Crédito Digital e BNPL: Risco de Lavagem de Dinheiro

Por SAFIE · 22 de maio de 2026 · 4 min de leitura

Em outubro de 2024, a Polícia Civil de Pernambuco divulgou que as investigações do caso Deolane Bezerra revelaram o uso sistemático de fintechs para fragmentar e movimentar recursos supostamente ligados ao Primeiro Comando da Capital (PCC). Segundo a corporação, conforme apurado pelo InfoMoney, as plataformas digitais teriam sido instrumentalizadas para "explodir" o dinheiro em múltiplas contas e transações de baixo valor, dificultando o rastreamento pelos órgãos de controle.

O mecanismo não é novo, mas o caso trouxe visibilidade inédita para um risco que o setor de fintechs frequentemente subestima: a exposição a esquemas de lavagem de dinheiro por meio de produtos de crédito digital, incluindo o BNPL (Buy Now, Pay Later). A facilidade de abertura de contas, a velocidade das operações e a menor exigência documental em algumas plataformas criam brechas que grupos criminosos exploram de forma deliberada.

Este artigo analisa o que o episódio revela do ponto de vista jurídico e regulatório, quais obrigações as fintechs têm no Brasil e o que muda na prática para quem opera crédito digital.

Contexto jurídico e regulatório

O marco legal de PLD-FT aplicável às fintechs

No Brasil, a prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD-FT) é regulada principalmente pela Lei nº 9.613/1998, com as modificações da Lei nº 12.683/2012. O artigo 9º da norma lista as pessoas obrigadas a manter controles internos e reportar operações suspeitas ao Conselho de Controle de Atividades Financeiras (COAF), e as fintechs de crédito e pagamento se enquadram nessa categoria sem exceção.

Além da lei, o Banco Central do Brasil disciplina o tema pela Resolução BCB nº 277/2022, que substituiu a Circular nº 3.978/2020. Essa norma exige que as instituições financeiras, incluindo as Sociedades de Crédito Direto (SCD) e as Sociedades de Empréstimo entre Pessoas (SEP), implementem uma política de PLD-FT formalizada, com avaliação interna de risco, procedimentos de KYC (Conheça Seu Cliente) e monitoramento contínuo de transações.

O modelo BNPL, especificamente, apresenta um vetor de risco adicional: ele permite que consumidores adquiram bens e serviços parcelados com verificação simplificada de identidade. Quando uma plataforma opera BNPL sem integrar o fluxo de crédito ao motor de monitoramento de PLD-FT, cria um canal paralelo com baixa rastreabilidade. A Resolução BCB nº 277/2022 não distingue o produto, ou seja, a obrigação de monitorar se aplica independentemente de o crédito ser concedido via empréstimo pessoal, cartão ou BNPL.

Do ponto de vista penal, o artigo 1º da Lei nº 9.613/1998 define lavagem de dinheiro como ocultar ou dissimular a natureza, origem, localização ou movimentação de bens provenientes de infração penal. A pena varia de 3 a 10 anos de reclusão, acrescida de multa. Dirigentes e colaboradores de fintechs que agirem com dolo ou mesmo com negligência grave podem ser responsabilizados, especialmente se a instituição não demonstrar que adotou as medidas preventivas exigidas pela regulação.

Impacto prático

O caso Deolane funciona como um teste de estresse para os programas de compliance das fintechs brasileiras. A técnica de "explosão" de recursos, descrita pela polícia como o fracionamento de grandes montantes em múltiplas transações menores, é exatamente o padrão que os sistemas de monitoramento devem detectar. Se uma fintech não identifica sequências de transações estruturadas abaixo dos limites de reporte automático (R$ 2.000 para Pix, por exemplo, conforme a Resolução BCB nº 99/2021), ela falhou no monitoramento comportamental exigido pela norma.

Para plataformas de BNPL, o risco é ainda mais específico. O produto permite que um CPF realize múltiplas compras parceladas em curto intervalo de tempo, muitas vezes em diferentes estabelecimentos parceiros. Sem cruzamento de dados entre as operações, o sistema não enxerga o padrão agregado. A solução técnica passa por implementar visão consolidada do cliente (customer 360), com alertas baseados em comportamento agregado, não apenas em transações individuais.

Do ponto de vista contábil, as fintechs também precisam atentar para a obrigação de segregar e documentar as provisões para créditos duvidosos em operações que posteriormente se revelarem ligadas a esquemas ilícitos. O Banco Central pode determinar a devolução de tarifas cobradas e o cancelamento de operações, o que impacta diretamente o balanço patrimonial e as métricas de inadimplência reportadas. A multa administrativa pelo COAF pode chegar a R$ 20 milhões ou ao dobro do lucro obtido com a operação irregular, conforme o artigo 12 da Lei nº 9.613/1998.

Considerações finais

O caso Deolane não é um episódio isolado sobre uma celebridade: é um sinal regulatório claro de que o modelo de crédito digital brasileiro precisa amadurecer seus controles de PLD-FT na mesma velocidade em que expande sua base de usuários. Fintechs que tratam compliance como custo secundário estão, na prática, assumindo um passivo jurídico e reputacional que pode inviabilizar a operação inteira.

A recomendação prática é direta: revisar a política de PLD-FT à luz da Resolução BCB nº 277/2022, mapear os vetores de risco específicos do produto BNPL, implementar monitoramento comportamental agregado e garantir que os reportes ao COAF estejam sendo feitos dentro dos prazos legais. Compliance em fintech não é diferencial competitivo, é condição de sobrevivência regulatória.

Perguntas frequentes

Fintechs de BNPL são obrigadas a reportar operações suspeitas ao COAF?

Sim. Qualquer fintech que conceda crédito ou realize intermediação de pagamentos está enquadrada no artigo 9º da Lei nº 9.613/1998 e na Resolução BCB nº 277/2022. Isso inclui plataformas de BNPL, independentemente do valor médio das transações. O reporte ao COAF deve ocorrer em até 24 horas para operações em espécie acima de R$ 50.000 e sempre que houver indícios de lavagem, sem limite mínimo de valor.

O que é a técnica de 'explosão' de recursos e como identificar na prática?

É o fracionamento de grandes valores em múltiplas transações menores para dificultar o rastreamento. Os sistemas de PLD-FT devem monitorar padrões como: mesmo CPF realizando dezenas de transações em curto período, múltiplos beneficiários sem relação comercial aparente, ou compras de BNPL em sequência com devolução imediata. A Resolução BCB nº 277/2022 exige que o monitoramento seja baseado em comportamento e contexto, não apenas em valores absolutos.

Qual é a multa máxima que o COAF pode aplicar a uma fintech por falha de PLD-FT?

Conforme o artigo 12 da Lei nº 9.613/1998, a multa administrativa pode chegar a R$ 20 milhões, ao dobro do valor da operação ou ao dobro do lucro obtido com a irregularidade, o que for maior. Além disso, o Banco Central pode aplicar sanções próprias, incluindo a cassação da autorização para funcionar, com base na Lei nº 4.595/1964 e na Lei nº 12.865/2013.

Uma fintech pode ser responsabilizada criminalmente mesmo sem saber que estava sendo usada para lavar dinheiro?

A responsabilidade criminal exige dolo, ou seja, a ciência e a vontade de participar do esquema. No entanto, dirigentes e compliance officers podem responder por omissão dolosa se ficarem comprovadas falhas sistemáticas e reiteradas nos controles internos. A ausência de política de PLD-FT formalizada, de treinamentos e de reportes ao COAF é indício forte de negligência que pode embasar denúncia criminal.

Quais controles mínimos uma fintech de crédito digital precisa ter para estar em conformidade com o Banco Central?

A Resolução BCB nº 277/2022 exige: política de PLD-FT aprovada pela diretoria, avaliação interna de risco atualizada anualmente, procedimentos de KYC com validação de identidade e análise de capacidade financeira, monitoramento contínuo de transações com alertas comportamentais, programa de treinamento para colaboradores e reporte tempestivo ao COAF. Fintechs de menor porte podem adotar controles proporcionais ao risco, mas não estão isentas de nenhuma dessas obrigações.