Para um banco médio em 2026, o gargalo de KYB (Know Your Business, ou conhecimento da pessoa jurídica) não é a falta de dados de risco PJ, e sim o excesso deles espalhado por fornecedores que não conversam. A consolidação de cadastro, quadro societário, beneficiário final e listas restritivas em uma única camada de dados auditável é o que separa uma operação que passa na fiscalização do Banco Central (BACEN) de uma que paga por consulta redundante e não consegue reconstruir uma decisão de onboarding seis meses depois.

O problema específico do banco médio

LexisNexis Risk Solutions, 2025; IN RFB 2.290/2025; Circular BACEN 3.978/2020

O banco médio brasileiro vive um aperto particular. Ele tem a mesma obrigação regulatória de um grande banco de varejo — a Circular BACEN nº 3.978/2020, a Lei nº 9.613/1998 de prevenção à lavagem de dinheiro (PLD) e, desde 1º de janeiro de 2026, a nova disciplina de beneficiário final da Receita Federal — mas opera com uma fração do orçamento de tecnologia e do time de compliance. Não tem o luxo de um time de dados dedicado a integrar fontes, nem a escala que justifica desenvolver um motor de risco proprietário.

O resultado prático é uma colcha de retalhos. Um fornecedor para validar CNPJ na Receita Federal, outro para quadro societário, um terceiro para listas de sanções e Pessoas Expostas Politicamente (PEP), um quarto para protesto e negativação, talvez um quinto para enriquecimento de endereço. Cada um com seu contrato, seu modelo de cobrança e seu formato de retorno. O analista de onboarding abre cinco abas para aprovar uma conta PJ. É o que o mercado chama de vendor sprawl — a dispersão de fornecedores que, somada, custa mais e entrega menos do que a parte das integrações sugeriria.

O risco não está em nenhum fornecedor isolado. Está na costura: quando cinco fontes divergem sobre quem controla a empresa, é o banco — não o fornecedor — que responde ao BACEN pela decisão que tomou.

O que é KYB — definição

KYB (Know Your Business) é o processo de validar uma pessoa jurídica antes e durante o relacionamento: confirmar que a empresa existe e está ativa, mapear o quadro societário, rastrear a cadeia de controle até as pessoas físicas que estão por trás e checar restrições (sanções, protestos, processos, situação cadastral). Onde o KYC (Know Your Customer) valida o indivíduo, o KYB valida a entidade e, em seguida, aciona o KYC sobre cada sócio e beneficiário relevante. Em uma operação B2B típica, os dois coexistem: o KYB descreve a estrutura, o KYC qualifica as pessoas dentro dela.

Para o banco médio, KYB bem feito não é um carimbo no onboarding. É um ativo de risco que precisa ser atualizado ao longo de todo o ciclo de vida da conta, porque o perfil de uma PJ muda: um fornecedor saudável entra em recuperação judicial, um sócio é incluído em lista de sanções, o controle passa de mão sem que ninguém avise o banco.

Beneficiário final: o que mudou em 2026

O termo técnico para a pessoa física que, em última instância, controla ou se beneficia de uma empresa é beneficiário final (em inglês, UBO — Ultimate Beneficial Owner). Identificá-lo significa rastrear a cadeia societária inteira, atravessando holdings, fundos e estruturas no exterior até chegar a um CPF. O critério canônico, alinhado às recomendações do GAFI (Grupo de Ação Financeira Internacional), é a participação igual ou superior a 25% do capital ou dos direitos de voto, ou o exercício de influência significativa — como o poder de eleger a maioria dos administradores.

Em 30 de outubro de 2025, a Receita Federal publicou a Instrução Normativa RFB nº 2.290/2025, que instituiu o Formulário Digital de Beneficiários Finais (e-BEF), integrado ao CNPJ, com vigência a partir de 1º de janeiro de 2026 e implantação faseada das entregas entre 2027 e 2028 (fonte: gov.br/Receita Federal, 2025, gov.br). A norma exige identificação mais ampla e contínua das pessoas físicas que detenham participação, controle ou influência significativa, mantendo o limiar de 25% e estendendo a exigência a fundos de investimento e estruturas patrimoniais.

O que torna a IN RFB 2.290/2025 relevante para o banco — e não apenas para a empresa cliente — é a sanção. A omissão, inexatidão ou atraso na entrega do e-BEF sujeita a entidade a multa de R$ 1.500,00 por mês-calendário de atraso e, no limite, à suspensão do CNPJ, com impedimento de movimentar contas, fazer aplicações financeiras e obter empréstimos (fonte: Marins Bertoldi, 2025, marinsbertoldi.com.br). Um CNPJ suspenso por falha de beneficiário final é um cliente que o banco não pode mais operar — e que o banco precisava ter sinalizado antes.

PLD e a lente da supervisão do BACEN

A espinha dorsal regulatória continua sendo a Circular BACEN nº 3.978/2020, que estabelece os procedimentos de conheça-seu-cliente para instituições autorizadas, incluindo identificação de beneficiário final e classificação de risco. O valor de referência mínimo de participação societária para identificar o beneficiário final deve ser fundamentado em risco e não pode ultrapassar 25%, considerando participação direta e indireta (fonte: BACEN, Circular 3.978/2020, normativos.bcb.gov.br).

A metodologia exigida é a abordagem baseada em risco (ABR), em linha com o GAFI: as medidas de prevenção devem ser proporcionais aos riscos efetivamente identificados pela instituição em sua Avaliação Interna de Risco (AIR). Isso desloca o ônus para a instituição — não basta seguir um checklist; é preciso demonstrar que o esforço de diligência foi calibrado pelo risco de cada cliente, e ter o rastro documental que prove a calibragem.

Para a movimentação suspeita, o reporte ao COAF (Conselho de Controle de Atividades Financeiras) deve ser feito sem alertar o cliente, e as informações coletadas na identificação devem ser mantidas por no mínimo dez anos, contados a partir do primeiro dia do ano seguinte ao encerramento do relacionamento. Esse horizonte de dez anos é decisivo para a arquitetura de dados: o banco precisa conseguir reconstruir, uma década depois, qual era o quadro societário e o beneficiário final no momento de cada decisão.

O escopo da PLD/FT também se ampliou. As Resoluções BCB 519, 520 e 521, publicadas em novembro de 2025 com vigência a partir de fevereiro de 2026, submetem os prestadores de serviços de ativos virtuais (PSAVs) a obrigações de PLD/FT equivalentes às das instituições financeiras, exigindo identificação de titulares de carteiras de autocustódia e eliminando o anonimato em transações com contrapartes não reguladas (fonte: Barbieri Advogados, 2026, barbieriadvogados.com). Bancos médios com exposição a cripto herdam parte dessa diligência.

O custo real do vendor sprawl

O custo de compliance de crimes financeiros: global versus América Latina

Custo global anualUS$ 1,4 trilhãoAmérica Latina (Brasil à …US$ 15 bilhões
LexisNexis Risk Solutions, 2025

O peso financeiro não é abstrato. O Estudo de Custo Real de Compliance de Crimes Financeiros da LexisNexis Risk Solutions estima que o custo anual de compliance de crimes financeiros para a economia global chega a US$ 1,4 trilhão, e que as instituições financeiras precisam gastar dezenas de bilhões de dólares por ano em tecnologia de compliance (fonte: LexisNexis Risk Solutions, 2025, risk.lexisnexis.com.br). Na América Latina, com o Brasil à frente, a conta é da ordem de US$ 15 bilhões.

A pressão tende a crescer. A LexisNexis aponta um aumento de 56% em crimes financeiros apoiados por inteligência artificial, o que força os bancos a reavaliarem táticas e elevarem o gasto em prevenção. Bancos comerciais e instituições de pagamento são as instituições financeiras que mais investem contra fraudes, segundo a Pesquisa de Maturidade PLD/FTP da EY (fonte: EY Brasil, fevereiro de 2026, ey.com).

O custo por consulta é a parte visível. A parte cara é invisível: o tempo de analista costurando fontes, o retrabalho quando duas bases divergem, o risco de uma decisão que não pode ser auditada. A tabela abaixo contrasta os dois modelos operacionais.

DimensãoVendor sprawl (múltiplos fornecedores)Camada de dados de risco PJ consolidada
Cadastro e situação CNPJFornecedor A — formato e SLA própriosFonte unificada, normalizada
Quadro societário e beneficiário finalFornecedor B — reconciliação manualCadeia de controle resolvida até o CPF
Sanções e PEPFornecedor C — lista isoladaCruzamento automático no mesmo fluxo
Protesto, processos, recuperação judicialFornecedor D — consulta avulsaMonitoramento contínuo no perfil
Custo por consultaSoma de tarifas + redundânciaConsolidado, sem duplicar dados iguais
Rastro de auditoria (10 anos)Fragmentado entre sistemasDecisão reconstruível, versionada
Resposta à fiscalização BACENReunir evidências de cinco lugaresLinha do tempo única por cliente

Como consolidar dados de risco PJ

Os 6 passos para consolidar os dados de risco PJ

  1. 1
    Mapear o estado atual

    Inventariar fornecedores ativos, o que cada um entrega, o custo por consulta e onde há sobreposição.

  2. 2
    Definir a entidade canônica

    Estabelecer o CNPJ como chave primária e modelar a empresa e sua cadeia societária como um grafo de relacionamentos.

  3. 3
    Resolver a cadeia de controle

    Aplicar a regra de 25% direta e indireta, atravessando holdings até chegar às pessoas físicas.

  4. 4
    Cruzar listas restritivas no mesmo fluxo

    Sanções, PEP e mídia adversa sobre cada nó do grafo, e não como checagem separada e tardia.

  5. 5
    Ligar o monitoramento contínuo

    Acompanhar em tempo real mudanças cadastrais, novos protestos, alterações de controle e entradas em listas.

  6. 6
    Versionar para auditoria

    Guardar o estado de cada decisão com fonte e carimbo de tempo, para reconstruir o racional dez anos depois.

Consolidar não significa trocar cinco fornecedores por um único monopólio de dados. Significa construir uma camada de orquestração — uma fonte da verdade — que recebe, normaliza e versiona o que vem de fontes diversas, resolve divergências por regra explícita e entrega ao analista uma visão única e auditável. A sequência abaixo descreve o caminho que um banco médio percorre.

  1. Mapear o estado atual. Inventariar todos os fornecedores ativos, o que cada um entrega, o custo por consulta e onde há sobreposição. É comum descobrir que três fontes distintas pagam pelo mesmo dado de quadro societário.
  2. Definir a entidade canônica. Estabelecer o CNPJ como chave primária e modelar a empresa, seu quadro societário e sua cadeia de beneficiário final como um grafo de relacionamentos — não como campos soltos em planilha.
  3. Resolver a cadeia de controle. Implementar a regra de 25% direta e indireta, atravessando holdings e estruturas intermediárias até chegar a pessoas físicas, conforme exigem a Circular 3.978/2020 e a IN RFB 2.290/2025.
  4. Cruzar listas restritivas no mesmo fluxo. Sanções, PEP e mídia adversa aplicadas sobre cada nó do grafo, não como uma checagem separada e tardia.
  5. Ligar o monitoramento contínuo. Acompanhar em tempo real mudanças de situação cadastral, novos protestos, alterações de controle e entradas em listas — porque o risco da PJ muda depois do onboarding.
  6. Versionar para auditoria. Guardar o estado de cada decisão no momento em que foi tomada, com fonte e carimbo de tempo, para reconstruir o racional dez anos depois diante do BACEN ou do COAF.

O ganho não é apenas eficiência. É a capacidade de provar a abordagem baseada em risco. Quando o supervisor pergunta por que uma conta de alto risco foi aprovada, a resposta precisa ser uma linha do tempo coerente — e não um esforço arqueológico entre sistemas que não se falam.

A auditoria do BACEN como teste de arquitetura

A fiscalização do Banco Central não testa apenas se o banco coletou dados. Testa se o banco consegue explicar suas decisões. Uma operação com vendor sprawl tende a passar bem no onboarding e mal na auditoria: os dados existem, mas estão fragmentados, sem versão e sem trilha. Uma camada consolidada inverte essa lógica — a evidência já nasce organizada por cliente, com origem e data.

