Legal Talent
Voltar ao blog

obrigado · PLD · COAF

Sou obrigado a cumprir PLD/FT? Guia para identificar suas responsabilidades

Legaltalent11 de janeiro de 20269 min de leitura

Muita empresa no Brasil só começa a falar seriamente de PLD/FT quando um banco parceiro pede política interna, quando um auditor faz perguntas difíceis ou quando o time comercial percebe que um cliente importante ficou travado por falta de processo. O problema é que, nessa altura, o risco já existe há bastante tempo.

A pergunta certa não é "somos uma fintech?" ou "temos licença formal?". A pergunta certa é: nossa operação intermedia recursos, abre relacionamento comercial, movimenta valor, estrutura operações ou atua em setor listado na Lei 9.613/98 e nas normas do COAF e do BACEN? Se a resposta for sim, total ou parcialmente, você provavelmente precisa de controles de prevenção à lavagem de dinheiro e ao financiamento do terrorismo.

Este guia foi escrito para fundadores, times jurídicos, áreas de operações, escritórios e plataformas digitais que precisam entender se entram no grupo dos obrigados no Brasil. Para a visão geral do sistema, leia também o que é PLD/FT no Brasil.

Por que essa pergunta é crítica

Errar o enquadramento regulatório em PLD/FT não é um detalhe administrativo. Quando uma empresa que deveria ter KYC, registro de operações, política de risco e fluxo de comunicação ao COAF opera como se nada disso fosse necessário, ela acumula três problemas ao mesmo tempo.

O primeiro é risco regulatório. Se a atividade estiver sob supervisão do BACEN, do COAF ou de outro regulador setorial, a ausência de controles pode virar autuação, exigência corretiva, restrição operacional e dificuldade para manter parceiros bancários ou arranjos de pagamento.

O segundo é risco contratual. Mesmo quando a obrigação legal parece indireta, bancos liquidantes, adquirentes, patrocinadores e plataformas costumam exigir que o parceiro prove que consegue identificar clientes, monitorar comportamento e escalar indícios de lavagem de dinheiro.

O terceiro é risco reputacional e penal. A Lei 9.613/98 não exige que você tenha certeza absoluta de um crime para agir. Ela exige postura diligente, registros adequados e comunicação quando houver suspeita. Ignorar sinais óbvios porque a empresa se declarou "apenas tecnologia" é uma estratégia ruim para 2026.

A base legal do enquadramento no Brasil

No Brasil, o ponto de partida é a Lei 9.613/98, que institui o regime de prevenção à lavagem de dinheiro, define obrigações de identificação, registro, conservação de documentos e comunicação ao COAF, e lista categorias que devem manter esses controles.

Essa base legal é complementada por normas setoriais. Em especial:

  • o COAF edita regras e orientações para segmentos sob sua órbita;
  • o BACEN disciplina instituições financeiras, instituições de pagamento e participantes do sistema de pagamentos;
  • outros reguladores, como CVM, SUSEP e juntas profissionais, podem impor requisitos adicionais conforme a atividade.

Na prática, o enquadramento raramente depende de um único rótulo societário. Ele depende da atividade exercida, do tipo de cliente atendido, da natureza das operações e de quem supervisiona o negócio. Por isso, uma startup com cara de software pode acabar sujeita a exigências de PLD/FT se, na operação real, controla fluxo financeiro, aprova contas, intermedeia pagamentos ou facilita transações de maior risco.

Em mercados digitais, a conversa também se ampliou. A Lei 14.790/2023, por exemplo, elevou o patamar de preocupação com controles, rastreabilidade e integridade em determinados ecossistemas online. Mesmo quando a sua atividade principal não nasce dessa lei, ela mostra a direção: negócios digitais que movimentam recursos e fazem onboarding remoto estão sob escrutínio crescente.

Quem normalmente é considerado obrigado

Há setores em que o enquadramento é relativamente claro. Normalmente entram no radar de PLD/FT no Brasil:

  • instituições financeiras;
  • instituições de pagamento;
  • subadquirentes, processadores e fintechs com papel operacional relevante;
  • corretoras, câmbio e plataformas de investimento;
  • imobiliárias, incorporadoras e segmentos ligados a bens de alto valor;
  • joalherias e comércio de metais e pedras preciosas;
  • profissionais e organizações que estruturam determinadas operações para clientes;
  • empresas com atuação em criptoativos, especialmente quando fazem intermediação, custódia, troca ou transferência de valor.

Se a sua empresa processa pagamentos, vale aprofundar no guia de compliance para processadores de pagamento. Se você atua como profissional independente ou presta serviços a clientes em operações sensíveis, veja também compliance PLD para profissionais independentes.

Como analisar o seu modelo de negócio sem depender só do nome da empresa

O erro mais comum é perguntar se o CNAE, a marca ou o contrato social "soa" financeiro. O que importa é o que realmente acontece na jornada do cliente. Para fazer uma análise séria, mapeie cada etapa:

  1. Quem é o cliente? Pessoa física, empresa, intermediário, merchant, parceiro, afiliado?
  2. Como ele entra? Cadastro simples, onboarding com documentos, integração via API, venda consultiva?
  3. Que valor circula? Recebimento, custódia, repasse, liquidação, crédito, ativos virtuais?
  4. Quem decide? Sua plataforma aprova, recusa, bloqueia, roteia ou segmenta transações?
  5. Quem assume o risco? Um banco parceiro, um processador externo, a sua empresa ou um arranjo híbrido?

Se a resposta revelar que o seu produto influencia o relacionamento, a movimentação de recursos ou a aceitação de clientes, provavelmente você não está fora do jogo regulatório. Mesmo em estruturas de Banking as a Service, o fato de existir um parceiro regulado não elimina a necessidade de ter evidências próprias de diligência prévia, screening e monitoramento contínuo.

Sinais práticos de que sua operação está no escopo

Existem alguns sinais muito úteis para o diagnóstico inicial. Você provavelmente deve estruturar controles de PLD/FT se:

  • abre conta, carteira ou relacionamento comercial em nome do cliente;
  • recebe documentos, verifica identidade e define aprovação ou recusa;
  • permite entradas, saídas, liquidação ou reconciliação de recursos;
  • atende setores de maior exposição, como pagamentos, cripto, marketplaces financeiros, betting ou operações internacionais;
  • lida com beneficiário final, sócios, procuradores ou representantes;
  • recebe exigências de compliance de bancos, adquirentes, investidores ou auditores;
  • precisa avaliar PEPs, sanções ou adverse media para aceitar clientes.

Outro indicativo forte é a necessidade de investigar comportamentos atípicos. Se seu time já pergunta "isso precisa ser reportado?" ou "essa transação faz sentido?", então o tema de comunicação de operação suspeita ao COAF já deveria estar desenhado.

O que muda quando você é obrigado

Ser obrigado não significa apenas "coletar RG e CPF". Significa implantar um programa minimamente defensável, proporcional ao risco do negócio. Em geral, isso inclui:

Política e governança

Documento formal aprovado pela direção, com critérios de risco, papéis claros e processo de revisão periódica.

Identificação e diligência

Procedimentos para identificar clientes, representantes e beneficiários finais, com camadas adicionais quando o risco exigir.

Monitoramento

Controles para revisar comportamento, transações, mudanças cadastrais e eventos externos relevantes durante todo o relacionamento, e não só na entrada.

Registro e conservação

Capacidade de guardar documentos, trilhas de decisão e evidências pelo prazo legal. Nosso guia de registro e conservação de documentos aprofunda isso.

Comunicação ao COAF

Fluxo claro para que alertas virem análise, decisão e eventual reporte sem "tipping off" ao cliente.

Em outras palavras: o enquadramento muda a forma como você vende, aprova, monitora e documenta.

Áreas cinzentas: software, marketplaces e consultorias

Nem toda empresa que toca indiretamente o setor financeiro é obrigada no mesmo nível. Há zonas cinzentas importantes.

Uma software house que apenas licencia tecnologia, sem intermediar clientes, sem ver dados operacionais relevantes e sem participar da tomada de decisão, pode não estar no mesmo lugar regulatório de uma plataforma que faz onboarding, score, roteamento e gestão de alertas.

Um marketplace pode começar como vitrine comercial e, ao longo do tempo, passar a controlar split de pagamento, carteira, antecipação, onboarding de sellers e análise antifraude. Nesse momento, o perfil de risco muda bastante.

Uma consultoria ou escritório pode não ser instituição financeira, mas pode participar da constituição de estruturas, compra e venda de ativos, abertura de veículos societários e outras operações que acendem obrigações de diligência e comunicação conforme o caso.

Em dúvida, a resposta responsável não é ignorar o tema. É documentar a análise, revisar contratos, consultar assessoria especializada e adotar controles proporcionais já na fase inicial, em vez de esperar um incidente.

Consequências de ignorar o enquadramento

As consequências mais comuns de um erro de enquadramento são menos teóricas do que muitos imaginam:

  • atraso ou perda de parcerias bancárias;
  • exigência emergencial de política, treinamento e evidências por investidores;
  • bloqueios comerciais porque ninguém consegue explicar quem é o cliente final;
  • dificuldade de demonstrar por que um caso suspeito não foi reportado;
  • exposição de administradores que aprovaram operações sem mínima diligência.

Além disso, quando um incidente finalmente aparece, a empresa descobre que não tem histórico, trilha de auditoria nem base documental para reconstruir a decisão. A ausência de processo é, por si só, um agravante operacional.

Como lidar com empresas em crescimento ou transição

Há negócios que começam com perfil simples e se tornam complexos muito rápido. Um processador que era doméstico passa a operar internacionalmente. Uma plataforma B2B começa a atender fintechs menores. Uma exchange agrega novos fluxos. Um escritório incorpora serviços adicionais para clientes estrangeiros.

Nessas fases, o melhor caminho é revisar o enquadramento sempre que houver mudança material em:

  • produto;
  • geografia;
  • público-alvo;
  • canal de distribuição;
  • estrutura societária;
  • parceiros regulados;
  • uso de terceiros críticos.

É exatamente por isso que onboarding de clientes em compliance e monitoramento contínuo não podem ser tratados como projetos isolados. Eles são consequência direta do tipo de obrigação que sua atividade gera.

Checklist para decidir agora

Se você precisa sair desta leitura com um encaminhamento objetivo, use este checklist:

  1. Liste quais fluxos financeiros existem de fato na operação.
  2. Identifique quem aprova clientes, pagamentos, liquidações e exceções.
  3. Verifique se há supervisão direta ou indireta por BACEN, COAF ou parceiro regulado.
  4. Avalie se você atende setores, geografias ou perfis de risco elevado.
  5. Defina se já existe processo mínimo de KYC, screening, retenção documental e escalonamento.
  6. Se a resposta for "não" para metade desses pontos, trate o tema como prioridade de governança.

Na prática, poucas empresas que movimentam valor podem se dar ao luxo de não estruturar PLD/FT. A dúvida não costuma ser se haverá obrigação alguma, e sim qual o nível de controle, documentação e supervisão proporcional ao risco do seu modelo.

Precisa automatizar seu processo de compliance?

A Legaltalent ajuda fintechs, processadores de pagamento e obrigados a cumprir PLD/FT de forma simples e eficiente. Nossa plataforma permite verificar identidades, fazer screening contra listas de sanções e PEPs, e manter toda a documentação organizada.

Comece grátis e descubra como podemos ajudar você a cumprir sem complicações.

Perguntas frequentes

Toda empresa de tecnologia precisa cumprir PLD/FT?

Não. O enquadramento depende da atividade real exercida. Se a empresa apenas licencia software e não participa da aceitação de clientes nem da movimentação de recursos, o risco é diferente. Mas plataformas que fazem onboarding, processam pagamentos ou operam em setores regulados normalmente precisam de controles.

A Lei 9.613/98 vale só para bancos?

Não. A Lei 9.613/98 alcança uma lista ampla de obrigados, inclusive setores não bancários e atividades específicas que podem envolver lavagem de dinheiro ou financiamento do terrorismo.

Se eu trabalho com banco parceiro, ainda preciso de compliance próprio?

Na maioria dos modelos, sim. O banco parceiro pode ter obrigação regulatória principal, mas a fintech ou plataforma costuma precisar demonstrar KYC, monitoramento, documentação e resposta a alertas para manter a operação de pé.

Processador de pagamento é obrigado a cumprir PLD/FT no Brasil?

Na maior parte dos casos, sim ou ao menos estará sujeito a exigências contratuais e operacionais equivalentes, especialmente quando participa do onboarding de merchants, da liquidação e do monitoramento de transações.

Profissionais independentes podem ser obrigados?

Sim. Dependendo da atividade exercida, como estruturação de operações, gestão de recursos, compra e venda de ativos ou atuação em setores regulados, profissionais independentes podem ter deveres de diligência, registro e comunicação ao COAF.

Como saber se minha empresa está em área cinzenta?

Mapeie a jornada completa do cliente, identifique se há controle sobre entrada de recursos, aceitação de clientes e análise de operações, e documente a avaliação. Quando houver dúvida material, o melhor caminho é adotar controles proporcionais e obter parecer especializado.

Ignorar o enquadramento pode gerar o quê?

Pode gerar sanções administrativas, perda de parceiros, exigências corretivas, dano reputacional e dificuldade para justificar por que clientes ou operações suspeitas foram aceitos sem diligência adequada.

Compartilhar este artigo:
Ver mais artigos →

Pronto para automatizar seu compliance?

Teste nossa plataforma grátis e simplifique seu processo de KYC e compliance.

Começar grátis
    Sou obrigado a cumprir PLD/FT? Guia para identificar suas responsabilidades | Legal Talent KYC