.png)
PLD fintech é o conjunto de obrigações de prevenção à lavagem de dinheiro e ao financiamento do terrorismo aplicáveis a fintechs e instituições de pagamento autorizadas pelo Banco Central, definidas pela Circular 3.978/2020 e supervisionadas pelo COAF.
Em 2024, o COAF aplicou R$55,7 milhões em multas por não-reporte de transações suspeitas, crescimento de 66% sobre os R$33,5 milhões do ano anterior. Em agosto de 2025, a Operação Carbono Oculto revelou que fintechs foram usadas para movimentar mais de R$46 bilhões entre 2020 e 2024. O padrão das empresas penalizadas era sempre o mesmo: política de PLD aprovada em diretoria, controles operacionais inexistentes.
E tem um detalhe que a maioria ignora: segundo levantamento publicado pelo Conjur com dados do COAF, mais da metade das infrações apuradas entre 2022 e 2023 vieram de omissão por ausência de controles técnicos, não de intenção fraudulenta. O regulador não entra nessa distinção. Se o sistema não detectou, o resultado no processo administrativo é idêntico ao de quem detectou e ignorou.
O que a Circular 3.978 exige
A Circular 3.978/2020 se aplica a toda instituição autorizada pelo Banco Central, incluindo PSPs. O regulador não manda aviso prévio. Quando abre supervisão, já chega com uma lista de documentos na primeira comunicação.
O primeiro é a Política de PLD/FT aprovada pela diretoria, com o nome do diretor formalmente indicado como responsável pelo programa. O regulador não verifica só se o documento existe. Ele verifica se esse diretor tem alçada real para bloquear contas e comunicar ao COAF sem precisar de aprovação da área comercial. Cargo no organograma sem poder operacional não conta.
O segundo é o relatório de avaliação interna de risco, com o mapeamento documentado e atualizado dos riscos dos produtos, canais, clientes e geografias da instituição. Para um PSP com carteira diversificada de merchants, isso significa segmentar por vertical e revisar o mapeamento toda vez que o perfil da carteira mudar de forma relevante. Aliás, não é só ter o documento inicial. O que o regulador investiga é a data de última atualização, e se ela faz sentido com o histórico de crescimento da operação.
O terceiro é o dossiê de KYC estruturado: nome completo, CPF/CNPJ, endereço verificado, faturamento declarado e identificação de vínculo com Pessoas Politicamente Expostas (PEPs). O que vai além do óbvio aqui é a continuidade depois do onboarding. Os dados são revisados? Quando o volume de um merchant triplica em 60 dias, a categoria de risco foi atualizada? Em operações que a gente acompanha, esse ponto é onde a maioria mostra lacuna.
O quarto é o log de comunicações ao COAF, com justificativa tanto para os casos reportados quanto para os casos avaliados e não reportados. A Carta-Circular 4.001/2020 lista os sinais de atipicidade que toda instituição deve monitorar. Desde agosto de 2025, uma instrução normativa passou a exigir que fintechs reportem transações atípicas a partir de R$5 mil mensais para pessoas físicas e R$15 mil para jurídicas.
O quinto é o registro de treinamentos dos colaboradores que operam onboarding e monitoramento, com data, lista de presença e conteúdo aplicado.
Cinco documentos. Simples assim.
Papel versus operação
A maioria das fintechs e PSPs tem o primeiro e o segundo documentos cobertos. O problema começa no quarto.
Monitorar operações atípicas não é revisar relatório uma vez por mês.
É ter controles que identificam padrões em tempo real: merchant com volume crescendo 300% em 30 dias sem correspondência no faturamento declarado, sequência de transações fragmentadas abaixo do limiar de comunicação, clientes com documentação incompleta ainda processando ativamente. Esse tipo de sinal não aparece em nenhum relatório batch semanal, e construir essa capacidade exige decisão arquitetural, não só política aprovada. A gente tem uma posição clara sobre isso: compliance de PLD que depende de revisão manual periódica não é compliance. É risco disfarçado de processo. O regulador, quando olha com atenção, chega à mesma conclusão.
Uma concessão honesta, porém: para operações com carteira pequena e concentrada em merchants de baixo risco e volume previsível, o monitoramento manual ainda é viável se bem estruturado. O problema aparece quando a carteira cresce e o processo não acompanha.
Quando o regulador aparece
Então voltamos ao início.
Quando o Banco Central ou o COAF abre supervisão em um PSP, a ordem dos documentos pedidos é previsível: Política de PLD com data de aprovação e nome do diretor. Relatório de avaliação de risco com data de última atualização. Evidência de treinamentos dos colaboradores de onboarding e monitoramento. Log das comunicações ao COAF nos últimos 12 meses com justificativa para reportados e para avaliados e não reportados.
O item que mais frequentemente falta é o dossiê de clientes classificados como alto risco, com documentação completa e revisão de cadastro datada e assinada. Sem isso, o processo evolui.
Perguntas frequentes sobre PLD fintech
O que é PLD fintech? PLD fintech é o conjunto de obrigações de prevenção à lavagem de dinheiro e ao financiamento do terrorismo que se aplicam a fintechs e instituições de pagamento autorizadas pelo Banco Central. O marco regulatório principal é a Circular 3.978/2020, que exige política documentada, avaliação de risco, KYC estruturado, monitoramento contínuo e comunicação ao COAF.
Quem está obrigado a cumprir a Circular 3.978? Toda instituição autorizada pelo Banco Central está sujeita à Circular 3.978, incluindo PSPs e demais participantes de arranjos de pagamento. A autorização do Banco Central é o gatilho que ativa as obrigações de PLD/FT, independentemente do porte da operação.
O que acontece se a fintech não reportar transações suspeitas ao COAF? O COAF pode aplicar multas administrativas por omissão de reporte. Em 2024, o órgão aplicou R$55,7 milhões em penalidades, crescimento de 66% sobre o ano anterior. O processo pode resultar também em advertência, suspensão temporária de atividades ou cancelamento da autorização pelo Banco Central.
Qual o prazo para comunicação ao COAF? Transações com indícios de lavagem de dinheiro devem ser comunicadas ao COAF até o dia útil seguinte à identificação da atipicidade. Operações acima dos limiares definidos pela Carta-Circular 4.001/2020 têm prazos e formatos específicos por tipo de transação.
Como a Barte contribui com a operação de compliance? Nós da Barte não substituímos o programa de compliance de PLD, que exige decisão de diretoria e profissional qualificado. O que a infraestrutura white label da Barte oferece é rastreabilidade de transações por merchant e canal, o que organiza os dados que o time de compliance precisa para embasar comunicações ao COAF e montar os dossiês exigidos em supervisão.
Quer estruturar sua operação de pagamentos? Acesse whitelabel.barte.io e veja como empresas de pagamentos constroem operações mais resilientes com a Barte.
.png)
.png)
.png)
.png)
.png)
