KYC, KYE, KYS e KYB são quatro verificações distintas que respondem à mesma pergunta — "com quem eu estou lidando?" — aplicada a quatro contrapartes diferentes. KYC verifica o cliente, KYE o empregado, KYS o fornecedor e KYB a empresa contratada e seus sócios. Cada uma analisa documentos, vínculos e riscos próprios. Em 2026, com o COAF batendo recorde de 3,1 milhões de comunicações e a nova regulação de instituições de pagamento, tratá-las como sinônimos é o erro de compliance mais caro que uma empresa brasileira pode cometer.

Por que separar os quatro elos importa em 2026

ConJur, 2026

A cadeia de risco de uma empresa não começa nem termina no cliente. Ela atravessa quem ela contrata, quem ela emprega e com quem ela fecha contrato. Cada um desses pontos é uma porta de entrada para lavagem de dinheiro, fraude, corrupção e responsabilização solidária. Tratar tudo como "KYC" é confundir a porta com a casa inteira.

O ano de 2026 tornou essa distinção concreta. O COAF (Conselho de Controle de Atividades Financeiras) recebeu 3,1 milhões de comunicações em 2025, alta de 20% sobre 2024, e produziu 20.548 Relatórios de Inteligência Financeira (RIFs), média de 56 por dia (fonte: ConJur, 2026, conjur.com.br). Esse volume não é abstrato: cada comunicação nasce de uma contraparte que alguém deixou de verificar a tempo.

Os reguladores também mudaram a régua. Segundo análise de mercado, em 2026 os supervisores não avaliam mais apenas a existência de políticas bem escritas — exigem evidência concreta de efetividade. A diferença entre KYC, KYE, KYS e KYB deixou de ser jargão de consultoria e virou exigência de auditoria.

Verificar o cliente e ignorar o fornecedor é trancar a porta da frente e deixar a dos fundos escancarada. O crime organizado entra pela contraparte menos vigiada.

O que é cada verificação — definição direta

Os quatro elos da cadeia de verificação

  1. 1
    KYC — Conheça seu Cliente

    Identifica, verifica e classifica o risco de quem consome o produto ou serviço, no onboarding e a cada atualização cadastral.

  2. 2
    KYE — Conheça seu Empregado

    Checa antecedentes, vínculos ocultos e conflitos de interesse do candidato ou colaborador, blindando contra a ameaça interna.

  3. 3
    KYS — Conheça seu Fornecedor

    Verifica idoneidade fiscal, trabalhista e sanções do terceiro para evitar responsabilização solidária e contaminação da cadeia.

  4. 4
    KYB — Conheça a Empresa

    Fura a estrutura societária da PJ contraparte até chegar ao beneficiário final que de fato controla o negócio.

Antes de comparar, vale fixar o significado de cada sigla. Todas derivam do mesmo princípio de "Know Your..." (conheça seu...) consagrado pela Lei nº 9.613/1998, a lei brasileira de prevenção à lavagem de dinheiro, e pela Circular BACEN nº 3.978/2020, que detalha os procedimentos de identificação para instituições autorizadas.

KYC — Know Your Customer (conheça seu cliente)

O que é. KYC é o processo de identificar, verificar e classificar o risco do cliente antes e durante o relacionamento. Analisa documento, identidade, prova de vida, situação cadastral e o perfil transacional esperado. É a verificação mais antiga e regulada, obrigatória para bancos, fintechs, corretoras, seguradoras e instituições de pagamento. Aparece no onboarding e em toda atualização cadastral.

KYE — Know Your Employee (conheça seu empregado)

O que é. KYE verifica candidatos e colaboradores: antecedentes, processos, vínculos societários ocultos, conflitos de interesse e exposição política. Protege a empresa contra a ameaça interna — o funcionário que vira porta de entrada para fraude. Aparece na contratação e em revisões periódicas de cargos sensíveis (caixa, TI, compliance, finanças).

KYS — Know Your Supplier (conheça seu fornecedor)

O que é. KYS verifica fornecedores e prestadores de serviço quanto a idoneidade, regularidade fiscal, trabalho análogo a escravo, sanções, processos e capacidade operacional real. Reduz risco de responsabilização solidária e de contaminar a cadeia com um parceiro problemático. Aparece na homologação de fornecedor e em recontratações.

KYB — Know Your Business (conheça a empresa e seus sócios)

O que é. KYB verifica pessoas jurídicas: existência real da empresa, quadro societário (QSA), beneficiário final, situação no CNPJ, sanções e vínculos entre empresas. É o KYC aplicado a uma contraparte PJ, com a camada extra de "furar" a estrutura societária até chegar à pessoa física que controla o negócio. Aparece no onboarding B2B, em parcerias e em operações de crédito a empresas.

Tabela comparativa dos quatro elos

A forma mais rápida de não confundir as siglas é alinhar quem é verificado, o que se analisa, quando a verificação é exigida e qual risco ela mitiga.

Verificação Quem é verificado O que analisa Quando é exigida Risco que mitiga
KYC (cliente) Pessoa física ou jurídica que consome o produto ou serviço Identidade, prova de vida, CPF/CNPJ, perfil transacional, risco PLD/FT Onboarding e atualização cadastral em instituições reguladas pelo BACEN, CVM e SUSEP Lavagem de dinheiro, fraude de identidade, financiamento ao terrorismo
KYE (empregado) Candidato ou colaborador interno Antecedentes, processos, vínculos societários, PEP, conflito de interesse Contratação e revisão periódica de cargos sensíveis Fraude interna, conluio, vazamento de dados, corrupção
KYS (fornecedor) Fornecedor, prestador de serviço, terceiro Idoneidade, regularidade fiscal e trabalhista, sanções, capacidade operacional Homologação de fornecedor e recontratação Responsabilização solidária, fraude na cadeia, trabalho análogo a escravo
KYB (empresa/sócios) Pessoa jurídica contraparte e seus sócios QSA, beneficiário final, situação CNPJ, vínculos entre empresas, sanções Onboarding B2B, parceria, crédito PJ, due diligence Empresa de fachada, laranja, conta-bolsão, ocultação de controlador

KYC: o elo mais regulado, e ainda assim o mais atacado

O KYC nasceu no setor financeiro e é hoje o mais maduro. A Resolução CVM nº 50/2021 tornou-o obrigatório no mercado de capitais; a Circular BACEN nº 3.978/2020 detalhou identificação de cliente, beneficiário final e classificação de risco para instituições autorizadas. Ainda assim, o KYC fraco continua sendo a principal avenida da fraude.

Um exemplo prático: uma fintech recebe o pedido de abertura de conta de João, pessoa física. O KYC verifica se João existe, se o CPF está regular na Receita Federal, se a selfie bate com o documento (prova de vida) e se o histórico transacional faz sentido para o perfil declarado. Quando esse processo é automatizado com dados cadastrais confiáveis, a fraude de identidade cai antes de virar comunicação ao COAF.

A escala do problema justifica o rigor. Golpes financeiros já vitimaram 29,9 milhões de brasileiros, com prejuízos anuais superiores a R$ 13 bilhões (fonte: Security Leaders, 2026, securityleaders.com.br). Boa parte começa em um onboarding que aceitou um documento que não deveria.

KYE: a ameaça interna que o KYC não enxerga

Nenhum KYC, KYS ou KYB protege a empresa do inimigo que ela mesma contratou. É para isso que existe o KYE. O caso mais emblemático de 2025 foi o da C&M Software: um funcionário confessou ter vendido login e senha por R$ 5 mil, recebendo mais R$ 10 mil para montar um sistema de desvio que permitiu acesso não autorizado a contas de reserva de pelo menos seis instituições financeiras e o desvio de mais de R$ 800 milhões via PIX (fonte: Agência Brasil, 2025, agenciabrasil.ebc.com.br).

O KYE bem feito teria, no mínimo, sinalizado vínculos e exposições antes de dar a esse colaborador acesso a sistema crítico. A ABES alerta que as ameaças internas seguem como risco crescente e exigem programa estruturado de gerenciamento de risco interno, com rastreamento e registro das interações dos usuários com os ativos da organização (fonte: ABES, 2025, abes.org.br).

O KYE também tem uma fronteira delicada com a LGPD (Lei Geral de Proteção de Dados, Lei nº 13.709/2018) e com a legislação trabalhista. Verificar antecedentes de candidato exige base legal, minimização de dados e finalidade legítima — não é licença para devassa. A ANPD (Autoridade Nacional de Proteção de Dados) tem reforçado que background check sem base legal adequada é, ele próprio, uma infração.

KYS: o fornecedor que contamina a cadeia

O KYS responde por uma exposição que muitas empresas ignoram até receber uma autuação: a responsabilidade solidária por um terceiro problemático. Contratar um fornecedor que mantém trabalho análogo a escravo, que sonega de forma estruturada ou que figura em listas de sanções transfere parte do risco — reputacional, fiscal e penal — para quem contratou.

Na prática, o KYS verifica a regularidade fiscal e trabalhista do fornecedor, sua existência operacional real (uma empresa que fatura milhões sem funcionários acende alerta), processos relevantes e presença em listas restritivas. Em setores com cadeias longas — varejo, construção, indústria — o KYS é o que separa a homologação responsável da terceirização do risco.

  1. Idoneidade fiscal: regularidade no CNPJ, certidões negativas, ausência de débitos estruturais.
  2. Regularidade trabalhista: conferência em listas de trabalho análogo a escravo e passivos relevantes.
  3. Sanções e listas restritivas: nacional e internacional, incluindo PEP entre sócios.
  4. Capacidade operacional: coerência entre faturamento, porte e estrutura declarada.
  5. Vínculos ocultos: cruzamento societário para detectar fornecedor ligado a empregado ou a parte relacionada.

KYB: furar a estrutura até o beneficiário final

Quanto a opacidade societária moveu no crime organizado

Operação Carbono Oculto (…R$ 30 biOperação Fluxo Oculto (6 …R$ 26 biFraude C&M Software (desv…R$ 800 mi
Brasil 247 (2025), Gazeta do Povo (2026), Agência Brasil (2025)

O KYB é onde mora a batalha mais quente de 2026. Verificar uma pessoa jurídica não é só checar se o CNPJ existe — é descobrir quem, de verdade, controla aquela empresa. É o que o regulador chama de beneficiário final: a pessoa física que, no fim da cadeia societária, controla ou exerce influência significativa sobre a entidade.

A Receita Federal endureceu essa exigência com a Instrução Normativa RFB nº 2.290/2025, publicada em 30 de outubro de 2025, que institui o Formulário Digital de Beneficiários Finais (e-BEF) integrado ao CNPJ. A partir de 2026, empresas limitadas com sócio pessoa jurídica no QSA (Quadro de Sócios e Administradores) passam a prestar essa informação independentemente do faturamento, com atualização anual obrigatória e prazo de 30 dias a cada alteração (fonte: Stussi Neves, 2025, snasp.com.br). O objetivo declarado é rastreabilidade e alinhamento às práticas internacionais de transparência corporativa — exatamente a agenda que o GAFI (Grupo de Ação Financeira) cobra do Brasil.

Por que isso é vital? Porque o crime usa a opacidade da PJ. A Operação Carbono Oculto revelou em agosto de 2025 que o PCC mantinha cerca de R$ 30 bilhões em 40 fundos geridos por fintechs (fonte: Brasil 247, 2025, brasil247.com). A engenharia da lavagem usava a chamada conta-bolsão — reunir recursos de muitos clientes em uma única conta para compensação no Sistema Financeiro Nacional, dissolvendo a rastreabilidade individual. Em 2026, a Operação Fluxo Oculto mostrou seis novas fintechs suspeitas de movimentar R$ 26 bilhões da facção entre 2022 e 2024, com empresas de fachada abertas em nome de laranjas — parentes, pessoas vulneráveis e até presos (fonte: Gazeta do Povo, 2026, gazetadopovo.com.br).

O laranja é a falha do KYB. Quando a verificação para no nome do sócio formal e não chega ao beneficiário final, a empresa vira ferramenta do crime sem que ninguém perceba.

A nova regulação de IPs e por que ela amarra os quatro elos

A regulação de instituições de pagamento mudou o jogo. A Resolução BCB nº 494/2025, de 5 de setembro de 2025, que alterou a Resolução BCB nº 80/2021, passou a exigir autorização prévia para o início da prestação de serviços de pagamento, qualquer que seja a modalidade. Entre 1º e 31 de maio de 2026, emissores de moeda eletrônica e de instrumentos pós-pagos que começaram a operar antes dos marcos da norma tiveram de submeter pedido de autorização (fonte: AML Reputacional, 2025, amlreputacional.com.br).

Em paralelo, a Resolução Conjunta nº 16/2025, de 28 de novembro de 2025, disciplinou o Banking as a Service (BaaS) e fixou que a concepção e execução dos controles regulatórios — incluindo KYC, análise de perfil de risco, prevenção a fraude e controles de PLD/FT — permanecem competência do prestador de serviço de BaaS, sem diluição de responsabilidade. As instituições têm até 31 de dezembro de 2026 para adequar estruturas e contratos (fonte: Asaas, 2025, blog.asaas.com).

O efeito conjunto é claro: o BACEN fechou a brecha que permitia a uma IP "terceirizar" a responsabilidade de conhecer cliente, parceiro e fornecedor. Quem opera pagamento agora responde pelos quatro elos. O encerramento imediato de contas-bolsão e de contas associadas a fraude tornou-se prioridade declarada de supervisão (fonte: LEC, 2026, lec.com.br).

Como os quatro elos se encaixam num único programa

Na prática, KYC, KYE, KYS e KYB não são quatro projetos isolados — são quatro lentes de um mesmo programa de integridade, alimentado pela mesma base de dados cadastrais. O diferencial competitivo está em cruzá-los. Um fornecedor (KYS) cujo sócio (KYB) é parente de um colaborador de compras (KYE) é exatamente o tipo de conluio que só aparece quando os elos conversam.

Tecnologia tornou esse cruzamento viável em tempo real. Com inteligência artificial e dados cadastrais consistentes, é possível automatizar a verificação de identidade, detectar padrões suspeitos e classificar risco continuamente, em vez de checar uma vez no onboarding e nunca mais. O COAF, a FEBRABAN e a ABBC assinaram em março de 2026 acordo de cooperação técnica para modernizar os sistemas com uso de IA — sinal de que a régua tecnológica do regulador também subiu (fonte: ConJur, 2026, conjur.com.br).

A consequência prática para diretores de risco, compliance e crédito é direta: revisar se o programa cobre os quatro elos com profundidade proporcional ao risco, se chega ao beneficiário final nas contrapartes PJ, e se a verificação respeita a LGPD em cada coleta. Em 2026, evidência de efetividade — não o PDF da política — é o que o supervisor cobra.

Perguntas frequentes

Qual a diferença prática entre KYC e KYB?

KYC verifica o cliente — pessoa física ou jurídica que consome o serviço. KYB verifica especificamente uma empresa contraparte e, sobretudo, fura a estrutura societária até identificar o beneficiário final, a pessoa física que de fato controla o negócio. Todo KYB é um tipo de KYC aplicado a PJ, mas com a camada extra de QSA e beneficiário final exigida pela IN RFB nº 2.290/2025.

KYE não viola a privacidade do candidato sob a LGPD?

Não, desde que haja base legal, finalidade legítima e minimização de dados. A LGPD permite verificação de antecedentes para cargos sensíveis quando proporcional e justificada, mas proíbe coleta excessiva. A ANPD trata background check sem base legal adequada como infração. O KYE responsável coleta só o necessário para o risco do cargo.

Minha empresa é obrigada a fazer KYS de todos os fornecedores?

A intensidade deve ser proporcional ao risco. Fornecedores críticos, de alto valor ou em setores sensíveis exigem KYS aprofundado — idoneidade fiscal, trabalhista e sanções. Fornecedores de baixo risco podem ter verificação simplificada. O ponto inegociável é evitar responsabilização solidária por trabalho análogo a escravo ou fraude na cadeia, riscos que recaem sobre quem contrata.

Por que o beneficiário final virou prioridade em 2026?

Porque o crime organizado usa a opacidade societária. Operações como Carbono Oculto e Fluxo Oculto mostraram bilhões lavados por fintechs e empresas de fachada abertas em nome de laranjas. A IN RFB nº 2.290/2025 instituiu o e-BEF justamente para rastrear, no CNPJ, quem realmente controla cada empresa, alinhando o Brasil às exigências do GAFI.

A nova regulação de IPs muda a obrigação de quem faz KYC?

Sim. A Resolução BCB nº 494/2025 exige autorização prévia para prestar serviço de pagamento, e a Resolução Conjunta nº 16/2025 fixa que controles de KYC e PLD/FT permanecem responsabilidade do prestador, sem diluição. Quem opera pagamento ou BaaS não pode mais terceirizar a obrigação de conhecer cliente, parceiro e fornecedor — responde por isso até 31 de dezembro de 2026 para se adequar.

Posso usar a mesma base de dados para os quatro elos?

Sim, e é o caminho mais eficaz. KYC, KYE, KYS e KYB consultam dados cadastrais sobrepostos — CPF, CNPJ, QSA, sanções, processos. Uma base cadastral única e confiável permite cruzar os elos e detectar conluios que verificações isoladas não enxergam, como fornecedor ligado a empregado. O valor está na integração, não em quatro silos.

Leia também no DataHub

Fontes

  1. ConJur — COAF produz mais RIFs em 2025 e tem recorde de comunicações suspeitas (2026)
  2. Stussi Neves — IN RFB nº 2.290/2025: Nova Obrigação de Beneficiários Finais (e-BEF) (2025)
  3. Asaas — Regulamentação BaaS: adequação à Resolução Conjunta 16/2025 (2025)
  4. AML Reputacional — Instituições de Pagamento e a Resolução BCB nº 494 (2025)
  5. Gazeta do Povo — Seis fintechs alvo de operação por suspeita de lavagem do PCC (2026)
  6. Brasil 247 — Operação Carbono Oculto: polícia mira fintechs ligadas ao PCC (2025)
  7. Agência Brasil — Funcionário que deu acesso a hackers para executar fraude é preso (2025)
  8. ABES — Ameaças internas seguem como risco crescente para a segurança cibernética (2025)
  9. LEC — BACEN aperta o cerco: contas-bolsão e fraudes no alvo de encerramento imediato (2026)
  10. Security Leaders — Imposto de Renda 2026: fraudes atingem nível industrial (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos