Um único termo mal compreendido custa caro em prevenção à lavagem de dinheiro. Aceitar um cliente sem furar a cadeia societária até o beneficiário final, confundir CDD com EDD ou tratar a marcação de PEP como acusação são erros que, sob a Lei nº 9.613/1998, expõem a instituição a multa de até R$ 20 milhões e à perda de autorização para operar. Em 2026, com o beneficiário final declarado obrigatoriamente via formulário e-BEF e fintechs equiparadas a bancos em PLD-FT, o vocabulário deixou de ser jargão de especialista e virou condição de continuidade operacional. Este glossário define cada conceito de forma direta, amarrado à regra brasileira vigente e ao que o dado cadastral resolve.

O ano de 2026 elevou a régua em três frentes. A Receita Federal instituiu o formulário digital de beneficiário final (e-BEF) com vigência em 1º de janeiro de 2026, sob pena de suspensão do CNPJ. O Banco Central equiparou fintechs e prestadoras de serviços de ativos virtuais aos bancos nas obrigações de PLD-FT. E o COAF, unidade de inteligência financeira do país, opera em volume recorde de comunicações, investindo em análise automatizada. Os termos abaixo são o vocabulário comum dessas frentes.

Cada verbete segue o mesmo padrão: o que é, qual a relação com risco e compliance e quando o termo aparece na prática de um programa de prevenção. A maioria das siglas é explicada na primeira ocorrência para que o glossário sirva tanto ao diretor de risco quanto ao empreendedor que precisa abrir uma conta PJ.

Conhecer o cliente e a empresa

A cadeia de diligência: quem conhecer

  1. 1
    KYC · Cliente

    Identifica, qualifica e classifica quem se relaciona com a instituição — primeira linha de defesa.

  2. 2
    KYB · Empresa

    Estende o KYC à pessoa jurídica: CNPJ, quadro societário e cadeia de controle até o beneficiário final.

  3. 3
    KYE · Colaborador

    Aplica diligência a funcionários e prestadores com acesso a operações sensíveis, mitigando risco interno.

  4. 4
    KYS · Fornecedor

    Estende a verificação à cadeia de terceiros e parceiros, evitando contaminação por sanção ou corrupção.

KYC (Know Your Customer)

O que é. KYC, ou "conheça seu cliente", é o conjunto de procedimentos de identificação, qualificação e classificação de quem se relaciona com uma instituição. É a primeira linha de defesa de um programa de prevenção à lavagem de dinheiro: sem identificar corretamente o cliente, nenhum controle posterior funciona. A Circular BACEN nº 3.978/2020 exige que essas rotinas estejam documentadas em manual específico aprovado pela diretoria (fonte: Banco Central, 2020, bcb.gov.br). O KYC aparece no onboarding e se repete em revisões periódicas durante todo o relacionamento.

KYB (Know Your Business)

O que é. KYB, "conheça sua empresa", estende o KYC para clientes pessoa jurídica: identifica a razão social, o CNPJ, o quadro societário, a situação cadastral na Receita Federal e a cadeia de controle até a pessoa física. Como uma PJ pode esconder sócios atrás de outras PJs, o KYB é a porta de entrada para encontrar o beneficiário final. É a etapa em que dado cadastral confiável — CNPJ, QSA, situação ativa ou baixada — vira insumo de decisão de risco, e aparece sempre que se abre uma conta empresarial ou se estabelece uma relação comercial recorrente.

KYE (Know Your Employee)

O que é. KYE, "conheça seu colaborador", aplica diligência a funcionários, prestadores e administradores com acesso a operações sensíveis. Verifica antecedentes, conflitos de interesse e exposição a sanções ou condição de PEP. Em PLD-FT, mitiga o risco interno — o colaborador que facilita uma operação suspeita — e aparece em processos de contratação e em programas de integridade exigidos por compliance corporativo.

