Skip to content
Deteção IA & DeepfakeNovo

Sinais IA, sintéticos, deepfakes

Caso de estudoPreçosSegurançaComparativoBlog
GlossárioGuias por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Conformidade9 min de leitura

Travel Rule GAFI para VASPs cripto no Brasil: conformidade KYC 2026

Travel Rule do GAFI e Resoluções Bacen 519-521/2025: obrigações KYC dos VASPs cripto no Brasil, CPF/CNPJ, COAF, LGPD e prazo de autorização de outubro de 2026.

Equipe CheckFile
Equipe CheckFile·
Illustration for Travel Rule GAFI para VASPs cripto no Brasil: conformidade KYC 2026 — Conformidade

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

O Brasil construiu, entre novembro de 2025 e fevereiro de 2026, o primeiro arcabouço regulatório formal para prestadores de serviços de ativos virtuais (VASPs) do país. As Resoluções CMN 519, 520 e 521, publicadas pelo Banco Central do Brasil (Bacen) em novembro de 2025 e vigentes a partir de 2 de fevereiro de 2026, estabelecem o processo de autorização dos VASPs e os requisitos de prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD-FTP) — incluindo a implementação da Travel Rule do GAFI. Diferente do regime europeu do Regulamento (UE) 2023/1113, o Brasil não adota o limiar zero: a Circular Bacen 3.978/2020 já previa a transmissão de dados em transferências acima de determinados valores, agora sendo complementada pelo novo regime de autorização. Este guia detalha as obrigações para VASPs que operam no Brasil.

Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulatório. As referências regulatórias são exatas à data de publicação. Consulte um profissional qualificado para orientação específica à sua situação.

A Travel Rule é a aplicação da Recomendação 16 do GAFI às transferências de ativos virtuais. O Brasil, membro do GAFI desde 2000, estava sujeito às recomendações do grupo, mas a implementação formal da Travel Rule para o mercado cripto foi consolidada com o novo arcabouço regulatório de 2026.

A Resolução Bacen 519/2025 exige que todo VASP autorizado a operar no Brasil implemente sistemas de coleta, verificação e transmissão dos dados do ordenante e do beneficiário em transferências de ativos virtuais, alinhando-se assim às normas internacionais do GAFI. O prazo para os operadores existentes solicitarem autorização ao Bacen é 30 de outubro de 2026 — após esse prazo, a operação sem autorização é proibida.

Dados exigidos em cada transferência

Campo Ordenante Beneficiário
Nome completo Obrigatório Obrigatório
CPF (pessoa física) ou CNPJ (pessoa jurídica) Obrigatório Obrigatório
Endereço da carteira / número da conta Obrigatório Obrigatório
Endereço físico ou data de nascimento Obrigatório Conforme jurisdição
Montante e ativo transferido Obrigatório Obrigatório

A principal diferença em relação ao regime europeu: o Brasil utiliza o CPF (Cadastro de Pessoas Físicas) como identificador único de pessoas físicas — e não o número de identificação fiscal europeu (NIF) — e o CNPJ (Cadastro Nacional da Pessoa Jurídica) para empresas.

Arcabouço regulatório no Brasil: Bacen, COAF e Receita Federal

Banco Central do Brasil (Bacen)

O Bacen é a autoridade responsável pela autorização e supervisão dos VASPs no Brasil, por força da Lei nº 14.478/2022 (Lei dos Criptoativos) e das Resoluções CMN 519-521/2025. A autorização do Bacen substitui o registro anterior perante a Receita Federal e torna-se requisito obrigatório para a prestação de serviços com ativos virtuais no território nacional.

Os VASPs que ainda não submeteram pedido de autorização ao Bacen devem fazê-lo até 30 de outubro de 2026, sob pena de ter as atividades encerradas e de responder por operação irregular no Sistema Financeiro Nacional.

COAF — Unidade de Inteligência Financeira

O COAF (Conselho de Controle de Atividades Financeiras) é a unidade de inteligência financeira do Brasil, equivalente ao Tracfin francês ou ao CTIF belga. Os VASPs são obrigados a comunicar ao COAF operações suspeitas e operações em espécie acima de R$ 50.000,00, conforme a Resolução COAF nº 36/2021 e normativas subsequentes.

O COAF publicou em 2024 tipologias específicas de lavagem de dinheiro em criptoativos, descrevendo padrões de comportamento suspeito que incluem transações em sequência imediatamente após a abertura de conta, uso de múltiplas carteiras não custodiadas para fragmentar valores e transações com exchanges registradas em jurisdições de alto risco (lista GAFI).

Receita Federal do Brasil

A Receita Federal exige que exchanges e VASPs reportem mensalmente as operações de seus clientes com criptoativos — obrigação estabelecida pela Instrução Normativa RFB nº 1.888/2019. O Departamento de Monitoramento de Ativos Virtuais (Demap) da Receita Federal cruza as informações declaradas pelos VASPs com as declarações de imposto de renda dos contribuintes.

Documentos KYC exigidos dos VASPs no Brasil

Documentos para pessoas físicas

Para clientes pessoas físicas, os VASPs brasileiros devem coletar e verificar:

  • CPF (Cadastro de Pessoas Físicas) — documento de identidade tributária único, equivalente ao NIF europeu
  • RG (Registro Geral) ou CNH (Carteira Nacional de Habilitação) — documentos de identidade com foto aceitos
  • Comprovante de residência com menos de 90 dias (conta de luz, água, telefone ou extrato bancário)
  • Para clientes de alto risco ou transações acima de limiares estabelecidos: documentação de origem de recursos

Documentos para pessoas jurídicas

Para clientes empresariais:

  • CNPJ — identificador único de pessoa jurídica no Brasil
  • Contrato Social ou Estatuto atualizado, registrado na Junta Comercial competente
  • Certidão Simplificada da Junta Comercial (equivalente ao Certidão Permanente português)
  • Documentos de identidade (CPF + RG/CNH) dos sócios e administradores
  • Para sociedades com participação acima de 25 %: documentos dos beneficiários finais

A plataforma CheckFile cobre mais de 3.200 tipos de documentos em 32 jurisdições com suporte OCR em 24 línguas, incluindo documentos brasileiros em português — do CPF ao CNPJ — permitindo às equipas de conformidade processar expedientes nacionais e internacionais num único fluxo de trabalho. Consulte as soluções KYC da CheckFile.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Pedir um piloto gratuito

LGPD e proteção de dados dos clientes

A Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) aplica-se ao tratamento de dados pessoais realizado pelos VASPs no Brasil, incluindo os dados coletados para fins de KYC e Travel Rule. A ANPD (Autoridade Nacional de Proteção de Dados) supervisiona o cumprimento da LGPD.

Para os VASPs, isso significa que:

  • Os dados coletados para KYC devem ter uma base legal explícita (cumprimento de obrigação legal, no caso do KYC regulatório)
  • Os clientes têm direito de acessar, corrigir e solicitar a eliminação dos seus dados (com as limitações impostas pelas obrigações de retenção regulatória)
  • A transferência de dados de clientes para VASPs internacionais no âmbito da Travel Rule deve respeitar as regras de transferência internacional de dados da LGPD

Implementação técnica: protocolos de mensageria

Protocolo Tipo Adoção no Brasil Interoperabilidade
TRISA Código aberto / PKI Crescente Global
Notabene SaaS comercial Forte Global
OpenVASP Código aberto Limitada Principalmente Europa

O Brasil não impõe um protocolo específico — os VASPs são livres de adotar a solução que garanta a transmissão segura e verificável dos dados exigidos pelo Bacen.

Lista de verificação de conformidade para VASPs no Brasil

  • Submeter pedido de autorização ao Bacen até 30 de outubro de 2026
  • Implementar sistema de coleta e transmissão de dados Travel Rule (CPF/CNPJ obrigatórios)
  • Registar obrigações de comunicação ao COAF (operações suspeitas + espécie acima de R$ 50 mil)
  • Cumprir as obrigações de reporte mensal à Receita Federal (IN RFB 1.888/2019)
  • Adaptar a política de privacidade e o aviso de proteção de dados à LGPD
  • Implementar triagem em listas de sanções internacionais (OFAC, ONU, UE)
  • Conservar registos Travel Rule durante pelo menos cinco anos
  • Formar a equipa de compliance nas tipologias de lavagem de dinheiro com criptoativos do COAF

Para mais informação sobre o quadro de conformidade cripto, consulte os nossos artigos sobre CARF/DAC8 e declaração de ativos cripto e sobre monitorização de transações AML.

Perguntas frequentes

O limiar da Travel Rule no Brasil é o mesmo que na Europa (zero euros)?

Não. O Brasil não adotou um limiar zero. A Circular Bacen 3.978/2020 e as Resoluções 519-521/2025 exigem a transmissão de dados Travel Rule nas transferências entre VASPs, mas o limiar específico e os detalhes técnicos de implementação devem ser verificados nas normativas Bacen mais recentes, uma vez que as regras foram ainda recentemente publicadas e podem estar sujeitas a regulamentação adicional.

O CNPJ é suficiente como identificador de pessoa jurídica para a Travel Rule?

Sim. O CNPJ é o identificador único oficial de pessoas jurídicas no Brasil e é aceite como equivalente funcional do NIPC português ou do número de empresa belga para efeitos de identificação Travel Rule. Os VASPs devem verificar a validade e atividade do CNPJ junto à Receita Federal.

O que acontece se um VASP brasileiro receber uma transferência de uma exchange não autorizada pelo Bacen?

O VASP brasileiro deve avaliar o risco da operação e, se detectar indícios de irregularidade — como a origem ser uma plataforma não registada em nenhuma jurisdição com regime AML reconhecido —, deve considerar a comunicação ao COAF. O Bacen pode ainda impor restrições aos VASPs que mantenham relações de negócio com contrapartes de jurisdições de alto risco.

A LGPD entra em conflito com as obrigações de retenção de dados da Travel Rule?

Não diretamente. A LGPD permite a retenção de dados pessoais quando existe uma obrigação legal que o imponha — o que é o caso das obrigações de conservação previstas na regulamentação Bacen e nas normas COAF (mínimo cinco anos). O conflito potencial surge nos direitos de eliminação dos titulares, que não se aplicam quando a conservação é imposta por lei.

Os VASPs estrangeiros que atendem clientes brasileiros precisam de autorização do Bacen?

Sim, se oferecerem serviços a residentes no Brasil a partir de 2026. A Resolução Bacen 519/2025 estabelece que a autorização é necessária para qualquer VASP que preste serviços a clientes domiciliados no Brasil, independentemente da localização geográfica do provedor.

Mantenha-se informado

Receba as nossas análises de conformidade e guias práticos diretamente no seu email.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Artigos relacionados

Conformidade16 min

Segurança cibernética no Brasil: verificação documental para setores críticos 2026

Resolução CMN nº 4.893/2021, LGPD e E-Ciber: obrigações de verificação documental para infraestruturas críticas no Brasil em 2026. Fornecedores, pessoal e notificação de incidentes.

Ler
Conformidade8 min

Países de alto risco GAFI 2026: obrigações PLD-FT no Brasil

Listas negra e cinza do GAFI atualizadas em fevereiro de 2026: impacto nas obrigações PLD-FT das pessoas obrigadas no Brasil segundo a Lei 9.613/1998, a Circular Bacen 3.978/2020 e as normas do COAF.

Ler
Conformidade13 min

Declaração de Criptoativos no Brasil: IN 1888 e 2026

Obrigações de declaração de criptoativos no Brasil em 2026: IN 1888/2019, Lei 14.478/2022, prazos Receita Federal, multas e requisitos KYC para PSAVs.

Ler