No universo do compliance financeiro e corporativo, poucos processos têm impacto tão direto sobre a exposição regulatória e reputacional de uma organização quanto o KYC, Know Your Customer, e os procedimentos de verificação de terceiros, conhecidos internacionalmente como Third Party Due Diligence. Esses mecanismos, que variam em sofisticação desde a simples coleta de documentação cadastral até investigações aprofundadas de estrutura societária, histórico de litígios e vínculos políticos de clientes, fornecedores e parceiros comerciais, são exigidos por um arcabouço regulatório cada vez mais denso no Brasil. A Lei 9.613/1998, que disciplina a prevenção e o combate à lavagem de dinheiro, impõe a dezenas de setores regulados a obrigação de identificar, qualificar e monitorar seus clientes e operações, sob pena de responsabilização administrativa e criminal. O Conselho de Controle de Atividades Financeiras, o COAF, o Banco Central do Brasil e a Comissão de Valores Mobiliários editaram normativos setoriais que detalham as exigências específicas para cada segmento, criando um mosaico regulatório que as organizações precisam dominar para operar com segurança jurídica. O descumprimento dessas obrigações, conforme documentado em processos administrativos sancionadores e ações penais nos últimos anos, pode resultar em multas milionárias, cassação de autorizações de funcionamento e responsabilização pessoal de dirigentes.
O Marco Normativo do KYC no Brasil
A Lei 9.613/1998, com as alterações introduzidas pela Lei 12.683/2012, estabelece as obrigações de identificação e cadastro de clientes para um amplo rol de setores obrigados, incluindo instituições financeiras, seguradoras, corretoras de valores, administradoras de consórcios, empresas de factoring, imobiliárias, joalheiros, leiloeiros e advogados em determinadas atividades. A Resolução BCB 44/2021 consolidou as exigências de KYC para o sistema financeiro nacional, determinando a coleta de informações sobre a qualificação do cliente, a origem dos recursos, a finalidade da relação comercial e a identificação dos beneficiários finais das operações. A Instrução CVM 617/2019 estabeleceu regras equivalentes para o mercado de capitais. Esses normativos adotam uma abordagem baseada em risco, exigindo procedimentos mais rigorosos para clientes e operações de maior risco, como as que envolvem Pessoas Expostas Politicamente, países com deficiências em seus sistemas antilavagem e setores historicamente associados à lavagem de capitais. "Conhecer seu cliente não é uma cortesia do mercado financeiro, é uma obrigação legal cuja violação pode custar muito mais do que o negócio que pretendia fazer."
Verificação de Terceiros e a Cadeia de Responsabilidade
A diligência sobre terceiros, especialmente fornecedores, distribuidores, agentes e parceiros estratégicos, ganhou relevância crítica após a promulgação da Lei Anticorrupção, a Lei 12.846/2013. Essa legislação estabelece a responsabilidade objetiva das pessoas jurídicas pelos atos de corrupção praticados em seu nome ou benefício, incluindo os atos praticados por terceiros que atuam como seus representantes ou intermediários. Isso significa que uma empresa pode ser punida pelos atos corruptos de um agente de vendas ou distribuidor mesmo que não tenha sido diretamente responsável pela conduta, desde que se beneficiou do ato ou não adotou medidas razoáveis de prevenção. A verificação prévia e periódica dos terceiros com quem se mantém relações comerciais relevantes é, portanto, uma exigência não apenas regulatória, mas de gestão de risco empresarial que afeta diretamente a responsabilidade jurídica da organização.
Pessoas Expostas Politicamente e o Regime de Diligência Reforçada
O tratamento de Pessoas Expostas Politicamente, as PEPs, é um dos aspectos mais sensíveis e tecnicamente exigentes dos processos de KYC. As PEPs são definidas pela Resolução COAF como pessoas que desempenham ou desempenharam nos últimos cinco anos funções públicas relevantes no Brasil ou no exterior, bem como seus familiares próximos e colaboradores de negócios. Para essas pessoas, a regulamentação exige um regime de diligência reforçada que inclui aprovação em nível hierárquico superior para o estabelecimento da relação comercial, monitoramento contínuo das operações, coleta de informações sobre a origem e o destino dos recursos e comunicação automática ao COAF quando as operações atingem determinados patamares ou características. O não reconhecimento de uma PEP no processo de onboarding de cliente, seja por falha nos sistemas de identificação ou por omissão deliberada, é uma das infrações mais frequentemente constatadas nas inspeções realizadas pelo Banco Central e pela CVM. "Uma PEP não identificada no cadastro do cliente é uma bomba-relógio regulatória, e quando explode, a instituição paga o preço pela negligência que poderia ter evitado."
Tecnologia e a Automação dos Processos de KYC
A automação dos processos de KYC e verificação de terceiros por meio de tecnologia é uma das tendências mais aceleradas no universo do compliance financeiro e corporativo. Soluções de inteligência artificial para análise de documentos, biometria facial para verificação de identidade, consulta automatizada a bases de dados de sanções internacionais e monitoramento em tempo real de notícias negativas sobre clientes e parceiros transformaram processos que antes demandavam semanas de trabalho manual em fluxos automatizados que entregam resultados em minutos. No Brasil, fintechs e bancos digitais foram os primeiros a adotar essas soluções em larga escala, comprimindo o tempo de onboarding de clientes sem abrir mão das exigências regulatórias. As instituições financeiras tradicionais seguiram o caminho, investindo em plataformas de RegTech que integram os processos de KYC às rotinas operacionais de forma que a conformidade deixa de ser um processo paralelo e passa a ser parte do fluxo natural de negócios.
Impactos Econômicos e o Custo da Não Conformidade
Os custos associados à implementação e manutenção de processos robustos de KYC e verificação de terceiros são expressivos, especialmente para instituições de menor porte. Estudos do setor financeiro estimam que os gastos globais com compliance de KYC superam centenas de bilhões de dólares anuais, uma parcela significativa dos quais é destinada a processos de verificação manual que tecnologia adequada poderia automatizar. No Brasil, as multas aplicadas pelo Banco Central a instituições financeiras por falhas em seus sistemas de KYC e prevenção à lavagem de dinheiro somaram bilhões de reais na última década, um volume que supera amplamente o custo que teria sido necessário para manter os sistemas em conformidade. O cálculo de custo-benefício é, nesse contexto, inequívoco, investir em KYC adequado é sempre mais barato do que enfrentar as consequências da não conformidade. "A empresa que economiza no KYC está fazendo uma aposta contra o regulador, e as odds históricas do mercado mostram que essa aposta raramente vale o risco."
KYC e LGPD: A Tensão Entre Identificação e Privacidade
A relação entre os processos de KYC e a Lei Geral de Proteção de Dados Pessoais, a LGPD, é um dos pontos de maior complexidade para as organizações que precisam conciliar obrigações regulatórias antagônicas. O KYC exige a coleta, o armazenamento e o processamento de ampla gama de dados pessoais dos clientes, incluindo documentos de identificação, dados biométricos, informações financeiras e, em alguns casos, dados sensíveis como vínculos políticos e origem étnica de PEPs. A LGPD, por sua vez, impõe limites à coleta e ao uso de dados pessoais, exigindo base legal adequada, finalidade legítima e proporcionalidade entre os dados coletados e os objetivos perseguidos. A harmonização dessas duas exigências demanda que as organizações estabeleçam políticas claras de retenção e descarte de dados de KYC, garantam a segurança das informações coletadas e mantenham registros de consentimento ou da base legal aplicável para cada dado processado.
Tendências Regulatórias e o Futuro do KYC
O cenário regulatório global aponta para uma intensificação das exigências de KYC e de verificação de terceiros, impulsionada pela pressão do Grupo de Ação Financeira Internacional, o GAFI, sobre os países membros para que aprimorem seus sistemas de prevenção à lavagem de dinheiro e ao financiamento do terrorismo. O Brasil, que passou por avaliação mútua do GAFI em 2021, recebeu recomendações específicas para fortalecer sua supervisão dos setores não financeiros, incluindo advogados, contadores, imobiliárias e comerciantes de bens de alto valor. A digitalização dos processos de onboarding e a interoperabilidade entre bases de dados públicas e privadas para verificação de identidade são tendências que o regulador brasileiro tem incentivado, buscando reduzir o custo de conformidade sem diminuir a efetividade dos controles. O desenvolvimento do open finance e a criação de sistemas de identidade digital confiável têm potencial de transformar radicalmente os processos de KYC nos próximos anos.
Orientação Prática às Organizações
Para as organizações que buscam estruturar ou aprimorar seus processos de KYC e verificação de terceiros, a orientação mais eficaz começa pelo mapeamento das obrigações regulatórias específicas do setor em que atuam, identificando as normas do BACEN, da CVM, do COAF ou de outros reguladores competentes que se aplicam ao seu modelo de negócio. A seguir, é indispensável realizar uma avaliação de risco que classifique clientes, produtos e geografias por nível de risco de lavagem de dinheiro, para que os recursos de diligência sejam alocados de forma proporcional e eficiente. A escolha de tecnologia adequada para automatizar os processos de coleta, verificação e monitoramento, integrada a sistemas de alerta para operações suspeitas, é o investimento com maior retorno em termos de conformidade sustentável. O treinamento regular das equipes envolvidas nos processos de onboarding e relacionamento com clientes é o complemento humano indispensável que nenhuma tecnologia substitui inteiramente.