Toda obrigação central da Circular BCB 3.978/2020 — identificar o cliente, qualificar, classificar por risco, descobrir o beneficiário final, rastrear pessoa exposta politicamente (PEP) e monitorar movimentações continuamente — só se cumpre consumindo dado externo que a instituição não produz internamente. É por isso que, em 2026, o PLD-FT (prevenção à lavagem de dinheiro e ao financiamento do terrorismo) deixou de ser uma área de controle interno para se tornar o maior vetor estrutural de demanda por dados cadastrais e societários no sistema financeiro brasileiro. Quem compra dados em fintech compra, antes de tudo, capacidade de provar conformidade.

O que é a Circular BCB 3.978 — definição

A Circular nº 3.978, de 23 de janeiro de 2020, é a norma do Banco Central do Brasil (BACEN) que disciplina a política, os procedimentos e os controles internos de prevenção à lavagem de dinheiro e ao financiamento do terrorismo para as instituições autorizadas a funcionar pelo BACEN. Em vigor desde 1º de julho de 2020, ela substituiu um modelo prescritivo — uma lista fechada de obrigações iguais para todos — por uma abordagem baseada em risco (ABR), que exige da instituição diagnosticar seus próprios riscos e calibrar controles proporcionalmente (fonte: BACEN, Circular 3.978, 2020, normativos.bcb.gov.br).

A consequência prática dessa virada é direta: numa regra prescritiva, bastaria coletar os campos exigidos. Numa abordagem baseada em risco, a instituição precisa demonstrar que conhece o cliente em profundidade compatível com o risco que ele representa — e profundidade, no mundo cadastral, é sinônimo de mais fontes de dados cruzadas, atualizadas e auditáveis.

A avaliação interna de risco é o documento que fundamenta toda a abordagem baseada em risco: é o diagnóstico do qual decorre o que fazer, como fazer e em qual nível de profundidade — e cada nível adicional de profundidade é, na prática, um dado externo a mais que precisa ser consultado.

Identificação e qualificação: o primeiro consumo de dado

As três camadas encadeadas do conhecimento do cliente na 3.978

  1. 1
    Identificação

    Definir quem é o cliente, validando CNPJ, situação cadastral e quadro societário contra fonte oficial da Receita Federal.

  2. 2
    Qualificação

    Estimar perfil e capacidade financeira cruzando dados públicos, societários e de relacionamento — não basta o que o cliente declara.

  3. 3
    Classificação

    Atribuir o nível de risco que calibra a profundidade dos controles na abordagem baseada em risco.

BACEN, Circular 3.978, 2020

A 3.978 estrutura o conhecimento do cliente em três camadas encadeadas: identificação (quem é), qualificação (qual o perfil e a capacidade financeira) e classificação (qual o risco). Nenhuma das três se resolve apenas com o que o cliente declara no cadastro.

A identificação de pessoa jurídica exige validar CNPJ, situação cadastral e quadro societário; a fonte oficial é a Receita Federal, e a regulação brasileira de 2026 demanda validação contra fontes oficiais, não apenas bases declaratórias (fonte: VoveID, 2026, blog.voveid.com). A qualificação — estimar a capacidade financeira e a renda presumida — só ganha robustez cruzando dados públicos, societários e de relacionamento. Foi justamente a falha em verificar a origem e a capacidade financeira dos clientes que o BACEN apontou no caso Topázio, ao multar a instituição em R$ 16,2 milhões em 2026 (fonte: Times Brasil/CNBC, 2026, timesbrasil.com.br).

KYC e KYB — definição operacional

KYC (Know Your Customer) é o processo de conhecer o cliente pessoa física; KYB (Know Your Business) é o equivalente para pessoa jurídica. Em 2026, o KYB no Brasil deixou de ser uma simples consulta de CNPJ: combina análise de cadeia societária, verificação de beneficiário final e onboarding alinhado às regras de AML (anti-money laundering) (fonte: VoveID, 2026, blog.voveid.com). Cada uma dessas etapas é um ponto de consumo de dado externo: registro societário, vínculos, processos, mídia adversa, listas restritivas.

Beneficiário final: a obrigação que mais consome dado

O beneficiário final é a pessoa natural que, em última instância, controla ou se beneficia de uma pessoa jurídica. A 3.978 determina que a qualificação de cliente PJ inclua a análise da cadeia de participação societária até a identificação da pessoa natural caracterizada como beneficiário final, com valor mínimo de referência de participação que não pode ser superior a 25%, considerando participação direta e indireta (fonte: BACEN, Circular 3.978, 2020, normativos.bcb.gov.br).

Esta é a obrigação que melhor ilustra a tese deste artigo. Descer a cadeia societária de uma holding que controla outra holding que controla a empresa cliente, até encontrar o ser humano por trás, é impossível com dados internos. Exige consultar repetidamente bases societárias, cruzar quadros de administração, identificar participações indiretas e fechar a árvore de propriedade. Sem dado societário externo, atualizado e estruturado, a obrigação de beneficiário final é, literalmente, inexequível.

Obrigação da 3.978Dado externo que ela exige consumirPor que o dado interno não basta
Identificação do cliente PJCNPJ, situação cadastral, quadro societário (Receita Federal)Cadastro declarado precisa ser validado contra fonte oficial
Qualificação / capacidade financeiraRenda presumida, vínculos, dados patrimoniais públicosO cliente não revela voluntariamente sua real capacidade
Beneficiário finalCadeia societária completa até a pessoa naturalParticipações indiretas só aparecem cruzando bases externas
Identificação de PEPListas de pessoas expostas politicamente e parentesO status de PEP muda e nunca é autodeclarado de forma confiável
Sanções e listas restritivasListas OFAC, ONU, CSNU, mídia adversaAtualização diária externa; defasagem gera risco regulatório
Monitoramento contínuoReprocessamento periódico de todas as fontes acimaRisco é dinâmico; foto inicial expira

PEP: status que muda e nunca é autodeclarado

A pessoa exposta politicamente (PEP) é aquela que exerce ou exerceu funções públicas relevantes, além de seus familiares e estreitos colaboradores. A 3.978 refinou a definição de parentes de PEP, aumentando a precisão técnica para evitar que praticamente toda a base de clientes fosse classificada como exposta (fonte: idwall, 2020-2026, blog.idwall.co).

O problema operacional do PEP é temporal: o status muda. Um cliente comum pode assumir cargo público; um parente pode entrar na cadeia de relacionamento. Por isso a verificação de PEP não é um evento de onboarding — é uma consulta recorrente a listas externas mantidas e atualizadas por terceiros. A instituição que checa PEP apenas na abertura da conta está, na prática, descumprindo a norma alguns meses depois.

Monitoramento contínuo: o dado que nunca para de ser consumido

ConJur / CNN Brasil, 2025-2026

O ponto onde a demanda por dado se torna permanente é o monitoramento contínuo. A 3.978 obriga a instituição a acompanhar selecionar e analisar operações ao longo de todo o relacionamento, comunicando ao COAF aquelas que apresentem indícios de lavagem ou financiamento ao terrorismo. Isso significa reprocessar, periodicamente, todas as fontes externas já citadas — cadastro, societário, PEP, sanções, mídia adversa — porque o risco é dinâmico e a foto tirada no onboarding expira.

Os números do COAF (Conselho de Controle de Atividades Financeiras) mostram a escala dessa máquina de monitoramento:

  1. O COAF recebeu um recorde de 3,1 milhões de comunicações de operações suspeitas em 2025, alta de 20% sobre o ano anterior (fonte: ConJur, 2026, conjur.com.br).
  2. O Conselho produziu 20.548 Relatórios de Inteligência Financeira (RIFs) em 2025, média de 56 por dia, 9,5% acima dos 18.762 de 2024 (fonte: ConJur, 2026, conjur.com.br).
  3. O volume de comunicações de operações suspeitas cresceu 766,6% em nove anos, de 296.183 alertas em 2015 para mais de 2,5 milhões em 2024 (fonte: CNN Brasil, 2025, cnnbrasil.com.br).
  4. Em março de 2026, COAF, FEBRABAN e ABBC assinaram acordo de cooperação técnica para modernizar os sistemas do órgão com inteligência artificial e participação financeira do setor bancário (fonte: ConJur, 2026, conjur.com.br).

Esse mesmo acordo de 2026 reconhece um efeito colateral conhecido: muitas instituições comunicam em excesso para se proteger de sanções, sem analisar a qualidade da informação enviada — sobrecarregando o COAF e reduzindo a efetividade do sistema (fonte: ConJur, 2026, conjur.com.br). A leitura para o comprador de dados é precisa: o gargalo migrou de quantidade para qualidade. Comunicar muito é barato; comunicar bem exige dado contextual que reduza falso positivo — e isso é, de novo, demanda por dado externo melhor.

Por que o PLD-FT virou o núcleo da demanda por dados

Existe uma diferença econômica decisiva entre o dado de PLD-FT e o dado de score de crédito. O score é uma decisão de negócio: a instituição compra porque quer aprovar melhor. O dado de PLD-FT é uma obrigação não negociável: a instituição compra porque a alternativa é a sanção regulatória. No caso Topázio, além da multa de R$ 16,2 milhões à instituição, dirigentes receberam penalidades individuais — um ex-servidor do BACEN foi proibido de atuar por cinco anos e multado em R$ 732 mil (fonte: Times Brasil/CNBC, 2026, timesbrasil.com.br).

Mecanismos de PLD-FT passaram a ocupar posição central nas fiscalizações do BACEN, sobretudo em operações de câmbio e movimentações com criptoativos (fonte: Times Brasil/CNBC, 2026, timesbrasil.com.br). Quando o regulador transforma controle de risco em vetor primário de fiscalização e responsabilização pessoal de dirigentes, o orçamento de dados deixa de ser discricionário.

Esse efeito se amplifica com o contexto macro de 2026: o ecossistema brasileiro tem cerca de 2.000 fintechs ativas, e a janela de autorização de instituições de pagamento prevista nas Resoluções BCB 494-497/2025 — com prazo em maio de 2026 e limite de R$ 15 mil em Pix para não reguladas — empurra centenas de operações para dentro do perímetro regulado, e portanto para dentro das obrigações da 3.978. Cada nova entrante é um novo comprador estrutural de dado cadastral.

O score de crédito responde à pergunta "devo aprovar?". O dado de PLD-FT responde à pergunta "posso continuar operando?". A segunda pergunta não tem caixa de "não comprar".

O que o comprador de dados deve exigir

O custo por consulta separa o programa sustentável do insustentável

Validação cadastral via A…R$ 0,05Validação cadastral via A…R$ 0,50Pacote completo de bureau…R$ 30+
Dinheiro da Minha Empresa / Brasil GEO, 2026

Para quem ocupa as cadeiras de risco, fraude, compliance ou dados em fintech, a 3.978 redefine o critério de compra. Não basta a fonte existir; ela precisa ser auditável. O Head de Compliance que apresenta uma decisão de classificação de risco ao BACEN precisa reconstruir a trilha: qual dado, de qual fonte, em qual data, sustentou aquela decisão. Por isso, ao contratar dado cadastral e societário para fins de PLD-FT, três atributos pesam mais do que preço unitário:

  • Rastreabilidade da fonte — cada campo entregue precisa carregar origem e data, porque a defesa perante o regulador é documental.
  • Atualização compatível com monitoramento — societário, PEP e sanções defasados geram comunicação tardia, exatamente o que o caso Topázio penalizou.
  • Profundidade societária real — fechar a cadeia até o beneficiário final, com participações indiretas, separa o provedor que cumpre a norma do que apenas consulta CNPJ.

O posicionamento dos provedores de DaaS (data as a service) e bureaus complementares neste mercado é claro: atuam onde preço e flexibilidade de API decidem — validação cadastral, KYB, dados societários e enriquecimento — complementando os bureaus tradicionais em vez de competir de frente em score. A validação cadastral via API custa, em mercado, entre R$ 0,05 e R$ 0,50 por consulta, contra mais de R$ 30 num pacote completo de bureau com score. Para uma obrigação que se repete a cada monitoramento de cada cliente, essa diferença de custo por consulta efetiva é o que separa um programa de PLD-FT sustentável de um insustentável.

Conclusão: conformidade é consumo de dado

A Circular BCB 3.978 não menciona "compra de dados" em nenhum artigo. Mas ao exigir identificação validada, qualificação por capacidade financeira, classificação por risco, descoberta de beneficiário final, rastreio de PEP e monitoramento contínuo, ela tornou cada obrigação um ato de consumo de dado externo. Em 2026, com o COAF batendo recordes de comunicação, o BACEN responsabilizando dirigentes e centenas de fintechs entrando no perímetro regulado, o PLD-FT consolidou-se como o núcleo estrutural — não cíclico — da demanda por dados cadastrais e societários no Brasil. Para o comprador de dados em fintech, a pergunta deixou de ser "compensa comprar?" e passou a ser "qual fonte sustenta minha defesa perante o regulador?".

Perguntas frequentes

A Circular 3.978 obriga a comprar dados externos?

Não de forma literal. A norma não cita compra de dados. Mas obrigações como validar identificação contra fonte oficial, descobrir o beneficiário final pela cadeia societária e checar PEP e sanções só se cumprem consumindo dado que a instituição não produz internamente. Na prática, o consumo de dado externo é a única forma viável de cumprir a 3.978.

Qual é o limite de participação para definir beneficiário final?

A 3.978 estabelece que o valor mínimo de referência da participação societária não pode ser superior a 25%, considerando participação direta e indireta, na análise da cadeia até a pessoa natural caracterizada como beneficiário final (fonte: BACEN, Circular 3.978, 2020).

Por que verificar PEP no onboarding não é suficiente?

Porque o status de pessoa exposta politicamente muda ao longo do tempo: um cliente pode assumir cargo público ou um parente pode entrar na cadeia de relacionamento. A 3.978 trata PEP no contexto do monitoramento contínuo, o que exige consultas recorrentes a listas externas, não uma checagem única na abertura da conta.

O que o caso Topázio mudou na fiscalização de PLD-FT?

O BACEN multou o Banco Topázio em R$ 16,2 milhões e penalizou dirigentes individualmente por falhas em capacidade financeira de clientes, procedimentos cadastrais e controles de PLD-FT, sobretudo em câmbio ligado a criptoativos. O caso sinalizou que mecanismos de PLD-FT passaram a ocupar posição central nas fiscalizações, com responsabilização pessoal (fonte: Times Brasil/CNBC, 2026).

Quanto custa, em mercado, uma consulta cadastral para PLD-FT?

A validação cadastral via API custa, em faixa de mercado, entre R$ 0,05 e R$ 0,50 por consulta, enquanto um pacote completo de bureau com score pode passar de R$ 30. Como o monitoramento contínuo repete consultas para toda a base, o custo por consulta efetiva é determinante na sustentabilidade do programa.

Por que comunicar muito ao COAF não resolve?

O acordo COAF-FEBRABAN-ABBC de março de 2026 reconheceu que muitas instituições comunicam em excesso para se proteger de sanções, sem analisar a qualidade da informação, o que sobrecarrega o órgão e reduz a efetividade. O desafio migrou de quantidade para qualidade, o que exige dado contextual melhor para reduzir falso positivo (fonte: ConJur, 2026).

Leia também no DataHub

Fontes

  1. BACEN — Circular nº 3.978, de 23 de janeiro de 2020 (2020)
  2. ConJur — Coaf produz mais RIFs em 2025 e tem recorde de comunicações suspeitas (2026)
  3. Times Brasil/CNBC — BC multa Topázio em R$ 16,2 milhões e veta operações com cripto (2026)
  4. Times Brasil/CNBC — O que é PLD/FT: a falha apontada pelo BC no caso Topázio (2026)
  5. VoveID — KYB in Brazil 2026: Business Verification Requirements for Fintech Platforms (2026)
  6. CNN Brasil — Coaf registrou aumento de 766% na comunicação de operações suspeitas (2025)
  7. idwall — Circular 3.978: o que é e regras para o processo de PLD (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos