Em 2026, o reporte de operações suspeitas ao COAF deixou de ser uma fronteira cinzenta para as fintechs e virou obrigação explícita. Depois de operações que expuseram instituições de pagamento como dutos do crime organizado, o Banco Central passou a exigir que essas plataformas comuniquem movimentações atípicas, em um ano que já bateu recorde de 3,1 milhões de comunicações recebidas pelo órgão (fonte: Conjur, 2026). Para quem opera dado, risco e crédito PJ, a régua de PLD-FT subiu de patamar.

O que mudou em 2026: o reporte virou regra para a fintech

Durante anos, a expressão PLD-FT — prevenção à lavagem de dinheiro e ao financiamento do terrorismo — circulou no setor financeiro como uma disciplina madura entre bancos, mas difusa entre as fintechs. Em 2026, essa ambiguidade acabou. A partir de maio, instituições de pagamento e arranjos de pagamento passaram a ter obrigação explícita de comunicar operações suspeitas ao Conselho de Controle de Atividades Financeiras (COAF), o órgão brasileiro de inteligência financeira (fonte: O Bastidor, 2026).

A mudança não nasceu de um debate acadêmico. Ela é resposta direta a investigações que mostraram, com números, como o crime organizado usou fintechs para dar aparência lícita a recursos ilícitos. A reação regulatória foi rápida e tem um endereço claro: fechar a porta que estava entreaberta.

O ponto de inflexão de 2026 não é o surgimento de uma regra nova de PLD-FT, e sim o fim da tolerância prática com fintechs que tratavam a comunicação ao COAF como tema de banco grande. O risco-base do setor foi reprecificado.

Para o ecossistema de dados B2B e compliance, isso reorganiza prioridades. Conhecer o cliente (PJ e pessoa física), monitorar transações em tempo quase real e gerar comunicações defensáveis deixou de ser diferencial competitivo e passou a ser condição de operação. Quem não estruturar o dado cadastral e transacional para sustentar uma decisão de reporte fica exposto a sanção do Banco Central e a risco reputacional difícil de reverter.

O que é PLD-FT — definição em duas frases

PLD-FT é o conjunto de políticas, controles e procedimentos que instituições reguladas adotam para impedir que seus produtos e serviços sejam usados para ocultar a origem de recursos ilícitos (lavagem) ou financiar o terrorismo. No Brasil, a espinha dorsal regulatória para o sistema financeiro é a Circular BCB nº 3.978/2020, combinada com a Lei nº 9.613/1998, que tipificou o crime de lavagem e criou o COAF.

Os números que explicam a urgência

Conjur (2026); Contec Brasil (2025); BeInCrypto (2026)

O volume de informação que chega ao COAF cresceu a um ritmo que o próprio órgão tem dificuldade de absorver. Em 2025, o conselho recebeu 3,1 milhões de comunicações, alta de 20% sobre o ano anterior, e produziu 20.548 Relatórios de Inteligência Financeira (RIFs), um aumento de 9,5% na comparação anual — média de 56 RIFs por dia (fonte: Conjur, 2026).

O contraste entre demanda e capacidade é o que torna o tema crítico. O COAF opera com um quadro de cerca de 93 servidores, e a análise das comunicações é feita por um número reduzido de analistas, em um sistema de filtragem cuja arquitetura remonta a 1999 (fonte: Contec Brasil, 2025). Sobre essa estrutura recai agora o fluxo diário de mais de mil fintechs que passam a comunicar movimentações atípicas.

IndicadorDadoVariaçãoFonte (ano)
Comunicações recebidas pelo COAF3,1 milhões (2025)+20% sobre 2024Conjur (2026)
RIFs produzidos20.548 (2025)+9,5% sobre 2024Conjur (2026)
Média diária de RIFs56 por diaConjur (2026)
Quadro de pessoal do COAF~93 servidoresmeta de 21 analistas dedicados até o fim de 2026Contec Brasil (2025); O Bastidor (2026)
Volume movimentado — Operação Carbono Oculto~R$ 52 bilhões em quatro anosGazeta do Povo (2025)
Capital mínimo de instituição de pagamentoR$ 9,2 milhõesantes R$ 1 milhãoBeInCrypto (2026)

A leitura desses números é direta: o sistema de inteligência financeira brasileiro está sendo testado em escala, e a entrada das fintechs no rol de comunicantes amplifica o desafio analítico em vez de reduzi-lo. Por isso, a qualidade da comunicação — e não apenas o ato de comunicar — virou o centro da discussão de compliance.

Por que a fintech virou vetor: o que a Carbono Oculto revelou

Os volumes ilícitos que a inteligência financeira mapeou

Rede Carbono Oculto (4 an…~R$ 52 bilhõesFundos geridos por fintec…~R$ 30 bilhõesOperação Fluxo Oculto (20…+R$ 26 bilhões
Gazeta do Povo (2025); Terra (2026)

A pressão regulatória de 2026 tem raiz factual. A Operação Carbono Oculto, deflagrada em 28 de agosto de 2025 pela Receita Federal e pelo Ministério Público de São Paulo, expôs um esquema em que o Primeiro Comando da Capital (PCC) usou fintechs e fundos de investimento sediados na Avenida Brigadeiro Faria Lima, em São Paulo, para lavar recursos. Segundo as investigações, a facção mantinha cerca de R$ 30 bilhões em 40 fundos geridos por fintechs, e a rede teria movimentado aproximadamente R$ 52 bilhões ao longo de quatro anos (fonte: Gazeta do Povo, 2025).

O esquema combinava sofisticação financeira e economia real: importação de nafta e metanol pelo Porto de Paranaguá, adulteração de combustíveis em usinas próprias da facção e reciclagem dos lucros por fundos imobiliários e frotas de caminhões. Em maio de 2026, um desdobramento — a Operação Fluxo Oculto — apontou que um grupo de fintechs investigado teria movimentado mais de R$ 26 bilhões entre 2022 e 2025 (fonte: Terra, 2026).

Três vetores se destacaram nas análises de inteligência financeira como canais preferenciais de lavagem no Brasil contemporâneo: fintechs, plataformas de apostas (as chamadas bets) e criptoativos. A combinação de onboarding digital rápido, baixa fricção transacional e, em alguns casos, controles imaturos de PLD-FT tornou a instituição de pagamento um alvo atraente para quem precisa diluir grandes volumes em muitas transações.

A fintech não é vetor por ser fintech. É vetor quando crescimento de base de clientes corre na frente da maturidade dos controles de PLD-FT. O regulador de 2026 deixou de aceitar esse descompasso.

A Circular BCB 3.978: a régua técnica do reporte

Os cinco pilares do programa de PLD-FT exigido pela Circular 3.978

  1. 1
    Avaliação Interna de Risco (AIR)

    Diagnóstico documentado que mede a probabilidade e a magnitude do risco de lavagem, aprovado pelo diretor responsável e revisado a cada dois anos.

  2. 2
    Conheça seu Cliente (KYC)

    Identificação e qualificação de clientes, com diligência reforçada para perfis de maior risco, incluindo pessoas expostas politicamente.

  3. 3
    Monitoramento de operações

    Regras e alertas para detectar movimentações atípicas frente ao perfil esperado de cada cliente.

  4. 4
    Comunicação ao COAF

    Registro e envio de comunicações de operações suspeitas e de comunicações automáticas, com trilha de auditoria.

  5. 5
    Governança e efetividade

    Diretor de PLD-FT designado, treinamento e relatório anual que afere se os controles funcionam na prática.

Circular BCB nº 3.978/2020

O documento que organiza as obrigações de PLD-FT no sistema financeiro brasileiro é a Circular BCB nº 3.978, de 23 de janeiro de 2020 (fonte: Banco Central do Brasil, normativos.bcb.gov.br). Sua principal inovação foi abandonar o modelo prescritivo anterior em favor da abordagem baseada em risco: cada instituição mapeia os próprios riscos conforme o tipo de cliente, os produtos e serviços oferecidos, a região de atuação e o perfil de empregados e parceiros.

Na prática, a Circular 3.978 exige que a instituição estruture um programa de PLD-FT com pilares interdependentes. Os principais são:

  1. Avaliação Interna de Risco (AIR) — diagnóstico documentado que mede a probabilidade e a magnitude do risco de os produtos serem usados para lavagem, com impactos financeiro, legal, reputacional e socioambiental. Deve ser aprovada pelo diretor responsável e revisada a cada dois anos ou quando houver mudança relevante no perfil de risco.
  2. Conheça seu Cliente (KYC) — identificação e qualificação de clientes, com diligência reforçada para perfis de maior risco, incluindo pessoas expostas politicamente.
  3. Monitoramento e seleção de operações — regras e alertas para detectar movimentações atípicas em relação ao perfil esperado do cliente.
  4. Comunicação ao COAF — registro e envio de comunicações de operações suspeitas e de comunicações automáticas (como movimentações em espécie acima dos limites definidos).
  5. Governança e avaliação de efetividade — papel do diretor de PLD-FT, treinamento, e relatório anual que afere se os controles funcionam na prática.

A Circular alcança bancos e demais instituições autorizadas pelo Banco Central, com atenção particular a segmentos menores e a instituições de pagamento e fintechs (fonte: IPLD, 2025). O movimento de 2026 não criou uma régua nova; ele fechou a lacuna pela qual parte das fintechs interpretava que o arcabouço não as alcançava com o mesmo rigor dos bancos.

O que é Avaliação Interna de Risco (AIR) — definição em duas frases

A AIR é o documento em que a instituição identifica, mensura e classifica os riscos de lavagem de dinheiro e financiamento ao terrorismo a que está exposta, considerando clientes, produtos, canais e geografias. É a peça que sustenta tecnicamente todas as demais decisões de PLD-FT — sem ela, os controles ficam sem lastro e a comunicação ao COAF perde defensabilidade.

O RIF: o produto final da inteligência financeira

O Relatório de Inteligência Financeira (RIF) é o documento que o COAF produz cruzando as comunicações recebidas com outras bases e disponibiliza a autoridades competentes — Ministério Público, polícias, Receita Federal — quando identifica indícios de crime. É importante separar dois atos: a instituição comunica operações suspeitas; o COAF, a partir desse insumo, produz o RIF. A fintech não emite RIF; ela alimenta o sistema que o gera.

Em 2026, o RIF esteve no centro de uma controvérsia jurídica. Em maio, o Ministério Público de Minas Gerais alertou que um veto à figura do "RIF por encomenda" — a possibilidade de autoridades solicitarem relatórios ao COAF — esvaziaria a utilidade do órgão (fonte: Conjur, 2026). O debate evidencia o quanto o RIF se tornou instrumento sensível na arquitetura de combate ao crime financeiro, e por que a integridade do dado que alimenta o COAF importa tanto.

Para a fintech, a consequência operacional é clara: a comunicação enviada ao COAF precisa ser íntegra, rastreável e baseada em critérios documentados. Uma comunicação genérica, sem fundamentação, ou a ausência de comunicação diante de sinais evidentes, são as duas pontas que atraem responsabilização.

A modernização do COAF e a entrada da inteligência artificial

O descompasso entre volume e capacidade pressionou uma resposta institucional. Em 20 de março de 2026, o COAF assinou acordo de cooperação técnica com a FEBRABAN (Federação Brasileira de Bancos) e a ABBC (Associação Brasileira de Bancos) para modernizar seus sistemas, com uso de inteligência artificial e participação financeira do setor bancário no desenvolvimento de uma nova plataforma (fonte: Finsiders Brasil, 2026).

O objetivo declarado da modernização é identificar padrões suspeitos com mais precisão, reduzir falsos positivos e acelerar a tomada de decisão. Sob a gestão do delegado Ricardo Saadi, que assumiu o órgão em julho de 2025, há também a meta de ampliar a equipe de análise — para cerca de 21 analistas dedicados até o fim de 2026 — e substituir o sistema legado (fonte: O Bastidor, 2026).

Para quem produz e estrutura dado no ecossistema B2B, esse é um sinal estratégico. A inteligência financeira do país caminha para depender de modelos analíticos que cruzam grandes volumes de comunicação. Quanto mais limpo, padronizado e atribuível for o dado cadastral e transacional na origem — na própria fintech —, maior a chance de a comunicação ao COAF gerar valor de inteligência em vez de ruído.

Obrigações práticas: o que a fintech precisa ter funcionando

A passagem da teoria à operação concentra o risco. Uma instituição pode ter políticas formalmente corretas e, ainda assim, falhar no dia a dia da seleção e comunicação. O quadro abaixo resume as obrigações nucleares e o que elas exigem na prática.

ObrigaçãoO que exige na práticaBase normativa
Avaliação Interna de RiscoDocumento aprovado pelo diretor de PLD-FT, revisado a cada 2 anosCircular BCB 3.978
Conheça seu Cliente (KYC)Identificação, qualificação e diligência reforçada por perfil de riscoCircular BCB 3.978
Monitoramento transacionalRegras e alertas para detectar atipicidade frente ao perfil do clienteCircular BCB 3.978
Comunicação ao COAFComunicações de operações suspeitas e comunicações automáticas, com trilha de auditoriaLei 9.613/1998; Circular BCB 3.978
Diretor responsávelNomeação formal perante o Banco Central, com responsabilidade pelo programaCircular BCB 3.978
Avaliação de efetividadeRelatório anual aferindo se os controles funcionam na realidadeCircular BCB 3.978

Há ainda um vetor regulatório paralelo que pressiona o setor no mesmo sentido. As novas regras do Banco Central elevaram o capital mínimo de instituições de pagamento de R$ 1 milhão para R$ 9,2 milhões e anteciparam prazos de regularização, em um movimento que tende a consolidar o mercado e a excluir operações sem estrutura de compliance suficiente (fonte: BeInCrypto, 2026). Maturidade de PLD-FT, antes tema de área de risco, virou tema de sobrevivência do negócio.

Onde o dado entra: compliance é, no fundo, um problema de dado

O cerne do PLD-FT moderno é a qualidade da informação. Identificar quem é o cliente, mapear o beneficiário final de uma pessoa jurídica, validar dado cadastral contra fontes institucionais confiáveis e reconstituir o histórico transacional — tudo isso depende de dados consistentes e auditáveis. A comunicação ao COAF é apenas o ponto de saída de uma cadeia que começa no onboarding.

Isso explica por que o ecossistema de dados cadastrais institucionais — incluindo cadeias societárias, vínculos de pessoas expostas politicamente e validação de informação de CNPJ e CPF — passou a ser infraestrutura crítica de compliance, e não acessório. A fintech que trata KYC e monitoramento como camadas de dado bem governadas reduz falso positivo, acelera a decisão de reporte e produz comunicações que sobrevivem ao escrutínio do regulador.

Em PLD-FT, a diferença entre uma comunicação útil e um ruído estatístico está na qualidade do dado de origem. Compliance defensável é, antes de tudo, governança de dado cadastral e transacional.

Para o ano de 2026, a recomendação operacional é convergente: tratar PLD-FT como sistema de dados de ponta a ponta. Da identificação na entrada à comunicação ao COAF na saída, cada elo precisa ser rastreável, atualizado e amarrado a fonte. É essa cadeia que transforma obrigação regulatória em inteligência real — e que separa a fintech que sobrevive à consolidação daquela que vira manchete de operação policial.

Perguntas frequentes

O que significa PLD-FT?

PLD-FT é a sigla para Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo. Designa o conjunto de políticas, controles e procedimentos que instituições reguladas adotam para impedir que seus produtos sejam usados para ocultar recursos ilícitos ou financiar o terrorismo. No Brasil, é regida pela Lei nº 9.613/1998 e, no sistema financeiro, pela Circular BCB nº 3.978/2020.

As fintechs precisam comunicar operações ao COAF em 2026?

Sim. A partir de maio de 2026, instituições de pagamento e fintechs passaram a ter obrigação explícita de comunicar operações suspeitas ao COAF, decisão do Banco Central impulsionada por operações que revelaram o uso dessas plataformas pelo crime organizado (fonte: O Bastidor, 2026). Mais de mil fintechs entram no rol de comunicantes diários.

O que é um RIF e quem o produz?

O RIF (Relatório de Inteligência Financeira) é o documento que o COAF produz ao cruzar comunicações recebidas com outras bases, identificando indícios de crime, e o disponibiliza a autoridades como Ministério Público e polícias. A fintech não emite RIF; ela comunica operações suspeitas, e essas comunicações alimentam o sistema que gera o relatório. Em 2025, o COAF produziu 20.548 RIFs (fonte: Conjur, 2026).

O que exige a Circular BCB 3.978?

A Circular BCB nº 3.978/2020 adota a abordagem baseada em risco e exige que cada instituição monte um programa de PLD-FT com Avaliação Interna de Risco documentada, política de Conheça seu Cliente (KYC), monitoramento de operações, comunicação ao COAF, diretor responsável formalmente designado e avaliação anual de efetividade (fonte: Banco Central do Brasil, 2020).

Por que as fintechs viraram alvo de operações como a Carbono Oculto?

A Operação Carbono Oculto, deflagrada em agosto de 2025, revelou que o PCC usava fintechs e fundos da Faria Lima para lavar recursos, com uma rede que teria movimentado cerca de R$ 52 bilhões em quatro anos (fonte: Gazeta do Povo, 2025). Onboarding digital rápido e controles imaturos tornaram instituições de pagamento canais atraentes para diluir grandes volumes ilícitos.

O que acontece se a fintech não cumprir as obrigações de PLD-FT?

O descumprimento sujeita a instituição a sanções administrativas do Banco Central, que vão de advertência a multas e à inviabilização da operação, além de risco reputacional e de responsabilização de dirigentes. Em 2026, o aumento do capital mínimo para R$ 9,2 milhões e a antecipação de prazos de regularização reforçam que estrutura de compliance virou condição de sobrevivência no setor (fonte: BeInCrypto, 2026).

Leia também no DataHub

Fontes

  1. Conjur — Coaf faz mais RIFs em 2025 e recorde de comunicações suspeitas (2026)
  2. O Bastidor — Siga o dinheiro no escuro (fintechs e o COAF) (2026)
  3. Conjur — Veto ao RIF por encomenda esvazia utilidade do Coaf, alerta MP-MG (2026)
  4. Banco Central do Brasil — Circular nº 3.978, de 23 de janeiro de 2020 (2020)
  5. Gazeta do Povo — Seis fintechs são alvos de operação por suspeita de lavagem do PCC (Carbono Oculto) (2025)
  6. Terra — 2ª fase da Operação Carbono Oculto mira esquema de lavagem do PCC com fintechs (2026)
  7. Finsiders Brasil — ABBC e Febraban se unem ao Coaf em combate à lavagem de dinheiro (2026)
  8. BeInCrypto — Juristas explicam por que fintechs podem desaparecer com novas exigências do BC (2026)
  9. Contec Brasil — O Brasil combate a lavagem de dinheiro com um órgão de 93 pessoas (2025)
  10. IPLD — A Avaliação Interna de Riscos com a Carta Circular nº 3.978 (2025)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos