COAF, RIF e comunicação de operação suspeita: o fluxo de PLD em 2026

O fluxo de prevenção à lavagem de dinheiro no Brasil começa na ponta: uma pessoa obrigada identifica uma operação atípica, decide comunicá-la e a registra no SISCOAF. Em 2025, o Conselho de Controle de Atividades Financeiras (COAF) recebeu 7,6 milhões de comunicações no total e, dentro delas, um recorde de 3,1 milhões de comunicações de operação suspeita — 20% acima dos 2,5 milhões de 2024 (fonte: Relatório de Gestão Integrado do COAF 2025, abr/2026, gov.br/coaf). O órgão converteu esse volume em 20.548 Relatórios de Inteligência Financeira (RIF). O dever de comunicar não nasce de intuição: nasce de dado cadastral, monitoramento transacional e capacidade de detectar o que foge ao perfil do cliente.

O que é o COAF — e por que seu status institucional confunde o mercado

Conjur, 2026; GCAA, 2026

O COAF (Conselho de Controle de Atividades Financeiras) é a unidade de inteligência financeira do Brasil, criada pelo art. 14 da Lei nº 9.613/1998. Ele recebe, analisa e dissemina informações sobre operações suspeitas de lavagem de dinheiro e financiamento ao terrorismo. Não investiga nem acusa: produz inteligência. Recebe as comunicações das pessoas obrigadas, cruza dados e, quando há indícios consistentes, gera um RIF encaminhado às autoridades competentes — Ministério Público, polícias e, conforme o caso, à Receita Federal.

A vinculação institucional do órgão mudou de pasta três vezes em cinco anos, e essa trajetória explica boa parte da confusão que persiste no mercado. A Medida Provisória 893/2019 chegou a rebatizar o COAF de Unidade de Inteligência Financeira (UIF) e a vinculá-lo ao Banco Central. O Congresso, ao convertê-la na Lei nº 13.974/2020, rejeitou o nome UIF — manteve a sigla COAF — mas preservou a vinculação administrativa ao Banco Central, com autonomia técnica e operacional. Em 2023, a Medida Provisória 1.158 devolveu o órgão ao Ministério da Fazenda, onde permanece (fonte: Lei nº 13.974/2020, planalto.gov.br; Senado Notícias, jan/2020). Para quem opera compliance, a lição prática é simples: o COAF é funcionalmente uma UIF nos termos do GAFI, mantém autonomia técnica seja qual for a pasta, e quem ainda o trata como órgão "do Banco Central" trabalha com mapa institucional desatualizado.

A distinção funcional é central para entender 2026. O COAF é um filtro de sinal. A qualidade do que sai depende da qualidade do que entra. E o que entra são comunicações alimentadas por sistemas de monitoramento, listas de pessoas politicamente expostas, bases cadastrais de Pessoa Jurídica (PJ) e modelos de risco que apontam atipicidade. Sem dado bom na origem, o sistema gera ruído.

O fluxo de PLD em quatro estágios

A cadeia de prevenção à lavagem de dinheiro (PLD) e de combate ao financiamento do terrorismo (FT) tem uma arquitetura que se repete em qualquer setor obrigado. Compreendê-la evita confundir o papel de cada ator.

1. Detecção. A pessoa obrigada monitora operações e cadastros. Regras de negócio, escores de risco e alertas automáticos sinalizam o que destoa do perfil esperado do cliente. Exemplo concreto de atipicidade: um CNPJ com faturamento declarado de R$ 50 mil/mês que movimenta R$ 2 milhões em trinta dias, ou cujo quadro societário muda na véspera de uma operação de alto valor — o desvio só é visível para quem tem o perfil cadastral de referência.
2. Decisão de comunicar. Um analista revisa o alerta. Se confirmada a suspeita — e a suspeita não exige certeza de crime —, a operação vira uma Comunicação de Operação Suspeita (COS).
3. Registro no SISCOAF. A COS é enviada ao sistema do COAF. Há também a Comunicação de Operação em Espécie (COE), automática acima de limites objetivos, e a Comunicação de Não Ocorrência (CNO), declaração negativa periódica. As três somadas explicam por que o COAF recebeu 7,6 milhões de comunicações em 2025, das quais 3,1 milhões foram especificamente suspeitas (fonte: RGI COAF 2025, gov.br/coaf).
4. Inteligência e disseminação. O COAF agrega, cruza com outras comunicações e bases, e produz o RIF, encaminhado a quem tem competência para investigar.

A função do COAF não é produzir provas criminais. É produzir inteligência financeira que oriente quem investiga — distinção que ganhou peso jurídico em 2026, quando o Supremo Tribunal Federal fixou limites concretos para o uso desses relatórios (fonte: STF, RE 1.537.165, Tema 1.404, mar/2026).

RIF: o que é e o que mudou em 2026

O Relatório de Inteligência Financeira (RIF) é o produto analítico do COAF: um documento que reúne e contextualiza movimentações atípicas de uma ou mais pessoas, físicas ou jurídicas, encaminhado às autoridades competentes. Existem duas espécies. O RIF espontâneo nasce da própria análise do COAF a partir das comunicações recebidas. O RIF por intercâmbio — apelidado de "RIF por encomenda" — atende a pedido de uma autoridade que investiga.

Em 2025, o COAF entregou 20.548 RIF, média de 56 por dia, alta de 9,5% sobre os 18.762 de 2024 (fonte: RGI COAF 2025, gov.br/coaf). O órgão também recebeu 24.378 intercâmbios — queda de 3,5% sobre os 25.278 de 2024 —, dos quais as polícias civis responderam por 12.937 e a Polícia Federal por 5.488. Esse apetite por dados financeiros levou o tema ao Supremo Tribunal Federal (STF).

Em liminar de 27 de março de 2026, no Recurso Extraordinário nº 1.537.165 — com repercussão geral reconhecida sob o Tema 1.404 —, o ministro Alexandre de Moraes fixou critérios para a requisição e o uso dos RIF por encomenda. Os relatórios só podem ser pedidos quando há investigação criminal formalmente instaurada (inquérito policial ou procedimento investigatório do Ministério Público) ou processo administrativo ou judicial de natureza sancionadora; não podem ser a primeira nem a única medida da apuração, sob pena de "pesca probatória"; e o pedido deve identificar o investigado e justificar de forma concreta a pertinência temática (fonte: STF, RE 1.537.165, Tema 1.404, noticias.stf.jus.br). Em abril de 2026, o STF esclareceu que os RIF produzidos e entregues antes de 27 de março — ainda que sem inquérito formal à época — seguem integralmente válidos (fonte: Conjur, abr/2026, conjur.com.br). O debate sobre limites continuou aberto, com órgãos como CGU e Ministérios Públicos estaduais defendendo acesso mais amplo.

O dever de comunicar: quem, quando e como

O artigo 9º da Lei nº 9.613/1998 lista as pessoas obrigadas. Vão muito além de bancos: incluem instituições financeiras, factoring, mercado imobiliário, cartórios e registradores, comércio de joias e pedras preciosas, comércio de bens de luxo e alto valor, operadoras de câmbio, casas de apostas e intermediação de atletas e artistas. Para os setores sem regulador próprio — os chamados gatekeepers —, o COAF é o supervisor direto, o que concentra nele a vigilância.

O prazo é apertado. A COS deve ser enviada em até 24 horas após o conhecimento do fato. Para instituições supervisionadas pelo Banco Central, há até 45 dias para concluir a análise; tomada a decisão de comunicar, o envio ao SISCOAF ocorre até o dia útil seguinte (fonte: VAAS, 2026, vaas.com.br). A Comunicação de Não Ocorrência referente a 2025 teve prazo até 31/01/2026 (fonte: COAF, gov.br/coaf). Não comunicar quando havia dever de comunicar é infração autônoma — e cara, como detalha a tabela de penalidades adiante.

Quem alimenta o recorde: o ranking de setores comunicantes

O salto de volume não é homogêneo. Três grupos de setores explicam a curva, e a ordem importa para quem desenha um programa de PLD.

Cartórios e registradores lideram em volume. Quase 70% das comunicações de operação suspeita enviadas ao COAF vêm dos cartórios — eles já chegaram a comunicar quase quatro vezes mais que o conjunto das instituições bancárias (fonte: Anoreg/BR, anoreg.org.br). O registro de imóveis e de pessoas jurídicas é a porta por onde passa boa parte das operações de alto valor da economia, o que faz do cartório um sensor naturalmente prolífico.

Bancos mudaram de patamar. As comunicações bancárias ao COAF saltaram de 248.878 em 2020 para 1.199.644 em 2025 — alta de 382% em cinco anos (fonte: Metrópoles, 2026, metropoles.com). O Banco Central atribui o crescimento a melhorias de tecnologia e monitoramento; especialistas somam a expansão digital, o uso de IA e novos segmentos como criptoativos.

Setores recém-regulados produziram os choques de 2025. As regras das casas de apostas (bets) passaram a vigorar em janeiro de 2025; o resultado foi imediato — o COAF registrou 27.600 comunicações de operações suspeitas ligadas a apostas e loterias online em 2025, contra apenas 928 em 2024 (fonte: iGaming Brazil, 2026, igamingbrazil.com). O setor de bens de luxo quase dobrou, de 18.375 para 36.083 COS, e joias, pedras e metais preciosos somaram 2.624 (fonte: GCAA, 2026, análise do RGI COAF 2025, gcaa.com.br).

Por que o volume bateu recorde — e por que a fiscalização endureceu

O volume de COS enviadas ao COAF cresceu 766% entre 2015 e 2024, saindo de 296.183 para 2.566.713 registros, e 2025 acrescentou mais 20% (fonte: Poder360, 2026, poder360.com.br). Dois vetores explicam a curva: a entrada de novos setores obrigados, já documentada no ranking acima, e a maturidade da fiscalização.

Em 2025, o COAF aplicou R$ 96,9 milhões em multas, alta de quase 120% sobre 2024, com valor médio por processo administrativo sancionador de R$ 835,9 mil, e concluiu 277 averiguações (fonte: GCAA, 2026, gcaa.com.br). A maior parte das penalidades pune justamente falhas em identificar e comunicar operações suspeitas. Para o setor obrigado, a equação ficou simples: o custo de não comunicar superou o custo de investir em dado e monitoramento.

O custo de não comunicar: as sanções do artigo 12

O artigo 12 da Lei nº 9.613/1998 define a escala de penalidades para a pessoa obrigada — e para os administradores da pessoa jurídica — que descumpre os deveres de identificação, registro e comunicação. As sanções são cumulativas conforme a gravidade, e a boa-fé alegada não afasta a responsabilidade.

O ponto que diretores de risco costumam subestimar: a multa de "1% até o dobro do valor da operação" não tem teto fixo em reais — ancora-se no tamanho da operação não comunicada. Em uma operação de R$ 10 milhões, a banda de multa por falha de comunicação vai de R$ 100 mil a R$ 20 milhões. A média observada de R$ 835,9 mil por processo em 2025 é a fotografia de uma fiscalização que ainda está longe do teto legal.

Como dados e monitoramento alimentam o dever de comunicar

Aqui está o elo que conecta tecnologia de dados à obrigação legal. A decisão de comunicar pressupõe uma referência: o que é típico para aquele cliente? Sem cadastro confiável, não há perfil; sem perfil, não há como medir desvio. A abordagem baseada em risco — exigência regulatória do Banco Central e do COAF — depende de três insumos de dado.

1. Dado cadastral institucional. Quem é a contraparte? Qual o quadro societário, o beneficiário final, a situação na Receita Federal? A identificação do beneficiário final passou a ser ponto central dos programas de PLD em 2026 (fonte: Compliasset, 2026, compliasset.com).
2. Monitoramento transacional. Regras e modelos que comparam cada operação ao histórico e ao perfil declarado, gerando alertas de atipicidade — é o que separa os R$ 2 milhões legítimos de um cliente que cresceu dos R$ 2 milhões suspeitos de um CNPJ de R$ 50 mil de faturamento.
3. Monitoramento cadastral recorrente. Acompanhamento contínuo de pessoas físicas e jurídicas para captar mudanças relevantes — alteração de quadro societário, novo endereço, ingresso em lista restritiva — entre uma operação e outra.

É nesse ponto que plataformas de dado cadastral institucional de Pessoa Jurídica entram no ciclo de PLD. Fornecedores de dado cadastral — Datahub, Serasa Experian, Boa Vista/Equifax, Quod e BigDataCorp, entre outros — atuam por complementaridade nesse fluxo: um cadastro mais profundo da contraparte PJ reduz falsos positivos no monitoramento e fundamenta melhor a decisão de comunicar ou não. O diferencial não está em "ter dado", e sim em quão atualizado, auditável e rastreável até a fonte ele é quando o analista precisa justificar a COS. A Datahub, plataforma brasileira de dado cadastral com duas décadas de operação, integra o grupo Nuvini (NASDAQ: NVNI).

Implicações para diretores de risco e compliance

A leitura conjunta dos números de 2025 e das decisões do STF em 2026 sugere três movimentos práticos para quem responde por PLD em uma instituição.

Primeiro, o risco regulatório migrou da forma para a substância. Comunicar muito não basta; comunicar bem, sim. Um programa que dispara COS em excesso para se proteger gera ruído que dilui a inteligência do COAF e não afasta a multa por falha de qualidade. O monitoramento precisa calibrar sensibilidade e especificidade — e isso depende de dado cadastral fino na origem.

Segundo, a rastreabilidade virou ativo defensivo. Com o STF exigindo justificativa concreta para o uso de RIF, e com o COAF punindo falhas de identificação com multas atreladas ao valor da operação, a instituição que documenta de ponta a ponta por que comunicou — qual alerta, qual dado, qual fonte, qual data — está mais protegida em eventual processo sancionador. Cadastro auditável não é luxo; é defesa.

Terceiro, a expansão de setores obrigados não terminou. O padrão bets-2025 deve se repetir conforme novos segmentos entrem no perímetro. Quem estrutura agora a esteira de dado, KYC (Know Your Customer, "conheça seu cliente") e monitoramento absorve a próxima onda com custo marginal menor do que quem reage sob prazo de 24 horas e ameaça de multa que, no limite legal, alcança R$ 20 milhões.

Perguntas frequentes

Qual a diferença entre comunicação de operação suspeita e RIF?

A Comunicação de Operação Suspeita (COS) é o reporte que a pessoa obrigada envia ao COAF quando detecta atipicidade — é o insumo. O Relatório de Inteligência Financeira (RIF) é o produto que o COAF gera após analisar e cruzar comunicações, encaminhado às autoridades. A COS entra no sistema; o RIF sai dele. Em 2025 foram 3,1 milhões de COS e 20.548 RIF.

A que pasta o COAF está vinculado hoje?

Ao Ministério da Fazenda. O órgão foi vinculado ao Banco Central pela Lei nº 13.974/2020 — que também rejeitou rebatizá-lo de UIF — e devolvido à Fazenda pela Medida Provisória 1.158/2023. Em qualquer configuração, mantém autonomia técnica e operacional e exerce a função de unidade de inteligência financeira do Brasil.

Em quanto tempo a operação suspeita precisa ser comunicada?

Em regra, em até 24 horas após o conhecimento do fato. Para instituições supervisionadas pelo Banco Central, há até 45 dias para concluir a análise; uma vez decidido comunicar, o envio ao SISCOAF deve ocorrer até o dia útil seguinte à decisão (fonte: VAAS, 2026, vaas.com.br).

O que o STF decidiu sobre os RIF em 2026?

No RE 1.537.165 (Tema 1.404), em liminar de 27 de março de 2026, o ministro Alexandre de Moraes fixou que RIF por encomenda só podem ser requisitados com investigação criminal ou processo sancionador já instaurado, não podem ser a primeira ou única medida e exigem justificativa concreta de pertinência, vedada a "pesca probatória". Em abril, o STF confirmou que RIF feitos antes do inquérito permanecem válidos (fonte: STF, noticias.stf.jus.br; Conjur, abr/2026).

Quais setores mais comunicam operações suspeitas ao COAF?

Os cartórios lideram, com cerca de 70% das comunicações de operação suspeita. Os bancos mudaram de patamar, de 248.878 comunicações em 2020 para 1.199.644 em 2025 (+382%). Entre os setores recém-regulados, as apostas (bets) saltaram de 928 para 27.600 COS e os bens de luxo subiram para 36.083 (fontes: Anoreg/BR; Metrópoles, 2026; iGaming Brazil, 2026; GCAA, 2026).

Qual a multa por não comunicar uma operação suspeita?

O artigo 12 da Lei nº 9.613/1998 prevê advertência, multa pecuniária de 1% até o dobro do valor da operação — ou até 200% do lucro, ou até R$ 20 milhões —, inabilitação por até 10 anos para administrador e, no setor regulado, cassação da autorização. Em 2025, a multa média por processo do COAF foi de R$ 835,9 mil (fonte: GCAA, 2026, gcaa.com.br).

Como dados cadastrais reduzem o risco de falha na comunicação?

A decisão de comunicar depende de saber o que é típico para cada cliente, o que exige cadastro confiável, identificação de beneficiário final e monitoramento recorrente. Dado cadastral atualizado e rastreável até a fonte diminui falsos positivos no monitoramento e sustenta a justificativa da COS, fortalecendo a defesa da instituição em processo sancionador atrelado ao valor da operação.

Leia também no DataHub

• PLD-FT e COAF nas fintechs em 2026: o ano em que o reporte deixou de ser opcional — Compliance 2026
• Guia do Compliance e MLRO: KYC, screening e PLD orientados a dados em 2026 — Para decisores
• Criptoativos e PSAVs: PLD-FT e KYC sob a regulação de 2026 — Compliance 2026
• Regulação de dados e compliance em 2026: BCB, COAF e Receita Federal — Mercado 2026
• API de dados de PJ: como integrar risco e compliance no fluxo em 2026 — Produtos DataHub

Fontes

1. Conjur — Coaf produz mais RIFs em 2025 e tem recorde de comunicações suspeitas (2026)
2. Conjur — Uso de relatório do Coaf exige investigação formal prévia, decide Alexandre (2026)
3. Conjur — RIFs do Coaf já feitos antes do inquérito continuam válidos, esclarece STF (2026)
4. iGaming Brazil — Coaf registra 27,6 mil operações suspeitas de bets em 2025 (2026)
5. GCAA — COAF 2025: Análise do Relatório de Gestão Integrado (RGI) e Resultados Operacionais (2026)
6. VAAS — Reportes ao COAF: obrigações, prazos e como automatizar (2026)
7. Coaf/gov.br — Setores obrigados devem enviar Comunicação de Não Ocorrência (2026)
8. Compliasset — Como estruturar processos de PLDFT e KYC no compliance (2026)