KYS (Know Your Supplier)

O que é. KYS, "conheça seu fornecedor", estende a diligência à cadeia de terceiros e parceiros comerciais. Verifica idoneidade, beneficiário final e exposição a sanções de fornecedores, distribuidores e correspondentes. Reduz risco de contaminação por terceiros — corrupção, trabalho análogo a escravo, sanção internacional — e aparece em compras, contratos e programas anticorrupção alinhados à Lei nº 12.846/2013 (Lei Anticorrupção).

O programa de prevenção

Diligência graduada pelo risco

  1. 1
    Abordagem baseada em risco

    Princípio do GAFI: mais controle onde há mais risco, menos onde há menos.

  2. 2
    CDD · Diligência padrão

    Regime ordinário para perfis de risco baixo a médio — confirma identidade e classifica o relacionamento.

  3. 3
    EDD · Diligência reforçada

    Acionada para PEPs, estruturas complexas e jurisdições de risco: exige origem de recursos e aprovação superior.

40 Recomendações do GAFI

AML / PLD-FT

O que é. AML (Anti-Money Laundering) é a sigla internacional para combate à lavagem de dinheiro; no Brasil, a expressão equivalente é PLD-FT — Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (às vezes PLD-FTP, incluindo a proliferação de armas). Designa o conjunto de políticas, controles e tecnologias que uma instituição mantém para impedir que recursos ilícitos circulem por ela. A base legal é a Lei nº 9.613/1998, cujo artigo 12 prevê, para falhas de cumprimento, desde advertência até multa de até R$ 20 milhões — ou o dobro do valor da operação — inabilitação por até dez anos e cassação da autorização de funcionamento (fonte: Lei nº 9.613/1998, art. 12, Planalto, planalto.gov.br). O termo é o guarda-chuva sob o qual todos os demais verbetes se organizam.

CDD (Customer Due Diligence)

O que é. CDD, ou diligência devida do cliente, é o nível padrão de verificação aplicado à maioria dos clientes: confirmar identidade, entender a natureza do relacionamento e classificar o risco. É o regime ordinário do KYC para perfis de risco baixo a médio. Aparece em todo onboarding e estabelece a linha de base a partir da qual se decide se a diligência precisa ser reforçada ou simplificada.

EDD (Enhanced Due Diligence)

O que é. EDD, ou diligência reforçada, é o nível intensificado de verificação aplicado a clientes de alto risco — PEPs, estruturas societárias complexas, jurisdições de risco elevado ou setores sensíveis. Exige comprovação de origem de recursos, aprovação por instância superior e monitoramento mais frequente. O GAFI determina EDD obrigatória para relações com PEPs e países de risco. Aparece quando o resultado da CDD ou a triagem de listas acende um sinal de alerta.

Abordagem baseada em risco

O que é. A abordagem baseada em risco (risk-based approach) é o princípio, central nas 40 Recomendações do GAFI, de alocar mais controle onde há mais risco e simplificar onde há menos. Em vez de tratar todo cliente igual, a instituição gradua KYC, CDD e EDD conforme o perfil. É o que liga todos os demais conceitos: define quando o padrão (CDD) basta e quando a diligência reforçada (EDD) é obrigatória. Aparece na política de PLD-FT como matriz de risco por cliente, produto, canal e geografia.

Quem realmente controla e quem é exposto

Beneficiário final

O que é. Beneficiário final (ou beneficiário efetivo, UBO — ultimate beneficial owner — em inglês) é a pessoa física que, em última instância, possui, controla ou exerce influência significativa sobre uma entidade. Não é o sócio que figura no contrato social por si só: é quem, ao fim da cadeia de PJs encadeadas, de fato manda. A regra brasileira fixa o critério em quem detém mais de 25% do capital ou dos votos, direta ou indiretamente, ou quem, mesmo abaixo desse percentual, controla as deliberações sociais ou elege a maioria dos administradores.

Por que é o conceito central. Toda a engenharia de KYB, EDD e triagem de sanções converge para uma só pergunta: quem é a pessoa de carne e osso por trás do CNPJ? Estruturas societárias em camadas, holdings interpostas e fundos existem, entre outras razões, para diluir essa resposta. Identificar o beneficiário final é o que permite checar se o controlador real é PEP, está em lista de sanções ou já figura em esquemas conhecidos.

Como aparece em 2026. A Instrução Normativa RFB nº 2.119/2022, com as alterações trazidas pela IN RFB nº 2.290/2025, instituiu o formulário digital e-BEF, em vigor desde 1º de janeiro de 2026, ampliando a obrigação de declaração — inclusive a fundos de investimento e estruturas com sócio pessoa jurídica — sob pena de suspensão do CNPJ para quem não declarar (fonte: Receita Federal, 2025, gov.br/receitafederal). A suspensão do CNPJ impede a empresa de movimentar conta, aplicar e tomar crédito — daí a centralidade do tema. Aparece sempre que se precisa furar a "blindagem" de PJs encadeadas no KYB de qualquer cliente PJ.

PEP (Pessoa Exposta Politicamente)

O que é. PEP é a pessoa que exerce ou exerceu, em regra nos últimos cinco anos, função pública relevante — além de seus familiares e estreitos colaboradores. Não é uma acusação: é uma marcação de risco elevado de corrupção e lavagem que aciona diligência reforçada (EDD), aprovação por instância superior e monitoramento contínuo.

Doméstico e estrangeiro têm tratamento distinto. A regulação brasileira diferencia o PEP nacional — agentes públicos do Brasil, como ministros, parlamentares, governadores, dirigentes de estatais e do Judiciário — do PEP estrangeiro, que ocupa ou ocupou função pública relevante em outro país ou em organismo internacional. O GAFI recomenda que todo PEP estrangeiro seja, por definição, tratado como de alto risco com EDD automática; para o PEP doméstico, a diligência reforçada é calibrada pela avaliação de risco da própria relação. A condição de PEP estende-se ainda a familiares e a pessoas de relacionamento próximo, ampliando o alcance da triagem. A consulta a listas de PEPs é etapa obrigatória da triagem, no onboarding e em revisões periódicas, normalmente via base cadastral cruzada com fontes oficiais.

Due diligence

O que é. Due diligence é o termo genérico para a investigação prévia que precede uma decisão — abertura de conta, contrato, fusão ou crédito. Em compliance, materializa-se nos níveis CDD e EDD; em fusões e aquisições, na verificação contábil, jurídica e reputacional do alvo. Liga risco a evidência: nenhuma decisão de relacionamento deveria ocorrer sem o grau de diligência proporcional ao risco. Aparece tanto na esteira de PLD-FT quanto em transações societárias.

Sanções e listas restritivas

Sanções (OFAC, ONU, UE)

O que é. Sanções são restrições impostas por autoridades a pessoas, empresas, navios ou países, proibindo transações com eles. As listas mais consultadas são a do OFAC (Office of Foreign Assets Control, do Tesouro dos EUA), as do Conselho de Segurança da ONU e as da União Europeia. Operar com sancionado expõe a instituição a penalidades severas e perda de correspondentes internacionais. A triagem de sanções (sanctions screening) é etapa obrigatória de qualquer onboarding e roda continuamente sobre a base de clientes, já que listas mudam diariamente.

Listas restritivas e cadastros de risco

O que é. Além das listas internacionais, o compliance brasileiro consulta cadastros nacionais de risco: CEIS e CNEP (empresas inidôneas e punidas), CEPIM, listas do CADE, do Trabalho Escravo e processos relevantes. Servem para complementar a triagem de sanções com risco reputacional e legal de origem doméstica. Aparecem na diligência de fornecedores (KYS) e de clientes PJ, sobretudo em setores regulados ou em contratos com o poder público.

Autoridades, reportes e padrões

ConJur, 2026

COAF

O que é. O COAF — Conselho de Controle de Atividades Financeiras — é a unidade de inteligência financeira do Brasil, vinculada ao Banco Central. Recebe comunicações dos setores obrigados, produz Relatórios de Inteligência Financeira (RIF) e os encaminha às autoridades competentes — Ministério Público e polícias. Em 2026, firmou acordo de cooperação técnica com entidades do setor bancário para modernizar seus sistemas de análise com inteligência artificial. Aparece como destinatário das comunicações de operações suspeitas e das comunicações automáticas em espécie.

