A prevenção à lavagem de dinheiro constitui, no ordenamento jurídico brasileiro, um conjunto estruturado de obrigações legais, procedimentos de compliance e controles internos destinados a impedir que o sistema econômico-financeiro seja utilizado para conferir aparência de licitude a bens, direitos e valores de origem ilícita. Trata-se de um sistema de cooperação entre o poder público e os setores privados expostos ao risco de branqueamento de capitais, cuja base normativa repousa na Lei 9.613/1998 — alterada pela Lei 12.683/2012 — e em regulamentações setoriais editadas pelo Banco Central do Brasil (BACEN), pela Comissão de Valores Mobiliários (CVM), pela Superintendência de Seguros Privados (SUSEP), pelo Conselho Federal de Contabilidade (CFC) e por outros reguladores.

Os números mais recentes do Conselho de Controle de Atividades Financeiras (COAF) dimensionam a relevância do tema: em 2025, o órgão recebeu 3,1 milhões de Comunicações de Operações Suspeitas (COS) — crescimento de 20% em relação ao ano anterior — e produziu 20.548 Relatórios de Inteligência Financeira (RIF), média de 56 por dia. O volume acumulado de comunicações cresceu 766% entre 2015 e 2024, refletindo tanto a sofisticação dos mecanismos de monitoramento quanto a ampliação dos setores obrigados.

O presente artigo examina o arcabouço normativo de prevenção à lavagem de dinheiro vigente no Brasil, com ênfase nos controles internos exigidos das pessoas obrigadas, na Abordagem Baseada em Risco introduzida pela Circular BACEN 3.978/2020, nos procedimentos de identificação e monitoramento de clientes, parceiros e colaboradores, e nas novidades regulatórias de 2025 e 2026, incluindo a regulamentação dos prestadores de serviços de ativos virtuais.

Arcabouço normativo da prevenção à lavagem de dinheiro

O sistema brasileiro de prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT) combina a tipificação penal da lavagem de dinheiro — cujos contornos são examinados em artigo específico sobre o tema — com a construção de um sistema nacional de prevenção fundado na atuação coordenada entre pessoas obrigadas, reguladores setoriais e o COAF.

A Lei 9.613/1998 é o diploma central desse sistema. Seus Capítulos V a VIII instituem as obrigações de identificação de clientes, manutenção de registros, comunicação de operações suspeitas, as sanções administrativas aplicáveis e a criação do COAF como unidade de inteligência financeira. A Lei 12.683/2012, além de eliminar o rol taxativo de crimes antecedentes da lavagem, ampliou significativamente o escopo das obrigações preventivas, estendendo-as a novos setores como juntas comerciais, cartórios e profissionais de assessoria e consultoria.

No plano infralegal, os principais marcos regulatórios setoriais incluem a Circular BACEN 3.978/2020, que estabelece a política, os procedimentos e os controles internos para instituições autorizadas a funcionar pelo Banco Central; a Resolução BCB 119/2021, que complementa a circular com disposições sobre conglomerados prudenciais; a Resolução CVM 50/2021, aplicável ao mercado de valores mobiliários; a Circular SUSEP 612/2020, para o setor de seguros; e a Resolução CFC 1.721/2024, que regulamenta as obrigações dos profissionais de contabilidade perante o COAF. Todas essas normas convergem para a adoção da Abordagem Baseada em Risco (ABR), em linha com as recomendações do Grupo de Ação Financeira Internacional (GAFI/FATF).

Pessoas obrigadas e suas responsabilidades

O artigo 9º da Lei 9.613/1998 define o universo das pessoas obrigadas — isto é, os agentes econômicos que, pela natureza de suas atividades, estão sujeitos a deveres específicos de prevenção à lavagem de dinheiro. O rol é extenso e compreende instituições financeiras em sentido amplo, administradoras de consórcios, bolsas de valores, corretoras de câmbio e de títulos, seguradoras, entidades de previdência complementar, administradoras de cartões de crédito, sociedades de arrendamento mercantil (leasing), empresas de fomento comercial (factoring), imobiliárias e incorporadoras, joalherias e comerciantes de bens de luxo, empresas de transporte de valores, cartórios de notas e de registro, juntas comerciais e, após a Lei 12.683/2012, profissionais de assessoria, consultoria, contadoria e auditoria.

