Por Manoel Jordão 25/8/25
As obrigações relacionadas a PLD/FTP no âmbito do BaaS
O Banco Central (BCB) sinalizou ao mercado que irá publicar o resultado da consulta pública 108/2024 até o final de 2025 (CP 108). Essa consulta trata da regulamentação sobre a prestação de serviços de “Banking as a Service” (BaaS); de forma simples, modelo tecnológico disponibilizado via APIs que possibilita a empresas não financeiras oferecerem produtos e serviços bancários e de pagamento, por meio de uma instituição regulada (provedor de BaaS). Atualmente não há regulamentação específica a esse respeito e diversos pontos estão em pauta, sendo um deles as responsabilidades referentes à prevenção à lavagem de dinheiro, ao financiamento do terrorismo e à proliferação de armas de destruição em massa (PLD/FTP). Espera-se que a regulamentação discipline o compartilhamento das responsabilidades entre o prestador de serviços de BaaS (instituição financeira ou de pagamento, autorizada pelo BCB a exercer atividades reguladas) e o tomador de serviços de BaaS (nem sempre instituição regulada, mas que tem o contato direto com os clientes).
Um caso recente, de ampla repercussão no mercado financeiro brasileiro, evidencia os desafios enfrentados pelas autoridades na atribuição de responsabilidades e na imposição de consequências às instituições, autorizadas ou não, envolvidas no fluxo financeiro (“caminho do dinheiro”), e que foram utilizadas na movimentação dos recursos ilícitos.
Conforme noticiado, em 30/6/2025 a C&M Software sofreu um ataque hacker massivo, que possibilitou acesso indevido às contas de reserva de seis instituições; nas primeiras horas teriam sido desviados mais de R$ 540 milhões. Segundo algumas fontes, o valor total da fraude teria chegado a R$ 1 bilhão. A C&M Software é uma PSTI (prestadora de serviços de tecnologia da informação) homologada pelo Banco Central, atuando como integradora entre instituições financeiras e o SPB, incluindo Pix. Uma das instituições fraudadas foi a BMP, uma fintech autorizada pelo BCB, que presta serviços de BaaS a diversas outras.
A reação inicial do Banco Central foi a suspensão preventiva dos serviços das instituições envolvidas, com o objetivo de resguardar a integridade do Sistema de Pagamentos Brasileiro, enquanto se apuravam os contornos da ocorrência. A retomada das operações foi autorizada gradualmente, à medida que se verificou a efetiva correção das vulnerabilidades e a higidez dos controles internos.
Como destino dos recursos obtidos da fraude, ainda segundo o noticiário, um suspeito foi detido em Roraima, após sacar R$ 700 mil em espécie em uma agência bancária em Boa Vista. Poucos dias depois um casal foi preso em Goiânia, na Operação Magnus Fraus (grande fraude, em tradução livre), que teria bloqueado mais de R$ 30 milhões e recuperado cerca de R$ 5,5 milhões em criptoativos com os alegados golpistas.
A conversão ágil de valores em criptoativos, aliada ao uso de múltiplas contas por agentes criminosos, tem como objetivo dificultar o rastreamento e o bloqueio dos recursos oriundos de fraudes. Nesse cenário, as responsabilidades entre provedores e tomadores de serviços de BaaS tornam-se difusas, especialmente considerando que muitos tomadores não são instituições autorizadas pelo Banco Central. Entre a origem fraudulenta e os destinos já identificados dos recursos, diversas contas podem ter sido utilizadas ao longo do fluxo financeiro. A regulamentação decorrente da Consulta Pública nº 108/24 deverá trazer maior clareza e detalhamento na atribuição dessas responsabilidades entre os participantes da infraestrutura BaaS.
Na visão atual, a responsabilidade primária pela conformidade com PLD/FTP é da instituição autorizada, provedora dos serviços da BaaS. Além de assegurar que os serviços prestados por meio do tomador estejam em conformidade com a regulamentação vigente, o provedor deve manter controles internos robustos para identificar, avaliar e mitigar situações e operações possivelmente ligadas a LD/FTP. Quando percebidas, tais situações e operações devem ser comunicadas ao COAF.
De seu lado, o tomador de BaaS deve adotar os procedimentos exigidos pelo provedor, como diligência na identificação e qualificação de clientes, fornecendo dados e evidências para o provedor cumprir suas obrigações regulatórias. Adicionalmente, deve atender aos critérios mínimos para identificação, verificação e validação dos dados de clientes, definidos pelo provedor de BaaS, garantindo que os dados coletados sejam íntegros, atualizados e acessíveis ao provedor e às autoridades. Ambos, provedor e tomador, devem manter registros auditáveis dos processos de onboarding, diligência e transações cursadas.
No caso presente, iniciado pela colaboração de um funcionário vinculado à PSTI, foram utilizadas múltiplas contas de interpostas pessoas (“laranjas”), distribuídas entre diversas instituições financeiras e de pagamento, com o propósito de movimentar os recursos ilícitos. Tal dinâmica revelou vulnerabilidades significativas nos mecanismos de prevenção à lavagem de dinheiro e financiamento ao terrorismo (PLD/FTP), evidenciando falhas nos controles de conformidade (KYC, EDD) e monitoramento transacional.
As análises de conformidade regulatória atinentes aos controles de PLD/FTP, como gap-analysis por exemplo, oferecem visão abrangente sobre a robustez dos controles do tomador de BaaS, assim como a completude e suficiência dos critérios e demais condições estabelecidas pelo provedor de BaaS. Esse tipo de diagnóstico possibilita correção tempestiva das principais fragilidades e adoção de medidas de fortalecimento do sistema de controles internos mais duradouras, para todos os participantes.
