Legal Talent
Voltar ao blog

MiCA · FATF · crypto

MiCA e FATF: regulamentação crypto e o que implementar no Brasil

Legaltalent23 de janeiro de 20267 min de leitura

Empresas brasileiras de criptoativos não competem mais apenas com regras locais. Mesmo quando operam primariamente no Brasil, elas convivem com expectativas globais sobre governança, identificação de clientes, rastreabilidade de transações e resposta a riscos de lavagem de dinheiro. Dois referenciais dominam essa conversa: MiCA, na União Europeia, e os padrões do FATF/GAFI.

Para quem opera exchange, mesa OTC, wallet, infraestrutura de pagamentos, on-ramp/off-ramp ou produtos híbridos, entender esses dois blocos é essencial. O objetivo não é copiar a Europa literalmente, mas identificar o que esses frameworks sinalizam sobre o padrão mínimo de mercado e traduzir isso para o contexto brasileiro, com Lei 9.613/98, COAF, BACEN e regras setoriais relevantes.

Por que olhar para MiCA e FATF mesmo operando no Brasil

Durante anos, muitas empresas de cripto trataram compliance como problema de relacionamento bancário, e não como requisito estrutural do produto. Isso mudou. Bancos, parceiros institucionais, fundos, adquirentes, custodians e contrapartes internacionais passaram a exigir evidência concreta de programa de PLD/FT.

MiCA e FATF importam ao mercado brasileiro por três motivos:

  • influenciam a régua de expectativa dos parceiros globais;
  • ajudam a antecipar o que reguladores locais e supervisores vão cobrar;
  • criam linguagem comum para operações internacionais e cross-border.

Mesmo que o seu licenciamento local siga lógica própria, a ausência de controles compatíveis com padrões globais tende a virar problema comercial, reputacional e operacional.

O que o MiCA sinaliza para o mercado

O MiCA organiza o tratamento regulatório de diversos serviços e emissores ligados a criptoativos na União Europeia. Ele não é uma lei brasileira, mas funciona como referência importante para temas como:

  • licenciamento e responsabilização de prestadores de serviço;
  • governança de produtos;
  • transparência para usuários;
  • segregação de funções;
  • controles internos, inclusive de compliance e risco.

Para empresas brasileiras, o valor do MiCA está em mostrar que o mercado amadureceu. Não basta oferecer tecnologia robusta e liquidez. É preciso provar que há cadastro adequado, monitoramento, segregação de contas, gestão de incidentes e postura defensável frente a uso indevido da plataforma.

O que o FATF exige das empresas de ativos virtuais

O FATF/GAFI continua sendo a referência internacional mais relevante em prevenção à lavagem de dinheiro. No universo crypto, seu impacto aparece principalmente na ideia de que prestadores de serviços com ativos virtuais devem ser tratados como participantes sérios do sistema financeiro para fins de risco.

Na prática, isso significa:

  • identificar e verificar clientes;
  • entender finalidade e perfil esperado da relação;
  • aplicar medidas reforçadas em maior risco;
  • manter monitoramento contínuo;
  • comunicar operações suspeitas;
  • preservar trilha documental;
  • implementar controles para compartilhamento de informações em transferências, quando aplicável.

O ponto principal é que pseudonimato não elimina obrigação de conhecer o cliente. Pelo contrário: aumenta a necessidade de controles bem desenhados.

O cenário brasileiro: Lei 9.613/98, COAF, BACEN e leis correlatas

No Brasil, o ponto central continua sendo a Lei 9.613/98, que estrutura as obrigações de PLD/FT e a comunicação ao COAF. O BACEN vem ocupando papel relevante na evolução regulatória ligada a ativos virtuais e à interseção entre pagamentos, liquidação e novos arranjos digitais.

Para empresas que operam ecossistemas híbridos, também é importante observar leis correlatas que reforçam exigências de integridade, rastreabilidade e controles sobre fluxos financeiros digitais. A Lei 14.790/2023, por exemplo, não substitui a disciplina específica de cripto, mas é um sinal claro de que negócios digitais com captação remota, alto volume e exposição a fraude ou uso indevido exigirão governança mais forte.

Em outras palavras: o fato de o Brasil não copiar o MiCA artigo por artigo não reduz a expectativa de que VASPs e empresas afins tenham KYC, monitoramento, governança e resposta a suspeitas em padrão elevado.

O que implementar no onboarding de clientes crypto

Se existe uma área em que empresas de cripto ainda subinvestem, é o onboarding. O mínimo esperado para operações defensáveis inclui:

  • identificação e verificação de pessoa física;
  • KYB para pessoa jurídica;
  • identificação de beneficiário final;
  • screening de PEP;
  • screening de listas e adverse media;
  • entendimento do uso esperado da conta e do produto.

Também é prudente diferenciar claramente perfis:

  • varejo de baixo volume;
  • high-net-worth e OTC;
  • clientes institucionais;
  • parceiros de liquidez e market makers;
  • integradores e plataformas.

Cada perfil pede intensidade diferente de diligência. O erro é aplicar o mesmo formulário curto para todo mundo e tentar compensar depois com investigação manual em produção.

Travel Rule, origem e destino de recursos

Um dos pontos mais sensíveis na aproximação entre padrões globais e operação local é a necessidade de preservar informação suficiente sobre originador, destinatário e contexto das transferências, sempre que a natureza do serviço e a regra aplicável exigirem.

Na prática, isso pressiona empresas de cripto a:

  • manter dados confiáveis de quem envia e recebe;
  • vincular transações a contas verificadas;
  • avaliar contrapartes e VASPs envolvidos;
  • separar operações próprias, de clientes e de terceiros;
  • registrar eventos de exceção e recusa.

Mesmo quando a implementação integral depende de maturidade do ecossistema, o importante é não tratar esse tema como irrelevante. O mercado internacional já entende isso como parte da infraestrutura mínima de conformidade.

Monitoramento on-chain e off-chain

Em cripto, compliance não pode depender só do cadastro. É necessário combinar sinais on-chain e off-chain.

No lado on-chain, entram:

  • análise de carteiras;
  • exposição a mixers, bridges de alto risco e endereços marcados;
  • padrões de circularidade, layering e fragmentação;
  • interação com serviços sancionados ou investigados.

No lado off-chain, entram:

  • comportamento da conta do cliente;
  • volume, frequência e desvio em relação ao perfil;
  • mudança de dispositivo, geografia ou contraparte;
  • inconsistências entre origem declarada e uso observado.

Esse conjunto deve alimentar monitoramento contínuo e casos de investigação, e não ficar isolado em dashboards técnicos sem dono operacional.

Como lidar com stablecoins, OTC, cross-border e produtos híbridos

Nem todo risco crypto é igual. Alguns ambientes merecem atenção reforçada:

Stablecoins e on/off ramps

Facilitam trânsito entre moeda fiduciária e ativos digitais e, por isso, exigem reconciliação clara e boa leitura de origem de recursos.

OTC e grandes volumes

Podem envolver estruturas empresariais complexas, exposição internacional e pressão comercial por velocidade.

Cross-border

Aumenta necessidade de conhecer contraparte, jurisdição e padrão de fluxo.

Produtos híbridos

Quando a empresa mistura cripto, pagamentos, marketplace ou outros serviços digitais, o desenho de compliance precisa considerar as obrigações sobre todas as camadas envolvidas.

Em alguns modelos, também vale consultar o guia de compliance para processadores de pagamento, porque os controles de liquidação e merchant monitoring se aproximam bastante.

Governança, segregação e resposta a incidentes

Compliance crypto maduro não é só ferramenta de blockchain analytics. Ele precisa de:

  • política de aceitação de clientes e ativos;
  • critérios de alto risco;
  • alçadas de aprovação;
  • playbook de investigação e congelamento, quando aplicável;
  • integração entre produto, risco, jurídico e operações;
  • trilha clara de decisão.

Quando surge caso suspeito, o time deve conseguir responder rapidamente:

  • o cliente foi diligenciado corretamente?
  • houve alteração relevante de perfil?
  • a movimentação faz sentido?
  • quais evidências sustentam a suspeita?
  • o caso exige comunicação ao COAF?

Sem essa integração, a empresa tem tecnologia, mas não tem governança.

Roadmap prático para empresas brasileiras

Se você precisa priorizar, a ordem mais sensata costuma ser:

  1. confirmar enquadramento e risco do modelo;
  2. estruturar diligência prévia de clientes;
  3. implementar screening de PEP, listas e adverse media;
  4. conectar monitoramento on-chain e off-chain;
  5. definir fluxo de investigação e reporte;
  6. organizar documentação, retenção e treinamento.

O cenário brasileiro ainda vai evoluir, mas a direção já está dada: empresas de cripto que quiserem operar com escala e confiança precisarão demonstrar controles comparáveis aos melhores padrões internacionais, adaptados à realidade local.

Precisa automatizar seu processo de compliance?

A Legaltalent ajuda fintechs, processadores de pagamento e obrigados a cumprir PLD/FT de forma simples e eficiente. Nossa plataforma permite verificar identidades, fazer screening contra listas de sanções e PEPs, e manter toda a documentação organizada.

Comece grátis e descubra como podemos ajudar você a cumprir sem complicações.

Perguntas frequentes

MiCA vale diretamente para empresas brasileiras?

Não. MiCA é um regulamento europeu. Mas ele influencia a régua internacional de mercado e ajuda empresas brasileiras a entender o nível de governança e controle esperado em operações com criptoativos.

O FATF se aplica a exchanges e prestadores de serviços com ativos virtuais?

Sim. Os padrões do FATF orientam países e reguladores sobre como tratar VASPs em temas como KYC, monitoramento, diligência reforçada e compartilhamento de informações em transferências.

No Brasil, qual é a base de PLD/FT para cripto?

A base continua sendo a Lei 9.613/98, combinada com a atuação do COAF, do BACEN e de normas setoriais que moldam a supervisão de ativos virtuais, pagamentos e fluxos digitais.

Preciso fazer KYC completo para cliente de cripto?

Se a empresa atua como prestadora séria de serviços com ativos virtuais, sim. O cadastro deve identificar, verificar, classificar risco e alimentar o monitoramento contínuo, especialmente em perfis empresariais, OTC e cross-border.

Blockchain analytics substitui diligência prévia?

Não. Analytics ajuda a entender a movimentação on-chain, mas não substitui identificação de cliente, beneficiário final, PEP, adverse media, contexto da relação e governança de investigação.

Travel Rule já pode ser ignorada por empresas locais?

Não é prudente ignorar. Mesmo quando a implementação depende de maturidade do ecossistema e de regras específicas, a direção internacional é clara e o mercado já espera mecanismos de rastreabilidade e informação sobre origem e destino.

Lei 14.790/2023 é a lei principal de cripto no Brasil?

Não. Ela não substitui a base de PLD/FT nem a agenda regulatória específica de ativos virtuais, mas reforça o movimento de aumento de controles em negócios digitais com fluxo financeiro relevante.

Compartilhar este artigo:
Ver mais artigos →

Pronto para automatizar seu compliance?

Teste nossa plataforma grátis e simplifique seu processo de KYC e compliance.

Começar grátis
    MiCA e FATF: regulamentação crypto e o que implementar no Brasil | Legal Talent KYC