Data Rudder
✓ Link copiado!
⚡ Radar Regulatório · Brasil · Dez/2025

Antifraude & PLD/CFT
O que muda para você

O cenário regulatório brasileiro de prevenção a fraudes e lavagem de dinheiro evoluiu significativamente em 2024–2025. Este radar reúne as principais normas em vigor, o que elas exigem na prática e como a Data Rudder pode ajudar sua instituição a navegar com segurança por cada uma delas.

🤝
Como usamos este radar juntos: cada card abaixo mostra uma norma aplicável ao seu segmento, os artigos mais relevantes e o impacto concreto na sua operação. Clique em qualquer card para expandir — e vamos conversar sobre o que faz mais sentido priorizar no seu contexto.
3
Segmentos
20+
Normas
65+
Artigos-chave
3
Reguladores
Dez/25
Atualização
Antifraude
PLD/CFT
Ambos
Norma nova (2025)
↓ Clique em qualquer card para ver detalhes e impacto
🏦
Instituições Financeiras
Bancos, financeiras, cooperativas de crédito, SCDs, SEPs — autorizadas pelo Bacen
AntifraudePLD
+
Resolução CMN nº 4.893/2021
CMN · Política de Segurança Cibernética para IFs
Norma base de segurança cibernética para IFs. Exige política formal, testes de intrusão, monitoramento contínuo e relatório anual ao Conselho. Atualizada pela CMN 5.274/2025.
Artigos-chave
Art. 3º — Política de segurança cibernéticaArt. 4º — Controles mínimos obrigatóriosArt. 7º — Monitoramento contínuoArt. 8º — Relatório anual ao ConselhoArt. 11 — Responsabilidade sobre prestadores
Impacto para sua operação

O que muda: A norma exige controles verificáveis de segurança cibernética — não basta ter uma política no papel. O Bacen passou a auditar ativamente a existência de registros, logs e evidências de conformidade.

Como podemos ajudar: A Data Rudder mapeia os controles que sua IF já possui e identifica as lacunas com precisão, entregando os registros auditáveis exigidos pelo Art. 8º para o relatório ao Conselho.

Consequência do não cumprimento
⚠ Multa + inabilitação de dirigentes (Lei 13.506/17)
Antifraude✦ Nova
+
Resolução CMN nº 5.274/2025
CMN · 14 Controles Mínimos Obrigatórios para IFs · 18/12/2025
Detalha os 14 controles mínimos que toda IF deve comprovar: MFA, isolamento de ambientes Pix/STR, Threat Intelligence, pentest anual independente e rastreabilidade ponta a ponta. Adequação até 01/03/2026.
Artigos-chave
Art. 3º-A — 14 controles mínimos obrigatórios Art. 3º-A, I — MFA para ambientes Pix e STR Art. 3º-A, II — Isolamento físico/lógico Pix e STR Art. 3º-A, V — Pentest anual por profissional independente Art. 3º-A, VI — Threat Intelligence (deep e dark web) Art. 2º — Prazo: 01/03/2026
Impacto para sua operação

O que muda: Threat Intelligence — monitoramento de credenciais e ameaças em deep e dark web — torna-se controle mínimo obrigatório. Pentest anual por profissional independente (não interno) também passa a ser exigido. O prazo é curto: março/2026.

Como podemos ajudar: Juntos, podemos fazer um diagnóstico dos seus 14 controles com antecedência suficiente para adequação antes do prazo — sem impacto na operação. A Data Rudder já entrega monitoramento e Threat Intelligence integrados à sua stack atual.

