um cliente, por que classificou determinado risco ou por que não escalou um comportamento inconsistente depois.
Base legal: COAF, BACEN e proporcionalidade
O desenho da diligência não precisa ser igual para todos. O princípio central é proporcionalidade ao risco. A Lei 9.613/98 estabelece as obrigações macro. O BACEN detalha expectativas para instituições financeiras e de pagamento. O COAF e outros reguladores setoriais fazem o mesmo para segmentos específicos.
Isso significa que uma fintech de pagamento, uma plataforma de ativos virtuais, um escritório que atende operações societárias complexas e um profissional independente não terão exatamente a mesma esteira. Mas todos devem conseguir responder perguntas básicas:
- Quem é o cliente?
- Quem controla a relação?
- O que ele pretende fazer?
- Esse comportamento é compatível com o perfil declarado?
- Que evidência guarda a resposta?
Antes de entrar no fluxo, vale confirmar se a sua operação realmente está no grupo dos obrigados a cumprir PLD/FT.
Passo 1: definir a taxonomia de risco
O erro mais caro em diligência é começar pela coleta de documento sem decidir antes como o risco será lido. Uma boa taxonomia normalmente considera:
- tipo de cliente: pessoa física, empresa, parceiro, merchant, intermediário;
- geografia: atuação local, interestadual, internacional, países ou regiões sensíveis;
- produto: conta, pagamento, split, cripto, crédito, consultoria, estruturação;
- canal: presencial, remoto, API, afiliado, indicação;
- perfil reputacional: PEP, adverse media, sanções, histórico negativo;
- complexidade societária: estrutura simples ou cadeia com múltiplas camadas.
Sem uma taxonomia formal, a diligência reforçada vira puro improviso. Com ela, o time sabe quais clientes entram em fluxo simplificado, padrão ou reforçado, e quais gatilhos exigem revisão por analista ou aprovação gerencial.
Passo 2: coletar os dados mínimos corretos
Para pessoas físicas, a diligência costuma começar com nome completo, CPF, data de nascimento, endereço, documento oficial, telefone, e-mail e informações sobre ocupação ou atividade econômica, quando relevante ao risco.
Para pessoas jurídicas, a lista é mais ampla:
- razão social e nome fantasia;
- CNPJ;
- contrato ou estatuto;
- endereço e atividade;
- sócios, administradores e representantes;
- documentos societários atualizados;
- identificação do beneficiário final.
Não basta coletar campos por hábito. Cada dado precisa ter uso claro no seu processo de verificação, classificação e monitoramento. Pedir tudo para todos também é ruim: aumenta atrito, desorganiza a operação e enfraquece a lógica baseada em risco.
Passo 3: verificar identidade e autenticidade
Coleta sem verificação não resolve. A diligência precisa validar se o dado informado corresponde a uma pessoa ou empresa real e se o documento apresentado é consistente.
Os métodos podem combinar:
- verificação documental;
- checagem biométrica e prova de vida;
- consulta a bases independentes;
- validação cadastral;
- cruzamento de dados de contato, endereço e atividade.
Em risco baixo, boa parte disso pode ser automática. Em risco alto, o processo geralmente exige análise humana, documentos complementares e justificação explícita. A pergunta aqui não é só "é a pessoa certa?", mas também "a forma como esse cliente se apresenta faz sentido para o produto e para o volume esperado?".
Passo 4: identificar representantes e beneficiário final
Em relações empresariais, um dos pontos mais negligenciados é a identificação de quem realmente controla ou se beneficia da operação. Uma empresa pode ter documentação regular e, ainda assim, esconder uma cadeia societária opaca, um procurador atípico ou um controlador que mereceria diligência reforçada.
Por isso, a diligência de pessoa jurídica deve mapear:
- sócios relevantes;
- administradores;
- procuradores;
- estrutura de controle;
- beneficiário final;
- vínculos com outras empresas ou jurisdições.
Esse ponto é especialmente importante quando o cliente atua com pagamentos, remessas, ativos virtuais, intermediação ou setores expostos a corrupção. Se algum sócio ou controlador for PEP, o fluxo muda. Se houver notícia negativa relevante, o caso também sobe de nível.
Passo 5: fazer screening de listas, PEP e adverse media
A diligência moderna não termina no documento. Ela precisa incluir screening mínimo contra:
- listas restritivas ou sanções aplicáveis;
- bases de PEP;
- fontes de adverse media;
- listas internas ou eventos anteriores de risco.
Esse screening não serve para transformar todo resultado em reprovação. Serve para criar contexto. Um match de nome pode ser falso positivo. Uma notícia pode ser antiga e irrelevante. Um caso de PEP pode ser administrável com documentação adicional. O ponto é ter regra de decisão e rastreabilidade.
Se o cliente confirma PEP ou se há notícia séria de corrupção, fraude, organização criminosa ou lavagem de dinheiro, a aprovação automática deixa de ser aceitável. O processo entra em diligência reforçada.
Passo 6: aplicar diligência reforçada quando necessário
Diligência reforçada é o conjunto de medidas adicionais para clientes de maior risco. Ela não deve ser reservada apenas a cenários extremos. Deve existir sempre que a operação apresentar sinais como:
- estrutura societária complexa;
- atividade incompatível com o volume esperado;
- exposição a agente público ou PEP;
- uso de terceiros ou procuradores pouco transparentes;
- atuação internacional;
- histórico reputacional negativo relevante;
- produto com maior potencial de abuso.
As medidas reforçadas podem incluir comprovação adicional de renda ou origem de recursos, documentação societária mais profunda, entrevista, aprovação por nível hierárquico superior e revisão mais frequente após a entrada.
Passo 7: decidir, justificar e registrar
A decisão de aprovar, pedir complementação, restringir ou recusar precisa ser justificável. Isso parece óbvio, mas muitas empresas ainda decidem em chats, e-mails soltos e comentários sem contexto.
Uma boa trilha de diligência registra:
- data e hora da análise;
- quem coletou e quem decidiu;
- documentos e consultas usadas;
- alertas encontrados;
- racional da aprovação ou recusa;
- condicionantes para ativação ou limites operacionais.
Essa trilha será indispensável se o cliente gerar alerta futuro, se houver revisão interna, investigação regulatória ou necessidade de sustentar uma comunicação de operação suspeita.
Passo 8: transformar a diligência em monitoramento contínuo
O onboarding é só a primeira fotografia. A diligência prévia precisa alimentar o ciclo contínuo de risco. Isso significa que o perfil definido na entrada deve conversar com:
- monitoramento transacional;
- revisão cadastral periódica;
- re-screening de listas e notícias;
- reclassificação de risco quando houver mudança material.
Se um merchant aprovado para baixo volume começa a processar valores muito acima do esperado, ou se uma empresa muda sua estrutura societária, a diligência inicial precisa ser reaberta. É esse elo entre cadastro e comportamento que diferencia compliance real de mera formalidade.
Erros comuns que enfraquecem o processo
Alguns erros aparecem em quase toda operação que cresce rápido:
- tratar todas as pessoas jurídicas da mesma forma;
- confiar demais no fornecedor sem revisar falsos negativos;
- não documentar por que um alerta foi descartado;
- fazer screening só no onboarding;
- separar fraude, risco e compliance em silos que não compartilham contexto;
- não atualizar o perfil quando o cliente muda de produto ou geografia.
Esses problemas não surgem porque faltam campos obrigatórios. Eles surgem porque a diligência foi desenhada como checklist e não como mecanismo de entendimento do cliente.
Como implementar sem paralisar conversão
A melhor forma de equilibrar diligência e crescimento é usar camadas progressivas. Clientes simples, com produto simples e risco baixo, entram por trilha mais enxuta. Clientes com sinais de risco, volume elevado ou estrutura complexa avançam para trilhas mais robustas.
Esse desenho evita dois extremos ruins: burocracia inútil para perfis triviais e superficialidade perigosa para perfis complexos. Se você quer trabalhar essa parte com mais foco em experiência e taxa de aprovação, veja onboarding de clientes em compliance.
No fim do dia, diligência prévia bem feita não é aquela que pede mais documentos. É aquela que ajuda a empresa a dizer, com evidência: sabemos quem aceitamos, por que aceitamos e quando precisamos rever a decisão.
Precisa automatizar seu processo de compliance?
A Legaltalent ajuda fintechs, processadores de pagamento e obrigados a cumprir PLD/FT de forma simples e eficiente. Nossa plataforma permite verificar identidades, fazer screening contra listas de sanções e PEPs, e manter toda a documentação organizada.
Comece grátis e descubra como podemos ajudar você a cumprir sem complicações.
Perguntas frequentes
O que é diligência prévia de clientes em PLD/FT?
É o conjunto de procedimentos para identificar, verificar, classificar e acompanhar clientes antes e durante a relação comercial, conforme a Lei 9.613/98 e normas do COAF e do BACEN.
Diligência prévia é a mesma coisa que KYC?
KYC faz parte da diligência, mas não esgota o tema. A diligência também envolve beneficiário final, contexto da relação, screening de PEP e adverse media, registro e gatilhos de revisão.
Quando devo aplicar diligência reforçada?
Quando o cliente ou a operação apresentarem maior risco, como exposição a PEP, estrutura societária complexa, geografia sensível, atividade incompatível com o perfil declarado ou histórico reputacional negativo.
Pessoa jurídica exige diligência diferente?
Sim. Além dos dados da empresa, é preciso identificar representantes, sócios relevantes e beneficiário final, entender a estrutura de controle e avaliar se o uso do produto faz sentido para a atividade declarada.
Screening de PEP e adverse media é obrigatório para todos?
A intensidade depende do risco e do setor, mas em programas sérios de PLD/FT esses controles são parte importante da diligência, especialmente para clientes empresariais, operações complexas e perfis de maior exposição.
A diligência termina quando o cliente é aprovado?
Não. O onboarding gera a linha de base. Depois, o cliente precisa ser monitorado, reclassificado quando necessário e rescreenado em eventos relevantes ou revisões periódicas.
O que preciso registrar na diligência?
Documentos coletados, consultas realizadas, alertas, racional da decisão, responsáveis pela análise e qualquer condição aplicada à aprovação, recusa ou escalonamento.