Regulação de dados e compliance em 2026: BCB, COAF e Receita Federal

Entre setembro de 2025 e dezembro de 2026, o Brasil concentrou o maior aperto regulatório sobre dados cadastrais e prevenção à lavagem de dinheiro da última década. A Resolução Conjunta BCB/CMN nº 16/2025 encerra as contas-bolsão, as Resoluções BCB 494 a 497/2025 reautorizam instituições de pagamento, a IN RFB 2.278/2025 estende a e-Financeira às fintechs e a dosimetria da ANPD já permite multas de até R$ 50 milhões. O efeito prático é um só: quem opera com dinheiro de terceiros precisa saber, de forma auditável, quem é o cliente e quem é a empresa por trás dele.

Para o diretor de risco, de compliance ou de dados, 2026 não é mais um ano de "preparação". É o ano dos prazos. A janela única de autorização das instituições de pagamento se fecha em 31 de maio de 2026, e as estruturas de contas-bolsão herdadas precisam estar desmontadas até 31 de dezembro de 2026. Entre as duas datas, o que separa continuidade de cessação compulsória é a qualidade do conhecimento sobre o cliente — KYC para pessoas físicas e KYB para pessoas jurídicas.

Este artigo é um panorama operacional de cada norma: o que ela exige, quando vence o prazo e por que, somadas, elas transformam dado cadastral confiável em insumo regulatório obrigatório, e não mais em diferencial competitivo.

Por que 2026 é o ano dos prazos

Finsiders Brasil e Conjur, 2026

A pressão regulatória de 2026 não nasceu no vácuo. Ela responde a um sistema financeiro que se digitalizou mais rápido do que sua infraestrutura de identificação. O Open Finance brasileiro ultrapassou 100 milhões de clientes conectados e 154 milhões de consentimentos ativos em fevereiro de 2026, consolidando-se como o maior ecossistema do mundo no formato (fonte: Finsiders Brasil, 2026, finsidersbrasil.com.br). O número de pessoas jurídicas conectadas saltou de 239 mil em abril de 2024 para 589 mil em abril de 2025, um crescimento de 146% em doze meses (fonte: Banco Central, via Finsiders Brasil, 2026).

Quanto mais dados circulam, mais valiosa fica a fraude de identidade — e mais necessária a verificação. O COAF (Conselho de Controle de Atividades Financeiras), órgão que recebe e analisa comunicações de operações suspeitas, registrou um recorde de 3,1 milhões de comunicações em 2025, alta de 20% sobre os 2,5 milhões de 2024 (fonte: Conjur, 2026, conjur.com.br). O setor de bens de luxo dobrou suas comunicações, de 18.375 para 36.083 no mesmo período.

O fio que costura as cinco normas de 2025-2026 é a rastreabilidade: cada real precisa ter um titular identificável e cada CNPJ precisa ter um beneficiário final conhecido. Sem dado cadastral confiável, nenhuma das obrigações é cumprível.

A seguir, o detalhamento norma a norma, na ordem em que pesam sobre o calendário de adequação.

Resolução Conjunta 16/2025: o fim das contas-bolsão

Publicada em 28 de novembro de 2025 pelo Banco Central do Brasil (BCB) e pelo Conselho Monetário Nacional (CMN), a Resolução Conjunta nº 16 disciplina o Banking as a Service (BaaS) — o modelo em que uma instituição licenciada "aluga" sua infraestrutura financeira para empresas não reguladas oferecerem serviços bancários.

O que é uma conta-bolsão. É uma conta única, em nome de uma empresa contratante, que concentra o dinheiro de muitos clientes finais sem individualização. Como o saldo de cada pessoa não é rastreável até o titular, a estrutura virou veículo recorrente de lavagem de dinheiro. A Resolução 16/2025 a proíbe.

Na prática, a norma obriga que cada cliente final seja identificado individualmente pela instituição licenciada, e não apenas pela empresa contratante. Isso transfere para o banco ou a instituição de pagamento provedora a responsabilidade direta de aplicar KYC sobre toda a base — inclusive a base que, até então, ela só "via" de forma agregada.

O prazo é estruturado em camadas. A norma entra em vigor na publicação, mas concede até 31 de dezembro de 2026 para que contratos já existentes se adaptem. Antes disso, em até 90 dias, a instituição financeira deve avaliar sua carteira e comunicar ao supervisor se está em conformidade; se não estiver, terá mais 120 dias para concluir o plano de adequação (fonte: Capital Aberto, 2025, capitalaberto.com.br). O descumprimento limita a continuidade da atividade.

Resoluções BCB 494 a 497: o recadastramento das instituições de pagamento

Editadas em 5 de setembro de 2025, no conjunto que inclui ainda a Resolução 498, as Resoluções BCB 494 a 497 redesenham o regime de autorização das instituições de pagamento (IPs) — as empresas que operam carteiras digitais, maquininhas, contas de pagamento e arranjos de Pix sem serem bancos.

Resolução 494: autorização prévia obrigatória

A Resolução 494 altera a Resolução 80/2021 e elimina a antiga isenção por porte: toda IP precisa de autorização do BCB antes de operar, em qualquer modalidade. Para as instituições que já operavam sob isenção, existe uma janela única e improrrogável de pedido de autorização, fixada entre 1º e 31 de maio de 2026. Quem não solicitar nesse prazo sofre cessação compulsória, com apenas 30 dias após a notificação para encerrar as operações de forma ordenada (fonte: AML Reputacional, 2025, amlreputacional.com.br).

Resolução 495: sede física e governança

A Resolução 495 condiciona a autorização a uma sede em endereço de uso efetivo e exclusivo, vedando coworking, escritório virtual ou espaço compartilhado — exceto entre instituições do mesmo conglomerado. É uma exigência de substância econômica que ataca diretamente estruturas de fachada usadas para opacizar a identidade dos controladores.

Resoluções 496 e 497: limites de Pix e TED

A Resolução 496 antecipou de 31 de dezembro de 2026 para 1º de maio de 2026 o prazo para IPs não reguladas participantes do Pix solicitarem autorização. Como regra de transição, transações de Pix dessas instituições, e dos participantes que se conectam à Rede do Sistema Financeiro Nacional via PSTI (Prestador de Serviço de Tecnologia da Informação), ficam sujeitas ao teto de R$ 15.000 por operação. A Resolução 497 aplica o mesmo limite de R$ 15.000 às TEDs dessas instituições (fonte: NDM Advogados, 2025, ndmadvogados.com.br).

IN RFB 2.278/2025: a e-Financeira chega às fintechs

Publicada em 29 de agosto de 2025, no contexto da Operação Carbono Oculto, a Instrução Normativa RFB nº 2.278 estende a e-Financeira às instituições de pagamento e aos participantes de arranjos de pagamento — obrigação antes restrita majoritariamente às entidades do Sistema Financeiro Nacional.

O que é a e-Financeira. É a obrigação acessória pela qual instituições reportam à Receita Federal saldos de contas, total de débitos e créditos mensais e demais movimentações de clientes. Funciona como um consolidado periódico de dados financeiros, entregue por meio do SPED. Com a IN 2.278/2025, fintechs, carteiras digitais e operadores de meios eletrônicos de pagamento passam a reportar nos mesmos termos dos bancos.

A norma traz três mudanças operacionais relevantes. Primeiro, a declaração "sem movimento" passa a ser obrigatória: mesmo sem operações a reportar, a instituição deve abrir o semestre no sistema e marcar a opção no fechamento. Segundo, o cronograma se normaliza a partir de fevereiro de 2026, com a entrega referente ao segundo semestre de 2025. Terceiro, a partir de 2026 a Receita aplica validações sistêmicas mais rigorosas — como exigência de NIF para residentes no exterior — e erros de preenchimento podem gerar autuação imediata (fonte: Matera, 2026, matera.com).

LGPD e ANPD: a dosimetria que dá dentes às multas

Toda essa coleta e troca de dados cadastrais ocorre sob a Lei Geral de Proteção de Dados (LGPD). O ponto de inflexão recente é o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, da Autoridade Nacional de Proteção de Dados (ANPD), que estabeleceu o método de cálculo das multas previstas no artigo 52 da lei.

As sanções podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, além de multa diária com o mesmo teto e suspensão parcial do banco de dados por até seis meses, renovável (fonte: ANPD, gov.br/anpd). Os critérios de dosimetria — gravidade, boa-fé, vantagem auferida, reincidência e, sobretudo, a adoção de políticas de governança e medidas corretivas — premiam quem tem processo de tratamento de dados documentado e auditável.

Há aqui uma tensão produtiva: as normas do BCB e da Receita exigem coletar e reter mais dados; a LGPD exige minimizar, justificar a base legal e proteger esses mesmos dados. A reconciliação se chama finalidade. Dado coletado para cumprir obrigação legal de KYC, PLD/FT ou e-Financeira tem base legal sólida (cumprimento de obrigação legal e regulatória), desde que tratado apenas para esse fim e com segurança proporcional ao risco.

Tabela de marcos regulatórios 2025-2026

O que tudo isso cria: demanda estrutural por KYC e KYB

As cinco frentes convergem para a mesma capacidade operacional. Identificar o titular de cada real (Resolução 16), comprovar substância da própria instituição (Resolução 495), reportar movimentações à Receita (e-Financeira) e fazê-lo sob a LGPD exige um único alicerce: dado cadastral confiável e atualizado, de pessoa física e de pessoa jurídica.

O que é KYC e KYB. KYC (Know Your Customer, ou "conheça seu cliente") é o processo de identificar e verificar a pessoa física que abre uma conta ou contrata um serviço. KYB (Know Your Business, ou "conheça sua empresa") é o equivalente para pessoas jurídicas: validar o CNPJ, o quadro societário e, crucialmente, o beneficiário final — a pessoa física que de fato controla a empresa. Ambos são supervisionados pelo Banco Central no Brasil.

O KYB ganha protagonismo em 2026 por dois motivos. Primeiro, porque o crescimento de 146% de PJs no Open Finance multiplica relações jurídicas que precisam de verificação. Segundo, porque a opacidade societária — empresas de fachada, laranjas e estruturas em cascata — é o vetor preferencial das fraudes mapeadas em operações como a Carbono Oculto. Verificar uma pessoa é difícil; verificar quem controla uma empresa, e a empresa que controla aquela, é onde a fraude se esconde.

Para diretores de risco e compliance, a sequência de prioridades em 2026 é razoavelmente clara:

1. Mapear exposição a contas-bolsão. Identificar, nos próximos 90 dias do gatilho da Resolução 16, quais relações de BaaS dependem de estruturas agregadas e precisam de individualização de titulares.
2. Garantir a autorização da IP. Se a instituição opera como IP isenta, protocolar o pedido dentro da janela de 1º a 31 de maio de 2026 — não há prorrogação.
3. Reforçar o KYB de beneficiário final. Cruzar quadro societário, situação cadastral na Receita e listas de PLD/FT para todo cliente PJ, com reverificação periódica.
4. Operacionalizar a e-Financeira. Calibrar processos para a entrega de fevereiro de 2026, inclusive a declaração "sem movimento", sob risco de autuação automática.
5. Documentar a governança de dados. Registrar base legal, finalidade e medidas de segurança para cada tratamento, mitigando a dosimetria da ANPD.

O denominador comum dessas cinco ações é o dado. Uma base cadastral institucional, com profundidade societária e atualização contínua, deixou de ser um item de "nice to have" para virar pré-requisito de licença operacional. É exatamente nesse ponto que plataformas de dado cadastral confiável — como a Datahub, com duas décadas de dado institucional brasileiro — se tornam infraestrutura de compliance, e não apenas fonte de informação comercial.

O custo de não se adequar

Os números de 2025-2026 ajudam a dimensionar o risco. Com 3,1 milhões de comunicações de operações suspeitas e 20.548 Relatórios de Inteligência Financeira (RIFs) produzidos pelo COAF em 2025 — média de 56 RIFs por dia, alta de 9,5% sobre 2024 (fonte: Conjur, 2026, conjur.com.br) — a base de dados de inteligência financeira do Estado nunca esteve tão densa. Em março de 2026, COAF, FEBRABAN e ABBC assinaram acordo de cooperação técnica para modernizar os sistemas do órgão com inteligência artificial.

A combinação de detecção mais sofisticada com sanções calibradas muda a equação de risco. Para uma IP, o pior cenário não é a multa: é a cessação compulsória da atividade por perder a janela de maio de 2026. Para um controlador de dados, é a suspensão do banco de dados pela ANPD. Em ambos os casos, a causa-raiz é a mesma — incapacidade de comprovar, de forma auditável, quem é o cliente.

Em 2026, compliance de dados deixou de ser área de custo e virou condição de operação. A pergunta não é mais "quanto custa se adequar", e sim "quanto custa não poder operar".

Perguntas frequentes

O que muda com o fim das contas-bolsão?

A Resolução Conjunta BCB/CMN nº 16/2025 proíbe que uma empresa concentre o dinheiro de vários clientes em uma conta única não individualizada. Cada cliente final passa a precisar de identificação direta pela instituição licenciada. Contratos existentes têm até 31 de dezembro de 2026 para se adequar, com avaliação obrigatória em 90 dias e mais 120 dias de plano de adequação.

Qual é o prazo para instituições de pagamento pedirem autorização?

A janela única e improrrogável vai de 1º a 31 de maio de 2026, conforme a Resolução BCB 494/2025. Instituições que operavam sob a antiga isenção por porte precisam protocolar o pedido nesse período. Quem não o fizer sofre cessação compulsória, com 30 dias após a notificação para encerrar as operações.

A e-Financeira agora vale para fintechs?

Sim. A IN RFB 2.278/2025 estendeu a obrigação a instituições de pagamento, carteiras digitais e participantes de arranjos de pagamento, nos mesmos termos antes aplicados aos bancos. O cronograma se normaliza a partir de fevereiro de 2026, e mesmo sem operações é obrigatório declarar "sem movimento", sob risco de autuação imediata por erro de preenchimento.

Qual a diferença entre KYC e KYB?

KYC (Know Your Customer) é a verificação de pessoa física — identidade, documentos e situação cadastral de quem contrata um serviço. KYB (Know Your Business) é a verificação de pessoa jurídica — CNPJ, quadro societário e, sobretudo, o beneficiário final que controla a empresa. Em 2026, o KYB ganha peso porque a fraude se esconde na opacidade societária, exatamente o que as novas normas exigem rastrear.

Como ficam as multas da LGPD com a dosimetria da ANPD?

O Regulamento de Dosimetria da ANPD definiu o cálculo das sanções: multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração, além de multa diária e suspensão parcial do banco de dados. A dosimetria considera gravidade, reincidência e, em favor da empresa, a adoção de governança documentada e medidas corretivas — o que premia quem tem processo de tratamento de dados auditável.

Por que dado cadastral confiável virou requisito regulatório?

Porque as cinco normas de 2025-2026 — Resolução 16, Resoluções 494 a 497, e-Financeira e dosimetria da ANPD — dependem de identificar com precisão clientes e beneficiários finais. Sem base cadastral institucional, atualizada e com profundidade societária, é impossível cumprir KYC, KYB e PLD/FT de forma auditável. O dado deixou de ser diferencial comercial e passou a ser pré-requisito de licença operacional.

Leia também no DataHub

• Capital mínimo e governança de IPs (Res. BCB 96): a profissionalização do setor — Regulação 2026
• Circular BCB 3.978: por que o PLD-FT é o núcleo da demanda por dados em 2026 — Regulação 2026
• COAF, RIF e comunicação de operação suspeita: o fluxo de PLD em 2026 — Compliance 2026
• Compliance fiscal de PJ: malha fina, e-Financeira e dados em 2026 — Compliance 2026
• Onde o setor de dados e compliance se encontra em 2026: eventos e agenda — Mercado 2026

Fontes

1. BC regulamenta BaaS e instituições terão um ano para adequação — Capital Aberto (2025)
2. Instituições de Pagamento reguladas: como se preparar diante da Resolução BCB nº 494 — AML Reputacional (2025)
3. Novas regras do Bacen para IP: Resoluções BCB 494, 495, 496 e 497 — NDM Advogados (2025)
4. e-Financeira 2026: regras atualizadas e IN 2.278/2025 — Matera (2026)
5. Coaf produz mais RIFs em 2025 e tem recorde de comunicações suspeitas — Conjur (2026)
6. ANPD publica regulamento de dosimetria e aplicação de sanções administrativas — ANPD (2023)
7. Open Finance supera 100 milhões de clientes — Finsiders Brasil (2026)