Prazo
✦ Publicação: 18/12/2025⚠ Adequação: 01/03/2026
PLD/CFT
+
Circular BCB nº 3.978/2020
Bacen · Programa PLD/CFT para IFs
Principal norma PLD do Bacen. Exige programa interno estruturado, KYC, monitoramento transacional sistemático, comunicação ao COAF e manutenção de registros por 10 anos.
Artigos-chave
Art. 3º — Programa PLD/CFTArt. 23 — Monitoramento de operaçõesArt. 27 — Comunicação ao COAFArt. 37 — Preservação de registrosArt. 43 — Avaliação interna de risco
Impacto para sua operação

O que muda: O monitoramento transacional precisa ser sistemático e parametrizado — o Bacen avalia não só se existe, mas se os parâmetros fazem sentido para o perfil de risco da sua IF. A avaliação interna de risco (Art. 43) também é objeto frequente de inspeção.

Como podemos ajudar: O DeLorean MonitoraPLD entrega monitoramento transacional parametrizável e alinhado ao seu perfil de risco, com geração automática de alertas auditáveis para o COAF e evidências de conformidade para inspeção do Bacen.

Consequência do não cumprimento
⚠ Multa até 20% do faturamento + Lei 9.613/98
Antifraude
+
Resolução BCB nº 142/2021
Bacen · Mecanismo Especial de Devolução (MED) — Pix
Cria o MED para recuperação de valores em fraudes via Pix. IFs devem detectar indícios e acionar bloqueio cautelar em janelas de horas — e respondem pelo ressarcimento em caso de omissão.
Artigos-chave
Art. 4º — Detecção de indícios de fraudeArt. 7º — Bloqueio cautelarArt. 12 — Prazo de respostaArt. 15 — Responsabilidade da IF
Impacto para sua operação

O que muda: A IF que não detecta e bloqueia a tempo fica responsável pelo ressarcimento ao cliente lesado — um risco financeiro direto que cresce proporcionalmente ao volume de transações Pix.

Como podemos ajudar: O DeLorean Antifraude Transacional identifica padrões de fraude Pix em tempo real e aciona o fluxo de bloqueio cautelar automaticamente, reduzindo sua janela de exposição e o custo de ressarcimento.

Consequência do não cumprimento
⚠ Ressarcimento integral ao cliente + multa do Bacen
Antifraude✦ Nova
+
Resolução BCB nº 457/2025
Bacen · Segurança do Pix — Chaves com CPF/CNPJ irregular · Mar/2025
Exige exclusão de chaves Pix vinculadas a CPF/CNPJ com cadastro irregular na Receita Federal e verificação de regularidade a cada operação. Reduz o uso de identidades fraudulentas no ecossistema.
Artigos-chave
Art. 1º — Exclusão de chaves com CPF/CNPJ irregularArt. 2º — Verificação de regularidade a cada operaçãoArt. 4º — Responsabilidade da IF participante
Impacto para sua operação

O que muda: A verificação de regularidade fiscal precisa ocorrer no fluxo de autorização de cada transação — não apenas no momento do cadastro da chave. Isso exige integração em tempo real com os dados da Receita Federal.

Como podemos ajudar: O DeLorean Antifraude Transacional integra essa checagem ao fluxo de autorização com latência que atende aos requisitos do Bacen, cobrindo a obrigação da norma de forma transparente para o usuário final.

Vigência
✦ Em vigor desde março/2025
Antifraude★ Solução Exclusiva
+
Resolução Conjunta BCB/CMN nº 6/2023
BCB + CMN · Compartilhamento de Dados sobre Fraudes · Vigente desde 01/11/2023
Obriga IFs e IPs a compartilhar entre si, via sistema eletrônico, dados e informações sobre indícios de fraudes. Cria um ecossistema de inteligência coletiva para redução da assimetria de informação entre instituições.
Artigos-chave
Art. 1º — Obrigação de compartilhamentoArt. 2º — 4 categorias de dados mínimosArt. 3º — Sistema eletrônico obrigatórioArt. 4º — Consentimento em contratoArt. 5º — Responsabilidade pelo uso dos dadosArt. 6º — Retenção por 10 anos
O que deve ser compartilhado (Art. 2º)
Identificação do suspeitoDescrição dos indíciosIdentificação da instituição registranteDados da conta destinatária
Impacto para sua operação

O que muda: Instituições que não participam do ecossistema de compartilhamento perdem visibilidade sobre fraudadores que já agiram em outros bancos — tomando decisões de crédito e acesso com informação incompleta.

