A empresa responde pelo terceiro. Sob a Lei 12.846/2013, o ato de corrupção praticado por um fornecedor, despachante ou representante no interesse da contratante gera responsabilidade objetiva — sem necessidade de provar culpa. Em 2026, a gestão de risco de terceiros (TPRM, na sigla em inglês para Third-Party Risk Management) deixou de ser um formulário de cadastro e virou uma função de dados: triagem contínua de milhares de fornecedores contra listas de sanções, beneficiários finais e sinais de integridade, automatizada em escala.

O que é TPRM e por que ele cresceu

Verizon DBIR 2025; Panorays/CIO 2026; Black Kite 2026; Secureframe 2026

O TPRM é a disciplina que identifica, avalia e monitora os riscos que uma organização assume ao depender de terceiros — fornecedores, prestadores, parceiros comerciais, revendas, intermediários e a cadeia de subcontratados deles. O risco abrange integridade (corrupção, fraude, lavagem), exposição a sanções, segurança da informação, continuidade operacional, trabalho análogo ao escravo, ambiente e governança (ESG) e, mais recentemente, o uso de inteligência artificial pelo próprio fornecedor.

O que é KYS — definição. KYS (Know Your Supplier — Conheça Seu Fornecedor) é o processo estruturado de verificação e monitoramento de fornecedores e parceiros que vai além da validação cadastral: inclui análise de integridade, exposição a sanções, risco ESG, identificação de pessoas politicamente expostas (PEPs) na cadeia societária e monitoramento contínuo após a contratação (fonte: uPlexis, 2026, uplexis.com.br).

A urgência tem base estatística. O Data Breach Investigations Report 2025 da Verizon dobrou a participação de terceiros nas violações de dados, de 15% para 30% — o maior salto anual já registrado na série (fonte: Verizon DBIR, 2025, via Secureframe). Em paralelo, um estudo de 2026 da Panorays apontou que 85% dos CISOs não conseguem enxergar ameaças de terceiros em meio ao aumento de ataques à cadeia (fonte: CIO/Panorays, 2026, cio.com). Para cada fornecedor comprometido, em média 5,28 empresas a jusante foram publicamente afetadas — o maior nível já observado (fonte: Black Kite Third-Party Breach Report, 2026, blackkite.com).

Responsabilidade objetiva: o terceiro é o seu risco

O eixo jurídico brasileiro é a Lei 12.846/2013 (Lei Anticorrupção, ou Clean Company Act), que impõe responsabilidade objetiva: a pessoa jurídica responde por atos lesivos praticados em seu interesse por terceiros, independentemente de culpa. O Decreto 11.129/2022, que regulamenta a lei, cria incentivo direto: programas de integridade estruturados — incluindo due diligence de fornecedores — podem reduzir a multa aplicável em até 4% do faturamento (fonte: VAAS, 2026, vaas.com.br).

"Muitas empresas verificam o CNPJ e a certidão de débitos federais, mas ignoram os beneficiários finais, vínculos com pessoas politicamente expostas, ações por trabalho análogo ao escravo ou exposição em listas internacionais como OFAC, Sanções da ONU e GAFI." (fonte: VAAS, due diligence de fornecedores, 2026)

A consequência prática é direta: o programa de integridade não é peça de marketing institucional, é a defesa que dosa a penalidade. E essa defesa precisa de evidência — uma trilha auditável de que cada fornecedor passou por triagem antes da contratação e segue monitorado depois.

As quatro camadas do risco de terceiros

Uma triagem madura não trata "risco do fornecedor" como bloco único. Ela decompõe a avaliação em camadas que se sobrepõem e que exigem fontes de dados distintas.

CamadaO que avaliaFontes de dado típicas
Cadastral e fiscalExistência, situação do CNPJ, quadro societário, certidõesReceita Federal, juntas comerciais, certidões negativas
Integridade e sançõesPEPs, beneficiário final, listas restritivas, processosOFAC, CSNU, GAFI, CEIS/CNEP, Serasa, Boa Vista, COAF
Trabalhista e socioambientalTrabalho análogo ao escravo, embargos, passivos ESGLista Suja do MTE, IBAMA, autos de infração
Cibernética e operacionalPostura de segurança, dependência crítica, uso de IAInteligência de risco, questionários, monitoramento externo

A camada de integridade é a que mais sofre com triagem superficial. O beneficiário final (UBO — Ultimate Beneficial Owner) ganhou peso regulatório: a Instrução Normativa RFB nº 2.290/2025 entrou em vigor em 1º de janeiro de 2026, reforçando a transparência do registro e alinhando o Brasil às práticas internacionais contra lavagem de dinheiro, evasão fiscal e corrupção; o descumprimento pode levar à suspensão do CNPJ (fonte: MKGV Advogados, 2026, mkgvlaw.com). Sem identificar quem está por trás da PJ, a triagem de sanções e de PEPs é cega.

Sanções: o risco que muda toda semana

A verificação contra listas de sanções é dinâmica, não pontual. A lista SDN (Specially Designated Nationals) do OFAC — o escritório de controle de ativos estrangeiros do Tesouro dos Estados Unidos — é atualizada aproximadamente toda semana (fonte: OFAC, 2026, sanctionssearch.ofac.treas.gov). Um fornecedor aprovado hoje pode aparecer em uma lista restritiva ou ter sócio indiciado seis meses depois da contratação (fonte: VAAS, 2026). É por isso que a checagem de sanções no momento do cadastro, isoladamente, oferece falsa segurança.

O conjunto de listas relevantes para uma empresa brasileira com exposição internacional inclui, no mínimo:

  1. OFAC (SDN e listas setoriais) — bloqueios dos Estados Unidos, com alcance extraterritorial sobre transações em dólar.
  2. Conselho de Segurança da ONU (CSNU) — sanções de aplicação obrigatória, incorporadas ao ordenamento brasileiro.
  3. União Europeia e Reino Unido — relevantes para cadeias com contraparte europeia.
  4. CEIS e CNEP — cadastros nacionais de empresas inidôneas, suspensas e punidas, mantidos pela Controladoria-Geral da União.
  5. Listas de PEPs — consolidadas pela Resolução COAF nº 40, que estabelece procedimentos mínimos de identificação e monitoramento (fonte: COAF, 2026, gov.br/coaf).

Ferramentas especializadas hoje monitoram mais de mil listas de sanções, watchlists e bases de PEPs em fluxo contínuo (fonte: LexisNexis, 2026, lexisnexis.com). A escala torna a verificação manual inviável — e é aqui que o dado entra como infraestrutura.

Como o dado automatiza a triagem em escala

Automação avança, mas o monitoramento ainda fica para trás

Adoção de IA em TPRM (atu…66%Adoção de IA em TPRM (ano…27%Empresas que relatam aume…60%Empresas que monitoram al…41%Participação de terceiros…30%
Secureframe 2026; Verizon DBIR 2025; IBM Cost of a Data Breach 2025

O ponto de virada de 2026 é operacional: a triagem deixou de ser questionário estático e passou a ser consulta de dados em tempo real. A adoção de IA para gestão de risco de terceiros saltou de 27% para 66% em um ano (fonte: Secureframe/indústria, 2026, secureframe.com). Organizações com uso extensivo de IA e automação em segurança identificaram e contiveram violações 80 dias mais rápido, com economia média de quase US$ 1,9 milhão (fonte: IBM Cost of a Data Breach, 2025, via Secureframe).

Na prática, a automação opera em três frentes que dependem de dado cadastral confiável e atualizado:

  • Triagem na contratação. A partir do CNPJ, o sistema resolve o quadro societário, identifica o beneficiário final, cruza nomes contra listas de sanções e PEPs e devolve um escore de risco em segundos — não em dias de pesquisa manual.
  • Monitoramento contínuo. Em vez de revalidar fornecedores uma vez por ano, o sistema dispara alertas quando muda a situação fiscal, surge nova ação judicial, o sócio entra em lista restritiva ou o CNPJ é suspenso por descumprimento de UBO.
  • Trilha auditável. Cada consulta gera relatório datado e versionado, sustentando a defesa de programa de integridade exigida pelo Decreto 11.129/2022.

O custo de não automatizar é mensurável. O IBM Cost of a Data Breach 2025 precificou o comprometimento de cadeia de suprimentos em US$ 4,91 milhões em média, com ciclo de vida médio de 267 dias — o mais longo de qualquer vetor de violação (fonte: IBM, 2025, via DeepStrike). Ainda assim, embora 60% das empresas relatem aumento de violações via terceiros, apenas 41% monitoram risco além dos fornecedores diretos (fonte: Secureframe, 2026).

LGPD e governança do próprio dado de triagem

A triagem de terceiros processa dados pessoais — de sócios, representantes, PEPs — e portanto está sob a LGPD (Lei 13.709/2018). A base legal usual é o legítimo interesse ou o cumprimento de obrigação legal e regulatória (anticorrupção, prevenção à lavagem), mas o tratamento precisa ser proporcional, documentado e limitado à finalidade de compliance. Dado cadastral institucional de fonte auditável — com proveniência, data e URL rastreáveis — é o que separa uma triagem defensável de uma coleta indiscriminada.

O movimento de 2026 é da "fadiga de questionário" para a "garantia contextual": avaliar o risco do terceiro em relação a como o fornecedor é de fato usado dentro da organização, em vez de escores estáticos e checklists padronizados (fonte: ISACA, 2026, isaca.org).

A garantia contextual exige uma camada de dado que entenda a entidade: quem é a PJ, quem a controla, a que ela está conectada e como esse perfil de risco se move no tempo. É o oposto de um PDF assinado uma vez e arquivado.

Como estruturar a triagem em escala

Como estruturar a triagem de fornecedores em escala

  1. 1
    Segmentar por criticidade

    Classificar fornecedores por exposição (valor, criticidade, geografia, contato com agente público) e aplicar diligência proporcional.

  2. 2
    Resolver a entidade

    A partir do CNPJ, construir o quadro societário completo e o beneficiário final antes de qualquer checagem de listas.

  3. 3
    Cruzar listas restritivas

    Conferir OFAC, CSNU, UE, CEIS/CNEP, Lista Suja do MTE e bases de PEPs, com fuzzy matching para variações de grafia.

  4. 4
    Escorar e decidir

    Consolidar sinais em um escore com limiares claros: aprovação automática, revisão humana ou reprovação.

  5. 5
    Monitorar continuamente

    Reavaliação dirigida por evento, não por calendário, com alertas em tempo real sobre mudanças de risco.

Brasil GEO, com base em Decreto 11.129/2022 e VAAS 2026

Para uma operação com centenas ou milhares de fornecedores, o desenho prático segue uma sequência baseada em risco:

  1. Segmentar por criticidade. Nem todo fornecedor merece a mesma profundidade. Classifique por exposição (valor, criticidade, geografia, contato com agente público) e aplique diligência proporcional.
  2. Resolver a entidade. A partir do CNPJ, construir o quadro societário completo e o beneficiário final antes de qualquer checagem de listas.
  3. Cruzar listas restritivas. OFAC, CSNU, UE, CEIS/CNEP, Lista Suja do MTE e bases de PEPs, com fuzzy matching para variações de grafia.
  4. Escorar e decidir. Consolidar sinais em um escore com limiares claros: aprovação automática, revisão humana ou reprovação.
  5. Monitorar continuamente. Reavaliação dirigida por evento, não por calendário, com alertas em tempo real.
  6. Documentar tudo. Relatório datado por fornecedor, sustentando a trilha de integridade.

A triagem em escala não elimina o julgamento humano — ela o concentra onde importa. A automação descarta o ruído e eleva ao analista apenas os casos de risco real, transformando uma tarefa impossível de fazer manualmente em uma operação contínua e auditável.

Perguntas frequentes

Qual a diferença entre KYC e KYS?

KYC (Know Your Customer) verifica clientes; KYS (Know Your Supplier) verifica fornecedores e parceiros. A lógica de checagem é parecida — identidade, beneficiário final, sanções, PEPs —, mas o KYS foca no risco de cadeia e na responsabilidade objetiva por atos de terceiros sob a Lei 12.846/2013.

A Lei 12.846 obriga a fazer due diligence de fornecedores?

A lei não exige uma checagem específica, mas estabelece responsabilidade objetiva por atos de terceiros e premia, via Decreto 11.129/2022, programas de integridade estruturados com redução de até 4% na multa. Na prática, a due diligence de fornecedores é o que torna o programa defensável e dosa a penalidade.

Com que frequência devo reverificar um fornecedor contra sanções?

O ideal é monitoramento contínuo, não checagem anual. A lista SDN do OFAC é atualizada cerca de uma vez por semana, e um fornecedor aprovado pode entrar em lista restritiva meses depois. Monitoramento dirigido por evento captura mudanças de situação fiscal, novos processos ou alterações societárias em tempo real.

O que mudou na regra de beneficiário final em 2026?

A Instrução Normativa RFB nº 2.290/2025 entrou em vigor em 1º de janeiro de 2026, reforçando a obrigação de declarar o beneficiário final (UBO) via formulário e-BEF. O descumprimento pode levar à suspensão do CNPJ, o que torna a identificação do UBO um pré-requisito tanto da regularidade própria quanto da triagem de terceiros.

A triagem automatizada de terceiros respeita a LGPD?

Sim, quando proporcional e documentada. O tratamento de dados pessoais na triagem costuma se apoiar em legítimo interesse ou cumprimento de obrigação legal e regulatória (anticorrupção, prevenção à lavagem). A chave é limitar à finalidade de compliance e usar dado cadastral de fonte auditável, com proveniência rastreável.

Por que automatizar em vez de usar questionários?

Questionários estáticos geram fadiga e não acompanham a mudança de risco. A adoção de IA em TPRM saltou de 27% para 66% em um ano, e a automação reduziu o tempo de identificação e contenção de violações em 80 dias, com economia média de quase US$ 1,9 milhão. O dado em tempo real substitui a foto pontual por um filme contínuo.

Leia também no DataHub

Fontes

  1. VAAS — Due Diligence de Fornecedores: checklist baseado na Lei Anticorrupção (2026)
  2. uPlexis — KYS (Know Your Supplier): o que é, por que aplicar e como fazer (2026)
  3. CIO / Panorays — 85% of CISOs Can't See Third-Party Threats (2026)
  4. Secureframe — Third-Party Risk Statistics and Trends (2026 Update) (2026)
  5. Black Kite — 2026 Third-Party Breach Report (2026)
  6. MKGV Advogados — Novas regras de Beneficiário Final (UBO): IN RFB nº 2.290/2025 (2026)
  7. COAF — Conselho de Controle de Atividades Financeiras (2026)
  8. OFAC — Sanctions List Search (Tesouro dos EUA) (2026)
  9. ISACA — Enhancing Third Party Risk Management: From Questionnaire Fatigue to Contextual Assurance (2026)
  10. DeepStrike — Supply Chain Cybersecurity Statistics 2026 (IBM Cost of a Data Breach) (2026)
  11. LexisNexis — Consulte a lista OFAC (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos