KYC para prestadores de serviços de pagamento no Brasil: Bacen, COAF e PIX 2026

Os prestadores de serviços de pagamento (PSP) no Brasil operam sob um quadro regulatório de prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD-FT) definido pelo Banco Central do Brasil (Bacen) e pelo Conselho de Controle de Atividades Financeiras (COAF). A Circular Bacen n.º 3.978/2020, a Resolução Bacen n.º 4.753/2019 e a Lei n.º 9.613/1998 (Lei de Lavagem de Dinheiro) constituem o núcleo normativo. Em 2026, o ecossistema de pagamentos brasileiro é marcado pela expansão do PIX — sistema de pagamentos instantâneos do Bacen — e pela entrada em vigor plena da LGPD (Lei Geral de Proteção de Dados, Lei n.º 13.709/2018), que impõe requisitos específicos ao tratamento de dados KYC.

Este artigo tem carácter informativo e não constitui aconselhamento jurídico, financeiro ou regulatório. Consulte um profissional qualificado para a sua situação específica.

Quais PSP estão sujeitos às obrigações KYC no Brasil?

A Resolução Bacen n.º 4.753/2019 define as categorias de PSP autorizados a operar no Brasil:

A Circular Bacen n.º 3.978/2020 impõe a todas as instituições financeiras e PSP autorizados a identificar e verificar a identidade dos clientes antes do início da relação de negócio, com base na abordagem proporcional ao risco (risco-baseada). O Bacen reforçou em 2024-2025 a exigência de que os PSP demonstrem efetividade dos seus controles PLD-FT, não apenas a existência formal de procedimentos.

Desde 2021, os Iniciadores de Transação de Pagamento (ITP) — a versão brasileira dos Payment Initiation Service Providers (PISP) europeus — requerem autorização específica do Bacen. Com a expansão do Open Finance, esses prestadores acumularam volume significativo e passaram a receber atenção crescente da fiscalização do Bacen.

Marco regulatório brasileiro: Lei 9.613/1998, Circular 3.978/2020 e LGPD

Lei n.º 9.613/1998 (Lei de Lavagem de Dinheiro) Esta é a lei-mãe da prevenção à lavagem no Brasil, modificada pela Lei n.º 12.683/2012. Define os crimes de lavagem, os setores obrigados, as obrigações de identificação, registro de operações e comunicação de operações suspeitas ao COAF. Fonte: Lei 9.613/1998, planalto.gov.br

Circular Bacen n.º 3.978/2020 Esta circular regulamenta os procedimentos PLD-FT para as instituições financeiras e PSP autorizados pelo Bacen. Estabelece a obrigatoriedade de um programa formal de PLD-FT com: política de prevenção, avaliação interna de risco, procedimentos de diligência (KYC), monitoração contínua e comunicação ao COAF. Substituiu as Circulares 3.461/2009 e 3.654/2013. Fonte: Circular Bacen 3.978/2020, bcb.gov.br

LGPD (Lei n.º 13.709/2018) A Lei Geral de Proteção de Dados é o equivalente brasileiro ao RGPD europeu. Impõe aos PSP obrigações específicas no tratamento de dados de identificação de clientes coletados no processo KYC: base legal, minimização de dados, direito do titular, relatório de impacto à proteção de dados (RIPD) para tratamentos de alto risco, e notificação de incidentes à ANPD. A ANPD (Autoridade Nacional de Proteção de Dados) pode multar em até 2 % do faturamento, limitada a R$ 50 milhões por infração. Fonte: LGPD, planalto.gov.br

PIX e compliance KYC O PIX, sistema de pagamentos instantâneos do Bacen lançado em novembro de 2020, introduziu novas pressões de conformidade: a velocidade das transações exige que o monitoramento seja em tempo real. Os PSP que participam do PIX como participantes diretos devem manter controles de monitoramento de transações compatíveis com o volume instantâneo das operações.

Para uma visão geral das obrigações KYC/AML, consulte o nosso guia de conformidade AMLD6 para entidades obrigadas.

Obrigações KYC concretas para PSP no Brasil

Diligência devida do cliente: abordagem baseada em risco

A Circular Bacen 3.978/2020 adota explicitamente a abordagem baseada em risco para a diligência devida, em linha com as Recomendações do GAFI. Isso significa que a intensidade das verificações deve ser proporcional ao risco identificado pelo PSP, e não uniforme para todos os clientes.

Para pessoas físicas, o KYC inclui:

• Nome completo, data e local de nascimento, filiação e nacionalidade
• CPF (Cadastro de Pessoas Físicas) — obrigatório para clientes residentes no Brasil
• Documento de identidade com foto: RG, CNH, Passaporte ou equivalente
• Endereço residencial e contato
• Natureza e finalidade da relação de negócio

Para pessoas jurídicas, a identificação abrange:

• Razão social, CNPJ (Cadastro Nacional da Pessoa Jurídica), endereço e natureza de atividade
• Identificação dos beneficiários finais (sócios, acionistas com ≥ 25 % de participação) — via Receita Federal e documentação societária
• Procuradores e administradores com poderes de gestão
• Ato constitutivo, última alteração e certidão simplificada da Junta Comercial

O Bacen exige que os PSP mantenham evidências documentais das verificações realizadas para fins de auditoria.

Clientes de alto risco: diligência reforçada

A Circular 3.978/2020 e as Resoluções do COAF identificam situações de risco elevado que exigem procedimentos reforçados:

As PPE no Brasil incluem: presidente e vice-presidente da República, ministros, governadores, prefeitos de capitais, senadores, deputados federais e estaduais, magistrados do STF, STJ e TRFs, militares de alta patente e diplomatas, além de seus familiares e colaboradores próximos.

Monitoramento contínuo de operações

Os PSP devem monitorar continuamente as transações dos seus clientes conforme exigido pela Circular 3.978/2020 e pelas regras do PIX:

Limiares regulatórios para PSP no Brasil

O transporte físico de moeda acima de R$ 10.000 requer declaração à Receita Federal do Brasil.

Comunicações ao COAF: obrigações de reporte

O Conselho de Controle de Atividades Financeiras (COAF) é a unidade de inteligência financeira do Brasil, vinculada ao Ministério da Fazenda. Recebe, examina e dissemina informações sobre operações financeiras suspeitas de lavagem de dinheiro ou financiamento ao terrorismo.

Os PSP têm as seguintes obrigações de reporte:

• Comunicação Automática de Operações (CAO): registro mensal das operações que atingem os limiares fixados pelo COAF (independentemente de suspeita)
• Comunicação de Operações Suspeitas (RAS): reporte imediato ao COAF quando o PSP identifica operações suspeitas
• Prazo: as comunicações devem ser enviadas até o dia 15 do mês seguinte ao de referência (CAO) ou até 24 horas da identificação da suspeita (RAS urgente)
• Confidencialidade: é proibido informar o cliente sobre a comunicação realizada ao COAF

Fonte: COAF, normas e obrigações dos setores obrigados

Sanções do Bacen: consequências do descumprimento

O Bacen dispõe de poderes sancionatórios previstos na Lei n.º 4.595/1964 e na Lei n.º 9.613/1998:

• Multas administrativas: até R$ 20 milhões por infração ou até o dobro do valor da operação irregular
• Inabilitação temporária ou permanente de administradores
• Cancelamento da autorização de funcionamento do PSP
• Responsabilidade criminal dos gestores em caso de conivência com lavagem de dinheiro

O Bacen tem reforçado nos últimos anos a supervisão baseada em risco dos PSP, com atenção especial à efetividade do monitoramento de transações e à atualização cadastral dos clientes.

Automatizar o KYC com CheckFile no contexto brasileiro

A verificação automatizada de documentos é essencial para PSP brasileiros que gerem volumes elevados de integração de clientes. CheckFile oferece:

• Verificação de CPF, RG, CNH e Passaporte brasileiro com tecnologia OCR e análise de metadados
• Detecção de documentos adulterados ou gerados por IA
• Integração com fluxos de validação de CNPJ via Receita Federal
• Arquivo conforme das evidências de verificação para auditorias do Bacen (mínimo 5 anos)
• Tratamento de dados em conformidade com a LGPD, com registros de consentimento e base legal

Para complementar a sua abordagem baseada no risco na segmentação de clientes PLD-FT, CheckFile atribui indicadores de risco adaptados ao contexto regulatório brasileiro. Consulte o nosso guia de preços para opções de acesso à API.

Perguntas frequentes

Um PSP com autorização do Bacen é automaticamente obrigado ao PLD-FT?

Sim. Toda instituição autorizada pelo Bacen a operar como prestador de serviços de pagamento está sujeita às obrigações de PLD-FT da Circular 3.978/2020. Não há isenção por porte ou volume de transações — a obrigação existe desde a obtenção da autorização.

Como o PIX afeta as obrigações de monitoramento dos PSP?

O PIX exige monitoramento em tempo real das transações. Os PSP participantes diretos do PIX devem manter sistemas capazes de identificar padrões suspeitos antes ou imediatamente após a execução da transferência. O Bacen pode solicitar relatórios de monitoramento a qualquer tempo.

O que é o Relatório de Avaliação de Risco Institucional (RARI) exigido pela Circular 3.978?

O RARI é uma avaliação formal e documentada que o PSP deve realizar para identificar e mensurar os riscos de lavagem de dinheiro e financiamento ao terrorismo associados ao seu modelo de negócio, produtos, clientes e geografias. Deve ser revisado anualmente ou quando houver mudanças significativas no perfil de risco da instituição.

LGPD e KYC: como conciliar a coleta de dados com os direitos do titular?

O PSP deve garantir base legal adequada para o tratamento de dados KYC (geralmente a obrigação legal — art. 7.º, II, LGPD). O titular tem direito de acesso, correção e exclusão dos seus dados, mas o PSP pode negar a exclusão se os dados forem necessários para cumprimento de obrigação legal (como a retenção por 5 anos exigida pelo Bacen).

Quais documentos são aceitos para identificação de clientes estrangeiros no Brasil?

Para pessoas físicas estrangeiras: passaporte, RNE (Registro Nacional de Estrangeiro) ou CRNM (Carteira de Registro Nacional Migratório). Para pessoas jurídicas estrangeiras: documentos equivalentes ao Contrato Social, com tradução juramentada se em língua estrangeira, e comprovação de representação legal no Brasil.