Conformidade KYC/AML para Neobancos e Bancos Digitais no Brasil 2026

Os neobancos e bancos digitais que operam no Brasil enfrentam em 2026 um conjunto de obrigações regulatórias de prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT) tão exigente quanto o dos bancos tradicionais — com a particularidade de que seus modelos 100% digitais eliminam a verificação presencial como recurso de fallback. A Circular Bacen 3.978/2020, atualizada pela Resolução BCB 44/2021, a Lei 9.613/1998 e a LGPD (Lei 13.709/2018) formam o núcleo do arcabouço regulatório. A inobservância custou multas significativas a fintechs como Nubank, PicPay e Mercado Pago entre 2023 e 2025, sinalizando que o Bacen trata o cumprimento PLD/FT como prioridade de supervisão.

Este artigo é fornecido a título informativo e não constitui aconselhamento jurídico. As obrigações regulatórias variam conforme o tipo de entidade e a natureza dos serviços prestados. Consulte um profissional do direito para uma análise adaptada à sua situação.

Qual é o arcabouço legal que rege os neobancos no Brasil

Os neobancos e fintechs brasileiros operam sob licenças específicas que determinam o nível de supervisão regulatória aplicável:

• Instituição de Pagamento (IP): regulamentada pela Lei 12.865/2013 e pela Resolução BCB 80/2021, abrange as subcategorias emissor de moeda eletrônica, emissor de instrumento de pagamento pós-pago e credenciador. Nubank (conta-corrente), PicPay e Mercado Pago operam parcialmente sob esta categoria.
• Sociedade de Crédito Direto (SCD) e Sociedade de Empréstimo entre Pessoas (SEP): regulamentadas pela Resolução CMN 4.656/2018, autorizam operações de crédito via plataforma digital sem captação de depósitos. Fintechs de crédito como Creditas e Geru operam sob este modelo.
• Banco múltiplo ou banco comercial com operação digital: o Nubank obteve licença de banco múltiplo em 2019 (Nu Pagamentos S.A. transformado em Nu Bank S.A.), sujeitando-se ao arcabouço completo de supervisão prudencial do Bacen.

Em todos os casos, as obrigações de PLD/FT previstas na Lei 9.613/1998 e na Circular Bacen 3.978/2020 aplicam-se integralmente, independentemente do tipo de licença. O Banco Central do Brasil é a autoridade supervisora primária para instituições financeiras e de pagamento.

Identificação do cliente: CPF, CNPJ e documentação exigida

A Circular Bacen 3.978/2020 estabelece os requisitos mínimos de identificação do cliente para abertura de conta e início de relacionamento comercial. A verificação deve ocorrer antes de qualquer movimentação financeira.

Pessoas físicas (CPF)

O CPF (Cadastro de Pessoas Físicas) é o identificador fiscal obrigatório para todos os clientes pessoas físicas. A verificação do CPF junto à base da Receita Federal é o primeiro passo do KYC. Além do CPF, os neobancos devem coletar e verificar:

• Documento de identidade oficial com foto: RG (Registro Geral) ou CNH (Carteira Nacional de Habilitação), preferencialmente emitidos há menos de 10 anos;
• Nome completo, data de nascimento, filiação e endereço residencial;
• Verificação biométrica facial com detecção de vivacidade (liveness detection), obrigatória para abertura de contas a distância conforme orientações do Bacen;
• Consulta às listas de Pessoas Politicamente Expostas (PPE) e às listas de sanções do COAF e do OFAC.

Para clientes que utilizam a plataforma Gov.br com nível de segurança prata ou ouro (biometria facial validada), o Bacen reconhece essa verificação como equivalente à identificação presencial, simplificando o processo de onboarding.

Pessoas jurídicas (CNPJ)

O CNPJ (Cadastro Nacional da Pessoa Jurídica) é o identificador fiscal obrigatório para clientes empresariais. A documentação exigida inclui:

• Contrato social ou estatuto consolidado, com registro na Junta Comercial do estado correspondente (Certidão da Junta Comercial para comprovação de regularidade);
• Documentos dos representantes legais e procuradores (CPF + documento de identidade);
• Identificação de todos os beneficiários finais (sócios ou acionistas com participação direta ou indireta igual ou superior a 25% do capital social), conforme a Instrução Normativa RFB n.º 1.634/2016, que exige o registro do beneficiário final junto à Receita Federal;
• Certidão negativa de débitos (opcional mas recomendada para avaliação de risco).

Obrigações de PLD/FT: o que a Circular Bacen 3.978/2020 exige

A Circular Bacen 3.978/2020 (mantida e complementada pela Resolução BCB 44/2021) constitui o principal instrumento regulatório de PLD/FT para as instituições supervisionadas pelo Bacen. Ela estrutura as obrigações em cinco pilares.

Política de PLD/FT e avaliação interna de risco

Toda instituição financeira e de pagamento deve elaborar e manter atualizada uma Política de PLD/FT aprovada pelo conselho de administração (ou equivalente), com avaliação interna de risco que contemple os produtos e serviços oferecidos, os canais de distribuição, os perfis de clientes e as geografias de atuação. Para neobancos, a ausência de atendimento presencial deve ser explicitamente tratada na avaliação de risco, com controles compensatórios documentados.

Monitoramento de transações: Pix e operações de alto volume

O Pix, sistema de pagamentos instantâneos lançado pelo Bacen em novembro de 2020, processa mais de 200 milhões de transações diárias em 2026. O volume e a velocidade das transações Pix impõem aos neobancos a necessidade de monitoramento automatizado em tempo real. A Resolução COAF n.º 36/2021 estabelece que qualquer operação suspeita, independentemente do valor, deve ser comunicada ao COAF. Para operações em espécie ou equivalentes superiores a R$ 50.000, a comunicação ao COAF é obrigatória nos termos do artigo 11 da Lei 9.613/1998.

Os sistemas de monitoramento transacional dos neobancos devem ser capazes de identificar padrões de smurfing (fracionamento de valores para evitar limiares de reporte), lavagem por meio de Pix em múltiplas contas, e comportamentos inconsistentes com o perfil declarado do cliente.

Comunicação de operações suspeitas ao COAF

O COAF (Conselho de Controle de Atividades Financeiras) é a Unidade de Inteligência Financeira do Brasil, vinculada ao Banco Central. As comunicações de operações suspeitas devem ser enviadas pelo sistema SISCOAF no prazo máximo de 24 horas após a identificação da suspeita. O não cumprimento desse prazo constitui infração passível de multa administrativa pelo Bacen.

Programa de Prevenção à Lavagem de Dinheiro (PPLD)

Todo neobanco deve manter um PPLD formalmente documentado, com designação de um diretor responsável pelo PLD/FT perante o Bacen (cargo registrado no sistema do Bacen), capacitação periódica de funcionários e relatório anual de efetividade do programa.

Conservação de documentos

O artigo 10 da Lei 9.613/1998 exige a conservação de todos os documentos de identificação e registros de transações por no mínimo 5 anos após o término da relação de negócio. A LGPD acrescenta a necessidade de documentar a base legal de retenção para cada categoria de dado pessoal.

Tabela de requisitos KYC por tipo de cliente e nível de risco

Open Finance Brasil e KYC: oportunidades e complexidades

O Open Finance Brasil (regulamentado pela Resolução BCB 32/2020 e sucessivas) representa uma das mais avançadas iniciativas de finanças abertas do mundo. Em 2026, mais de 45 milhões de consentimentos ativos permitem o compartilhamento de dados financeiros entre instituições com consentimento do titular.

Para os neobancos, o Open Finance cria oportunidades concretas de KYC:

• Verificação de renda: com consentimento do cliente, dados de conta corrente e extratos de outras instituições podem ser utilizados para verificação de renda sem necessidade de documentos físicos;
• Validação de identidade por confirmação de dados: a correspondência entre os dados cadastrais informados pelo cliente e os mantidos em outra instituição regulada reduz o risco de fraude de identidade;
• Portabilidade do perfil KYC: embora o Brasil ainda não disponha de um mecanismo formal de portabilidade de KYC, o Open Finance viabiliza verificações cruzadas que permitem simplificar o onboarding de clientes já verificados por outra instituição.

A complexidade reside no regime de consentimento: o consentimento Open Finance é granular e revogável a qualquer momento. Os neobancos não podem presumir que um consentimento concedido na abertura de conta permanece válido indefinidamente para fins de atualização cadastral. A ANPD (Autoridade Nacional de Proteção de Dados) supervisiona o cumprimento da LGPD neste contexto.

LGPD e o tratamento de dados KYC

A ANPD fiscaliza o cumprimento da LGPD (Lei 13.709/2018) e tem intensificado as investigações sobre o setor financeiro desde 2024. Para os neobancos, os pontos críticos de conformidade LGPD no processo KYC são:

• Base legal de tratamento: o KYC é realizado com base na obrigação legal (art. 7.º, II, LGPD) — não requer consentimento específico, mas a base legal deve ser documentada;
• Dados biométricos: tratam-se de dados pessoais sensíveis (art. 5.º, II, LGPD), sujeitos a regras mais restritivas — o titular deve ser informado de forma clara sobre o uso de biometria facial;
• Minimização de dados: apenas os dados estritamente necessários para o KYC devem ser coletados — CPF, RG/CNH, biometria e endereço satisfazem as exigências do Bacen sem necessidade de dados adicionais;
• Direitos dos titulares: os clientes têm direito de acesso, correção e eliminação dos dados, salvo quando a retenção é obrigatória por lei (caso dos documentos KYC retidos por 5 anos nos termos da Lei 9.613/1998);
• Relatório de Impacto à Proteção de Dados Pessoais (RIPD): recomendado pela ANPD para operações de verificação biométrica em larga escala.

A solução CheckFile para KYC bancário foi concebida com arquitetura de minimização de dados, permitindo que os neobancos realizem a verificação documental sem armazenar imagens de documentos além do prazo regulatório. Para mais informações sobre segurança e proteção de dados na plataforma, consulte nossa página de segurança.

Beneficiário final: Instrução Normativa RFB n.º 1.634/2016

A identificação do beneficiário final (ultimate beneficial owner — UBO) é obrigatória para todos os clientes pessoas jurídicas, incluindo fundos de investimento, trusts e estruturas offshore. A Instrução Normativa RFB n.º 1.634/2016 obriga as pessoas jurídicas a registrar e manter atualizada junto à Receita Federal a informação sobre o beneficiário final — definido como a pessoa física que detém, direta ou indiretamente, mais de 25% do capital social ou que exerce controle efetivo sobre a entidade.

Para os neobancos que oferecem contas PJ (pessoa jurídica), a verificação do beneficiário final deve ser realizada no momento do onboarding e atualizada sempre que houver alteração societária. A ausência dessa verificação é uma das principais causas de autuações do Bacen no segmento fintech.

Sanções pelo descumprimento das obrigações PLD/FT

O Bacen dispõe de amplo poder sancionador em matéria de PLD/FT. Entre 2023 e 2025, diversas fintechs de destaque receberam multas ou restrições operacionais por falhas nos processos de KYC e monitoramento transacional. As penalidades previstas na Lei 9.613/1998 incluem:

• Advertência;
• Multa pecuniária de até R$ 20 milhões ou até o dobro do valor da operação suspeita;
• Inabilitação temporária de administradores;
• Cassação ou suspensão da autorização de funcionamento.

Além das sanções do Bacen, a ANPD pode aplicar multas de até 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração, por violações à LGPD.

Automação KYC: por que os neobancos adotam verificação documental automatizada

Os neobancos brasileiros processam volumes de onboarding incompatíveis com revisão manual sistemática. Um neobanco de médio porte com 50.000 novos cadastros mensais que dependesse de análise manual de documentos precisaria de uma equipe de 80 a 150 analistas trabalhando em tempo integral — inviável econômica e operacionalmente.

A verificação automatizada de documentos oferecida pela plataforma CheckFile permite:

• Extração de dados por OCR de CPF, RG e CNH com precisão superior a 99%;
• Verificação de autenticidade documental: detecção de adulterações, hologramas inválidos e inconsistências de impressão;
• Comparação biométrica facial com detecção de vivacidade (liveness check) integrada;
• Cruzamento automatizado com bases de PPE, COAF e sanções internacionais;
• Geração de relatório de auditoria documentando cada etapa da verificação para fins de cumprimento regulatório.

Consulte nossa página de preços para conhecer os planos disponíveis para fintechs e neobancos de diferentes escalas.

Perguntas frequentes

O que é a Circular Bacen 3.978/2020 e quem deve cumpri-la?

A Circular Bacen 3.978/2020 é a principal norma do Banco Central do Brasil em matéria de prevenção à lavagem de dinheiro e ao financiamento do terrorismo. Ela se aplica a todas as instituições autorizadas a funcionar pelo Bacen: bancos múltiplos, bancos comerciais, instituições de pagamento, sociedades de crédito direto e outros. A Resolução BCB 44/2021 atualizou e complementou essa circular. O texto completo está disponível no site do Bacen.

Qual é o limiar de comunicação obrigatória ao COAF para transações Pix?

Toda operação suspeita deve ser comunicada ao COAF independentemente do valor. Para operações em espécie ou equivalentes (incluindo Pix enviado a partir de conta abastecida por depósito em espécie), o limiar de comunicação obrigatória é de R$ 50.000, conforme o artigo 11 da Lei 9.613/1998 e a Resolução COAF n.º 36/2021. Operações fracionadas que, em conjunto, superem esse valor em um mesmo mês calendário também estão sujeitas à comunicação.

Neobancos precisam verificar o beneficiário final de clientes PJ?

Sim. A Circular Bacen 3.978/2020 e a Instrução Normativa RFB n.º 1.634/2016 exigem a identificação e verificação de todos os beneficiários finais com participação igual ou superior a 25% no capital de clientes pessoas jurídicas. Essa obrigação se aplica a toda instituição de pagamento e financeira, independentemente do modelo de atendimento (digital ou presencial).

Como a LGPD afeta o processo de KYC de um neobanco?

A LGPD exige que o tratamento de dados pessoais durante o KYC tenha base legal documentada (obrigação legal, no caso do KYC regulatório). Dados biométricos são considerados dados sensíveis e exigem informação clara ao titular. Os documentos de identificação devem ser retidos pelo prazo mínimo de 5 anos exigido pela Lei 9.613/1998, mas não por prazo superior sem nova base legal. A ANPD (www.gov.br/anpd) fiscaliza o cumprimento e pode aplicar multas de até R$ 50 milhões por infração.

O Open Finance Brasil pode ser usado para simplificar o KYC?

O Open Finance Brasil permite o compartilhamento de dados cadastrais e financeiros entre instituições com consentimento do titular, o que pode ser utilizado para validação de identidade e verificação de renda. No entanto, o consentimento é revogável a qualquer momento e deve ser gerenciado conforme as regras do Bacen (Resolução BCB 32/2020). A simplificação do KYC via Open Finance é permitida, desde que os controles de PLD/FT sejam mantidos integralmente pela instituição receptora dos dados.

Quais fintechs foram multadas pelo Bacen por falhas de KYC?

O Bacen aplicou sanções administrativas a diversas fintechs entre 2023 e 2025 por deficiências nos processos de KYC e monitoramento transacional, incluindo empresas de grande porte como Nubank, PicPay e Mercado Pago. Os valores das multas e os termos dos acordos administrativos são publicados no portal do Bacen na seção de processos administrativos sancionadores.