RIF (Relatório de Inteligência Financeira)

O que é. O RIF é o documento produzido pelo COAF a partir do cruzamento de comunicações e outras fontes, contendo indícios de operações atípicas que podem caracterizar lavagem ou financiamento ao terrorismo. Não é prova nem acusação: é insumo de inteligência. Em 2026, o Supremo Tribunal Federal reafirmou que o uso do RIF pressupõe investigação formal prévia, e não pode ser o ato inaugural da persecução (fonte: ConJur, 2026, conjur.com.br). Aparece como produto final da cadeia de comunicações ao COAF.

Comunicação de operação suspeita (COS)

O que é. A COS é a obrigação de o setor regulado reportar ao COAF operações que fujam ao padrão esperado do cliente e possam indicar lavagem ou financiamento ao terrorismo. Diferencia-se das comunicações automáticas por valor (como saques acima de limite): a COS depende de análise e julgamento. O crescimento sustentado do volume de comunicações ao longo da última década é leitura direta de programas de PLD-FT mais maduros e de monitoramento de transações mais sensível. Aparece quando o monitoramento de transações sinaliza atipicidade.

GAFI (FATF)

O que é. O GAFI — Grupo de Ação Financeira Internacional, FATF em inglês — é o organismo intergovernamental que define os padrões globais de combate à lavagem de dinheiro e ao financiamento do terrorismo, consolidados nas 40 Recomendações. O Brasil é membro e é avaliado periodicamente em Relatório de Avaliação Mútua. As normas do BCB, do COAF e a regra de beneficiário final da Receita derivam dessas recomendações. O GAFI aparece como a referência internacional que orienta abordagem baseada em risco, EDD, tratamento de PEPs e identificação de beneficiário final.

Tabela-resumo dos termos

TermoO que resolveQuando aparece
KYCIdentificar e classificar o clienteOnboarding e revisões periódicas
KYBIdentificar a empresa e seu controleAbertura de conta PJ
KYE / KYSDiligência de colaborador e fornecedorContratação e compras
AML / PLD-FTPrograma de prevenção (guarda-chuva)Política e governança
CDDDiligência padrão por riscoOnboarding ordinário
EDDDiligência reforçada de alto riscoPEP, estrutura complexa, alerta
Beneficiário finalPessoa física que controla (mais de 25%)e-BEF e KYB de PJ
PEPMarcação de risco político (doméstico/estrangeiro)Triagem e monitoramento
SançõesBloqueio de transações restritasTriagem contínua de listas
COAF / RIFInteligência financeira nacionalComunicações e reportes
GAFIPadrão internacional de PLD-FTOrientação normativa

Por que o vocabulário importa mais em 2026

Três movimentos de 2026 transformaram esses termos de teoria em obrigação cotidiana. Primeiro, a Receita Federal passou a exigir o beneficiário final via e-BEF desde janeiro, com suspensão de CNPJ para o inadimplente — o que impede a empresa de movimentar conta, aplicar e tomar crédito. Segundo, o BCB determinou que fintechs e prestadoras de serviços de ativos virtuais sejam tratadas como bancos em PLD-FT, com as Resoluções BCB nº 519, 520 e 521 produzindo efeitos em 2026 (fonte: Banco Central, 2025, bcb.gov.br). Terceiro, o COAF opera em volume recorde de comunicações e investe em inteligência artificial para análise, em cooperação com o setor bancário.

Compliance de PLD-FT não é checklist de uma vez: é diligência proporcional ao risco, refeita continuamente. O dado cadastral confiável — quem é a empresa, quem a controla, se está em lista — é o que separa um programa eficaz de uma multa de até R$ 20 milhões.

O fio que une todos os verbetes é o mesmo: identificar com precisão a pessoa, a empresa e o controlador por trás de cada operação, e graduar o esforço pelo risco. É por isso que o vocabulário de KYC, KYB, beneficiário final e triagem de sanções convergiu, em 2026, para uma única necessidade operacional — dado cadastral institucional, auditável e atualizado, capaz de sustentar cada decisão de relacionamento com fonte e rastreabilidade.

Perguntas frequentes

Qual a diferença entre KYC e KYB?

KYC (Know Your Customer) identifica e classifica clientes em geral, incluindo pessoas físicas. KYB (Know Your Business) é o KYC aplicado a pessoa jurídica: vai além do CNPJ para mapear quadro societário, situação cadastral e a cadeia de controle até o beneficiário final. Na prática, o KYB é o caminho para encontrar a pessoa física que controla a empresa, exigência reforçada pela regra de beneficiário final em vigor desde 2026.

Quem é considerado beneficiário final no Brasil em 2026?

É a pessoa física que detém mais de 25% do capital ou dos votos de uma entidade, direta ou indiretamente, ou que, mesmo abaixo disso, controla as deliberações sociais ou elege a maioria dos administradores. Desde 1º de janeiro de 2026, a declaração se dá pelo formulário e-BEF, e estruturas com sócio pessoa jurídica ou fundos de investimento passaram a declarar sob pena de suspensão do CNPJ (fonte: Receita Federal, 2025, gov.br/receitafederal).

Ser PEP impede de abrir conta ou contratar?

Não. A condição de Pessoa Exposta Politicamente não é restrição nem acusação: é uma marcação de risco elevado que aciona diligência reforçada (EDD), aprovação por instância superior e monitoramento contínuo. O GAFI recomenda tratar todo PEP estrangeiro como de alto risco por definição, enquanto a diligência sobre o PEP doméstico é calibrada pelo risco da relação. Em ambos os casos, o relacionamento é permitido desde que os controles adequados estejam em vigor.

O RIF do COAF serve como prova?

Não isoladamente. O Relatório de Inteligência Financeira é insumo de inteligência com indícios de operações atípicas, não prova judicial. Em 2026, o STF reafirmou que o uso de RIF pressupõe investigação formal prévia (fonte: ConJur, 2026, conjur.com.br). O RIF orienta a investigação; a prova vem do processo conduzido por autoridade competente.

Qual a penalidade por programa de PLD deficiente?

O artigo 12 da Lei nº 9.613/1998 prevê advertência, multa de até R$ 20 milhões (ou o dobro do valor da operação), inabilitação por até dez anos e cassação da autorização de funcionamento (fonte: Lei nº 9.613/1998, art. 12, planalto.gov.br). Desde 2025, o BCB aplica esse mesmo regime a fintechs e prestadoras de ativos virtuais, equiparando-as aos bancos tradicionais.

Com que frequência triar listas de sanções?

Continuamente. Listas como as do OFAC, da ONU e da União Europeia mudam quase diariamente, e a triagem deve ocorrer no onboarding e em varreduras recorrentes sobre toda a base de clientes e fornecedores. Operar com pessoa ou empresa sancionada expõe a instituição a penalidades severas e à perda de correspondentes internacionais, o que torna a triagem de sanções uma rotina automatizada, não um evento único.

Leia também no DataHub

Fontes

  1. ConJur — COAF produz mais RIFs em 2025 e tem recorde de comunicações suspeitas (2026)
  2. Receita Federal — Norma ampliando a transparência e identificação dos beneficiários finais (IN RFB nº 2.290/2025) (2025)
  3. Banco Central — Circular nº 3.978/2020 (PLD-FT e identificação de clientes) (2020)
  4. ConJur — Uso de relatório do COAF exige investigação formal prévia (2026)
  5. Grupo PLBrasil — Beneficiário Final 2026: regras da IN RFB nº 2.290 (2026)
  6. VAAS — Resolução BCB nº 519/2025 e novas regras para prestadoras de ativos virtuais (2025)
  7. Monitor Mercantil — Fintechs pagam alto preço por falhas no compliance contra lavagem de dinheiro (2026)
  8. CNN Brasil — COAF registrou aumento de 766% nas comunicações de operações suspeitas (2025)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos