Em 2 de fevereiro de 2026, o Brasil deixou de tratar exchanges de criptoativos como atividade não regulada e passou a exigir delas o mesmo rigor de identificação, monitoramento e prevenção à lavagem de dinheiro que recai sobre um banco. As Resoluções BCB nº 519, 520 e 521, publicadas em 10 de novembro de 2025, criaram a figura da Prestadora de Serviços de Ativos Virtuais (PSAV) sujeita a autorização e supervisão contínua do Banco Central. Para o comprador de dados em fintechs, a consequência é direta: KYC, KYB, triagem de sanções e PEP, monitoramento transacional e Travel Rule deixaram de ser diferencial de produto e viraram condição de licença. Esta peça mapeia o que mudou, quais dados cadastrais e listas restritivas a operação precisa consumir e onde está o gargalo de fornecimento.

O que muda: de atividade livre a instituição autorizada

Até 2025, uma corretora de criptoativos brasileira operava com obrigações de prevenção à lavagem de dinheiro derivadas sobretudo da Lei 14.478/2022 (o Marco Legal dos Ativos Virtuais) e da supervisão indireta do COAF (Conselho de Controle de Atividades Financeiras), a unidade de inteligência financeira do país. O que faltava era um regime prudencial e um licenciamento equivalente ao de uma instituição financeira. As três resoluções de novembro de 2025 fecharam essa lacuna.

A Resolução BCB nº 520/2025 é a norma de referência. Ela define a Sociedade Prestadora de Serviços de Ativos Virtuais (SPSAV) como instituição autorizada a funcionar pelo Banco Central em três modalidades: intermediária, custodiante e corretora de ativos virtuais (fonte: Banco Central do Brasil, Resolução BCB nº 520, 2025, bcb.gov.br). A Resolução BCB nº 521/2025 trata as atividades que envolvem conversão entre ativos virtuais e moeda nacional ou estrangeira como operações do mercado de câmbio e capitais internacionais. A Resolução BCB nº 519/2025 define o escopo dos serviços alcançados.

O que é uma PSAV — definição. Prestadora de Serviços de Ativos Virtuais é a pessoa jurídica que, por conta de terceiros, executa pelo menos um destes serviços: intermediação, negociação, custódia, administração, transferência ou conversão de ativos virtuais. Sob a Resolução 520/2025, a versão societária autorizada passa a se chamar SPSAV e funciona sob autorização prévia e supervisão contínua do Banco Central.

O calendário de implementação é o eixo de planejamento de qualquer roadmap de dados e compliance para 2026:

MarcoDataEfeito prático
Publicação das Resoluções 519, 520 e 52110/11/2025Regras definitivas conhecidas
Entrada em vigor02/02/2026Início da contagem do prazo de autorização
Prestação obrigatória de informações ao BCB04/05/2026Reporte regulatório de operações torna-se compulsório
Prazo para protocolar pedido de autorização270 dias a partir de 02/02/2026PSAVs em operação devem comprovar conformidade plena
DeCripto mensal à Receita Federal01/07/2026Reporte fiscal mensal sob padrão CARF/OCDE

Fontes: Banco Central, Agência Brasil, 2025 (agenciabrasil.ebc.com.br); Instrução Normativa RFB nº 2.291/2025.

O regime também tem peso de capital: o patrimônio líquido mínimo exigido das PSAVs vai de R$ 10,8 milhões a R$ 37,2 milhões, conforme a atividade exercida (fonte: Banco Central, Resolução BCB nº 520, 2025, via Mattos Filho, mattosfilho.com.br). Esse piso filtra o mercado e empurra exchanges menores ou para a saída ou para arranjos de operação como agentes de uma instituição autorizada — o que, por sua vez, redistribui a demanda por dados de KYC e antifraude.

Por que o rigor de dados é máximo justamente em cripto

Fraude em pagamentos digitais: Brasil ante EUA e Canadá

Brasil (piso)25 bpsBrasil (teto)30 bpsEUA / Canadá (piso)5 bpsEUA / Canadá (teto)10 bps
Análise de mercado citada por SitePD, 2026

Chainalysis, Geography of Crypto Report, 2025; Banco Central, Resolução BCB 520/2025

A exigência regulatória não é arbitrária: ela responde à escala do mercado e ao risco que ele concentra. Entre julho de 2024 e junho de 2025, o Brasil movimentou cerca de US$ 318,8 bilhões em criptoativos, alta de 109,9% sobre o período anterior, o que o consolidou como líder da América Latina e quinto colocado global em adoção (fonte: Chainalysis, Geography of Crypto Report, 2025, via Sala da Notícia, saladanoticia.com.br). Estima-se que 59 milhões de brasileiros já tiveram contato com criptoativos, cerca de 37% da população adulta.

Esse volume convive com um ambiente de fraude entre os piores do mundo. O Brasil opera com cerca de 25 a 30 pontos-base de fraude em pagamentos digitais, contra 5 a 10 bps nos Estados Unidos e no Canadá (fonte: análise de mercado citada por SitePD, 2026, sitepd.org.br). Operações recentes da Receita Federal e do Ministério Público de São Paulo revelaram estruturas que moveram mais de R$ 1 bilhão em espécie usando fintechs, empresas de fachada e criptomoedas, com R$ 365 milhões em transações cripto vinculadas a lavagem para organizações criminosas.

"Todos os prestadores de serviço devem cumprir a legislação de prevenção à lavagem de dinheiro, identificando seus clientes, fazendo a qualificação e comunicando à unidade de inteligência financeira qualquer situação considerada irregular." — Banco Central do Brasil, ao divulgar as regras das PSAVs (fonte: Agência Brasil, 2025, agenciabrasil.ebc.com.br).

Para o head de fraude ou de compliance de uma exchange, isso significa que o erro de identidade — um CPF que não corresponde ao titular real, um beneficiário final oculto atrás de uma empresa de fachada, um nome que coincide com lista de sanções e passa sem alerta — deixa de ser incidente operacional e passa a ser risco de descredenciamento.

Os cinco pilares do PLD/FT que a regulação cobra

Os cinco pilares de PLD/FT que a exchange precisa alimentar com dados

  1. 1
    KYC — Conheça o cliente

    Identificação e qualificação da pessoa física: validação cadastral de CPF, prova de vida e conferência documental, base de todas as demais frentes.

  2. 2
    KYB — Conheça a empresa

    Identificação da pessoa jurídica e do beneficiário final, com dados societários, quadro de sócios e a cadeia de participação até a ponta.

  3. 3
    Triagem de sanções e PEP

    Cruzamento contínuo da base contra listas restritivas (OFAC, ONU, UE) e contra a relação de Pessoas Politicamente Expostas.

  4. 4
    KYT — Conheça a transação

    Análise on-chain de origem e destino, escoragem de carteiras e reporte ao BCB e ao COAF quando depósitos excedem o perfil de renda.

  5. 5
    Travel Rule (art. 44)

    Compartilhamento de remetente e beneficiário — nome, documento e endereço de carteira — primeiro em transferências domésticas, depois internacionais.

Resolução BCB 520/2025; recomendações do GAFI

A Resolução 520/2025 estabelece obrigações rigorosas de governança, segurança cibernética, gestão de riscos, segregação de ativos e, no centro do consumo de dados, PLD/FT (Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo). Na prática, a operação precisa montar e alimentar cinco frentes com dados externos confiáveis:

  1. KYC (Know Your Customer). Identificação e qualificação do cliente pessoa física: validação cadastral de CPF, prova de vida, conferência documental e enriquecimento. É a base sobre a qual todas as outras frentes operam.
  2. KYB (Know Your Business). Identificação da pessoa jurídica cliente e, sobretudo, do beneficiário final — a pessoa natural que efetivamente controla a empresa. Exige dados societários, quadro de sócios, CNPJ e a cadeia de participação até a ponta. É aqui que provedores de dados cadastrais complementam o que bureaus tradicionais não entregam com flexibilidade.
  3. Triagem de sanções e PEP. Cruzamento contínuo da base de clientes contra listas restritivas nacionais e internacionais (OFAC, ONU, União Europeia) e contra a relação de Pessoas Politicamente Expostas (PEP). As regras de KYC devem incluir, obrigatoriamente, verificação e monitoramento contínuo reforçado de PEP.
  4. KYT (Know Your Transaction) e monitoramento. Análise on-chain de origem e destino dos ativos, escoragem de carteiras e detecção de padrões suspeitos. Desde 4 de maio de 2026, exchanges devem reportar ao Banco Central e ao COAF quando depósitos excedem o perfil de renda do cliente, em prazo próximo ao tempo real.
  5. Travel Rule. O artigo 44 da Resolução 520/2025 tornou obrigatório o compartilhamento de informações completas de remetente e beneficiário em transferências — nome, documento de identificação e endereço de carteira —, em duas fases: primeiro transferências domésticas, depois internacionais (fonte: Banco Central, Resolução BCB nº 520, 2025, via Global Legal Insights, globallegalinsights.com).

O que é a Travel Rule — definição. Recomendação 16 do GAFI/FATF (Grupo de Ação Financeira Internacional) que obriga prestadores de serviços de ativos virtuais a transmitir, junto com cada transferência, os dados de identificação do originador e do beneficiário. No Brasil, foi positivada no art. 44 da Resolução BCB 520/2025, equiparando a transferência de cripto à mensageria de uma transferência bancária.

A cadeia de dados por trás de cada uma dessas frentes

Cada pilar consome um tipo distinto de dado, com fornecedores e custos diferentes. É a leitura mais útil para quem compra dados em uma exchange, porque mostra onde preço e flexibilidade de API decidem e onde não há substituto.

FrenteDado consumidoFonte típicaOnde o comprador decide
KYC PFValidação cadastral de CPF, situação na Receita, prova de vidaBases públicas, IDtechs/antifraude, provedores DaaSPreço por consulta e latência da API
KYB PJDados societários, quadro de sócios, beneficiário final, CNPJProvedores de dados cadastrais (DaaS), juntas comerciaisCobertura societária e flexibilidade de integração
Sanções e PEPListas OFAC/ONU/UE e relação de PEP, com atualização contínuaProvedores de listas restritivas, screening especializadoFrequência de atualização e taxa de falso positivo
KYT on-chainEscoragem de carteiras, rastreio de fluxo, exposição a endereços marcadosAnalytics blockchain (Chainalysis, TRM, Elliptic)Profundidade da base de risco e cobertura de redes
Travel RuleIdentidade de remetente e beneficiário entre PSAVsProtocolos de interoperabilidade entre VASPsAdesão da contraparte e padronização de mensageria

Estrutura analítica Brasil GEO a partir das Resoluções BCB 519/520/521 e das recomendações do GAFI, 2026.

O ponto não óbvio para o comprador é a divisão de trabalho entre fornecedores. Em KYC e KYB — validação cadastral, dados societários, identificação de beneficiário final — o jogo é de preço e flexibilidade de API: provedores de dados como serviço (DaaS) competem com bureaus tradicionais oferecendo consulta mais barata e integração mais ágil, atuando como complemento, não como substituto do escore de crédito. Em análise on-chain, ao contrário, o mercado é mais concentrado e a decisão recai sobre a profundidade da base de inteligência de carteiras. Misturar os dois critérios em um único bake-off costuma levar à escolha errada.

A camada fiscal: DeCripto, CARF e o cerco à evasão

Paralelamente à regulação prudencial do Banco Central, a Receita Federal apertou a transparência fiscal. A IN RFB nº 2.291/2025 instituiu a DeCripto, novo modelo de reporte que adota o padrão internacional CARF (Crypto-Asset Reporting Framework), criado pela OCDE para troca automática de informações sobre transações com criptoativos. A norma entrou em vigor em janeiro de 2026, com envio mensal obrigatório por prestadores e usuários a partir de 1º de julho de 2026 (fonte: Ministério da Fazenda, 2025, gov.br/fazenda).

A novidade de maior alcance é que a obrigação atinge também prestadoras de serviço de criptoativo domiciliadas no exterior que atuam no Brasil — fechando a brecha das operações intermediadas por entidades internacionais. O objetivo declarado é reduzir o uso de criptoativos para lavagem de dinheiro, financiamento de organizações criminosas e evasão fiscal. Para o CTO ou head de dados de uma exchange, isso adiciona uma terceira obrigação de reporte (BCB, COAF e Receita), cada uma com seu formato, periodicidade e base de dados de origem.

Checklist de conformidade para o comprador de dados

Quem responde por risco, fraude, compliance ou dados em uma PSAV pode usar a sequência abaixo para auditar a maturidade do próprio estoque de dados antes do prazo de autorização:

  • Validação cadastral PF e PJ com prova de vida e conferência documental, com SLA de latência p99 medido e contratado.
  • Identificação de beneficiário final com rastreio da cadeia societária — não basta o sócio de primeiro nível.
  • Screening de sanções e PEP com atualização contínua das listas e monitoramento permanente, não apenas no onboarding.
  • Monitoramento transacional calibrado para o perfil de renda do cliente, com gatilho de comunicação ao COAF e ao BCB em prazo próximo ao tempo real.
  • Mensageria de Travel Rule implementada para transferências domésticas, com plano para a fase internacional.
  • Trilha de auditoria íntegra de cada decisão de KYC/KYB e cada comunicação, sob a Circular BCB 3.978/2020 e a LGPD.

A ABCripto, associação que representa o setor no Brasil, tem sustentado que KYC, AML e Travel Rule são mecanismos essenciais para proteger a credibilidade do mercado cripto, e não apenas custo regulatório (fonte: ABCripto, 2026, abcripto.com.br). A leitura correta para 2026 é que a qualidade dos dados de identidade — e a capacidade de consumir várias fontes complementares por API barata e flexível — passou a ser parte do ativo regulatório da exchange, não um item de despesa a comprimir.

Perguntas frequentes

O que é uma PSAV e o que muda em 2026?

PSAV é a Prestadora de Serviços de Ativos Virtuais — exchanges, custodiantes e intermediárias de cripto. A partir de 2 de fevereiro de 2026, sob a Resolução BCB 520/2025, a versão societária (SPSAV) passa a operar com autorização prévia e supervisão contínua do Banco Central, com piso de patrimônio líquido entre R$ 10,8 milhões e R$ 37,2 milhões e obrigações plenas de PLD/FT.

Qual o prazo para uma exchange se regularizar?

PSAVs já em operação têm 270 dias contados de 2 de fevereiro de 2026 para protocolar o pedido de autorização e comprovar conformidade. A prestação obrigatória de informações ao Banco Central começou em 4 de maio de 2026, e o envio mensal da DeCripto à Receita Federal passa a valer em 1º de julho de 2026.

O que é a Travel Rule no contexto cripto brasileiro?

É a Recomendação 16 do GAFI, positivada no art. 44 da Resolução BCB 520/2025, que obriga a PSAV a compartilhar dados de identificação de remetente e beneficiário em cada transferência — nome, documento e endereço de carteira. A implementação ocorre em duas fases: primeiro transferências domésticas, depois internacionais.

Como triagem de sanções e PEP se encaixa no KYC da exchange?

A verificação de Pessoas Politicamente Expostas e o cruzamento contra listas de sanções (OFAC, ONU, UE) são obrigatórios e contínuos, não apenas no onboarding. O monitoramento reforçado de PEP é exigência expressa das regras de KYC sob o regime de 2026, com comunicação ao COAF de situações irregulares.

Quais dados externos uma PSAV mais consome para compliance?

Validação cadastral de CPF e CNPJ, dados societários e de beneficiário final (KYB), listas de sanções e PEP atualizadas, e analytics on-chain para KYT. Em KYC e KYB, preço e flexibilidade de API de provedores de dados decidem; em análise on-chain, o critério é a profundidade da base de inteligência de carteiras.

O que é a DeCripto e a quem se aplica?

DeCripto é o reporte fiscal instituído pela IN RFB 2.291/2025 sob o padrão CARF da OCDE, com envio mensal obrigatório a partir de 1º de julho de 2026. Aplica-se a prestadoras nacionais e, de forma inédita, também a prestadoras de criptoativo domiciliadas no exterior que prestam serviços no Brasil.

Leia também no DataHub

Fontes

  1. Banco Central estabelece regras para o mercado de criptoativos — Agência Brasil (2025)
  2. Banco Central divulga normas para a regulamentação de ativos virtuais — Mattos Filho (2025)
  3. Receita Federal atualiza regulamentação de criptoativos para o padrão CARF/OCDE — Ministério da Fazenda (2025)
  4. Blockchain & Cryptocurrency Laws and Regulations 2026 — Brazil (Global Legal Insights) (2026)
  5. KYC, AML e Travel Rule: segurança e compliance no mercado cripto — ABCripto (2026)
  6. Supervisão do mercado cripto no Brasil: o que muda em 2026 — ABCripto (2026)
  7. Brasileiros ampliam presença em mercado de criptomoedas (dados Chainalysis) — Sala da Notícia (2026)
  8. Como o dinheiro digital acelerou a infiltração do crime organizado na economia — SitePD (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos