Marco Legal das Criptomoedas 2026: KYC e regras
O Marco Legal das Criptomoedas (Lei 14.478/2022) e a regulamentação do Bacen: obrigações KYC para prestadores de serviços de criptoativos
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokO Brasil consolidou seu arcabouço regulatório para criptoativos com a Lei 14.478/2022, conhecida como o Marco Legal das Criptomoedas. Em 2026, a regulamentação infralegal do Banco Central do Brasil (Bacen) está em pleno vigor, e os prestadores de serviços de ativos virtuais (VASPs) que operam no país devem cumprir integralmente as exigências de KYC, PLD/FT e registro. Combinado com a Circular Bacen 3.978/2020 e a Lei 9.613/1998, isso cria o arcabouço de verificação de identidade mais exigente que o setor cripto brasileiro já enfrentou. Se a sua plataforma faz onboarding de usuários, processa transferências ou custodia ativos no Brasil, o relógio de conformidade está correndo — a par de outros prazos importantes de 2026, como a obrigação de faturação eletrônica.
Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulamentar. As referências regulamentares são exatas à data de publicação. Consulte um profissional qualificado para orientação adaptada à sua situação.
Marco Legal das Criptomoedas: o arcabouço regulatório brasileiro
O que a Lei 14.478/2022 cobre
A Lei 14.478/2022 estabelece as diretrizes para a prestação de serviços de ativos virtuais no Brasil. Antes desta lei, o país não possuía regulamentação específica para o setor — as exchanges operavam em um vácuo normativo, com obrigações de PLD/FT aplicáveis apenas de forma genérica pela Lei 9.613/1998. O Marco Legal mudou esse cenário, atribuindo ao Bacen a competência para autorizar e supervisionar os prestadores de serviços de ativos virtuais.
A lei cobre as seguintes atividades:
| Atividade | Definição | Autoridade de Supervisão |
|---|---|---|
| Custódia de ativos virtuais | Guarda e administração de ativos virtuais de terceiros | Bacen |
| Intermediação/corretagem | Compra, venda e troca de ativos virtuais em nome de clientes | Bacen |
| Transferência de ativos virtuais | Movimentação de ativos virtuais entre contas ou carteiras | Bacen |
| Criptoativos que se enquadrem como valores mobiliários | Tokens de investimento, security tokens | CVM (Comissão de Valores Mobiliários) |
O Bacen ficou responsável pela regulamentação infralegal e pela autorização de funcionamento dos VASPs, enquanto a CVM supervisiona os criptoativos que se enquadrem como valores mobiliários.
O calendário crítico
A implementação do Marco Legal seguiu uma cronologia faseada. A Lei 14.478/2022 foi sancionada em dezembro de 2022, com entrada em vigor em junho de 2023 para as disposições gerais. A regulamentação infralegal do Bacen entrou em consulta pública e vem sendo implementada progressivamente.
| Data | Marco | Impacto |
|---|---|---|
| Dez 2022 | Lei 14.478/2022 sancionada | Arcabouço legal para criptoativos no Brasil |
| Jun 2023 | Entrada em vigor das disposições gerais | VASPs devem iniciar adequação |
| 2024-2025 | Regulamentação infralegal do Bacen | Regras detalhadas de autorização, PLD/FT e conduta |
| 2026 | Plena vigência das exigências do Bacen | VASPs devem deter autorização do Bacen ou cessar operações |
O Brasil adotou um período de transição para que os VASPs já em operação pudessem se adequar. Os prestadores que operavam antes da entrada em vigor da lei devem obter autorização do Bacen dentro dos prazos estabelecidos pela regulamentação. No Brasil, a supervisão de criptoativos é compartilhada entre o Bacen (supervisão prudencial e PLD/FT) e a CVM (para tokens classificados como valores mobiliários).
Obrigações KYC para VASPs no Brasil
O Marco Legal, combinado com a Circular Bacen 3.978/2020, impõe requisitos explícitos de diligência sobre clientes aos VASPs que vão muito além do que o mercado praticava anteriormente. Essas obrigações aplicam-se na abertura de conta, durante o relacionamento comercial e no nível da transação.
A nossa plataforma processa mensalmente mais de 180.000 documentos em 32 jurisdições, com uma taxa de deteção de fraude de 94,8 % e uma taxa de falsos positivos de apenas 3,2 %.
Abertura de conta e onboarding de clientes
Cada VASP deve verificar a identidade dos seus clientes antes de estabelecer um relacionamento comercial. Na prática, isso significa:
- Verificação do nome completo contra um documento de identificação oficial (RG, CNH ou passaporte). Com o avanço da Carteira de Identidade Nacional (CIN), baseada no CPF como identificador único, a verificação tende a se simplificar progressivamente — e para alguns casos de uso, credenciais digitais via Gov.br complementarão as verificações tradicionais baseadas em documentos.
- Coleta e cruzamento de data de nascimento e nacionalidade.
- Verificação de endereço residencial por meio de comprovante de residência (conta de luz, água, telefone ou extrato bancário recente).
- Extração do CPF como identificador único do cliente pessoa física.
- Consulta a listas de sanções e PEPs — listas consolidadas de sanções (ONU, OFAC), listas nacionais e bases de dados de pessoas politicamente expostas, conforme as exigências do COAF.
- Avaliação da origem dos recursos para relacionamentos que apresentem indicadores de risco elevado.
Para clientes empresariais (pessoas jurídicas que utilizam a plataforma), as obrigações estendem-se à verificação completa de KYB: contrato social ou estatuto, inscrição no CNPJ junto à Receita Federal, comprovante de endereço, identificação dos administradores e beneficiários finais, e verificação da estrutura societária.
Monitoramento contínuo
O KYC não é uma verificação única no onboarding. A Circular Bacen 3.978/2020 e a Lei 9.613/1998 exigem monitoramento contínuo ao longo do relacionamento comercial:
- Análise de padrões de transação para detectar comportamento inconsistente com o perfil declarado do cliente.
- Revisão periódica das informações do cliente, com frequência determinada pela classificação de risco.
- Revisões por gatilho quando atividade incomum é detectada (picos súbitos de volume, transferências para jurisdições de alto risco, padrões de fracionamento).
- Atualização de consultas a listas de sanções sempre que as listas são atualizadas — no mínimo diariamente para listas da ONU e OFAC.
VASPs que não mantenham monitoramento contínuo eficaz enfrentam as mesmas penalidades que os que falham no onboarding: multas que podem chegar a R$ 20 milhões ou ao dobro do benefício econômico da operação, aplicadas pelo COAF, além das penalidades PLD/FT aplicáveis a todas as entidades obrigadas.
Travel Rule: dados de identidade em cada transferência
O que a Travel Rule exige
As recomendações do GAFI (Grupo de Ação Financeira Internacional) sobre a Travel Rule estão sendo incorporadas à regulamentação brasileira pelo Bacen. A Travel Rule exige que informações de identidade "viajem" com cada transação cripto, tal como acontece com transferências bancárias tradicionais via SPB (Sistema de Pagamentos Brasileiro).
Para cada transferência de criptoativos, o VASP do ordenante deve coletar e transmitir:
| Elemento de Dados | Ordenante | Beneficiário |
|---|---|---|
| Nome completo | Obrigatório | Obrigatório |
| Número de conta / endereço de carteira | Obrigatório | Obrigatório |
| CPF/CNPJ ou data de nascimento | Obrigatório | Obrigatório |
| CNPJ (se pessoa jurídica) | Obrigatório quando disponível | Obrigatório quando disponível |
Esses dados devem ser transmitidos ao VASP do beneficiário antes ou simultaneamente com a transferência. O VASP do beneficiário deve verificar a informação recebida e rejeitar transferências com dados do ordenante incompletos ou inconsistentes.
O limiar de R$ 5.000 e a verificação de carteira
A Travel Rule aplica-se a todas as transferências de criptoativos, sem isenção de valor mínimo para a coleta de dados. Contudo, transferências superiores a R$ 5.000 desencadeiam um requisito adicional: verificação de propriedade da carteira.
Quando um cliente envia ou recebe criptoativos de uma carteira não custodiada (auto-custodiada) e a transferência excede R$ 5.000, o VASP deve verificar que a carteira pertence à parte declarada. Na prática, isso é realizado por meio de:
- Assinatura criptográfica de mensagem: o cliente assina uma mensagem com a chave privada da carteira, provando a propriedade.
- Verificação por microtransação: o cliente envia um montante pequeno e pré-acordado da carteira para demonstrar controle.
- Atestação técnica: o VASP pode utilizar uma solução ao nível do protocolo (ex.: credencial verificável ou atestação on-chain) para confirmar a vinculação carteira-endereço.
Para transferências abaixo de R$ 5.000 de ou para carteiras não custodiadas, o VASP deve ainda coletar dados do ordenante e beneficiário, mas não é obrigado a verificar a propriedade da carteira. Contudo, se o VASP suspeitar de lavagem de dinheiro ou financiamento do terrorismo, a verificação completa é exigida independentemente do montante da transferência.
Impacto nas operações dos VASPs
A Travel Rule cria uma obrigação de troca de dados entre VASPs que não existia antes no setor cripto brasileiro. Ao contrário do sistema bancário tradicional, onde as mensagens via SPB transportam dados padronizados do ordenante/beneficiário, o setor cripto carece de um padrão de mensagens universal. Várias soluções setoriais emergiram — incluindo TRISA, OpenVASP e Notabene — mas a interoperabilidade permanece um desafio.
Os VASPs devem implementar sistemas capazes de coletar dados do ordenante, transmiti-los de forma segura ao VASP contraparte, receber e validar dados de entrada, consultar todas as partes contra listas de sanções em tempo real, rejeitar transferências com dados incompletos ou correspondências em listas de sanções e reter todos os registros de transferências durante pelo menos cinco anos.
Aprofundar o tema
Descubra os nossos guias práticos e recursos para dominar a conformidade documental.
Explorar os guiasVASPs no Brasil: a supervisão regulatória
Bacen e CVM: supervisão dual
No Brasil, a supervisão de criptoativos é compartilhada entre dois reguladores:
| Regulador | Âmbito | Responsabilidades principais |
|---|---|---|
| Bacen (Banco Central do Brasil) | Autorização e supervisão de VASPs; supervisão prudencial; PLD/FT | Licenciamento, regras prudenciais, controles PLD/FT, inspeções de conformidade |
| CVM (Comissão de Valores Mobiliários) | Criptoativos classificados como valores mobiliários | Supervisão de security tokens, regras de conduta de mercado, proteção ao investidor |
Esse modelo de supervisão dual significa que um VASP brasileiro deve satisfazer tanto o Bacen (para sua autorização e obrigações de PLD/FT) como a CVM (quando seus criptoativos se enquadrem como valores mobiliários). O Bacen tem sido rigoroso em suas exigências de PLD/FT, e esse rigor se intensifica com a plena implementação do Marco Legal.
O que muda para os VASPs existentes no Brasil
Os VASPs que operavam antes da entrada em vigor da Lei 14.478/2022 devem obter autorização do Bacen — um processo abrangente que cobre governança, requisitos prudenciais, continuidade de negócios e procedimentos PLD/FT. A Polícia Federal e o COAF atuam como braços de investigação e inteligência financeira, respectivamente, podendo solicitar informações diretamente aos VASPs.
VASPs que não obtenham autorização do Bacen dentro dos prazos regulamentares devem encerrar suas atividades. Não há segundo período de graça.
Requisitos documentais: o que os VASPs devem coletar e reter
O efeito combinado do Marco Legal, da Travel Rule e da Lei 9.613/1998 cria uma carga documental substancial no onboarding de clientes e no monitoramento de transações.
Documentos de onboarding de clientes
| Tipo de documento | Pessoas físicas | Pessoas jurídicas |
|---|---|---|
| Documento de identificação | RG, CNH ou passaporte | N/A |
| CPF | Obrigatório | N/A |
| Comprovante de endereço | Conta de serviços, extrato bancário (< 3 meses) | Comprovante do endereço sede |
| Contrato social / Estatuto | N/A | Registrado na Junta Comercial |
| CNPJ | N/A | Inscrição na Receita Federal |
| Declaração de beneficiários finais | N/A | Identificação de todos os beneficiários acima de 25% |
| Identificação dos administradores | N/A | Documentos de identificação de todos os administradores |
| Origem dos recursos | Documentação comprobatória para perfis de alto risco | Demonstrações financeiras, documentação de captação |
Registros de transações e retenção
Para cada transferência de criptoativos, os VASPs devem reter dados de identidade do ordenante e beneficiário, montante da transação e tipo de criptoativo, hash da transação na blockchain, endereços de carteira, resultados de verificação de propriedade de carteira (transferências acima do limiar), resultados de consulta a listas de sanções e registros de resolução de alertas. Todos os registros devem ser retidos por um mínimo de cinco anos após o fim do relacionamento comercial ou a data da transação, o que for posterior.
Como a automação aborda a conformidade cripto no Brasil
As obrigações documentais sob o Marco Legal tornam a verificação manual insustentável para qualquer VASP operando em escala. Cada novo usuário requer verificação de documento de identidade, validação de comprovante de endereço, consulta a listas de sanções e classificação de risco antes de executar uma única transação. Cada transferência acima de R$ 5.000 para uma carteira não custodiada requer verificação de propriedade.
Verificação documental no onboarding
A validação documental automatizada processa documentos de identidade em segundos: extraindo campos de dados (nome, data de nascimento, número do documento, data de expiração), verificando a autenticidade do documento (validação MRZ, detecção de elementos de segurança, análise de adulteração) e cruzando dados extraídos com informação declarada. Para VASPs que processam milhares de cadastros de onboarding por mês, essa é a diferença entre uma fila de revisão manual de 48 horas e um fluxo de onboarding em tempo real.
KYB para clientes empresariais
O onboarding empresarial sob o Marco Legal requer verificação de contrato social, CNPJ, identificação de beneficiários finais e verificação dos administradores. Fluxos de KYB automatizados extraem e cruzam dados nesses documentos, sinalizando inconsistências (nomes de administradores incompatíveis, documentos expirados, limiares de beneficiários excedidos) antes de um responsável de compliance revisar o dossiê.
Geração de trilha de auditoria
Cada passo de verificação — documento recebido, verificações aplicadas, resultados obtidos, decisão tomada — gera uma trilha de auditoria com registro temporal. Quando o Bacen solicita evidência dos seus controles PLD/FT durante uma inspeção, sistemas automatizados produzem registros de auditoria completos e legíveis por máquina. Processos manuais produzem planilhas, cadeias de e-mails e cronologias reconstruídas que raramente satisfazem inspetores.
Integração de consulta a listas de sanções
Sistemas automatizados consultam cada cliente e contraparte contra listas de sanções em tempo real. Quando as listas são atualizadas, a nova consulta é desencadeada automaticamente — cumprindo tanto o requisito de monitoramento contínuo da Lei 9.613/1998 como o requisito de controles sistemáticos e auditáveis.
Para uma visão completa, consulte nosso guia completo conformidade documental.
FAQ
O que é o Marco Legal das Criptomoedas e quando se aplica totalmente?
O Marco Legal das Criptomoedas (Lei 14.478/2022) é o arcabouço regulatório brasileiro para criptoativos e prestadores de serviços de ativos virtuais. A lei foi sancionada em dezembro de 2022 e entrou em vigor em junho de 2023 para as disposições gerais. A regulamentação infralegal do Bacen vem sendo implementada progressivamente, com os VASPs devendo obter autorização do Bacen para continuar operando legalmente no Brasil.
O que é a Travel Rule e como afeta as transferências cripto no Brasil?
A Travel Rule exige que informações de identidade — nome completo, endereço de carteira e um identificador único como o CPF — acompanhem cada transferência de criptoativos entre VASPs. Para transferências superiores a R$ 5.000 envolvendo carteiras não custodiadas, o VASP deve também verificar a propriedade da carteira por meio de assinatura criptográfica de mensagem ou métodos equivalentes. A obrigação de coleta de dados aplica-se a todas as transferências independentemente do montante.
Que documentos KYC deve um VASP coletar no onboarding?
No mínimo, um VASP deve coletar um documento de identificação oficial (RG, CNH ou passaporte), CPF, comprovante de endereço recente (últimos três meses) e informações sobre a origem dos recursos. Para clientes empresariais, documentos adicionais incluem contrato social, inscrição no CNPJ, declaração de beneficiários finais e identificação de todos os administradores. Todos os documentos devem ser verificados quanto à autenticidade e cruzados com a informação declarada pelo cliente.
Como o Marco Legal interage com a Lei 9.613/1998?
O Marco Legal estabelece o arcabouço de licenciamento e conduta para VASPs, enquanto a Lei 9.613/1998 e a Circular Bacen 3.978/2020 definem as obrigações PLD/FT que os VASPs devem seguir como entidades obrigadas. Os VASPs são explicitamente listados como entidades obrigadas, sujeitos aos mesmos requisitos de diligência sobre clientes, comunicação de atividades suspeitas ao COAF e conservação de registros que bancos e outras instituições financeiras. Ambos os arcabouços devem ser satisfeitos simultaneamente.
Prepare sua plataforma para a conformidade plena
Os VASPs que não obtiverem autorização do Bacen perderão o direito de operar no mercado brasileiro. As obrigações de verificação de identidade — no onboarding, no nível da transação e por meio de monitoramento contínuo — exigem sistemas capazes de processar documentos de forma confiável, consultar listas de sanções em tempo real e gerar as trilhas de auditoria que os reguladores exigem durante inspeções.
A CheckFile disponibiliza validação documental automatizada projetada para o onboarding de plataformas cripto: verificação de documentos de identidade (RG, CNH, CPF), verificações KYB empresariais, extração e cruzamento de dados e geração completa de trilha de auditoria. A nossa plataforma processa dossiês de verificação em segundos com cada passo registrado e rastreável, atendendo aos padrões documentais que o Bacen e a CVM esperam dos VASPs autorizados no Brasil. Explore os nossos preços para encontrar o plano adequado ao seu volume de transações.
Leitura relacionada: Para o arcabouço KYC mais abrangente que sustenta essas obrigações, consulte o nosso guia de requisitos KYC 2026. Para onboarding de clientes empresariais, leia o nosso guia de verificação documental KYB. Para os requisitos de resiliência operacional que se aplicam aos seus sistemas de verificação, consulte o nosso guia DORA 2026.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.