Circular BCB 3.978 explicada: o que sua fintech precisa ter de PLD-FT

Atualizado em julho de 2026 · leitura de 8 min · Informação geral, não substitui seu compliance

A Circular BCB nº 3.978/2020 é a norma que define como as instituições supervisionadas pelo Banco Central devem prevenir a lavagem de dinheiro e o financiamento do terrorismo (PLD-FT). Ela substituiu a antiga Circular 3.461 e trouxe a abordagem baseada em risco: em vez de regras iguais para todos, cada instituição calibra seus controles ao próprio risco — desde que consiga demonstrar essa calibragem em documentos.

Para uma fintech, isso é bênção e armadilha: a norma permite estruturas proporcionais ao porte, mas exige um arcabouço documental que muita operação em crescimento só descobre que não tem quando o BCB pede — ou quando o processo de autorização trava.

Neste guia 1. Quem está obrigado 2. Os 6 pilares exigidos pela Circular 3. Comunicações ao COAF: regras e prazos 4. Governança: o diretor responsável 5. Sanções da Lei 9.613/98 6. Checklist rápido de conformidade 7. Perguntas frequentes

1. Quem está obrigado

Todas as instituições autorizadas a funcionar pelo Banco Central:

E quem ainda não é autorizada? Fintechs em processo de autorização precisam apresentar o arcabouço de PLD-FT como parte do pedido — e quem opera como correspondente ou parceira de uma instituição autorizada é cobrada por ela via KYP (conheça seu parceiro). Na prática, o mercado inteiro exige os mesmos documentos.

2. Os 6 pilares exigidos pela Circular

2.1 Política de PLD-FT

Documento formal, aprovado pela diretoria/conselho, compatível com o porte e divulgado a funcionários, parceiros e prestadores relevantes. Define papéis, responsabilidades e diretrizes dos controles.

2.2 Avaliação Interna de Risco (AIR)

O mapa de risco da instituição: clientes, produtos, serviços, canais e geografia, com classificação e mensuração dos riscos identificados. Revisão a cada 2 anos ou quando houver mudança relevante. É a AIR que justifica, perante o BCB, por que seus controles têm o tamanho que têm.

2.3 KYC — conheça seu cliente

Identificação, qualificação (renda/faturamento compatível, beneficiário final de PJ) e classificação de risco de cada cliente, incluindo verificação de PEP (pessoa exposta politicamente) e atualização periódica dos cadastros.

2.4 KYP e KYE — parceiros e funcionários

Procedimentos de conhecimento de parceiros comerciais, prestadores relevantes e funcionários — inclusive na contratação.

2.5 Monitoramento e seleção de operações

Regras (manuais ou automatizadas) para monitorar, selecionar e analisar operações e situações atípicas, com registro documentado da análise e da decisão de comunicar ou não ao COAF.

2.6 Avaliação de efetividade

Relatório anual (até 31 de março do ano seguinte) avaliando se os procedimentos funcionam de verdade, com plano de ação para as deficiências — encaminhado ao comitê de auditoria e à diretoria.

3. Comunicações ao COAF: regras e prazos

SituaçãoRegra
Operação suspeita (qualquer valor)Comunicar ao COAF até o dia útil seguinte à decisão de comunicar
Análise da operação selecionadaConcluir em até 45 dias
Depósito/saque/ordem em espécie ≥ R$ 50 milComunicação automática obrigatória
Nenhuma comunicação no anoDeclaração negativa anual ao COAF

Importante: a comunicação é sigilosa — informar o cliente de que ele foi comunicado ("tipping off") é vedado e gera responsabilização.

4. Governança: o diretor responsável

A Circular exige a indicação formal de um diretor responsável pelo PLD-FT, informada ao Banco Central. Numa fintech enxuta, é comum acumular com outra diretoria (desde que sem conflito — não pode ser o diretor de negócios que "aprova tudo"). Somam-se: treinamento periódico dos funcionários e guarda de registros por no mínimo 5 ou 10 anos, conforme o tipo de documento.

5. Sanções da Lei 9.613/98

O descumprimento expõe a instituição e seus administradores (art. 12 da Lei de Lavagem):

Além do processo sancionador do BCB, a deficiência em PLD-FT trava operações comerciais: bancos liquidantes, bandeiras e parceiros exigem o arcabouço para operar com você.

6. Checklist rápido de conformidade

  1. Política de PLD-FT aprovada e divulgada?
  2. AIR documentada e revisada nos últimos 2 anos?
  3. KYC com qualificação, beneficiário final e classificação de risco?
  4. Verificação de PEP e sanções na entrada e periodicamente?
  5. Monitoramento com registro das análises (mesmo as não comunicadas)?
  6. Rotina de comunicação ao COAF (e declaração negativa anual)?
  7. Diretor responsável indicado ao BCB?
  8. Treinamento documentado + relatório de efetividade anual?

Sua fintech passaria numa inspeção do BCB hoje?

Responda o diagnóstico gratuito da vrisk: em 2 minutos você vê suas lacunas de PLD-FT e pode gerar as minutas — Política de PLD-FT, Avaliação Interna de Risco, procedimento KYC e rotina COAF — para validar com o seu compliance.

Fazer meu diagnóstico grátis →

7. Perguntas frequentes

Quem está obrigado pela Circular 3.978?

Instituições autorizadas pelo BCB: bancos, IPs, SCDs, SEPs, financeiras, corretoras, DTVMs, consórcios e cooperativas — e, na prática, quem quer se autorizar ou operar como parceiro delas.

Quais documentos a norma exige?

Política de PLD-FT, Avaliação Interna de Risco, procedimentos KYC/KYP/KYE, monitoramento documentado de operações e relatório anual de efetividade.

Qual o prazo para comunicar o COAF?

Dia útil seguinte à decisão de comunicar; análise em até 45 dias; espécie ≥ R$ 50 mil é automática; sem comunicações no ano, declaração negativa.

Fintech pequena precisa de tudo isso?

Precisa do arcabouço completo — a abordagem baseada em risco permite dimensionar a profundidade dos controles ao porte, não eliminá-los.

Quais as sanções?

Advertência, multa de até R$ 20 milhões, inabilitação de administradores por até 10 anos e cassação da autorização (art. 12 da Lei 9.613/98).

Aviso: este guia é um resumo informativo da Circular BCB 3.978/2020 e da Lei 9.613/98, e não substitui a leitura da norma nem a avaliação do seu compliance ou assessoria jurídica.