Em maio de 2026, o debate sobre obrigações regulatórias no setor financeiro digital voltou ao centro das discussões entre founders e gestores de fintechs. Enquanto parte do mercado acompanhava a abertura do primeiro lote de restituições do Imposto de Renda 2026, anunciada pela Receita Federal e amplamente coberta pela InfoMoney, o ambiente regulatório para empresas de tecnologia financeira seguia se tornando mais exigente, com o Banco Central e o COAF intensificando a fiscalização sobre programas de Prevenção à Lavagem de Dinheiro (PLD) e Financiamento do Terrorismo (FT).
A movimentação tributária de pessoas físicas é, aliás, um ponto de contato direto entre o universo das fintechs e o sistema de controles PLD: plataformas de investimento, contas de pagamento e carteiras digitais processam volumes expressivos de recursos que podem ser objeto de declaração ao Fisco, e qualquer inconsistência entre o que o cliente declara e o que movimenta pela conta fintech pode gerar alertas tanto na Receita Federal quanto no COAF.
Este artigo apresenta um panorama técnico e prático das principais obrigações de compliance e PLD que incidem sobre fintechs no Brasil, com referências às normas vigentes e ao que os reguladores têm exigido na prática.
Contexto jurídico e regulatório
O marco legal da PLD no Brasil
A base do sistema antilavagem brasileiro é a Lei 9.613/1998, conhecida como Lei de Lavagem de Dinheiro, substancialmente reformada pela Lei 12.683/2012. Essa legislação estabelece que pessoas jurídicas que operam no sistema financeiro, incluindo instituições de pagamento, sociedades de crédito direto e correspondentes bancários, são obrigadas a identificar clientes, manter registros de operações e comunicar transações suspeitas ao COAF (Conselho de Controle de Atividades Financeiras).
Para fintechs especificamente, a regulação é operacionalizada principalmente pela Resolução BCB 44/2021, que detalha os procedimentos de PLD e CFT para instituições autorizadas a funcionar pelo Banco Central. Essa norma exige a adoção de uma abordagem baseada em risco (ABR), o que significa que cada fintech deve mapear os riscos específicos do seu modelo de negócio e calibrar os controles de acordo com esse mapeamento.
Além disso, a Circular BCB 3.978/2020 (recepcionada e atualizada pela Resolução BCB 44/2021) detalha as obrigações de KYC (Know Your Customer), monitoramento de operações, avaliação interna de risco e treinamento de colaboradores. O não cumprimento dessas normas pode resultar em multas de até 20 milhões de reais, inabilitação de administradores e até cancelamento da autorização de funcionamento, conforme previsto na Lei 13.506/2017.
Obrigações específicas para instituições de pagamento
Fintechs que operam como Instituições de Pagamento (IPs), categoria regulada pela Lei 12.865/2013, estão sujeitas a um regime próprio de supervisão. O Banco Central exige que essas empresas mantenham políticas formais de PLD aprovadas pelo Conselho de Administração ou órgão equivalente, com revisão periódica mínima anual.
Também é obrigatória a comunicação ao COAF de operações em espécie iguais ou superiores a R$ 50 mil, operações suspeitas independentemente do valor, e transações realizadas com pessoas politicamente expostas (PPEs) fora dos padrões esperados. O prazo para comunicação de operações suspeitas é de até 24 horas após a detecção, conforme a Resolução BCB 44/2021, artigo 46.
Impacto prático
Para founders e gestores de fintechs em estágio inicial, estruturar um programa de compliance PLD pode parecer um custo operacional elevado diante de outras prioridades. Essa percepção é equivocada e potencialmente fatal para o negócio. O Banco Central tem aplicado sanções a fintechs de pequeno e médio porte, não apenas a grandes bancos, e o COAF recebe mais de 4 milhões de comunicações por ano, segundo dados do próprio órgão para 2024.
Na prática, o mínimo exigível inclui: política formal de PLD documentada, processo de onboarding com verificação de identidade (KYC) e consulta a listas restritivas (PEPs, OFAC, ONU), monitoramento automatizado de transações com alertas parametrizados, treinamento anual de equipe e indicação de um responsável técnico pelo programa. Para fintechs com autorização do BCB, esse responsável precisa ser comunicado ao regulador.
Outro ponto crítico é a integração entre os controles PLD e a rotina fiscal da empresa. Como as fintechs processam movimentações financeiras de clientes que também prestam contas à Receita Federal, inconsistências detectadas no e-Financeira (obrigação acessória que fintechs com autorização BCB entregam à Receita) podem cruzar com registros do COAF e gerar investigações simultâneas por duas frentes regulatórias distintas. Ter os dados organizados e auditáveis é, portanto, uma questão tanto de compliance regulatório quanto de gestão de risco tributário.
Considerações finais
Compliance e PLD não são temas para serem resolvidos apenas quando o regulador bater à porta. Para fintechs que pretendem crescer, captar investimento ou expandir para novos produtos regulados, a maturidade do programa antilavagem é hoje um critério de due diligence tanto para o Banco Central quanto para fundos e parceiros estratégicos. Empresas que tratam esse tema como custo tendem a enfrentar problemas operacionais sérios no momento em que mais precisam de estabilidade.
A recomendação prática é simples: revise a política PLD da sua fintech ao menos uma vez por ano, mantenha os registros de operações suspeitas e comunicações ao COAF organizados e acessíveis, e invista em tecnologia de monitoramento transacional proporcional ao volume de operações que você processa. Regulação bem estruturada é vantagem competitiva, não obstáculo.