Skip to content
Deteção IA & DeepfakeNovo

Sinais IA, sintéticos, deepfakes

Caso de estudoPreçosSegurançaComparativoBlog
GlossárioGuias por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Conformidade17 min de leitura

KYC para vendedores em marketplaces no Brasil 2026

Obrigações legais dos marketplaces brasileiros em 2026: Receita Federal, COAF, Bacen, LGPD e CPF/CNPJ. Documentos exigidos e como automatizar o KYC de vendedores.

Equipe CheckFile
Equipe CheckFile·
Illustration for KYC para vendedores em marketplaces no Brasil 2026 — Conformidade

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Quais obrigações legais os marketplaces têm no Brasil para identificar seus vendedores? A resposta envolve pelo menos quatro camadas regulatórias sobrepostas: as obrigações de prestação de informações à Receita Federal do Brasil, as regras de prevenção à lavagem de dinheiro impostas pelo COAF e pelo Banco Central do Brasil (Bacen), os requisitos de proteção de dados da LGPD e as obrigações tributárias estaduais e municipais vinculadas à emissão da Nota Fiscal Eletrônica (NF-e). Para plataformas como Mercado Livre, Shopee, Amazon Brasil e dezenas de marketplaces verticais, o KYC (Know Your Customer) de vendedores deixou de ser uma boa prática e tornou-se uma exigência legal com penalidades financeiras significativas.

Este guia apresenta de forma prática o que a legislação brasileira de 2026 exige, quais documentos devem ser coletados, quais limiares ativam obrigações específicas e como estruturar um processo de verificação eficiente e compatível com a LGPD.

Este artigo tem finalidade exclusivamente informativa e não constitui assessoria jurídica, tributária ou regulatória. As referências normativas são precisas na data de publicação, 16/06/2026. Consulte um profissional habilitado para orientação adaptada à sua situação.

Obrigações da Receita Federal para marketplaces: declarações e identificação de vendedores

A Receita Federal do Brasil regula a prestação de informações por plataformas digitais que intermediem transações econômicas entre vendedores e compradores. O principal instrumento normativo aplicável aos marketplaces é a Instrução Normativa RFB nº 1.717/2017, complementada por obrigações acessórias relativas ao cruzamento de dados de movimentação financeira.

O Decreto 7.962/2013 e a identidade do vendedor

O Decreto 7.962/2013, que regulamenta o Código de Defesa do Consumidor (CDC) para o comércio eletrônico, impõe às plataformas a obrigação de divulgar de forma clara e ostensiva a identidade dos fornecedores e vendedores. O artigo 2º, inciso I, exige que o marketplace disponibilize ao consumidor:

  • Nome empresarial e número do CNPJ (para pessoa jurídica);
  • Nome completo e CPF (para pessoa física);
  • Endereço físico e eletrônico;
  • Telefone de atendimento.

Isso cria uma obrigação indireta de KYC: o marketplace só pode cumprir o Decreto 7.962/2013 se antes tiver verificado e armazenado os dados de identidade dos seus vendedores. Plataformas que publicam anúncios sem verificar a identidade do vendedor ficam expostas a responsabilização solidária por práticas enganosas e fraudes.

Nota Fiscal Eletrônica (NF-e) e a identificação fiscal do vendedor

A legislação tributária brasileira exige que vendedores com volume de vendas acima dos limites de isenção emitam Nota Fiscal Eletrônica (NF-e) para cada transação. Para isso, o vendedor precisa estar inscrito como Microempreendedor Individual (MEI), ter CNPJ ativo ou ser pessoa física com inscrição estadual. Os marketplaces que processam pagamentos e repassam valores a vendedores devem:

  1. Verificar a regularidade fiscal do vendedor no Cadastro Nacional da Pessoa Jurídica (CNPJ) ou CPF;
  2. Reter e repassar tributos quando aplicável (retenção na fonte do IRPF para valores acima de R$ 1.903,98/mês para pessoas físicas);
  3. Emitir declarações à Receita Federal sobre pagamentos realizados a vendedores (via DIRF — Declaração do Imposto de Renda Retido na Fonte, e DCTF).

DIMOB e a declaração de serviços intermediados

Plataformas que intermediem locação de imóveis (como marketplaces de hospedagem) têm obrigação específica pela DIMOB (Declaração de Informações sobre Atividades Imobiliárias), que exige a identificação completa do locador. Marketplaces de prestação de serviços podem estar sujeitos a obrigações análogas conforme o setor.

Quem precisa ser identificado? Limiares e definições

A intensidade das obrigações de KYC varia conforme o volume de transações e o tipo de vendedor. A tabela abaixo consolida os principais limiares aplicáveis no Brasil em 2026:

Limiar Obrigação Base legal
Todo vendedor cadastrado na plataforma Coleta de CPF (PF) ou CNPJ (PJ) e dados de contato Decreto 7.962/2013, art. 2º
Vendedor com faturamento > R$ 81.000/ano (MEI) Verificar enquadramento fiscal e CNPJ Resolução CGSN 140/2018
Pagamentos acumulados > R$ 28.559,70/ano por CPF Potencial retenção do IRPF; inclusão em declaração DIRF Lei 7.713/1988, IN RFB 2.060/2022
Transações financeiras suspeitas ou não usuais Comunicação ao COAF como operação suspeita Lei 9.613/1998, art. 11; Resolução COAF 36/2021
Vendedor com operações > R$ 30.000/mês em plataforma com autorização Bacen Identificação e monitoramento KYC completo (PLD/FT) Circular Bacen 3.978/2020
Vendedor PJ com faturamento > R$ 4,8 milhões/ano Verificação adicional de beneficiário final (UBO) Circular Bacen 3.978/2020, art. 12

Atenção: Plataformas que operam como instituições de pagamento (IP) registradas no Bacen estão sujeitas às obrigações mais rigorosas de PLD/FT desde o primeiro real transacionado, independentemente dos limiares acima.

Documentos obrigatórios para o KYC de vendedores

A documentação exigida varia conforme o tipo de vendedor. O CheckFile suporta mais de 3.200 tipos de documentos, incluindo todos os listados abaixo, com verificação automatizada por IA.

Pessoa Física (PF)

Documento Finalidade Validação
CPF (Cadastro de Pessoas Físicas) Identificação fiscal obrigatória Via API da Receita Federal ou consulta ao Serviço de Verificação de CPF
RG ou CNH (frente e verso) Comprovação de identidade e foto Verificação biométrica + checagem de falsificação
Comprovante de residência (conta de luz, água ou extrato bancário, até 90 dias) Endereço atualizado Verificação de autenticidade do documento
Selfie biométrica (liveness detection) Prevenção de fraude de identidade Detecção de vida + correspondência facial
Comprovante de conta bancária (para recebimento) Titularidade da conta Verificação do IBAN/agência/conta vinculados ao CPF

Pessoa Jurídica (PJ)

Documento Finalidade Validação
CNPJ ativo (Comprovante de situação cadastral) Identificação fiscal e situação ativa Consulta em tempo real no portal da Receita Federal
Contrato Social ou Estatuto Social Constituição e poderes dos sócios Verificação via Junta Comercial
Certidão Simplificada da Junta Comercial Confirmação do registro empresarial Emitida pela Junta Comercial do estado
Documento de identidade dos sócios/administradores Identificação dos representantes legais CPF + RG/CNH de cada sócio com poderes
Comprovante de endereço da empresa Sede da empresa Contas de serviços públicos ou contrato de locação
Procuração (se aplicável) Autorização do representante Reconhecimento de firma ou assinatura eletrônica qualificada
Identificação do beneficiário final (UBO) Para empresas com faturamento > R$ 4,8M/ano Declaração e documentação dos beneficiários finais com participação ≥ 25%

MEI (Microempreendedor Individual)

Documento Finalidade
CNPJ MEI (Certificado de Condição de MEI) Identificação fiscal — gerado pelo Portal do Empreendedor
CPF do titular Identificação pessoal do empreendedor
RG ou CNH Comprovação de identidade

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Pedir um piloto gratuito

COAF e Bacen: quando marketplaces se tornam obrigados à prevenção de lavagem de dinheiro

Nem todo marketplace tem obrigações diretas de PLD/FT (Prevenção à Lavagem de Dinheiro e Financiamento do Terrorismo). A qualificação depende principalmente da atividade de pagamento exercida pela plataforma.

Marketplaces com autorização do Bacen (instituições de pagamento)

Plataformas que operam como instituições de pagamento (IP) — emissoras de moeda eletrônica, credenciadoras ou subcredenciadoras — precisam de autorização do Bacen e ficam sujeitas à Circular Bacen 3.978/2020. Essa circular estabelece:

  • Política de PLD/FT documentada e aprovada pela diretoria;
  • Procedimentos de KYC para todos os clientes (vendedores e compradores);
  • Monitoramento contínuo de transações para identificar operações suspeitas ou atípicas;
  • Comunicação ao COAF de operações suspeitas no prazo de 24 horas (operações em espécie) ou até o 5º dia útil do mês seguinte (operações atípicas);
  • Conservação de registros por no mínimo 5 anos.

A Resolução COAF 36/2021 e seus impactos

A Resolução COAF nº 36/2021 ampliou o rol de obrigados a comunicar operações ao COAF, incluindo fintechs e prestadores de serviços de pagamento não bancários. Empresas que intermediem pagamentos — mesmo sem autorização formal do Bacen como IP — podem ser enquadradas como obrigadas dependendo do volume e da natureza das operações realizadas.

Operações que devem ser comunicadas ao COAF por plataformas de marketplace com obrigações PLD/FT:

  • Transações em espécie acima de R$ 2.000;
  • Operações com características de fracionamento (múltiplas transações menores para evitar limites);
  • Pagamentos a vendedores sem histórico de vendas compatível com o volume movimentado;
  • Clientes com CPF/CNPJ em listas de sanções (OFAC, ONU, CSNU);
  • Transferências para contas em jurisdições de alto risco identificadas pelo GAFI/FATF.

A Lei 9.613/1998, com as alterações da Lei 12.683/2012, é a base legal da prevenção à lavagem de dinheiro no Brasil. O artigo 9º lista as pessoas sujeitas às obrigações de comunicação, e o parágrafo único, inciso IX, inclui "empresas de fomento ao comércio" e "operadores de câmbio" — categorias que, conforme entendimento do COAF, podem abranger marketplaces com operações financeiras relevantes.

O artigo 11 da mesma lei obriga as entidades a comunicar ao COAF "as operações realizadas ou os serviços prestados, [...] que, por sua habitualidade, valor ou forma, possam configurar indício dos crimes previstos nesta Lei". O não cumprimento dessa obrigação expõe a plataforma a multas administrativas de até R$ 20 milhões.

LGPD e proteção de dados dos vendedores

O KYC de vendedores exige a coleta de dados pessoais sensíveis — CPF, RG, foto, biometria — que são protegidos pela Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018). A Autoridade Nacional de Proteção de Dados (ANPD) supervisiona o cumprimento da lei e tem emitido orientações e decisões sancionatórias desde 2023.

Bases legais aplicáveis ao KYC de vendedores

A coleta de dados para o KYC de vendedores pode ser fundamentada em mais de uma base legal da LGPD (artigo 7º):

Base legal (LGPD, art. 7º) Aplicação no KYC de vendedores
Cumprimento de obrigação legal (inciso II) Identificação exigida pelo Decreto 7.962/2013, IN RFB 1.717/2017, Circular Bacen 3.978/2020
Execução de contrato (inciso V) Contrato de adesão do vendedor à plataforma
Interesse legítimo (inciso IX) Prevenção a fraudes, verificação de antecedentes
Consentimento (inciso I) Coleta de dados biométricos e liveness detection (dados sensíveis, art. 11)

Atenção especial: Dados biométricos (selfie, reconhecimento facial, liveness detection) são dados sensíveis nos termos do artigo 5º, inciso II da LGPD, e exigem base legal específica do artigo 11 — na prática, consentimento explícito do vendedor ou cumprimento de obrigação legal. O marketplace deve registrar este consentimento de forma clara e auditável.

Princípios da LGPD aplicados ao KYC

  • Finalidade: os dados coletados para o KYC do vendedor não podem ser reutilizados para fins de marketing ou compartilhados com terceiros sem nova base legal;
  • Adequação e necessidade: coletar apenas os documentos estritamente necessários para cumprir as obrigações legais aplicáveis ao perfil de risco do vendedor;
  • Segurança: armazenar documentos com criptografia, controle de acesso e registros de auditoria (logs);
  • Transparência: informar o vendedor, na política de privacidade e no processo de onboarding, quais dados são coletados, por qual base legal e por quanto tempo serão conservados.

Prazos de conservação de documentos KYC

Documento Prazo mínimo de conservação Base legal
Documentos de identificação (CPF, RG, CNPJ) 5 anos após encerramento do cadastro Circular Bacen 3.978/2020, art. 40
Registros de transações suspeitas comunicadas ao COAF 5 anos Lei 9.613/1998, art. 10, §3º
Dados de onboarding de vendedores 5 anos após encerramento da relação Recomendação COAF; Marco Civil da Internet (Lei 12.965/2014), art. 15
Dados de acesso e logs de navegação 6 meses Marco Civil da Internet, art. 15

O Marco Civil da Internet (Lei 12.965/2014) estabelece adicionalmente que provedores de aplicações de internet devem manter registros de acesso a aplicações pelo prazo de 6 meses, e podem ser obrigados a conservar dados por prazo maior mediante ordem judicial.

Transferência internacional de dados

Marketplaces que utilizem provedores de KYC internacionais (processamento de documentos fora do Brasil) devem garantir adequação da transferência nos termos do artigo 33 da LGPD. A ANPD publicou a Resolução CD/ANPD nº 19/2024 com os mecanismos de transferência internacional admitidos — cláusulas contratuais padrão, normas corporativas globais e decisão de adequação de país.

Sanções por descumprimento

O descumprimento das obrigações de KYC pelos marketplaces pode gerar sanções em múltiplas frentes regulatórias simultâneas:

Sanções da ANPD (LGPD)

Infração Sanção máxima
Coleta sem base legal adequada Advertência + multa de até 2% do faturamento no Brasil (máx. R$ 50 milhões por infração)
Falta de segurança (vazamento de dados) Multa + bloqueio do tratamento dos dados afetados
Transferência internacional irregular Multa + suspensão do tratamento
Reincidência Multa em dobro

A ANPD publicou em 2024 suas primeiras decisões sancionatórias com aplicação de multas, estabelecendo precedentes sobre critérios de dosimetria. Empresas de médio e grande porte estão no radar de fiscalização prioritária.

Sanções do COAF e do Bacen (PLD/FT)

Infração Sanção (Lei 9.613/1998, art. 12)
Não comunicação de operação suspeita Advertência ou multa de até R$ 20 milhões ou o dobro do valor da operação
Ausência de programa de PLD/FT Inabilitação de dirigentes por até 10 anos
Reincidência em violações PLD/FT Cassação da autorização do Bacen (para IPs)

Instituições de pagamento que tiverem a autorização do Bacen cassada ficam impedidas de operar no Sistema de Pagamentos Brasileiro (SPB).

Sanções da Receita Federal

Marketplaces que não prestarem as informações exigidas (DIRF, DIMOB, e-financeira) ficam sujeitos a multas automáticas por omissão ou inexatidão de informações, calculadas por CPF/CNPJ omitido, com valores que variam de R$ 500 a R$ 1.500 por registro incorreto ou não declarado.

Responsabilidade civil (CDC)

Vendedores que causem danos a consumidores e não possam ser identificados geram responsabilidade solidária ao marketplace, nos termos do artigo 7º, parágrafo único do Código de Defesa do Consumidor. Decisões do STJ têm consolidado essa responsabilização quando a plataforma não verificou adequadamente a identidade do vendedor antes de autorizar sua atividade.

Como automatizar o KYC de vendedores no marketplace

A verificação manual de documentos — analisar CPF, RG, CNPJ, selfies e certidões um a um — cria gargalos no onboarding de vendedores, aumenta o risco de erro humano e não escala com o crescimento da plataforma. Soluções de verificação automatizada de documentos integradas via API eliminam esses problemas e reduzem significativamente o custo por verificação.

Arquitetura recomendada para o KYC de vendedores

1. Coleta digital no onboarding

  • Formulário web ou app com upload de documentos e captura de selfie com liveness detection;
  • Validação do CPF em tempo real via API da Receita Federal;
  • Consulta de situação do CNPJ via Receita Federal para vendedores PJ.

2. Verificação automatizada por IA

  • OCR e extração automática de dados do documento (nome, CPF/CNPJ, data de nascimento, validade);
  • Detecção de falsificação e adulteração (alteração de foto, dados, hologramas);
  • Correspondência facial entre a foto do documento e a selfie capturada;
  • Detecção de vida (liveness) para prevenir o uso de fotos estáticas ou deepfakes.

3. Triagem em listas restritivas

  • Consulta automática às listas de sanções do CSNU (ONU), OFAC (EUA) e listas internas do COAF;
  • Verificação de PEP (Pessoa Politicamente Exposta) conforme Resolução Bacen 44/2021;
  • Screening de mídia adversa para avaliar reputação do vendedor.

4. Decisão baseada em risco

  • Aprovação automática para perfis de baixo risco (CPF regular, documentos autênticos, sem matches em listas);
  • Revisão humana para casos de médio risco;
  • Rejeição automática para alto risco (documentos falsificados, match em listas de sanções).

5. Monitoramento contínuo

  • Remonitoramento periódico dos vendedores ativos (mínimo anual para risco baixo, semestral para risco médio/alto);
  • Alertas automáticos para mudanças de status no CNPJ (baixa, suspensão, inapto) ou inclusão em listas restritivas.

Integração com o fluxo de pagamentos

A verificação KYC deve ser integrada ao fluxo de pagamentos: vendedores não verificados não devem ter acesso ao saque de valores. Essa arquitetura "KYC-gate" garante que o processo de identificação seja cumprido antes de qualquer repasse financeiro, reduzindo a exposição da plataforma a fraudes e uso indevido para lavagem de dinheiro.

Para uma comparação detalhada de preços e funcionalidades de plataformas de KYC automatizado, consulte nosso guia de preços. Para uma visão geral do processo de verificação documental, veja nosso guia de verificação de documentos.

Compatibilidade com a LGPD na automação

Ao automatizar o KYC, o marketplace deve garantir:

  • Registro de consentimento para dados biométricos antes da captura;
  • Minimização de dados: não armazenar frames de vídeo do liveness desnecessariamente;
  • Portabilidade: permitir ao vendedor solicitar cópia dos dados coletados;
  • Exclusão: implementar rotina de exclusão de dados após o prazo de conservação obrigatório;
  • DPIA (Relatório de Impacto à Proteção de Dados): realizar avaliação de impacto para o processo de verificação biométrica, conforme artigo 38 da LGPD.

Perguntas frequentes

Todo marketplace brasileiro precisa verificar o CPF dos vendedores?

Sim, de forma prática. O Decreto 7.962/2013 exige que o marketplace divulgue a identidade do vendedor ao consumidor, o que só é possível se o CPF tiver sido previamente coletado e verificado. Além disso, as obrigações de retenção de IR na fonte e de DIRF exigem o CPF válido dos vendedores. Mesmo marketplaces que não sejam instituições de pagamento têm essa obrigação mínima de identificação.

Quando um marketplace passa a ter obrigações de PLD/FT?

Quando a plataforma opera como instituição de pagamento registrada no Bacen (emissora de moeda eletrônica, credenciadora ou subcredenciadora), as obrigações da Circular Bacen 3.978/2020 se aplicam integralmente. Mesmo sem registro formal, marketplaces com alto volume de intermediação financeira podem ser enquadrados pelo COAF nas categorias de obrigados da Lei 9.613/1998. A consulta a um advogado especializado é recomendada para avaliar o enquadramento específico da plataforma.

A LGPD proíbe a coleta de selfie e dados biométricos para o KYC?

Não proíbe, mas exige base legal específica. Dados biométricos são "dados sensíveis" nos termos do artigo 5º, II da LGPD. A coleta pode ser fundamentada no cumprimento de obrigação legal (quando o Bacen exigir para IPs) ou no consentimento explícito do vendedor. O marketplace deve registrar esse consentimento de forma auditável e informar claramente a finalidade e o prazo de conservação dos dados.

Quais são os documentos mínimos para cadastrar um vendedor pessoa física?

Para cumprir as exigências do Decreto 7.962/2013 e das obrigações tributárias básicas: CPF válido, nome completo, endereço e documento de identidade com foto (RG ou CNH). Para plataformas sujeitas à Circular Bacen 3.978/2020, adiciona-se a selfie com liveness detection e o comprovante de residência. Plataformas com obrigações PLD/FT devem também realizar screening em listas de sanções e PEP.

Marketplaces de produtos digitais e SaaS têm as mesmas obrigações?

As obrigações do Decreto 7.962/2013 e da LGPD aplicam-se a todos os marketplaces, independentemente de venderem produtos físicos, digitais ou serviços. As obrigações de emissão de NF-e e retenção de IR dependem da natureza do produto/serviço e do regime tributário do vendedor. Marketplaces de serviços de software devem observar adicionalmente as regras de ISS municipal e, em alguns casos, de CIDE-Remessas para pagamentos ao exterior.

Para aprofundar os temas tratados neste artigo, consulte também:

Fontes normativas:

Este artigo é apenas informativo e não constitui assessoria jurídica.

Mantenha-se informado

Receba as nossas análises de conformidade e guias práticos diretamente no seu email.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Artigos relacionados

Conformidade8 min

KYC/AML para operadores de apostas online no Brasil: Lei 14.790/2023 e COAF 2026

Conformidade KYC e PLD/FT para operadores de apostas online no Brasil: Secretaria de Prêmios e Apostas, COAF, Bacen, Lei 14.790/2023, LGPD, documentos CPF/CNPJ. Guia 2026.

Ler
Conformidade10 min

KYC para prestadores de serviços de pagamento no Brasil: Bacen, COAF e PIX 2026

Guia das obrigações KYC/PLD-FT para prestadores de serviços de pagamento no Brasil: Resolução Bacen 4.753/2019, Circular 3.978/2020, COAF, PIX e LGPD em 2026.

Ler
Conformidade9 min

Verificação de documentos de renda em KYC: holerites, IRPF e conformidade Bacen/COAF

Como verificar documentos de renda num processo KYC conforme com a Lei 9.613/1998 e as normas do Bacen e COAF: documentos aceitos, fraude e automação em 2026.

Ler