As obrigações dessas pessoas estão concentradas nos artigos 10, 10-A e 11 da Lei 9.613/1998 e podem ser sintetizadas em quatro pilares: identificação e qualificação de clientes, com manutenção de cadastro atualizado; registro de todas as transações em valores que ultrapassem os limites fixados pela autoridade competente; atendimento integral às requisições formuladas pelo COAF; e comunicação ao COAF, no prazo de 24 horas, de quaisquer operações que apresentem indícios de lavagem de dinheiro ou financiamento do terrorismo, sendo vedado ao comunicante dar ciência ao envolvido ou a terceiros sobre a comunicação realizada (tipping off).

Abordagem Baseada em Risco e Avaliação Interna de Risco

A Circular BACEN 3.978/2020 representou uma inflexão no modelo regulatório brasileiro de PLD/FT. A norma anterior — Circular BACEN 3.461/2009 — adotava uma abordagem prescritiva, com regras uniformes e procedimentos padronizados aplicáveis indistintamente a todas as instituições. A Circular 3.978/2020 substituiu esse modelo por uma Abordagem Baseada em Risco (ABR), em consonância com a Recomendação 1 do GAFI, segundo a qual as medidas de prevenção devem ser proporcionais aos riscos efetivamente identificados.

O pilar central da ABR é a Avaliação Interna de Risco (AIR), disciplinada no artigo 10 da Circular 3.978/2020. As instituições devem realizar diagnóstico periódico — com revisão obrigatória a cada dois anos — para identificar e mensurar o risco de utilização de seus produtos e serviços na prática da lavagem de dinheiro e do financiamento do terrorismo. A avaliação deve considerar, no mínimo, os perfis de risco dos clientes, da própria instituição, das operações, transações, produtos e serviços oferecidos, e das atividades exercidas por funcionários, parceiros e prestadores de serviços terceirizados.

A AIR deve ser documentada, aprovada pelo diretor responsável por PLD/FT indicado formalmente ao Banco Central (art. 9º da Circular 3.978/2020), e encaminhada ao comitê de auditoria, ao conselho de administração ou à diretoria da instituição. A partir dos resultados dessa avaliação, a instituição define sua política de PLD/FT e os procedimentos de controle proporcionais ao risco identificado, aplicando controles reforçados em situações de maior exposição e controles simplificados em cenários de menor risco.

A adoção da ABR implica, na prática, que duas instituições de portes e modelos de negócios distintos poderão ter procedimentos de PLD/FT diferentes entre si, ambos em conformidade com a regulamentação, desde que proporcionais aos seus respectivos perfis de risco. Essa flexibilidade, porém, é acompanhada de maior responsabilidade: cabe à instituição demonstrar a razoabilidade das escolhas adotadas com base na documentação de sua AIR.

Procedimentos de identificação: KYC, KYE, KYP e KYS

A identificação, qualificação e classificação de clientes — comumente referidas pela expressão Know Your Customer (KYC) — constituem a primeira linha de defesa do programa de PLD/FT. A Circular BACEN 3.978/2020 exige que as instituições adotem procedimentos documentados em manual específico, aprovado pela diretoria, contemplando a coleta e verificação de dados cadastrais, a identificação do beneficiário final (beneficial owner) em operações envolvendo pessoas jurídicas, e a classificação do cliente em categorias de risco definidas na AIR.

A qualificação de Pessoas Expostas Politicamente (PEP) recebe tratamento reforçado. A Circular define PEP de forma ampla, incluindo agentes públicos que desempenhem ou tenham desempenhado, nos últimos cinco anos, funções públicas relevantes no Brasil ou em países, territórios e dependências estrangeiros, bem como seus representantes, familiares e estreitos colaboradores. A instituição deve manter procedimentos específicos para identificar PEPs e aplicar diligência reforçada a essas relações.

Além do KYC, a regulamentação exige procedimentos análogos para o conhecimento de funcionários (Know Your Employee — KYE), parceiros comerciais (Know Your Partner — KYP) e fornecedores e prestadores de serviços terceirizados (Know Your Supplier — KYS). Esses procedimentos devem ser compatíveis com a política de PLD/FT e definidos com base na AIR, abrangendo diligências para compreender vínculos societários, histórico reputacional, exposição geográfica a regiões de risco e eventuais relações com pessoas em listas restritivas nacionais e internacionais — como as listas do Conselho de Segurança das Nações Unidas (CSNU), do Office of Foreign Assets Control (OFAC) e da União Europeia.

A integração dos procedimentos de KYC, KYE, KYP e KYS compõe uma abordagem holística de devida diligência (due diligence) que permite à instituição mapear os pontos de contato vulneráveis à infiltração de recursos ilícitos em sua cadeia de relacionamentos. A construção de programas de compliance e governança corporativa adequados à realidade de cada organização é, nesse contexto, instrumento indispensável de mitigação de riscos.

Monitoramento, comunicação e prazos

Os artigos 39 a 49 da Circular BACEN 3.978/2020 disciplinam o monitoramento contínuo de operações e situações suspeitas. As instituições devem implementar procedimentos automatizados e manuais de seleção que identifiquem operações atípicas considerando, entre outros fatores, as partes envolvidas, os valores, as formas de realização, os instrumentos utilizados e a falta de fundamento econômico ou legal.

As operações selecionadas pelo monitoramento devem ser submetidas a procedimentos de análise no prazo máximo de 45 dias, contados da data de seleção. A análise deve ser formalizada em dossiê que contenha a descrição da operação, as diligências realizadas e a decisão fundamentada sobre a comunicação ou não ao COAF. A comunicação de operação ou situação suspeita ao COAF (COS) deve ser realizada até o dia útil seguinte à decisão de comunicação, por meio do Sistema de Controle de Atividades Financeiras (SISCOAF), sendo vedado ao comunicante dar ciência da comunicação ao envolvido.

Além das comunicações de operações suspeitas, a regulamentação impõe comunicações automáticas ao COAF em determinadas situações: depósitos, aportes ou saques em espécie de valor igual ou superior a R$ 50.000,00 (para instituições reguladas pelo BACEN) e operações em espécie acima de R$ 100.000,00 (para profissionais de contabilidade, conforme a Resolução CFC 1.721/2024). Essas comunicações devem ser realizadas até o dia útil seguinte à operação.

A Comunicação de Não Ocorrência (CNO), também denominada Declaração Negativa, é obrigação igualmente relevante. As pessoas obrigadas que, ao longo do ano-calendário, não tenham identificado operações ou propostas de operações suspeitas devem comunicar formalmente essa circunstância ao respectivo órgão regulador até 31 de janeiro do ano seguinte. Em janeiro de 2026, os diversos setores obrigados — contadores, corretores de imóveis, economistas, empresas de factoring, joalherias, entre outros — realizaram a CNO referente ao exercício de 2025 por meio dos sistemas de seus reguladores setoriais e do SISCOAF.

Relatório de efetividade e governança de PLD/FT

A Circular BACEN 3.978/2020 introduziu a obrigação de avaliação periódica da efetividade da política de PLD/FT. Os artigos 62 a 65 da Circular determinam que as instituições elaborem relatório anual, com data-base de 31 de dezembro, contendo a descrição da metodologia adotada na avaliação, os testes aplicados, a qualificação dos avaliadores e as deficiências identificadas na política.

O relatório deve ser encaminhado até 31 de março do ano seguinte ao comitê de auditoria, ao conselho de administração ou à diretoria da instituição. Caso sejam identificadas deficiências, a instituição deve elaborar plano de ação para solucioná-las, com acompanhamento documentado em relatório específico, a ser encaminhado até 30 de junho do mesmo ano. Esse mecanismo de autoavaliação e correção reforça a governança de PLD/FT e evidencia a preocupação do regulador com a efetividade — e não apenas a existência formal — dos programas de prevenção.

A indicação de diretor responsável por PLD/FT junto ao Banco Central é requisito inafastável. O diretor pode acumular outras funções, desde que não haja conflito de interesses, e deve ter acesso irrestrito aos dados e resultados das avaliações realizadas pelas áreas de monitoramento.

Regulamentação setorial: além das instituições financeiras

Embora a Circular BACEN 3.978/2020 seja a norma de maior abrangência, o sistema de PLD/FT brasileiro conta com regulamentações setoriais específicas que refletem as particularidades de cada mercado.

No mercado de capitais, a Resolução CVM 50/2021 disciplina as obrigações de PLD/FT para participantes do mercado de valores mobiliários, incluindo corretoras, distribuidoras, fundos de investimento e seus administradores. A norma segue a mesma lógica da ABR e exige treinamento contínuo dos colaboradores.

No setor de seguros, a Circular SUSEP 612/2020, complementada pela Resolução CNSP 393/2020, estabelece os procedimentos e controles internos obrigatórios para seguradoras, entidades de previdência aberta e capitalização, incluindo as sanções administrativas específicas do setor.

Para profissionais de contabilidade, a Resolução CFC 1.721/2024 regulamenta as obrigações de comunicação ao COAF. Todos os profissionais com responsabilidade técnica e organizações contábeis que atuem em escrituração contábil e fiscal, assessoria, consultoria e auditoria de natureza contábil devem comunicar ao COAF, no prazo de 24 horas, operações em espécie iguais ou superiores a R$ 100.000,00, além de quaisquer operações que apresentem indícios de atividades ilícitas. A não identificação de operações suspeitas ao longo do exercício não exime o profissional: a CNO deve ser enviada ao CFC até 31 de janeiro do ano seguinte.

Corretores de imóveis e imobiliárias estão igualmente sujeitos a obrigações de PLD, regulamentadas pela Resolução COFECI 1.336/2014 e pela Resolução COAF 15/2007. Empresas com mais de 10 empregados que realizem cinco ou mais transações mensais, ou que possuam faturamento anual superior a R$ 1.000.000,00, devem formalizar políticas internas de prevenção com treinamento de pessoal e mecanismos de controle contínuo.

Novidades regulatórias 2025/2026: criptoativos e prestadores de serviços de ativos virtuais

A regulamentação dos prestadores de serviços de ativos virtuais (PSAVs) representa o desenvolvimento mais significativo do arcabouço de PLD/FT brasileiro no período recente. Em 10 de novembro de 2025, o Banco Central publicou as Resoluções BCB 519, 520 e 521, que integram os criptoativos ao sistema regulatório financeiro, com vigência a partir de 2 de fevereiro de 2026.

A Resolução BCB 520/2025, núcleo operacional do novo marco, classifica as PSAVs em três modalidades — intermediárias, custodiantes e corretoras — e impõe obrigações de PLD/FT alinhadas às exigidas das instituições financeiras tradicionais: política de prevenção, avaliação interna de risco, procedimentos de KYC, segregação patrimonial entre recursos dos clientes e da empresa, e nomeação de diretor responsável por PLD/FT, controles internos e segurança cibernética. Os requisitos de capital mínimo variam de R$ 10,8 milhões a R$ 37,2 milhões, conforme o conjunto de atividades exercidas.

A Resolução BCB 519/2025 disciplina os processos de autorização para funcionamento das Sociedades Prestadoras de Serviços de Ativos Virtuais (SPSAVs), exigindo comprovação de capacidade econômico-financeira, origem lícita dos recursos e reputação ilibada dos administradores — critérios já aplicáveis a outras instituições reguladas. As empresas já em operação devem protocolar pedido de autorização junto ao BACEN até 30 de outubro de 2026.

A Resolução BCB 521/2025 enquadra determinadas operações com criptoativos no mercado de câmbio — pagamentos e transferências internacionais por meio de ativos virtuais, operações com stablecoins referenciadas em moeda fiduciária e transferências para carteiras autocustodiadas — e estabelece limites operacionais e obrigações de reporte. As PSAVs ficam obrigadas a identificar titulares de carteiras de autocustódia para as quais transfiram recursos, eliminando o anonimato nas transações com contrapartes não reguladas.

Essas normas ampliam substancialmente o perímetro de supervisão do BACEN e sujeitam as exchanges e demais intermediários de criptoativos a obrigações de PLD/FT equivalentes às do sistema financeiro tradicional — um desenvolvimento coerente com o crescimento exponencial das operações com ativos digitais e com os riscos de lavagem de dinheiro identificados nesse ecossistema.

PLD como gestão de riscos para empresas não reguladas

A circunstância de determinada empresa não se enquadrar como “pessoa obrigada” nos termos do artigo 9º da Lei 9.613/1998 não a afasta dos riscos associados à infiltração de recursos ilícitos em sua cadeia de negócios. Organizações criminosas, ao ocupar cadeias produtivas e estruturas empresariais, ampliam sua capacidade econômica, diversificam investimentos e se aproximam de instâncias decisórias públicas e privadas.

Estudo do Fórum Brasileiro de Segurança Pública, publicado em junho de 2025, demonstrou que facções ligadas ao narcotráfico responderam por 48,5% dos crimes citados nos intercâmbios de informações do COAF em 2024, com atuação documentada em setores como combustíveis, bebidas, transporte e apostas online. A exposição a esses riscos independe da existência de obrigações regulatórias formais.

Nesse cenário, empresas de diversos setores têm adotado abordagem baseada em riscos de forma voluntária, implementando mapeamento dinâmico de pontos de contato vulneráveis — fornecedores, clientes, canais de distribuição, logística —, procedimentos de due diligence em relações comerciais relevantes e treinamentos direcionados para detecção de indícios de infiltração. A implementação de programas de compliance criminal constitui, para essas empresas, instrumento de proteção contra responsabilizações penais e administrativas que decorram de omissão na prevenção de ilícitos praticados por terceiros no âmbito de suas operações.

Sanções administrativas pelo descumprimento das obrigações de PLD

O artigo 12 da Lei 9.613/1998 estabelece as sanções aplicáveis às pessoas obrigadas e a seus administradores que descumpram as obrigações de prevenção previstas nos artigos 10 e 11 da mesma Lei. O regime sancionatório é severo e escalonado: advertência formal; multa pecuniária de até R$ 20.000.000,00, ou até o dobro do valor da operação ou do lucro real obtido ou que presumivelmente seria obtido pela realização da operação; inabilitação temporária, pelo prazo de até 10 anos, para o exercício de cargo de administrador de pessoas obrigadas; e cassação ou suspensão da autorização para o exercício da atividade, operação ou funcionamento.

As sanções são aplicadas cumulativamente, conforme a gravidade da infração, e independem de eventual responsabilização penal. As multas podem ser aplicadas tanto à pessoa jurídica quanto a seus administradores individualmente. A jurisprudência administrativa dos reguladores setoriais tem demonstrado rigor crescente na fiscalização, com aplicação de multas significativas a instituições que apresentem deficiências estruturais em seus programas de PLD/FT — notadamente falhas na AIR, insuficiência nos procedimentos de KYC e atrasos nas comunicações ao COAF.

Para empresas que atuam nos mercados financeiro e de capitais, o risco sancionatório se soma ao risco reputacional e ao risco de restrição de acesso a mercados internacionais — consequências que podem ser mais gravosas do que a própria sanção pecuniária.

Perguntas frequentes sobre prevenção à lavagem de dinheiro

O que é prevenção à lavagem de dinheiro (PLD)?

PLD é o conjunto de políticas, procedimentos e controles internos que empresas e profissionais devem adotar para impedir que seus produtos, serviços e operações sejam utilizados para conferir aparência de licitude a recursos de origem ilícita. No Brasil, essas obrigações estão previstas na Lei 9.613/1998 e nas regulamentações setoriais.

Quem está obrigado a manter programa de PLD?

As pessoas obrigadas estão listadas no artigo 9º da Lei 9.613/1998 e incluem instituições financeiras, seguradoras, administradoras de cartões, imobiliárias, joalherias, empresas de factoring, cartórios, juntas comerciais, profissionais de contabilidade, consultoria e auditoria, entre outros setores.

O que é a Abordagem Baseada em Risco (ABR)?

É a metodologia introduzida pela Circular BACEN 3.978/2020, em linha com as recomendações do GAFI, segundo a qual as medidas de prevenção à lavagem de dinheiro devem ser proporcionais aos riscos efetivamente identificados pela instituição por meio de sua Avaliação Interna de Risco (AIR).

Qual o prazo para comunicar operações suspeitas ao COAF?

A comunicação de operações ou situações suspeitas deve ser realizada até o dia útil seguinte à decisão de comunicação, por meio do SISCOAF. O prazo para análise das operações selecionadas pelo monitoramento é de 45 dias.

O que é a Declaração de Não Ocorrência (CNO)?

É a comunicação obrigatória que as pessoas que, ao longo do exercício, não tenham identificado operações suspeitas devem enviar ao respectivo órgão regulador até 31 de janeiro do ano seguinte. Em janeiro de 2026, a CNO referente ao exercício de 2025 foi enviada pelos diversos setores obrigados.

Quais são as sanções pelo descumprimento das obrigações de PLD?

As sanções previstas no artigo 12 da Lei 9.613/1998 incluem advertência, multa de até R$ 20 milhões (ou dobro do valor da operação), inabilitação por até 10 anos para cargos de administração e cassação da autorização de funcionamento.

O que muda para empresas de criptoativos em 2026?

As Resoluções BCB 519, 520 e 521, publicadas em novembro de 2025, com vigência a partir de fevereiro de 2026, sujeitam os prestadores de serviços de ativos virtuais (PSAVs) a obrigações de PLD/FT equivalentes às das instituições financeiras, incluindo autorização prévia do BACEN, capital mínimo, AIR e procedimentos de KYC.

O que são os procedimentos KYC, KYE, KYP e KYS?

São procedimentos de devida diligência para conhecer, respectivamente, o cliente (Know Your Customer), o funcionário (Know Your Employee), o parceiro comercial (Know Your Partner) e o fornecedor (Know Your Supplier). Visam identificar riscos de PLD em toda a cadeia de relacionamentos da instituição.

Contadores são obrigados a comunicar operações ao COAF?

Sim. A Resolução CFC 1.721/2024 obriga profissionais de contabilidade e organizações contábeis a comunicar ao COAF, em 24 horas, operações em espécie iguais ou superiores a R$ 100.000,00 e quaisquer operações com indícios de lavagem. Na ausência de ocorrências, devem enviar a CNO ao CFC até 31 de janeiro do ano seguinte.

Empresas não reguladas precisam adotar medidas de PLD?

Embora não estejam sujeitas às obrigações formais da Lei 9.613/1998, empresas de qualquer setor podem ser expostas a riscos de infiltração de recursos ilícitos. A adoção voluntária de controles de PLD baseados em risco é recomendada como instrumento de proteção contra responsabilizações penais e danos reputacionais.

---

Este artigo foi redigido para fins de informação e debate, não devendo ser considerado uma opinião legal para qualquer operação ou negócio específico.

© 2026. Direitos Autorais reservados a Barbieri Advogados.