Circular BCB 3.978 explicada: o que sua fintech precisa ter de PLD-FT
A Circular BCB nº 3.978/2020 é a norma que define como as instituições supervisionadas pelo Banco Central devem prevenir a lavagem de dinheiro e o financiamento do terrorismo (PLD-FT). Ela substituiu a antiga Circular 3.461 e trouxe a abordagem baseada em risco: em vez de regras iguais para todos, cada instituição calibra seus controles ao próprio risco — desde que consiga demonstrar essa calibragem em documentos.
Para uma fintech, isso é bênção e armadilha: a norma permite estruturas proporcionais ao porte, mas exige um arcabouço documental que muita operação em crescimento só descobre que não tem quando o BCB pede — ou quando o processo de autorização trava.
1. Quem está obrigado
Todas as instituições autorizadas a funcionar pelo Banco Central:
- Bancos, financeiras, cooperativas e consórcios;
- Instituições de pagamento (emissoras de moeda eletrônica, credenciadoras, iniciadoras);
- SCD e SEP (fintechs de crédito);
- Corretoras e distribuidoras (DTVMs).
2. Os 6 pilares exigidos pela Circular
2.1 Política de PLD-FT
Documento formal, aprovado pela diretoria/conselho, compatível com o porte e divulgado a funcionários, parceiros e prestadores relevantes. Define papéis, responsabilidades e diretrizes dos controles.
2.2 Avaliação Interna de Risco (AIR)
O mapa de risco da instituição: clientes, produtos, serviços, canais e geografia, com classificação e mensuração dos riscos identificados. Revisão a cada 2 anos ou quando houver mudança relevante. É a AIR que justifica, perante o BCB, por que seus controles têm o tamanho que têm.
2.3 KYC — conheça seu cliente
Identificação, qualificação (renda/faturamento compatível, beneficiário final de PJ) e classificação de risco de cada cliente, incluindo verificação de PEP (pessoa exposta politicamente) e atualização periódica dos cadastros.
2.4 KYP e KYE — parceiros e funcionários
Procedimentos de conhecimento de parceiros comerciais, prestadores relevantes e funcionários — inclusive na contratação.
2.5 Monitoramento e seleção de operações
Regras (manuais ou automatizadas) para monitorar, selecionar e analisar operações e situações atípicas, com registro documentado da análise e da decisão de comunicar ou não ao COAF.
2.6 Avaliação de efetividade
Relatório anual (até 31 de março do ano seguinte) avaliando se os procedimentos funcionam de verdade, com plano de ação para as deficiências — encaminhado ao comitê de auditoria e à diretoria.
3. Comunicações ao COAF: regras e prazos
| Situação | Regra |
|---|---|
| Operação suspeita (qualquer valor) | Comunicar ao COAF até o dia útil seguinte à decisão de comunicar |
| Análise da operação selecionada | Concluir em até 45 dias |
| Depósito/saque/ordem em espécie ≥ R$ 50 mil | Comunicação automática obrigatória |
| Nenhuma comunicação no ano | Declaração negativa anual ao COAF |
Importante: a comunicação é sigilosa — informar o cliente de que ele foi comunicado ("tipping off") é vedado e gera responsabilização.
4. Governança: o diretor responsável
A Circular exige a indicação formal de um diretor responsável pelo PLD-FT, informada ao Banco Central. Numa fintech enxuta, é comum acumular com outra diretoria (desde que sem conflito — não pode ser o diretor de negócios que "aprova tudo"). Somam-se: treinamento periódico dos funcionários e guarda de registros por no mínimo 5 ou 10 anos, conforme o tipo de documento.
5. Sanções da Lei 9.613/98
O descumprimento expõe a instituição e seus administradores (art. 12 da Lei de Lavagem):
- Advertência;
- Multa de até R$ 20 milhões, o dobro do valor da operação ou o dobro do lucro obtido;
- Inabilitação de administradores por até 10 anos;
- Cassação ou suspensão da autorização de funcionamento.
Além do processo sancionador do BCB, a deficiência em PLD-FT trava operações comerciais: bancos liquidantes, bandeiras e parceiros exigem o arcabouço para operar com você.
6. Checklist rápido de conformidade
- Política de PLD-FT aprovada e divulgada?
- AIR documentada e revisada nos últimos 2 anos?
- KYC com qualificação, beneficiário final e classificação de risco?
- Verificação de PEP e sanções na entrada e periodicamente?
- Monitoramento com registro das análises (mesmo as não comunicadas)?
- Rotina de comunicação ao COAF (e declaração negativa anual)?
- Diretor responsável indicado ao BCB?
- Treinamento documentado + relatório de efetividade anual?
Sua fintech passaria numa inspeção do BCB hoje?
Responda o diagnóstico gratuito da vrisk: em 2 minutos você vê suas lacunas de PLD-FT e pode gerar as minutas — Política de PLD-FT, Avaliação Interna de Risco, procedimento KYC e rotina COAF — para validar com o seu compliance.
Fazer meu diagnóstico grátis →7. Perguntas frequentes
Quem está obrigado pela Circular 3.978?
Instituições autorizadas pelo BCB: bancos, IPs, SCDs, SEPs, financeiras, corretoras, DTVMs, consórcios e cooperativas — e, na prática, quem quer se autorizar ou operar como parceiro delas.
Quais documentos a norma exige?
Política de PLD-FT, Avaliação Interna de Risco, procedimentos KYC/KYP/KYE, monitoramento documentado de operações e relatório anual de efetividade.
Qual o prazo para comunicar o COAF?
Dia útil seguinte à decisão de comunicar; análise em até 45 dias; espécie ≥ R$ 50 mil é automática; sem comunicações no ano, declaração negativa.
Fintech pequena precisa de tudo isso?
Precisa do arcabouço completo — a abordagem baseada em risco permite dimensionar a profundidade dos controles ao porte, não eliminá-los.
Quais as sanções?
Advertência, multa de até R$ 20 milhões, inabilitação de administradores por até 10 anos e cassação da autorização (art. 12 da Lei 9.613/98).