O custo de oportunidade do modelo fragmentado aparece justamente aqui. Reunir evidências de cinco fornecedores para responder a um questionamento regulatório consome semanas de um time pequeno. Em um modelo consolidado, é uma consulta. Para o banco médio, que não pode multiplicar headcount de compliance, essa diferença é estrutural: define se a área de risco escala junto com a carteira ou vira gargalo.

Em 2026, a pergunta deixou de ser "temos os dados?" e passou a ser "conseguimos reconstruir a decisão?". É a segunda que a fiscalização cobra.

Perguntas frequentes

Qual a diferença entre KYB e KYC?

KYC (Know Your Customer) valida a pessoa física — identidade, qualificação e risco do indivíduo. KYB (Know Your Business) valida a pessoa jurídica: confirma que a empresa existe e está ativa, mapeia o quadro societário e rastreia a cadeia de controle até os beneficiários finais. Em operações B2B, os dois coexistem: o KYB descreve a estrutura da empresa e aciona o KYC sobre cada sócio e beneficiário relevante.

Por que o limiar de beneficiário final é 25%?

O critério de 25% de participação no capital ou nos direitos de voto, direta ou indireta, segue as recomendações do GAFI e é adotado tanto pela Circular BACEN nº 3.978/2020 quanto pela IN RFB nº 2.290/2025. Abaixo desse limiar, a influência significativa — como o poder de eleger a maioria dos administradores — também caracteriza beneficiário final. O valor de referência mínimo não pode ultrapassar 25% e deve ser fundamentado em risco.

O que muda com o e-BEF da IN RFB 2.290/2025 em 2026?

O Formulário Digital de Beneficiários Finais (e-BEF) passou a vigorar em 1º de janeiro de 2026, com implantação faseada entre 2027 e 2028, exigindo identificação mais ampla e contínua dos beneficiários finais, inclusive de fundos de investimento e estruturas patrimoniais. A omissão ou inexatidão sujeita a empresa a multa de R$ 1.500,00 por mês de atraso e à suspensão do CNPJ, com impedimento de movimentar contas e obter crédito (fonte: gov.br/Receita Federal, 2025).

Por que reduzir vendor sprawl em KYB?

Múltiplos fornecedores de dados de risco PJ geram custo por consulta redundante, retrabalho de reconciliação manual e, principalmente, um rastro de auditoria fragmentado. Quando o BACEN questiona uma decisão de onboarding, reunir evidências de cinco sistemas distintos consome semanas. Consolidar em uma camada única e versionada transforma essa reconstrução em uma consulta, o que é decisivo para bancos médios com times de compliance enxutos.

Por quanto tempo o banco deve guardar os dados de KYB e PLD?

A Circular BACEN nº 3.978/2020, alinhada à Lei nº 9.613/1998, exige reter as informações coletadas na identificação do cliente por no mínimo dez anos, contados a partir do primeiro dia do ano seguinte ao encerramento do relacionamento. Esse horizonte impõe que o banco consiga reconstruir o quadro societário e o beneficiário final vigentes no momento de cada decisão, o que reforça a necessidade de versionamento.

Quanto custa o compliance de crimes financeiros no Brasil?

O custo anual global de compliance de crimes financeiros chega a US$ 1,4 trilhão, segundo a LexisNexis Risk Solutions, e na América Latina — com o Brasil à frente — é da ordem de US$ 15 bilhões (fonte: LexisNexis Risk Solutions, 2025). A pressão cresce com o aumento de 56% em crimes apoiados por IA, o que torna a eficiência da arquitetura de dados, e não apenas o volume de consultas, o principal fator de custo controlável.

Leia também no DataHub

Fontes

  1. Receita Federal — Norma amplia transparência de beneficiários finais (IN RFB 2.290/2025) (2025)
  2. Marins Bertoldi — Novas regras sobre Beneficiário Final: IN RFB nº 2.290/2025 (2025)
  3. BACEN — Circular nº 3.978, de 23 de janeiro de 2020 (2020)
  4. Barbieri Advogados — Prevenção à Lavagem de Dinheiro 2026 (Resoluções BCB 519/520/521) (2026)
  5. LexisNexis Risk Solutions — Crime financeiro digital: desafios e soluções no Brasil (2025)
  6. EY Brasil — Bancos comerciais e IPs são as IFs que mais investem contra fraudes (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos