Skip to content
Deteção IA & DeepfakeNovo

Sinais IA, sintéticos, deepfakes

Caso de estudoPreçosSegurançaComparativoBlog
GlossárioGuias por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Conformidade9 min de leitura

Know Your Supplier (KYS): verificação de fornecedores e compliance no Brasil

Guia KYS para empresas brasileiras: Lei 9.613/1998, Circular Bacen 3.978/2020, COAF, LGPD e due diligence de fornecedores no contexto regulatório brasileiro em 2026.

Equipe CheckFile
Equipe CheckFile·
Illustration for Know Your Supplier (KYS): verificação de fornecedores e compliance no Brasil — Conformidade

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

O Know Your Supplier (KYS) reúne os procedimentos de due diligence que uma empresa aplica aos seus fornecedores e prestadores de serviços antes e durante uma relação comercial. No Brasil, a estrutura regulatória é definida pela Lei 9.613/1998 (Lei de Lavagem de Dinheiro), pela Circular Bacen n.º 3.978/2020 (que estabelece os requisitos para os programas de PLD-FT das instituições financeiras) e, de forma crescente, pela Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) para o tratamento de dados de fornecedores.

De acordo com o relatório anual de atividades do COAF (Conselho de Controle de Atividades Financeiras), as comunicações relacionadas a fraudes empresariais, incluindo fraude de fornecedores e desvio de pagamentos, cresceram consistentemente nos últimos anos no Brasil. Um programa KYS estruturado é uma das medidas mais eficazes para mitigar essa exposição.

O que cobre o KYS e por que é necessário no Brasil

Um programa KYS robusto endereça três dimensões de risco: a identidade legal do fornecedor (CNPJ, certidão da Junta Comercial, quadro societário e beneficiários finais), a solidez financeira (balanços, certidões negativas de débito, consultas ao Serasa/SPC) e a reputação regulatória (listas de sanções, pesquisa em mídia negativa, conexões com pessoas politicamente expostas).

A Lei 9.613/1998 (com as alterações introduzidas pela Lei 12.683/2012) obriga as instituições financeiras, seguradoras, administradoras de cartões, operadoras de câmbio e demais entidades obrigadas a identificar e verificar seus clientes e, em determinadas situações, as contrapartes de suas operações. O Banco Central do Brasil (Bacen) é o principal regulador, com poderes de supervisão e sanção sobre as instituições financeiras sujeitas às suas normas. Multas por descumprimento do programa PLD-FT podem chegar a R$ 20 milhões.

A Circular Bacen n.º 3.978/2020 exige que as instituições financeiras mantenham políticas, procedimentos e controles para prevenção à lavagem de dinheiro e financiamento do terrorismo, incluindo a identificação de beneficiários finais de clientes pessoas jurídicas e a verificação de contrapartes em operações de pagamento. Este requisito se aplica diretamente ao processo KYS nas relações entre bancos e seus fornecedores estratégicos.

Norma Aplicação Obrigação KYS principal
Lei 9.613/1998 + Lei 12.683/2012 Entidades obrigadas (bancos, seguradoras, administradoras) Identificação e monitoramento de clientes e terceiros
Circular Bacen 3.978/2020 Instituições financeiras supervisionadas pelo Bacen Programa PLD-FT incluindo due diligence de terceiros
LGPD — Lei 13.709/2018 Todas as empresas que tratam dados pessoais Proteção de dados de fornecedores no processo KYS
Lei Anticorrupção (Lei 12.846/2013) Pessoas jurídicas Responsabilidade objetiva por atos de terceiros em nome da empresa
Instrução Normativa AGU n.º 5/2017 Contratações da Administração Pública Federal Verificação de compliance de fornecedores públicos

As 5 etapas de um processo KYS eficaz no Brasil

Etapa 1 — Coleta documental inicial. Antes de qualquer pedido ou vínculo contratual, solicite sistematicamente: CNPJ ativo com certidão emitida pela Receita Federal do Brasil, contrato social ou estatuto atualizado, ata de eleição dos administradores vigentes, certidão simplificada da Junta Comercial do estado sede, declaração de beneficiários finais (conforme Resolução BCB n.º 130/2021 para entidades financeiras), e dados bancários com comprovante oficial emitido pelo banco.

Etapa 2 — Verificação de dados legais. Confirme o CNPJ na Receita Federal e verifique a situação cadastral (ativa, suspensa ou baixada). Consulte a Junta Comercial para verificar a regularidade dos atos societários. Pesquise a existência de processos de recuperação judicial ou falência via JUCESP (São Paulo) ou Junta Comercial do estado correspondente. Verifique certidões negativas de débitos tributários federais via Certidão Negativa de Débitos (CND).

Etapa 3 — Triagem de sanções e PEPs. A triagem deve cobrir as listas de sanções da ONU, OFAC (para transações em dólares) e da União Europeia. Para o contexto brasileiro, consulte também o Cadastro de Empresas Inidôneas e Suspensas (CEIS) do Portal da Transparência, o Cadastro Nacional de Condenações Cíveis (CNCC) do CNJ e a lista de pessoas politicamente expostas mantida pelo Bacen. As entidades financeiras têm obrigação legal dessa triagem conforme a Circular Bacen 3.978/2020, artigo 16.

Etapa 4 — Análise ESG e mídia negativa. Realize pesquisas estruturadas em mídia negativa cobrindo corrupção, infrações trabalhistas e ambientais. A Lei Anticorrupção (Lei 12.846/2013) estabelece a responsabilidade objetiva das empresas por atos lesivos praticados por terceiros em seu nome, tornando a due diligence ESG de fornecedores uma medida de proteção jurídica essencial. O Brasil ainda não transpôs a CSDDD, mas empresas exportadoras para a UE devem considerar as exigências europeias em sua cadeia de fornecimento.

Etapa 5 — Monitoramento contínuo. Configure alertas automáticos sobre alterações no CNPJ (mudança de sócios, alteração de endereço, baixa), publicações no JUCESP e atualizações de listas de sanções. Qualquer solicitação de alteração de dados bancários deve acionar um protocolo de verificação independente — a fraude do falso fornecedor é o vetor de ataque mais frequente em empresas brasileiras.

A fraude do falso fornecedor no Brasil: padrão de atuação

Nos fóruns de compliance financeiro e tesouraria corporativa no Brasil, a pergunta recorrente é: "Como validamos uma solicitação de mudança de conta bancária de um fornecedor sem risco de pagamento indevido?"

O padrão documentado pelo COAF e por empresas de segurança cibernética inclui: criminosos que estudam os perfis de LinkedIn dos responsáveis por compras e financeiro, identificam fornecedores habituais, clonam ou spoofam o domínio do fornecedor legítimo e enviam email solicitando atualização do banco antes de uma grande liquidação. A diferença de domínio é frequentemente imperceptível (ex: fornecedor.com.br vs forn ecedor.com.br).

Três controles operacionais previnem a maioria desses casos:

  1. Ligação de confirmação obrigatória. Qualquer solicitação de alteração bancária por email deve ser confirmada por ligação para o número cadastrado no seu ERP — nunca para o número informado no email.
  2. Dupla aprovação. Alterações bancárias devem ter aprovação de duas pessoas distintas, incluindo um responsável financeiro de nível gerencial.
  3. Verificação automatizada de CNPJ e dados bancários. Um serviço de verificação documental automatizada que cruza a titularidade da conta com os dados do CNPJ é a proteção mais escalável. A CheckFile suporta mais de 3.200 tipos de documentos em 32 jurisdições, incluindo documentos empresariais brasileiros.

A Resolução CMN n.º 4.558/2017 (gestão de riscos operacionais em instituições financeiras) e a Resolução BCB n.º 265/2022 (continuidade de negócios) reforçam a obrigação de controles para risco de fraude em processos de pagamento a fornecedores.

Para mais informações sobre detecção de documentos fraudulentos, consulte nosso artigo sobre técnicas de detecção de fraude documental com IA.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Pedir um piloto gratuito

KYS, KYC e KYB no contexto brasileiro

  • KYC (Know Your Customer): Obrigatório para instituições financeiras sob a Lei 9.613/1998 e Circular Bacen 3.978/2020. Cobre identificação de clientes, beneficiários finais e monitoramento de transações suspeitas.
  • KYB (Know Your Business): Aplicado no onboarding de clientes empresariais para verificar existência legal, estrutura societária e situação regulatória. Veja nosso guia KYB.
  • KYS (Know Your Supplier): Aplicado a fornecedores e subcontratados, cobre risco de cadeia de suprimentos, compliance anticorrupção (Lei 12.846/2013) e due diligence ESG. Não se limita a setores regulados.

Um programa maduro de gestão de riscos de terceiros (TPRM) integra as três dimensões num único framework, geralmente sob responsabilidade compartilhada entre Compliance, Jurídico e Compras.

Construção e guarda do dossiê KYS no Brasil

A Lei 9.613/1998 (art. 10, §2.º) e a Circular Bacen 3.978/2020 estabelecem para as entidades obrigadas prazo de guarda de cinco anos contados do encerramento da relação de negócios. Para as demais empresas, a recomendação é manter o dossiê KYS pelo prazo contratual acrescido de cinco anos, em linha com o prazo prescricional do Código Civil Brasileiro para ações pessoais.

O dossiê KYS deve incluir:

  • Documentos coletados com data e hash de verificação
  • Resultados das triagens de sanções e mídia negativa (data e sistema utilizado)
  • CNPJ/CPF e identidade de quem realizou e aprovou cada verificação
  • Histórico de alterações bancárias com evidência de verificação associada

Atenção ao LGPD: o tratamento de dados pessoais de representantes legais e sócios de fornecedores deve ser fundamentado em base legal adequada (art. 7.º da Lei 13.709/2018), preferencialmente a execução do contrato ou o cumprimento de obrigação legal/regulatória. A ANPD (Autoridade Nacional de Proteção de Dados) orienta que o legítimo interesse pode fundamentar o KYS quando proporcional ao risco.

A CheckFile armazena todos os registros de verificação em trilha de auditoria com integridade garantida, conforme ISO 27001. Consulte os planos de preços para fluxos de verificação de fornecedores adequados ao contexto brasileiro.

Perguntas frequentes

O KYS é obrigatório para todas as empresas brasileiras?

A Lei 9.613/1998 e a Circular Bacen 3.978/2020 impõem obrigações diretas às entidades financeiras. Para as demais empresas, a Lei Anticorrupção (Lei 12.846/2013) cria responsabilidade objetiva por atos de terceiros, tornando a due diligence de fornecedores uma proteção jurídica indispensável. Empresas que contratam com a Administração Pública Federal devem seguir as regras da Instrução Normativa AGU n.º 5/2017.

Como verifico os beneficiários finais de um fornecedor no Brasil?

As entidades financeiras devem verificar os beneficiários finais conforme a Resolução BCB n.º 130/2021 (que atualiza os requisitos da Circular 3.978/2020). Para empresas não financeiras, os dados societários constam do contrato social na Junta Comercial. A Receita Federal mantém dados do quadro societário no CNPJ, acessíveis via consulta pública.

Qual a diferença entre homologação de fornecedores e KYS?

A homologação avalia capacidade técnica, qualidade e condições comerciais. O KYS foca especificamente na identidade legal, solidez financeira, estrutura societária e riscos regulatórios (sanções, corrupção, lavagem de dinheiro). Ambos podem ser integrados num processo único de gestão de fornecedores, mas abordam dimensões de risco distintas.

Com que frequência renovar a verificação KYS?

Ao menos uma vez por ano para todos os fornecedores ativos, e imediatamente a cada evento desencadeador: alteração de sócios ou administradores, mudança de dados bancários, renovação contratual ou alertas em mídia negativa. Fornecedores de maior risco (setores sensíveis, jurisdições de risco elevado segundo o GAFI) requerem monitoramento contínuo com alertas automáticos.

O que fazer se um fornecedor não passar no processo KYS?

Documente os achados, escale para a diretoria e assessoria jurídica, e tome uma decisão baseada no risco: due diligence reforçada para casos limítrofes, suspensão de pagamentos para anomalias bancárias, rescisão da relação para violações confirmadas de sanções. Neste último caso, entidades obrigadas devem comunicar operação suspeita ao COAF conforme o art. 11 da Lei 9.613/1998.

Este artigo tem caráter informativo e não constitui assessoria jurídica. As obrigações legais variam conforme o porte da empresa, o setor e a natureza das relações comerciais. Consulte um advogado especializado para uma análise adaptada à sua situação.

Mantenha-se informado

Receba as nossas análises de conformidade e guias práticos diretamente no seu email.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Artigos relacionados

Conformidade9 min

Conformidade AML para Gestores de Patrimônio e Assessores no Brasil 2026

Guia completo das obrigações PLD/FT para gestores de patrimônio, assessores de investimento e family offices no Brasil em 2026: KYC, diligência reforçada, comunicações ao COAF, LGPD e automação documental.

Ler
Conformidade8 min

Proteção de denunciantes no Brasil: compliance e documentação 2026

Obrigações documentais para programas de integridade e proteção de denunciantes no Brasil: Lei 9.613/1998, Lei Anticorrupção 12.846/2013, LGPD e obrigações do COAF.

Ler
Conformidade7 min

Comunicação de Operações Suspeitas ao COAF: Guia PLD-FT Brasil 2026

Como comunicar operações suspeitas ao COAF no Brasil em 2026: Lei 9.613/1998, Circular Bacen 3.978/2020, SISCOAF, limiares por setor, LGPD e penalidades aplicáveis.

Ler