Como estruturar os processos de PLD/FT e KYC com ferramentas de compliance? 

Em 2026, falar de processos de PLD/FT e KYC vai além do simples cumprimento de normas.  

Na prática, a forma como uma empresa organiza esses controles revela o quanto ela conhece seus próprios riscos, toma decisões responsáveis e leva a sério a confiança de stakeholders. 

Com a intensificação da fiscalização e o aumento das expectativas dos reguladores, abordagens pontuais ou desconectadas deixaram de atender às exigências atuais.  

Agora, o foco passa a ser modelos baseados em risco, com identificação eficiente de beneficiários finais, uso estratégico de tecnologia para KYC e monitoramento de transações, além de programas contínuos de capacitação das equipes. 

Neste artigo, entenda como estruturar esses processos de forma alinhada ao novo cenário regulatório e transformar conformidade em vantagem estratégica para fortalecer a governança, reduzir riscos e aumentar a confiança do mercado. 

Por que estruturar processos de PLD/FT virou uma necessidade real em 2026? 

Investir em estruturas robustas de PLD/FT deixou de ser uma medida reativa e passou a ser um fator estratégico para a sustentabilidade e a competitividade das organizações.  

Esse cenário se reflete na atuação cada vez mais firme dos reguladores: somente no primeiro semestre de 2025 foram aplicadas US$ 1,23 bilhão em penalidades por falhas de compliance¹. 

A tendência segue em alta. Em 2026, a pressão regulatória contra a lavagem de dinheiro e o financiamento ilícito se intensifica e atinge seu ápice. Paralelamente, órgãos internacionais como o GAFI/FATF (Grupo de Ação Financeira ou Financial Action Task Force) ampliam a cobrança pela adoção global de padrões mais rigorosos, com foco na transparência de beneficiários finais e na implementação da Travel Rule para criptoativos. 

Contexto global 

Essa tendência exige que empresas ao redor do mundo identifiquem e divulguem os beneficiários finais das pessoas jurídicas, bem como reportem informações de remetente e destinatário em transferências de criptoativos que excedam determinados limites.  

De fato, até meados de 2025, 99 jurisdições já haviam adotado ou estavam implementando a Travel Rule para ativos virtuais², o que reflete um avanço significativo na cobertura regulatória, embora a implementação global ainda não seja completa. 

Paralelamente, eventos geopolíticos recentes aumentaram o escrutínio sobre fluxos financeiros ilícitos.  

Sanções financeiras ligadas a conflitos internacionais e ameaças à segurança nacional levaram reguladores a exigir controles ainda mais rígidos na triagem de clientes contra listas de sanções e Pessoas Expostas Politicamente (PEPs).  

Prestadores de serviços de ativos virtuais e fintechs agora são cobrados nos mesmos padrões rigorosos de PLD/FT e KYC que bancos tradicionais, e qualquer instituição que ficar atrás em due diligence ou monitoramento de transações enfrentará punições severas.  

No ano passado, por exemplo, grandes bancos foram multados por deficiências em cumprir sanções internacionais. A exchange de criptomoedas OKX pagou mais de US$ 500 milhões por falhas em prevenção à lavagem (a empresa se declarou culpada por atender clientes dos Estados Unidos sem licença). 

Os investimentos em compliance também dispararam. Globalmente, bancos dedicam de 10 a 15% de seus funcionários em tempo integral apenas a atividades de PLD/FT e KYC, e os valores dessas atividades vêm crescendo cerca de 10% ao ano em mercados avançados. Ainda assim, os resultados permanecem aquém do ideal; estima-se que apenas 2% dos fluxos financeiros ilícitos globais sejam efetivamente detectados³.  

Ou seja, mesmo alocando enormes recursos, as instituições não têm obtido retorno proporcional em eficácia, o que pressiona por melhor uso de tecnologia e inteligência nos processos.  

Não por acaso, o FATF atualizou em 2022 os padrões globais de transparência corporativa e passou a exigir que todos os países criem registros centrais de beneficiários finais para coibir empresas de fachada.  

Alguns já respondem com vigor: Singapura, por exemplo, multou em conjunto S$27,45 milhões nove instituições financeiras por falhas no cumprimento de requisitos de beneficiários finais, em decorrência de lapsos em due diligence⁴. 

Destaques no Brasil 

No País, o cenário regulatório também evoluiu. Em 2023, foi atualizada a legislação de combate à lavagem de dinheiro (Lei nº 14.596/23), o que ampliou o escopo de infrações antecedentes e alinhou definições aos padrões do GAFI. A mudança reforçou que qualquer vantagem obtida de forma ilícita pode configurar lavagem, independentemente do crime antecedente específico.  

Além disso, setores inteiros ganharam novas obrigações. A Comissão de Valores Mobiliários (CVM) editou a Resolução CVM n° 50/2021 (substituindo a antiga Instrução 301) com regras mais rígidas para identificação de clientes, manutenção de cadastros e comunicação de operações suspeitas por corretoras, distribuidoras e gestoras de ativos.  

Essa norma introduziu formalmente a Abordagem Baseada em Risco (ABR) como pilar de governança no mercado de capitais e detalhou rotinas de KYC com foco inclusive em identificar o beneficiário final de operações. Também atualizou critérios para classificar PEPs e ampliou os sinais de alerta a serem monitorados, tudo alinhado às 40 Recomendações do GAFI. 

Para os bancos, o Banco Central do Brasil (BCB) modernizou regras de KYC nos últimos anos, ao permitir processos de identificação não presencial (onboarding digital) com uso de biometria e validação de identidade por bases de dados, sem comprometer a segurança.  

Outras normativas, como a Circular Bacen 3.978/2020, consolidaram procedimentos de diligência devida, inclusive ao exigir das instituições a identificação e verificação dos beneficiários efetivos de clientes empresas, e a adoção de controles proporcionais ao risco de cada relacionamento.  

O Conselho de Controle de Atividades Financeiras (Coaf), por sua vez, passou a cobrar que mesmo operações remotas tenham verificação robusta de identidade. Ou seja, procedimentos que validem a identidade do cliente mesmo fora do presencial.  

Em suma, os reguladores brasileiros adotaram de vez uma postura de “know your customer em profundidade”, com integrações de novas tecnologias ao arcabouço normativo para facilitar a digitalização com segurança. 

Criptoativos 

Outra mudança marcante foi no campo de criptoativos. Com o Marco Legal dos Criptoativos (Lei 14.478/2022), em vigor desde 2023, exchanges de criptomoedas passaram a ser equiparadas a instituições financeiras em obrigações de PLD/FT.  

Essas plataformas devem se registrar junto às autoridades, implementar políticas internas de prevenção à lavagem e reportar operações suspeitas ao Coaf, tal como bancos o fazem.  

Inclusive, o GAFI tem pressionado o Brasil a adotar a Travel Rule, citado anteriormente, no âmbito das operações com criptoativos, com a exigência de informações sobre remetente e destinatário nas transferências. 

As grandes exchanges nacionais já respondem com KYC rigoroso em cadastros, porém a existência de operadoras offshore sem controles adequados e de transações P2P dificulta a supervisão total, o que indica que a fiscalização deverá se intensificar neste setor também. 

Quais são os pilares de um programa eficaz de PLD/FT? 

Diante desse contexto rigoroso, como estruturar um programa de PLD/FT eficaz?  

Em termos práticos, um programa robusto se apoia em alguns pilares fundamentais, que envolvem:  

• Mapear riscos reais do negócio; 

• Classificar clientes, produtos e operações por risco; 

• Executar diligências proporcionais; 

• Monitorar transações de forma contínua; 

• Investigar alertas com metodologia clara; 

• Comunicar operações suspeitas no prazo correto; 

• Manter evidências organizadas e auditáveis. 

Sem tecnologia, esse ciclo se torna fragmentado. Com ferramentas de compliance adequadas, ele se torna um fluxo contínuo. 

Veja em detalhes: 

Avaliação de riscos e abordagem baseada em risco 

Tudo começa por entender onde estão os maiores riscos de lavagem e financiamento ilícito no contexto da sua empresa.  

Por isso, é necessário realizar avaliações internas de risco periodicamente e considerar produtos, regiões, perfil dos clientes e canais de distribuição.  

Com base nessa análise, a instituição aplica controles proporcionais, ou seja, recursos reforçados onde o risco é maior e procedimentos simplificados onde o risco é baixo.  

Essa Abordagem Baseada em Risco (ABR) agora é mandatória pelos reguladores, pois direciona esforços de forma inteligente: não se trata de trabalhar menos, mas sim de trabalhar melhor, com foco onde importa.  

Por exemplo, clientes de alto risco (como PEPs ou empresas em jurisdições críticas) devem passar por um processo de Due Diligence robusto e periódico, com investigação de fontes de recursos, enquanto clientes de risco baixo podem seguir um onboarding padrão.  

Essa calibragem evita tanto a negligência quanto o “de-risking” excessivo (desligar clientes indiscriminadamente), ambos prejudiciais. Instituições líderes refazem suas avaliações de risco ao menos anualmente, ou ao surgir um novo produto ou regulamentação, assegurando que a visão de risco esteja sempre atualizada. 

Políticas internas, governança e cultura de compliance 

Com base na avaliação de risco, deve-se estabelecer, revisar e testar a Política de PLD/FT, a qual deve conter procedimentos e controles internos e contar com a aprovação da alta administração. 

Essa política deve contemplar, entre outras medidas, critérios de aceitação de clientes, verificações requeridas, sinais de alerta, processos de reporte ao Coaf e a definição clara das responsabilidades de cada área. 

Também é necessária a nomeação formal de um diretor responsável pelo cumprimento da norma, conforme exigido pela CVM e pelo Bacen, de modo a assegurar a accountability.  

Vale ressaltar que todos os funcionários, não apenas a área de compliance, devem compreender a relevância do PLD/FT. Para tanto, devem ser realizados treinamentos periódicos em todos os níveis da organização, com foco em casos práticos, tipologias de lavagem de dinheiro e nas consequências decorrentes de eventuais falhas. 

Em 2026, os reguladores não avaliam apenas a existência de políticas bem estruturadas, mas exigem evidências concretas de sua efetividade. Assim, a governança deve incorporar métricas e relatórios capazes de demonstrar o funcionamento dos controles, como o volume de alertas gerados e analisados, os prazos de análise e os casos reportados, entre outros indicadores relevantes. 

Triagem de listas restritivas (sanções, PEP, listas negativas) 

Outro pilar essencial do PLD/FT é a verificação de nomes em bases externas de risco. Toda empresa regulada deve confirmar se seus clientes, atuais ou potenciais, constam em listas oficiais de sanções internacionais (como as da ONU, OFAC e União Europeia) em listas relacionadas a terrorismo ou pessoas procuradas, bem como em cadastros de PEP. 

No Brasil, a Lei nº 13.810/2019 determina o cumprimento imediato das sanções impostas pelo Conselho de Segurança da ONU, e a Resolução CVM nº 50/21 incorporou essa obrigação ao arcabouço normativo de PLD/FT.  

Diante disso, torna-se indispensável a adoção de processos para a diligência de novos clientes e para a reavaliação periódica de toda a base, considerando que listas de sanções e de PEP passam por atualizações frequentes. 

Instituições mais maduras utilizam sistemas de screening que, no ingresso de um novo cadastro, realizam a comparação simultânea com múltiplas listas globais e geram alertas em caso de potenciais correspondências, como coincidências de nome ou data de nascimento.  

Além dos clientes, a triagem pode se estender a outros envolvidos nas operações, como fornecedores, parceiros comerciais, beneficiários finais e funcionários-chave, conforme a avaliação de risco, uma vez que todos podem representar riscos legais ou de imagem. 

Investigação interna e comunicação de operações suspeitas 

Quando um alerta de monitoramento ou outra fonte de informação aponta para uma possível irregularidade, inicia-se o processo de investigação de compliance. Nessa etapa, torna-se necessário apurar os fatos com diligência, por meio da coleta de documentação adicional, da análise do fluxo de recursos e da verificação das contrapartes envolvidas, a fim de avaliar a existência de indícios de lavagem de dinheiro ou financiamento do terrorismo. 

Caso a suspeita se mantenha, a organização possui o dever legal de elaborar a Comunicação de Operação Suspeita (COS) e encaminhá-la ao Coaf de forma sigilosa, sempre observando o formato e os prazos estabelecidos.  

A decisão de reportar deve estar fundamentada na análise realizada e, sempre que possível, ser submetida à apreciação de um comitê interno de compliance, especialmente em casos mais sensíveis.  

Nesse contexto, ferramentas de compliance permitem centralizar evidências, registrar as etapas da investigação e documentar a decisão final.  

Importa destacar que, no Brasil, não se exige a comprovação do crime, mas apenas a existência de fundada suspeita. Assim, diante de uma dúvida razoável, a comunicação tende a representar a alternativa mais segura. O envio da COS ao Coaf, quando realizado de boa-fé, confere proteção legal à instituição e contribui para o esforço coletivo de inteligência financeira.  

Acompanhamento regulatório e aprimoramento contínuo 

Por fim, um programa de PLD/FT efetivo não possui caráter estático. As ameaças evoluem com o surgimento de novas tipologias de lavagem de dinheiro, assim como o arcabouço regulatório.  

A estrutura de controles deve prever revisões periódicas de políticas e procedimentos, à luz das lições aprendidas internamente e das mudanças no ambiente externo. 

Sempre que órgãos internacionais, como o GAFI, publicarem novas diretrizes, ou quando o Bacen editar normas aplicáveis a setores emergentes, a instituição deve incorporar esses requisitos de forma tempestiva.  

As equipes de compliance precisam acompanhar circulares, resoluções e relatórios de tendências emitidos por autoridades e fóruns especializados, como o Coaf e o próprio GAFI, e traduzir essas orientações em ajustes concretos nos controles internos. 

Nesse contexto, o compliance efetivo em 2026 tende a ser indissociável da inovação contínua, seja na evolução dos processos, seja na adoção de novas ferramentas, conforme veremos abaixo. 

Passo a passo para estruturar processos de PLD/FT e KYC

Para facilitar, resumimos a seguir um passo a passo prático de como estruturar ou melhorar os processos de PLD/FT da sua organização neste contexto: 

1- Mapeie seus riscos e exigências: 

Inicie com uma Avaliação de Riscos abrangente. Identifique quais produtos, canais, clientes e regiões oferecem maior risco de lavagem ou financiamento terrorista e defina seu apetite de risco. Esse mapeamento orientará todas as próximas etapas. 

2- Desenhe políticas e procedimentos internos: 

Com base na avaliação, elabore ou atualize a Política de PLD/FT da empresa e os manuais operacionais. Estabeleça procedimentos de KYC para onboarding de clientes, identificação de beneficiários finais e verificação em listas de sanções/PEP. Defina também procedimentos de monitoramento de transações e de reporte ao Coaf.  

3- Treine seus colaboradores: 

Capacite todos os envolvidos nas políticas e nos conceitos de PLD/FT. O objetivo é criar consciência; cada funcionário deve saber identificar um alerta básico e saber reportar internamente pelo Canal de Denúncias ou outro meio seguro. 

4- Adote ferramentas de compliance: 

Se ainda não o fez, invista em ferramentas apropriadas para suportar os processos e que vão facilitar todo esse controle no dia a dia. A tecnologia certa reduz drasticamente a carga manual e erros, além de aumentar a eficiência. Em 2026, usar planilhas ou sistemas caseiros pode não ser suficiente. 

5- Implemente o monitoramento e o fluxo de investigação: 

Com processos e ferramentas definidos, coloque em operação o monitoramento contínuo das atividades. Estabeleça o fluxo de trabalho: responsáveis pelas tarefas, prazos, decisões possíveis (arquivar, continuar monitorando, abrir investigação formal) e registro da documentação de evidências.  

6- Teste, avalie e ajuste:  

Nos primeiros meses de operação, monitore os resultados do programa. Meça indicadores como número de alertas gerados vs. alertas convertidos em comunicação efetiva, quantidade de falsos positivos, tempo médio de conclusão de análises etc. Compliance eficaz é iterativo: refine as regras de monitoramento para melhorar a qualidade dos alertas. 

Seguindo esses passos, a empresa constrói uma estrutura de PLD/FT sólida e adaptável às demandas atuais.  

A chave é alinhar pessoas, processos e tecnologia: pessoas treinadas executam processos bem definidos, com apoio de ferramentas modernas para maximizar sua efetividade.

 

---

Leia também 

• ANBIMA publica Guias informativos sobre PLD/FTP e LGPD para fundos de investimento  

• PLDFT: o que sua empresa precisa fazer para estar em conformidade? 

• CVM divulga novo Informe do GAFI/FATF sobre países com potencial risco ao sistema financeiro  

---

Quais ferramentas de compliance podem auxiliar na PLD/FT? 

Diante da complexidade das tarefas descritas, a tecnologia tornou-se uma grande aliada para o dia a dia dos times de compliance e o restante do backoffice da empresa.  

Veja abaixo algumas das diversas categorias de ferramentas e recursos que podem auxiliar nos processos de PLD/FT: 

• Plataformas integradas de Compliance/GRC: Sistemas conhecidos como Governança, Riscos e Compliance (GRC) all-in-one permitem gerenciar todos os aspectos do programa numa interface única. 

• Ferramentas de KYC digital: São soluções que agilizam a coleta de dados e documentos de clientes, capturam informações, fazem leitura de documentos e podem consultar bases oficiais (como Receita Federal e listas de pessoas politicamente expostas).  

• Sistemas de verificação de listas (screening): Como mencionado, existem ferramentas especializadas que fazem screening massivo de nomes contra dezenas de listas restritivas globais. Elas utilizam algoritmos de correspondência aproximada e atribuem um score de similaridade.  

• Softwares de monitoramento transacional: São o coração tecnológico do PLD/FT. Esses softwares conectam-se aos sistemas transacionais da instituição (core bancário, ERP, ou exchanges de cripto) e analisam cada operação com base em cenários configurados.  

Em suma, as ferramentas certas multiplicam a capacidade da equipe de compliance ao facilitar a execução de tarefas repetitivas e de alto volume. 

Vale lembrar que os órgãos reguladores encorajam a inovação tecnológica. Hoje, eles já esperam que as instituições utilizem o que há de melhor em termos de sistemas. Processos manuais e dados desconexos são cada vez mais considerados inaceitáveis. 

Logo, investir em tecnologia não é só uma questão de eficiência interna, mas de atender ao nível de rigor esperado pelas autoridades. 

Erros comuns a evitar na PLD/FT 

Ao estruturar (ou reestruturar) o programa de PLD/FT, também é importante estar atento a armadilhas comuns que podem minar a eficácia dos processos. 

 Aqui estão algumas práticas inadequadas que devem ser evitadas: 

1. Encarar PLD/FT apenas como formalidade burocrática; 

2. Não seguir a abordagem baseada em risco na prática; 

3. Manter processos manuais e isolados; 

4. Subestimar a importância de dados de qualidade; 

5. Deixar de atualizar listas e parâmetros; 

6. Falta de treinamento e conscientização; 

7. Não escalonar decisões e não envolver a alta administração; 

8. Reatividade em vez de proatividade. 

Ao evitar esses erros e buscar as melhores práticas já discutidas, a empresa estará muito mais bem posicionada para uma conformidade efetiva.  

Lembre-se: falhas de compliance custam caro. O primeiro semestre de 2025 teve um aumento de 417% nas multas globais por falhas em prevenção à lavagem em comparação ao ano anterior, e essa tendência punitiva continua.  

Transforme erros de terceiros em aprendizado estratégico para a sua organização. 

Do risco à confiança 

A luta contra a lavagem de dinheiro e o financiamento do terrorismo em 2026 é intensa e implacável. As instituições reguladas enfrentam expectativas cada vez maiores de eficácia: não basta ter políticas no papel, é preciso provar que elas funcionam.  

Um programa bem arquitetado previne multas milionárias, salva a reputação da empresa e confere vantagem competitiva, pois o mercado valoriza quem opera dentro da lei e com diligência. 

Felizmente, hoje dispomos de tecnologias e metodologias capazes de tornar o compliance mais inteligente e menos custoso. Empresas que lideram em compliance tendem a ser vistas como parceiras confiáveis e estáveis, atraindo melhores investidores e clientes.  

Já aquelas que negligenciam o tema aprendem da pior forma: seja pelo rigor dos órgãos fiscalizadores, seja por se tornarem veículos de crimes que destroem sua credibilidade. Ao adotar as práticas recomendadas e evitar as armadilhas comuns, sua empresa estará preparada para enfrentar 2026 com confiança e converter o compliance de um fardo regulatório em um diferencial de mercado. 

Como o Compliasset se conecta a esse desafio?  

Conheça a plataforma all in one que integra agenda regulatória, gestão de riscos, treinamento de PLD/FT, evidências e muito mais, tudo em um só lugar. 

Agende uma demonstração agora mesmo! 

---

FAQ  

O que é PLD/FT e por que é tão importante agora em 2026? 

PLD/FT significa Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo. É o conjunto de leis, regulamentos e práticas para evitar que o Mercado Financeiro e de Capitais seja usado para “lavar” recursos de origem criminosa ou financiar atividades terroristas.  

Ferramentas de compliance são obrigatórias para PLDFT? 

Não são formalmente obrigatórias, mas são cada vez mais esperadas pelos reguladores para garantir efetividade, rastreabilidade e redução de falhas. 

O que é KYC? 

KYC é a sigla para “Know Your Customer” ou “Conheça seu Cliente”, e refere-se ao conjunto de processos adotados para identificar, verificar e conhecer o perfil dos clientes. É fundamental para a prevenção à lavagem de dinheiro, ao financiamento do terrorismo e a outras práticas ilícitas. 

Como um software de compliance auxilia processos de PLD/FT? 

Um software de compliance pode trazer mais eficácia e eficiência aos processos de PLD/FT de diversas formas, como centralizar todas as informações e etapas em um único ambiente e apoiar a gestão de pendências e prazos, entre outras funcionalidades relevantes. 

Quais os maiores riscos de um PLDFT mal estruturado? 

Multas elevadas, sanções administrativas, danos reputacionais e restrições operacionais impostas pelos reguladores. 

---

Fontes

¹https://resources.fenergo.com/newsroom/regulatory-penalties-for-global-financial-institutions-skyrocket-417-in-h1-2025 

²https://www.fatf-gafi.org/content/dam/fatf-gafi/recommendations/2025-Targeted-Upate-VA-VASPs.pdf  

³https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/how-agentic-ai-can-change-the-way-banks-fight-financial-crime  

⁴https://www.mas.gov.sg/regulation/enforcement/enforcement-actions/2025/mas-takes-regulatory-actions-against-9-financial-institutions-for-aml-related-breaches