Como podemos ajudar: O Data Busters é a solução da Data Rudder desenvolvida exclusivamente para esta norma — registro estruturado, consulta em tempo real, gestão de consentimento (LGPD + Art. 4º) e retenção auditável por 10 anos. Integramos ao seu fluxo de onboarding e monitoramento existente.

Vigência
✦ Em vigor desde 01/11/2023
Consequência do não cumprimento
⚠ Multa + sanções Lei 13.506/17
💳
Instituições de Pagamento
Emissoras de e-money, adquirentes, credenciadoras — autorizadas pelo Bacen
AntifraudePLD
+
Resolução BCB nº 80/2021
Bacen · Programa PLD/CFT para IPs
Estende às IPs as obrigações PLD da Circ. 3.978. Exige governança, monitoramento transacional e reporte ao COAF com os mesmos padrões aplicados às instituições financeiras.
Artigos-chave
Art. 2º — Obrigatoriedade PLD para IPsArt. 5º — Monitoramento transacionalArt. 8º — Comunicação ao COAFArt. 11 — KYC de clientes
Impacto para sua operação

O que muda: IPs têm as mesmas responsabilidades PLD que bancos — inclusive o risco de multa por omissão nas comunicações ao COAF. Muitas IPs ainda operam com controles informais que não resistem a uma inspeção do Bacen.

Como podemos ajudar: O DeLorean MonitoraPLD entrega um programa PLD estruturado para IPs, com monitoramento parametrizado para o seu perfil de risco e geração automática de relatórios para o COAF — sem precisar construir uma área de compliance do zero.

Antifraude
+
Resolução BCB nº 403/2023
Bacen · Prevenção a Fraudes no Pix
Exige marcação de infratores na base DICT, limitação de transações noturnas e análise de risco antes de cada transação Pix. Torna o score pré-transacional uma obrigação, não uma opção.
Artigos-chave
Art. 3º — Limite noturno PixArt. 6º — Marcação de infratores no DICTArt. 9º — Análise de risco prévia obrigatóriaArt. 12 — Autenticação reforçada
Impacto para sua operação

O que muda: O Art. 9º torna o score de risco pré-transacional uma exigência formal — toda transação Pix precisa passar por análise de risco antes da liquidação. IPs sem esse controle estão em não conformidade.

Como podemos ajudar: O DeLorean Antifraude Transacional realiza o score em tempo real com latência que atende aos requisitos do Bacen, totalmente integrado ao DICT para consulta de infratores marcados (Art. 6º). Você cumpre a norma sem impactar a experiência do usuário.

Consequência do não cumprimento
⚠ Suspensão do Pix + multa do Bacen
Antifraude
+
Resolução BCB nº 85/2021
Bacen · Política de Segurança Cibernética para IPs
Norma base de cibersegurança para IPs. Exige política formal, controles mínimos verificáveis, testes de intrusão e plano de continuidade. Atualizada pelos novos requisitos da BCB 538/2025.
Artigos-chave
Art. 3º — Política de segurança cibernéticaArt. 4º — Controles mínimosArt. 7º — Monitoramento contínuoArt. 9º — Relatório ao Conselho
Impacto para sua operação

O que muda: O Bacen equiparou IPs aos bancos em cibersegurança. Uma IP sem política formal e controles verificáveis tem o mesmo nível de risco regulatório que uma IF em não conformidade.

Como podemos ajudar: A Data Rudder apoia a estruturação da política e a implementação dos controles técnicos exigidos, com evidências prontas para o relatório ao Conselho e para eventuais inspeções do regulador.

Antifraude✦ Nova
+
Resolução BCB nº 538/2025
Bacen · 14 Controles Mínimos Obrigatórios para IPs · 18/12/2025
Par da CMN 5.274/2025 para IPs. Impõe os mesmos 14 controles mínimos: MFA, isolamento de ambientes Pix/STR, Threat Intelligence obrigatória e pentest anual independente. Prazo: 01/03/2026.
Artigos-chave
Art. 3º-A — 14 controles mínimos obrigatóriosArt. 3º-A, I — MFA obrigatórioArt. 3º-A, II — Isolamento Pix/STRArt. 3º-A, V — Pentest anual independenteArt. 3º-A, VI — Threat IntelligenceArt. 2º — Prazo: 01/03/2026
Impacto para sua operação

O que muda: IPs agora têm as mesmas obrigações de cibersegurança que bancos. Threat Intelligence em dark web e pentest por profissional independente tornaram-se controles mínimos — não diferenciais. O prazo de março/2026 é crítico.

Como podemos ajudar: Juntos, fazemos um diagnóstico dos seus 14 controles e priorizamos as ações de maior risco antes do prazo. Para grupos que operam IF e IP, nossa solução cobre os requisitos da CMN 5.274 e da BCB 538 de forma unificada.

Prazo
✦ Publicação: 18/12/2025⚠ Adequação: 01/03/2026
Antifraude✦ Nova
+
Resolução BCB nº 457/2025
Bacen · Chaves Pix com CPF/CNPJ irregular · Mar/2025
Verificação obrigatória de regularidade fiscal do titular da chave Pix a cada operação. Aplicável a todas as instituições participantes do ecossistema Pix.
Artigos-chave
Art. 1º — Exclusão de chaves irregularesArt. 2º — Verificação a cada operaçãoArt. 4º — Responsabilidade da IP participante
Impacto para sua operação

O que muda: A checagem de CPF/CNPJ irregular não pode ser feita apenas no onboarding — ela precisa acontecer a cada transação, em tempo real. IPs sem essa integração estão processando transações com potencial vínculo a identidades fraudulentas.

Como podemos ajudar: O DeLorean Antifraude Transacional integra a verificação ao fluxo de autorização com latência que atende aos requisitos do Bacen, gerando os logs exigidos para conformidade sem impactar a experiência do usuário.

Vigência
✦ Em vigor desde março/2025
Antifraude★ Solução Exclusiva
+
Resolução Conjunta BCB/CMN nº 6/2023
BCB + CMN · Compartilhamento de Dados sobre Fraudes · Vigente desde 01/11/2023
Obriga IPs a compartilhar dados sobre indícios de fraude com outras instituições via sistema eletrônico. Participar do ecossistema de dados reduz a assimetria de informação e melhora a detecção.
Artigos-chave
Art. 1º — Obrigação de compartilhamentoArt. 2º — 4 categorias de dados obrigatóriosArt. 3º — Sistema eletrônico específicoArt. 4º — Consentimento em contratoArt. 6º — Retenção por 10 anos
Impacto para sua operação

O que muda: IPs que não estão conectadas ao ecossistema de compartilhamento tomam decisões às cegas — sem saber se o cliente em análise já cometeu fraude em outra instituição. Isso aumenta diretamente a taxa de fraude e o prejuízo financeiro.

Como podemos ajudar: O Data Busters é a solução da Data Rudder desenvolvida especificamente para esta norma — consulta e registro em tempo real, gestão de consentimento (LGPD + Art. 4º) e retenção auditável. É a forma mais rápida de conectar sua IP ao ecossistema e começar a receber inteligência sobre fraudes do mercado.

Vigência
✦ Em vigor desde 01/11/2023
☁️
BaaS — Banking as a Service
Plataformas que oferecem infraestrutura bancária/de pagamentos a terceiros (embedded finance)
✦ Novo marco regulatório — Nov 2025
AntifraudePLD✦ Nova
+
Resolução Conjunta BCB/CMN nº 16/2025
BCB + CMN · Marco Regulatório de BaaS · 28/11/2025
Primeiro marco regulatório específico para BaaS no Brasil. Define prestadora e tomadora, responsabilidades integrais sobre PLD/FT e antifraude, veda contas-bolsão e exige individualização de contas. Adequação até 31/12/2026.
Artigos-chave
Art. 3º — Definição de prestadora e tomadora Art. 7º — Responsabilidade integral da prestadora Art. 8º — PLD/FT e antifraude: dever da prestadora Art. 10 — Monitoramento contínuo da tomadora Art. 12 — Vedação de contas-bolsão Art. 14 — Individualização de contas por cliente Art. 16 — Registros: 5 anos (contratos) / 10 anos (controles) Art. 19 — Poder do BCB de suspender contratos BaaS
Impacto para sua operação

O que muda: A norma eliminou a zona cinzenta: a prestadora de BaaS é direta e integralmente responsável por PLD/FT e antifraude em toda a cadeia — mesmo que a interface e o relacionamento com o cliente final sejam da tomadora. A vedação de contas-bolsão (Art. 12) e a exigência de individualização (Art. 14) exigem rastreabilidade transacional completa por cliente.

Como podemos ajudar: A Data Rudder ofereceuma solução que entrega visibilidade centralizada de todas as transações da cadeia — independente de quantas tomadoras sua plataforma atende. Fazemos juntos o diagnóstico de adequação para o prazo de dezembro/2026, priorizando os controles de maior risco regulatório.

Prazo
✦ Vigência: imediata (28/11/2025)⚠ Adequação: 31/12/2026
PLD/CFT
+
Circular BCB nº 3.978/2020
Bacen · PLD/CFT — Aplicação ao modelo BaaS
Combinada à Res. 16/2025, confirma que a prestadora de BaaS responde pelo programa PLD de toda a cadeia de clientes — inclusive os atendidos indiretamente via tomadora.
Artigos-chave
Art. 3º — Extensão do programa a parceirosArt. 5º — Due diligence de correspondentesArt. 23 — Monitoramento de toda a cadeia
Impacto para sua operação

O que muda: Não existe "responsabilidade compartilhada" no modelo BaaS — o Bacen considera a prestadora responsável pelo compliance de todos os clientes da cadeia. O monitoramento transacional precisa ter cobertura total, não apenas amostral.

Como podemos ajudar: Nossa solução foi projetada exatamente para esse modelo: você monitora toda a cadeia de sub-emissores em uma única plataforma, com segmentação de alertas por tomadora e visibilidade centralizada para o compliance da prestadora.

⚖️
Normas Transversais — Todos os Segmentos
Aplicáveis independentemente do modelo de negócio
Antifraude✦ Nova
+
Resolução BCB nº 501/2025
Bacen · Rejeição de Transações para Contas Suspeitas · Set/2025
Norma emergencial do pacote de segurança do SFN. Obriga todas as instituições a rejeitar — em tempo real — transações com destino a contas com fundada suspeita de envolvimento em fraude. Cobre Pix, TED, DOC, boleto e transferências.
Artigos-chave
Art. 1º — Obrigação de rejeitar transações suspeitas Art. 2º — Abrangência: Pix, TED, DOC, boleto e transferências Art. 3º — Critérios de "fundada suspeita" Art. 4º — Compartilhamento de informações entre instituições Art. 5º — Registros auditáveis das rejeições Art. 6º — Responsabilidade da instituição por omissão
Segmentos cobertos
IFs ✓IPs ✓BaaS ✓
Impacto para sua operação

O que muda: A norma cria uma obrigação ativa — não basta monitorar, é preciso bloquear em tempo real em todos os canais. Uma solução que cobre apenas o Pix deixa TED, DOC e boleto sem proteção, criando não conformidade parcial e um vetor de fraude descoberto.

Como podemos ajudar: O DeLorean Antifraude Transacional oferece cobertura multi-canal. Juntos, mapeamos seus canais de pagamento e implementamos a camada de decisão em tempo real para todos eles — com os registros auditáveis de rejeição exigidos pelo Art. 5º e a rastreabilidade para eventual auditoria do Bacen.

Vigência
✦ Em vigor desde setembro/2025
Consequência do não cumprimento
⚠ Responsabilidade por omissão + multa Lei 13.506/17
PLD/CFT
+
Lei nº 9.613/1998 (alt. Lei 12.683/2012)
Federal · Lei de Lavagem de Dinheiro — Base de todo o sistema PLD
Lei mãe do PLD no Brasil. Define crimes de lavagem, responsabiliza administradores pessoalmente e estabelece as obrigações dos setores obrigados — base sobre a qual todas as normas regulamentares se apoiam.
Artigos-chave
Art. 9º — Setores obrigadosArt. 10 — Dever de identificar clientes (KYC)Art. 11 — Dever de comunicar ao COAFArt. 12 — Penalidades administrativas
Impacto para sua operação

O que muda: A responsabilidade pelo cumprimento da Lei 9.613 recai sobre os administradores pessoalmente — não apenas sobre a pessoa jurídica. Uma comunicação omitida ao COAF ou um KYC inadequado pode gerar responsabilidade individual.

Como podemos ajudar: O DeLorean MonitoraPLD automatiza as comunicações obrigatórias ao COAF e mantém os registros de KYC auditáveis — reduzindo o risco de omissão que gera responsabilidade para os dirigentes e protegendo sua instituição em eventuais investigações.

Consequência do não cumprimento
⚠ Reclusão 3–10 anos + multa até R$20 milhões
Antifraude
+
Lei nº 14.155/2021
Federal · Lei do Estelionato Digital
Agrava as penas de fraudes eletrônicas e cria exposição civil para instituições que não adotam medidas preventivas ativas e documentadas. Frequentemente invocada em disputas judiciais contra bancos e IPs.
Artigos-chave
Art. 1º — Estelionato eletrônico agravadoArt. 2º — Fraude bancária eletrônicaArt. 3º — Invasão de dispositivo informático
Impacto para sua operação

O que muda: Nos tribunais, clientes lesados usam a Lei 14.155 para responsabilizar instituições que não demonstram ter adotado medidas preventivas. A ausência de evidências de controles ativos é tratada como negligência — e resulta em indenizações.

Como podemos ajudar: Além de prevenir fraudes, a Data Rudder gera evidências auditáveis de due diligence — logs, decisões, alertas — que protegem sua instituição em disputas judiciais ao demonstrar que controles ativos estavam em operação.

Consequência do não cumprimento
⚠ Reclusão 4–8 anos + indenização civil ao cliente
AntifraudePLD
+
LGPD — Lei nº 13.709/2018
Federal · Proteção de Dados Pessoais
Regula o tratamento dos dados pessoais coletados em KYC, monitoramento e compartilhamento de fraudes. Privacy-by-design é requisito transversal a todos os controles de compliance.
Artigos-chave
Art. 7º — Bases legais para KYCArt. 11 — Dados sensíveis e biométricosArt. 46 — Medidas de segurança obrigatóriasArt. 52 — Multa ANPD até 2% do faturamento
Impacto para sua operação

O que muda: Os processos de KYC, monitoramento transacional e compartilhamento de dados de fraude (Res. Conj. 6/2023) envolvem dados pessoais sensíveis que precisam ser tratados com bases legais definidas, retenção controlada e segurança verificável.

Como podemos ajudar: Nossas soluções foram desenvolvidas com privacy-by-design: minimização de dados, retenção controlada por finalidade e logs de acesso auditáveis — garantindo que seu programa de compliance não crie novos riscos regulatórios pela LGPD.