Abordagem Baseada em Risco PLD/CFT no Brasil: Scoring de Clientes Bacen/COAF 2026

A abordagem baseada em risco (ABR) em Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/CFT) é hoje o eixo central da regulamentação brasileira para instituições financeiras e demais entidades obrigadas. Ao contrário de modelos de conformidade uniformes, em que todos os clientes recebem o mesmo nível de diligência independentemente de seu perfil, a ABR exige que cada organização calibre seus controles de acordo com os riscos reais que cada cliente, produto, canal e área geográfica representam. O resultado prático é um sistema de scoring de clientes que permite concentrar recursos humanos e tecnológicos onde o risco é genuinamente elevado — e simplificar procedimentos onde ele é objetivamente baixo.

No contexto brasileiro de 2026, essa lógica tornou-se ainda mais relevante: o volume de operações monitoradas pelo COAF cresceu substancialmente nos últimos anos, e o Banco Central do Brasil (Bacen) aprofundou as exigências de documentação, governança e reporte. Este artigo oferece um guia prático para construir e operacionalizar um modelo de scoring de risco de clientes em conformidade com a regulamentação vigente.

Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulatório. As referências regulamentares são exatas à data de publicação. Consulte um profissional qualificado para orientação adaptada à sua situação.

O que é a Abordagem Baseada em Risco em PLD/CFT no Brasil e por que é obrigatória

A abordagem baseada em risco (ABR) em PLD/CFT é o princípio central da Circular Bacen 3.978/2020, que estabelece os procedimentos e os controles internos exigidos das instituições financeiras autorizadas pelo Banco Central do Brasil. A ABR exige que cada instituição identifique, avalie e mitigue os riscos de PLD/CFT proporcionalmente ao seu perfil de risco específico, evitando tanto a subaplicação de controles — que expõe a instituição a sanções — quanto a superapliação indiscriminada, que onera clientes legítimos e eleva custos operacionais desnecessariamente.

Síntese fundamental: a Circular Bacen 3.978/2020, em seu Art. 7.º, determina que as instituições financeiras devem implementar uma Política de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo fundamentada na abordagem baseada em risco, avaliando continuamente os riscos de clientes, produtos, serviços, canais de distribuição e áreas geográficas.

A base legal brasileira para a PLD/CFT remonta à Lei 9.613/1998 — a Lei de Lavagem de Dinheiro —, cujos Arts. 10 e 11 estabelecem as obrigações de identificação de clientes, manutenção de registros e comunicação de operações suspeitas. Desde então, o arcabouço normativo evoluiu significativamente: a Circular 3.978/2020 do Bacen, a Resolução CMN 4.557/2017 (gestão de riscos) e as resoluções setoriais do COAF formam hoje um conjunto coeso e exigente de normas.

O Brasil é membro pleno do Grupo de Ação Financeira Internacional (GAFI/FATF), e a Recomendação 1 do GAFI consagra a ABR como o padrão internacional esperado de todos os países membros. A avaliação mútua do Brasil pelo GAFI orienta diretamente as prioridades do Bacen e do COAF na supervisão das entidades obrigadas.

O COAF — Conselho de Controle de Atividades Financeiras, vinculado ao Banco Central — é o responsável pela recepção, análise e disseminação de informações sobre atividades financeiras suspeitas. Todas as entidades obrigadas devem reportar ao COAF operações atípicas e operações em espécie acima dos limiares regulamentares. É importante sublinhar que, no Brasil, a obrigação de PLD/CFT não recai apenas sobre bancos e fintechs: corretores de imóveis, contadores, advogados, joalheiros, leiloeiros, negociantes de obras de arte, factorings, operadoras de câmbio e distribuidoras de títulos estão igualmente sujeitos às normas de PLD/CFT, cada qual regulamentado por seu respectivo órgão supervisor setorial ou pelas resoluções do COAF. Essa amplitude torna a ABR ainda mais necessária: um joalheiro e um banco comercial têm perfis de risco radicalmente distintos e não podem ser tratados com os mesmos critérios uniformes.

As Quatro Dimensões do Risco no Contexto Brasileiro

A Circular Bacen 3.978/2020 e as orientações do COAF organizam a avaliação de risco em torno de quatro dimensões principais, todas com características específicas no ambiente brasileiro.

1. Risco geográfico: A dimensão geográfica no Brasil contempla, primeiramente, municípios com alta incidência de crimes financeiros identificados nos relatórios de inteligência do COAF. O Arco da Fronteira — faixa de 150 km ao longo dos 16.886 km de fronteiras terrestres brasileiras — é área de atenção especial em razão da elevada incidência de tráfico de drogas, contrabando e lavagem de recursos. Além disso, contrapartes localizadas em países que integram a lista cinzenta (jurisdições sob monitoramento intensificado) ou a lista negra (jurisdições com deficiências estratégicas críticas) do GAFI exigem diligência reforçada. Estados brasileiros com histórico de corrupção pública documentada e alta concentração de PEPs ativos também elevam o perfil de risco geográfico da carteira.

2. Risco do cliente: A regulamentação brasileira define Pessoas Politicamente Expostas (PEPs) de forma abrangente, incluindo não apenas chefes de Estado e ministros, mas também dirigentes de partidos políticos, membros do Poder Judiciário, militares de alta patente (oficiais-generais), dirigentes de empresas estatais e seus familiares próximos e associados. O CPF (Cadastro de Pessoas Físicas) e o CNPJ (Cadastro Nacional da Pessoa Jurídica) são os documentos-chave de identificação no Brasil; estruturas societárias com múltiplas camadas de participação, sócios em jurisdições offshore ou CNPJ com irregularidades fiscais junto à Receita Federal elevam substancialmente o risco do cliente.

3. Risco do produto ou serviço: O PIX — sistema de transferências instantâneas operado pelo Bacen — é, pela sua natureza de disponibilidade 24/7 e baixo custo, um vetor de risco relevante quando utilizado em volumes ou padrões atípicos. Operações de câmbio, contas de pagamento, criptoativos (regulamentados pelo Bacen desde a Resolução BCB 211/2022 e atualizações subsequentes) e correspondentes bancários — especialmente em municípios sem agência bancária física — compõem a lista de produtos de risco elevado que exigem monitoramento reforçado.

4. Risco do canal de distribuição: Os correspondentes bancários — incluindo as Casas Lotéricas (Caixa Econômica Federal) e o Banco Postal — são canais de distribuição de alcance territorial imenso, mas com controles de conformidade que variam significativamente. Plataformas digitais de onboarding remoto, agentes autônomos de investimento e marketplaces financeiros também apresentam riscos específicos relacionados à impossibilidade de verificação presencial de documentos e à maior facilidade de uso de identidades sintéticas.

De acordo com o relatório da ACFE (Association of Certified Fraud Examiners) de 2024, 37% das fraudes financeiras são ainda detectadas por métodos manuais, com um atraso médio de 87 dias entre o início da atividade ilícita e a sua detecção. No contexto brasileiro, onde o volume de transações PIX ultrapassou 60 bilhões de operações anuais, a dependência de processos manuais de avaliação de risco representa uma vulnerabilidade estrutural que a ABR — apoiada em tecnologia — se propõe a corrigir.

Construir uma Matriz de Scoring de Risco: Guia Prático para Instituições Brasileiras

A construção de uma matriz de scoring de risco de clientes começa pela atribuição de pesos a cada dimensão de risco, seguida da definição de indicadores objetivos e mensuráveis para cada fator. A Circular Bacen 3.978/2020, em seus Arts. 7 a 12, exige que a metodologia de classificação de risco seja documentada, aprovada pela alta administração, testada periodicamente e atualizada sempre que houver alterações relevantes no perfil da instituição ou no ambiente regulatório.

A tabela a seguir apresenta uma estrutura de referência para o mercado brasileiro, com os pesos recomendados e os principais indicadores por dimensão:

Com base na pontuação composta, os clientes são classificados em quatro faixas: Baixo (0–39 pontos), Médio (40–59 pontos), Alto (60–79 pontos) e Muito Alto (80–100 pontos). Cada faixa corresponde a um nível de Diligência Devida do Cliente (DDC): simplificada, padrão, reforçada e reforçada com aprovação da alta administração, respectivamente.

É fundamental que a matriz não seja estática. A revisão periódica dos scores individuais — no mínimo anualmente, ou sempre que ocorrer evento desencadeador relevante como mudança societária, alteração de perfil transacional ou inclusão do cliente em lista restritiva — é exigência implícita da ABR e boa prática reconhecida pelo GAFI. Para aprofundar a metodologia de avaliação de riscos de conformidade em sentido mais amplo, consulte nosso artigo sobre avaliação de riscos de conformidade regulatória.

DDC Simplificada e Reforçada segundo a Circular Bacen 3.978/2020

Os níveis de Diligência Devida do Cliente (DDC) previstos pela regulamentação brasileira correspondem diretamente às faixas de scoring de risco e determinam o conjunto de procedimentos que a instituição deve aplicar na abertura e manutenção de cada relacionamento.

DDC Simplificada: A Resolução CMN 4.818/2020 permite que instituições financeiras apliquem procedimentos simplificados para segmentos de menor renda e menor risco, incluindo contas com saldo máximo de R$ 5.000 e limite mensal de transações de R$ 5.000. Nesses casos, a verificação documental pode ser realizada com menor profundidade, desde que a instituição mantenha controles automáticos de monitoramento transacional que detectem desvios de perfil.

DDC Padrão: Aplicável à maioria dos clientes pessoa física e jurídica classificados como risco baixo ou médio. Exige identificação completa por CPF ou CNPJ, comprovante de residência ou sede, declaração de atividade econômica, e para pessoas jurídicas, a identificação do beneficiário final (conforme Resolução BCB 160/2021 sobre cadastro de beneficiários finais). A coleta e o armazenamento dos documentos devem observar os prazos de retenção mínimos estabelecidos pelo Bacen — atualmente cinco anos após o encerramento do relacionamento.

DDC Reforçada: Obrigatória para PEPs, clientes domiciliados em jurisdições com deficiências em PLD/CFT identificadas pelo GAFI, relacionamentos com estruturas societárias complexas ou operações atípicas. Inclui aprovação de nível gerencial ou de diretoria para abertura ou manutenção do relacionamento, documentação detalhada da origem dos recursos, monitoramento transacional contínuo e intensificado, e revisão periódica com frequência mínima semestral.

Limiares de comunicação ao COAF: Operações em espécie iguais ou superiores a R$ 50.000 devem ser comunicadas ao COAF pelas instituições financeiras, independentemente de qualquer suspeita. Para outras entidades obrigadas — como imobiliárias, joalheiros e leiloeiros —, o limite é de R$ 30.000, conforme a Resolução COAF 36/2021. Operações suspeitas devem ser comunicadas independentemente de valor, dentro do prazo de 24 horas úteis a partir da identificação da suspeita.

LGPD e proteção de dados no processo KYC: A Lei 13.709/2018 (LGPD) impõe obrigações específicas ao tratamento de dados pessoais coletados durante o processo de KYC. A base legal aplicável é tipicamente o cumprimento de obrigação legal ou regulatória (Art. 7.º, II, LGPD), o que dispensa o consentimento do titular para a coleta, mas não elimina as obrigações de transparência, minimização de dados, segurança e prazo de retenção compatível com a finalidade. A Autoridade Nacional de Proteção de Dados (ANPD) supervisiona o cumprimento da LGPD e pode aplicar sanções administrativas em caso de infração, que se somam às penalidades do Bacen por falhas em PLD/CFT.

Síntese fundamental: O Bacen pode aplicar penalidades administrativas às instituições por falhas nos controles de PLD/CFT, incluindo multas, suspensão de atividades e inabilitação temporária de diretores, conforme a Lei 4.595/1964 e a Lei 9.613/1998. As sanções podem ser cumulativas com as penalidades da ANPD no âmbito da LGPD.

Para uma visão integrada das obrigações AML e as melhores práticas de conformidade, consulte também nosso guia completo de Anti-Money Laundering.

Automatizar a Avaliação de Risco com Tecnologia

A construção manual de scores de risco é inconsistente por natureza: diferentes analistas aplicam os mesmos critérios com resultados variados, a atualização dos cadastros é frequentemente postergada e os erros de classificação acumulam-se silenciosamente até uma auditoria ou inspeção do Bacen. A automação do processo resolve essas inconsistências e garante que a metodologia documentada — exigida pela Circular 3.978/2020 — seja, de fato, aplicada de forma uniforme a cada cliente em cada momento do relacionamento.

A plataforma CheckFile suporta mais de 3.200 tipos de documentos em 32 jurisdições, incluindo os documentos específicos do mercado brasileiro: CPF, CNPJ, Carteira Nacional de Habilitação (CNH), RG (com os diferentes formatos estaduais), Passaporte brasileiro, comprovantes de residência e documentos societários como contrato social, estatuto e certidões da Junta Comercial. A análise multicamada — combinando OCR avançado, detecção de manipulação e cruzamento de dados contra bases de referência — reduz drasticamente o tempo de processamento por cliente e eleva a taxa de detecção de documentos fraudulentos.

Para instituições financeiras com volumes elevados de onboarding, a integração via API permite incorporar a verificação documental diretamente nos fluxos de abertura de conta, com resposta em segundos e trilha de auditoria completa para efeitos regulatórios. As nossas soluções KYC bancário foram projetadas para atender às exigências da Circular Bacen 3.978/2020, incluindo a geração automática de relatórios de classificação de risco por cliente e a integração com sistemas de monitoramento transacional.

No que diz respeito à segurança e à conformidade com a LGPD, a página de segurança detalha os controles técnicos e organizacionais implementados — incluindo criptografia de dados em trânsito e em repouso, controle de acesso baseado em perfil e logs imutáveis de auditoria — que permitem às instituições demonstrar conformidade simultânea com o Bacen e com a ANPD. Para uma compreensão aprofundada dos métodos e critérios de verificação documental subjacentes ao processo de scoring, recomendamos nosso guia de verificação de documentos.

A automação não substitui o julgamento humano nos casos de risco alto e muito alto — que exigem, por determinação regulatória, aprovação de nível gerencial —, mas libera os analistas de conformidade para se concentrarem nesses casos complexos, em vez de processarem manualmente centenas de clientes de risco baixo. Para avaliar o investimento necessário e o retorno esperado da automação em sua organização, consulte nossos planos e preços.

Perguntas frequentes

A abordagem baseada em risco é obrigatória para todas as entidades obrigadas no Brasil?

Sim. A Circular Bacen 3.978/2020 torna a ABR obrigatória para todas as instituições financeiras autorizadas pelo Banco Central do Brasil. Além disso, a Lei 9.613/1998 e as regulamentações setoriais do COAF estendem as obrigações de PLD/CFT — incluindo a exigência implícita de proporcionalidade baseada em risco — a operadores de imóveis, contadores, joalheiros, negociantes de obras de arte, advogados em determinadas transações e outras entidades designadas, cada qual supervisionada pelo seu órgão regulador específico ou diretamente pelo COAF.

Quais são os limites de comunicação de operações ao COAF?

Para instituições financeiras, operações em espécie iguais ou superiores a R$ 50.000 devem ser comunicadas ao COAF de forma sistemática. Para outras entidades obrigadas, os limiares variam conforme a Resolução COAF 36/2021 — sendo R$ 30.000 o limite mais comum para setores como imobiliário, joalheria e leilões. Operações suspeitas devem ser comunicadas independentemente de valor, dentro do prazo estabelecido, com o detalhamento da natureza da suspeita e dos elementos que a fundamentam.

Como a Circular Bacen 3.978/2020 define a abordagem baseada em risco?

A Circular 3.978/2020 exige que as instituições financeiras implementem políticas, procedimentos e controles internos fundamentados na ABR, avaliando continuamente os riscos de clientes, produtos, canais e geografias. A metodologia de scoring de risco deve ser documentada, submetida à aprovação da alta administração, testada periodicamente quanto à sua eficácia e atualizada sempre que houver alterações relevantes no perfil de risco da instituição ou no ambiente regulatório — com os resultados das revisões registrados em ata ou documento equivalente para fins de auditoria interna e supervisão do Bacen.

Quais são as penalidades do Bacen por descumprimento das obrigações de PLD/CFT?

O Bacen pode aplicar penalidades que vão de advertências e multas a suspensão de determinadas atividades e inabilitação temporária de administradores para o exercício de cargos em instituições financeiras. As multas podem atingir valores significativos — calculados em função da gravidade da infração, da reincidência e do porte da instituição —, conforme os parâmetros estabelecidos pela Lei 9.613/1998 e pela Lei 4.595/1964. Falhas sistêmicas em PLD/CFT podem ainda resultar em ações de enforcement com divulgação pública, com impacto reputacional considerável além das sanções pecuniárias.

---

Aviso legal: Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico. Consulte um profissional qualificado para orientação específica.