Compliance Cripto no Brasil: O Papel do BACEN e da CVM
Entenda o complexo cenário de compliance para criptomoedas no Brasil. Analisamos o papel do BACEN e da CVM e as obrigações para as VASPs.
O mercado de criptoativos no Brasil atingiu um novo patamar de maturidade, impulsionado pela crescente adoção institucional e pela consolidação de um arcabouço regulatório. A clareza nas regras do jogo, embora ainda em evolução, é fundamental para a segurança jurídica e a proteção dos investidores. Nesse cenário, a atuação do Banco Central do Brasil (BACEN) e da Comissão de Valores Mobiliários (CVM) é central, definindo as fronteiras e as responsabilidades das empresas que operam nesse ecossistema. Compreender as diretrizes desses dois órgãos é a base para qualquer estratégia de compliance eficaz no setor.
O que é Compliance Cripto no contexto brasileiro?
Compliance cripto no Brasil refere-se ao conjunto de políticas, processos e controles internos que as empresas do setor de criptoativos devem adotar para garantir a conformidade com as leis e regulamentações vigentes. Essas diretrizes são primariamente estabelecidas pelo Banco Central (BACEN), pela Comissão de Valores Mobiliários (CVM) e pela Receita Federal, visando mitigar riscos de lavagem de dinheiro, financiamento ao terrorismo (PLD-FTP), proteger investidores e garantir a estabilidade do sistema financeiro.
A espinha dorsal do compliance cripto está na implementação de programas robustos de Conheça seu Cliente (KYC), monitoramento de transações (KYT) e no reporte obrigatório de operações suspeitas ou em espécie acima de determinados limites ao Conselho de Controle de Atividades Financeiras (COAF). A Lei nº 14.478/2022, conhecida como o Marco Legal das Criptomoedas, e o subsequente Decreto nº 11.563/2023, designaram o BACEN como o principal regulador dos prestadores de serviços de ativos virtuais (VASPs), solidificando a necessidade de autorização prévia para operar e o cumprimento de uma série de requisitos operacionais e de segurança.
Qual é o papel do Banco Central (BACEN) na regulação de criptoativos?
O Banco Central do Brasil é o órgão responsável por regular, autorizar e supervisionar os Prestadores de Serviços de Ativos Virtuais (VASPs) no país. Sua atuação está fundamentada na Lei nº 14.478/2022, que lhe conferiu a competência para estabelecer as condições de funcionamento dessas empresas, focando na integridade do mercado, na proteção dos consumidores e na prevenção a ilícitos financeiros.
Conforme o Decreto nº 11.563/2023, o BACEN define os procedimentos para a obtenção de licença operacional pelas VASPs, que incluem exchanges, custodiantes e outras plataformas que negociam, transferem ou administram ativos virtuais por conta de terceiros. As exigências do BACEN abrangem áreas como governança corporativa, gestão de riscos, segurança cibernética, e, de forma crucial, a segregação patrimonial – a obrigação de manter os recursos dos clientes separados dos ativos da empresa. Além disso, o órgão estabelece as diretrizes para a implementação de políticas de PLD-FTP, alinhadas às recomendações do Grupo de Ação Financeira (GAFI). A Consulta Pública 99/2023, por exemplo, foi um passo importante para coletar subsídios do mercado para a futura regulamentação infralegal, detalhando temas como gerenciamento de riscos, capital mínimo e proteção de dados.
E a Comissão de Valores Mobiliários (CVM)? Como ela atua nesse cenário?
A Comissão de Valores Mobiliários (CVM) atua no cenário cripto regulando e fiscalizando os criptoativos que se enquadram na definição legal de valor mobiliário. Sua competência não se estende a todos os ativos virtuais, como o Bitcoin (considerado uma commodity digital), mas sim àqueles que, por sua essência econômica, representam um contrato de investimento coletivo, como os security tokens ou ofertas iniciais de moedas (ICOs) que prometem retorno financeiro a partir do esforço de terceiros.
A CVM baseia sua análise no conceito de "realidade sobre a forma", aplicando o teste de Howey (embora não formalmente nomeado assim na legislação brasileira) para determinar a natureza do ativo. O Parecer de Orientação CVM nº 40/2022 consolidou esse entendimento, esclarecendo os critérios que fazem um token ser considerado um valor mobiliário: (i) investimento em dinheiro ou bens; (ii) em um empreendimento comum; (iii) com expectativa de lucro; (iv) decorrente do esforço do empreendedor ou de terceiros. Quando um criptoativo preenche esses requisitos, sua emissão, oferta pública e negociação em mercado secundário ficam sujeitas a todo o arcabouço regulatório da CVM, incluindo a necessidade de registro, divulgação de informações e intermediação por participantes autorizados.
Quais são as principais obrigações de compliance para uma VASP no Brasil?
As principais obrigações de compliance para uma VASP no Brasil giram em torno da obtenção de autorização de funcionamento junto ao BACEN e da implementação de um programa robusto de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD-FTP). Isso inclui a condução de processos de due diligence de clientes (KYC), o monitoramento contínuo de transações (KYT) para identificar padrões suspeitos e o reporte obrigatório de operações ao COAF.
Adicionalmente, as VASPs devem cumprir requisitos de governança, gestão de riscos, segurança da informação e, crucialmente, a segregação patrimonial, que impede o uso de fundos de clientes para cobrir despesas operacionais da empresa. A conformidade com a Lei Geral de Proteção de Dados (LGPD) também é mandatória, dado o volume de dados pessoais coletados durante os processos de KYC. Finalmente, as empresas devem estar preparadas para auditorias e supervisão contínua por parte do BACEN, mantendo registros detalhados de todas as operações e políticas internas.
A tabela abaixo detalha as principais obrigações e os órgãos reguladores correspondentes.
| Obrigação de Compliance | Descrição | Órgão Regulador Principal | Base Legal Principal |
|---|---|---|---|
| Autorização de Funcionamento | Obtenção de licença prévia para operar como VASP no Brasil. | BACEN | Lei nº 14.478/2022; Decreto nº 11.563/2023 |
| Política de PLD-FTP | Implementação de políticas, procedimentos e controles para prevenir lavagem de dinheiro e financiamento ao terrorismo. | BACEN / COAF | Lei nº 9.613/1998; Lei nº 14.478/2022 |
| Due Diligence de Clientes (KYC/CDD) | Identificação e verificação da identidade dos clientes e, quando aplicável, do beneficiário final. | BACEN / CVM | Circular BACEN 3.978/2020; Resolução CVM 50/2021 |
| Monitoramento de Transações (KYT) | Análise contínua das transações dos clientes para detectar atividades atípicas ou suspeitas. | BACEN / COAF | Circular BACEN 3.978/2020 |
| Reporte ao COAF | Comunicação obrigatória de operações suspeitas e de operações em espécie acima do limite definido. | COAF | Resoluções do COAF; Lei nº 9.613/1998 |
| Segregação Patrimonial | Manutenção dos ativos virtuais e recursos dos clientes em contas separadas dos ativos da VASP. | BACEN | Lei nº 14.478/2022 |
| Declaração de Operações | Informar à Receita Federal todas as operações com criptoativos realizadas por seus clientes. | Receita Federal do Brasil (RFB) | Instrução Normativa RFB nº 1.888/2019 |
| Conformidade com a LGPD | Garantir a proteção e o tratamento adequado dos dados pessoais de clientes e colaboradores. | Autoridade Nacional de Proteção de Dados (ANPD) | Lei nº 13.709/2018 (LGPD) |
Como a Lei Geral de Proteção de Dados (LGPD) impacta o compliance cripto?
A Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) impacta diretamente o compliance cripto ao impor regras estritas sobre como as VASPs devem coletar, processar, armazenar e compartilhar os dados pessoais de seus clientes. Considerando que os processos de KYC e PLD-FTP exigem a coleta de uma quantidade significativa de informações sensíveis – como documentos de identidade, comprovantes de residência e dados biométricos –, a conformidade com a LGPD torna-se um pilar central da operação.
As empresas do setor devem garantir que o tratamento de dados tenha uma base legal clara, como o cumprimento de obrigação legal (exigências do BACEN e COAF) ou o consentimento do titular. É mandatório adotar medidas de segurança técnica e administrativa para proteger esses dados contra acessos não autorizados, vazamentos e destruição. Além disso, as VASPs precisam ser transparentes com seus usuários sobre quais dados são coletados e para qual finalidade, garantir os direitos dos titulares (como acesso e correção) e, em muitos casos, nomear um Encarregado de Proteção de Dados (DPO). O descumprimento da LGPD pode resultar em multas severas, que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, além de danos reputacionais irreparáveis.
Quais são os desafios e as oportunidades do cenário regulatório atual?
O principal desafio do cenário regulatório atual é o custo e a complexidade de implementação das estruturas de compliance, especialmente para startups e empresas menores. A necessidade de investir em tecnologia (RegTech), contratar pessoal especializado e navegar em um ambiente de regras em constante evolução exige capital e expertise significativos. Outro desafio reside na "zona cinzenta" de classificação de novos e complexos criptoativos, como certos tokens de finanças descentralizadas (DeFi) ou NFTs fracionados, que podem transitar entre as competências do BACEN e da CVM, gerando incerteza jurídica.
Por outro lado, as oportunidades são substanciais. A regulamentação clara, liderada pelo BACEN, aumenta a segurança jurídica e a confiança dos investidores institucionais e do varejo, legitimando o mercado e atraindo capital. A exigência de licença operacional cria uma barreira de entrada que favorece players sérios e capitalizados, promovendo a profissionalização do setor e protegendo os consumidores de atores mal-intencionados. Para o Brasil, essa clareza regulatória representa a oportunidade de se posicionar como um hub de inovação cripto na América Latina, fomentando a criação de novos produtos financeiros, como a tokenização de ativos reais, e integrando o ecossistema de ativos digitais ao sistema financeiro tradicional de forma segura e supervisionada.
FAQ — Perguntas Frequentes
A diferença fundamental reside na natureza econômica do ativo. O BACEN regula os prestadores de serviços (VASPs) que operam com ativos virtuais em geral, como Bitcoin e Ether, tratando-os como ativos de representação digital de valor. Já a CVM regula o ativo em si quando ele é classificado como um valor mobiliário, ou seja, um contrato de investimento que oferece expectativa de retorno a partir do esforço de terceiros. Um mesmo VASP pode, portanto, estar sujeito à regulação de ambos, dependendo dos ativos que oferecer.
Sim. A Instrução Normativa RFB nº 1.888/2019 obriga as exchanges de criptoativos domiciliadas no Brasil a informar mensalmente à Receita Federal os dados de todas as operações realizadas em suas plataformas. Pessoas físicas e jurídicas que utilizam exchanges no exterior ou realizam transações P2P (peer-to-peer) acima de R$ 30.000,00 no mês também são obrigadas a prestar essa declaração por conta própria.
Operar como VASP no Brasil sem a devida autorização do Banco Central configura uma infração grave. A empresa estaria sujeita a sanções administrativas, que podem incluir multas elevadas, e seus administradores podem responder por crime contra o Sistema Financeiro Nacional, conforme o Art. 8º da Lei nº 14.478/2022, que equipara a operação não autorizada de VASP à das instituições financeiras.
A regulação de NFTs depende de sua característica específica. Um NFT que representa uma obra de arte digital única, por exemplo, geralmente não é considerado um valor mobiliário pela CVM nem um ativo virtual de pagamento pelo BACEN. Contudo, se um NFT ou uma coleção de NFTs for estruturado para representar uma participação em um negócio, prometer lucros futuros ou funcionar como um esquema de investimento coletivo, ele pode cair na alçada da CVM e ser classificado como um valor mobiliário, sujeito a todas as regras aplicáveis. A análise é feita caso a caso, com base na realidade econômica do token.
