Leitura: 16 minutos
O processo de auditoria PLD/FT — prevenção à lavagem de dinheiro e financiamento ao terrorismo — deixou de ser apenas um requisito a ser preenchido nos roteiros de compliance. Hoje, este é um exercício de resiliência operacional, reputacional e estratégica.
Em um cenário em que fintechs e instituições financeiras passam a responder por um volume recorde de transações a partir da popularização do PIX, e onde bets e criptoativos aparecem cada vez mais em investigações; a capacidade de monitorar operações e analisar dados tornou-se um diferencial competitivo de segurança.
A auditoria PLD/FT precisa então provar, com evidências técnicas, que a instituição identifica riscos relevantes, investiga com profundidade e toma decisões justificadas quando necessário.
Neste post, trazemos em detalhes os processos que compõem as medidas de prevenção à lavagem de dinheiro e financiamento ao terrorismo, o cenário regulatório brasileiro e o papel das instituições na proteção dos usuários e do ecossistema financeiro.
O que é Auditoria PLD/FT?
Antes de mais nada, a auditoria PLD/FT não é apenas um checklist de requisitos a ser cumprido pelas organizações. É uma avaliação estruturada, baseada em evidências, que busca responder a seguinte questão: as políticas, os processos, as pessoas e as tecnologias que instituímos realmente previnem e detectam movimentações suspeitas no dia a dia?
Esse processo ajuda a validar tanto o desenvolvimento dos controles, quanto sua operação no mundo real. Ele testa se o chamado “know your customer” funciona de verdade, se as regras de monitoramento disparam para os perfis de maior risco, se as investigações são devidamente fundamentadas e documentadas, se as comunicações ao COAF (Conselho de Controle de Atividades Financeiras) são feitas dentro dos prazos, e se os planos de ação são realmente executados. Resumindo, a auditoria PLD/FT traduz políticas em comprovações, que são fundamentais para a segurança das instituições, dos usuários e de todo mercado.
Na prática, este processo ajuda a conectar três pontos essenciais para a proteção do sistema financeiro: a visão regulatória, a operação em si, e a camada tecnológica que analisa cada transação. Quando a auditoria é bem feita, ela não aponta apenas as falhas das instituições, mas também ajuda a definir prioridades, quantificar o risco, e fornecer métricas acionáveis aos times de prevenção.
É importante destacar ainda, que sua relevância vai além do compliance. A auditoria PLD/FT é um instrumento de gestão de risco reputacional e operacional. Mais do que lidar com as penalizações regulatórias em casos de falha, as instituições precisam enfrentar a pressão de clientes, parceiros e investidores para atestar sua integridade.
As três linhas de defesa aplicadas à PLD/FT
Grande parte das estruturas de gestão de riscos segue o modelo das três linhas de defesa, que estrutura responsabilidades e garante que os controles sejam realmente eficazes.
A primeira linha reúne as equipes que enfrentam os riscos “na linha de frente” e são responsáveis por aplicar controles básicos, seguir políticas de PLD/FT e identificar sinais atípicos no dia a dia, como onboarding, atendimento, comercial, operações e tech, por exemplo.
Já a segunda linha é composta por funções que dão suporte e proteção à primeira. Aqui ficam as áreas responsáveis por definir políticas, calibrar regras de monitoramento, revisar processos, conduzir due diligence e realizar testes de efetividade. É também onde se consolida a visão de risco da instituição e se fazem análises contínuas para correções.
Por fim, a terceira linha de defesa é a auditoria PLD/FT, interna ou externa, que verifica de forma independente se processos e controles estão funcionando como deveriam. Ela revisa processos, controla a execução, testa regras, identifica falhas e recomenda ajustes estruturais.
Marcos normativos e regulamentação
Quando falamos de auditoria PLD/FT, inevitavelmente entramos em um assunto altamente regulatório. E por um bom motivo. O objetivo dessas normas é justamente fechar as brechas que possibilitam a circulação de recursos ilícitos no sistema financeiro.
No Brasil, o principal pilar regulatório é a Lei nº 9.613/1998, conhecida como “Lei de Lavagem de Dinheiro”. Ela define como crime qualquer tentativa de ocultação da origem de recursos obtidos de forma ilícita, e estabelece as responsabilidades legais das instituições financeiras e de outros setores em monitorar as operações e reportá-las ao COAF, quando necessário.
Com o passar dos anos, a regulamentação brasileira evoluiu para acompanhar as mudanças do mercado financeiro e o avanço das tecnologias de pagamento. Um dos marcos desta evolução foi a adoção da Avaliação Baseada em Riscos (ABR), aplicada a todos os tipos de risco que uma instituição possa enfrentar, não se limitando à lavagem de dinheiro e financiamento ao terrorismo.
Na ABR, o regulador não define exatamente os controles a serem implementados, mas exige que as políticas, processos e controles sejam proporcionais aos riscos enfrentados pela instituição, considerando os produtos, mercados e a complexidade do modelo de negócio.
Além desta abordagem, instrumentos como a Avaliação Interna de Riscos (AIR) – processo obrigatório que identifica, avalia e classifica os riscos LD/FT – e os relatórios de efetividade passaram a ser essenciais para demonstrar se os controles realmente funcionam.
A Circular nº 3.978/2020 do Banco Central é um exemplo dessa mudança, ao estabelecer diretrizes mais objetivas para governança e controles internos. Ela exige que as instituições implementem mecanismos de acompanhamento e controle para garantir que políticas, procedimentos e controles estejam adequados. Esses mecanismos incluem processos, testes, trilhas de auditoria, métricas e indicadores, bem como a identificação e correção de deficiências.
Complementando essas diretrizes, a Circular nº 4.001/2020 surgiu como um guia prático para as equipes de prevenção, ajudando a padronizar a identificação de sinais de alerta e a fortalecer o processo de monitoramento e comunicação ao COAF.
Mas as medidas de prevenção e mitigação do risco não partem apenas dos órgãos reguladores. Do lado do mercado, há pressão também e não apenas por parte das autoridades. As próprias instituições financeiras têm cobrado mecanismos legais e operacionais que lhes deem capacidade prática de proteger o sistema.
Entre as principais demandas do setor estão regras que viabilizem o bloqueio rápido de operações suspeitas, mecanismos de autorregulação para conter o avanço das contas laranja e maior troca de informações entre bancos, fintechs e reguladores. A mensagem é clara: o mercado quer transparência regulatória e agilidade operacional para responder de forma eficaz aos riscos de lavagem de dinheiro e fraude.
O cenário atual do PLD/FT no Brasil
Os últimos anos mostraram que o risco ligado à lavagem de dinheiro evoluiu: além dos métodos tradicionalmente conhecidos – como o uso de empresas de fachada, a compra e revenda de bens de alto valor e a simulação de contratos e empréstimos -, grupos organizados passaram a explorar também fintechs, plataformas de pagamento e casas de apostas como novos maneiras de dispersar a origem de recursos ilícitos.
Ações deflagradas em 2025 pela Polícia Federal ajudam a ilustrar este novo cenário. A Operação Carbono Oculto, por exemplo, revelou um esquema bilionário de lavagem de dinheiro ligado ao PCC (Primeiro Comando da Capital), que movimentou mais de R$50 bilhões entre 2020 e 2024. O grupo estruturou uma rede empresarial complexa que envolvia usinas, postos de combustíveis, transportadoras, terminais e fundos de investimento, utilizando a cadeia de combustíveis como fachada para legitimar recursos obtidos com contrabando e tráfico.
Um dos pontos mais críticos revelados pelas investigações foi o uso de fintechs em vez de bancos tradicionais. Esse formato dificultou o rastreamento dos valores, já que parte das movimentações passava por contas “bolsão”, isto é, contas centralizadoras utilizadas por fintechs para reunir recursos de vários clientes antes da liquidação individual. Os valores que transitam por essas estruturas não estão diretamente vinculadas ao titular final, o que complica a identificação da origem e do destino dos recursos.
Casos como esse mostram como o ambiente digital e os meios de pagamento instantâneo criaram uma nova camada de riscos no sistema financeiro, exigindo respostas tão ágeis quanto a ação dos criminosos. A Pesquisa Febraban de Tecnologia Bancária 2025 mostra como isso reflete na estrutura tecnológica das instituições: 80% já possuem times de analytics dedicados à prevenção à lavagem de dinheiro, 89% relatam bases de dados integradas para PEPs (Pessoa Exposta Politicamente) e listas de sanções e 89% usam sistemas de monitoramento com regras predefinidas. Medidas que chegam para auxiliar em conjunto com a auditoria PLD/FT a prevenir e mitigar o risco operacional e reputacional.
Bets: atenção redobrada em segmentos vulneráveis
E não tem como falar sobre o cenário atual de prevenção à lavagem de dinheiro e financiamento ao terrorismo no Brasil sem citar um dos mais novos canais de dispersão de valores ilícitos: as casas de aposta online. As chamadas bets, e os provedores de pagamento associados a elas, aparecem com frequência em investigações.
Um dos exemplos mais comentados nos últimos anos envolveu a operação da Polícia Federal contra o uso de sites de apostas online para lavar dinheiro do tráfico internacional. Nesse esquema, os criminosos realizavam depósitos fracionados em múltiplas contas de clientes, transferiam os valores entre diferentes plataformas e, por fim, convertiam grande parte em criptoativos, tornando o rastreamento quase impossível. As investigações mostraram que os recursos circulavam rapidamente entre contas de apostas e carteiras digitais, aproveitando a velocidade do PIX e a ausência de controles mais rígidos para instituições digitais.
Para lidar com a vulnerabilidade deste segmento, o ecossistema financeiro reforça a necessidade de regras rigorosas de aceitação de clientes, due diligence e monitoramento de padrões atípicos. A Lei nº14.790/2023, que regula as casas de apostas esportivas no Brasil, formaliza isso ao estabelecer diretrizes sobre registro de operadores, controle de clientes e supervisão de transações.
Na prática, isso significa concentrar esforços em onboarding, definição de limites transacionais, detecção de estruturas de dispersão de valores e integração de dados entre plataformas de apostas e contas de pagamento, garantindo que todas as operações sejam transparentes e rastreáveis.
No discurso de abertura do 15º Congresso de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo, o presidente da Febraban, Isaac Sidney, destacou a necessidade de fortalecer os elos do sistema financeiro para evitar que lacunas operacionais sejam exploradas por criminosos. “Os bancos não precisam, não querem e não aceitam clientes do crime — nem seu dinheiro,” afirma.
Segundo Sidney, é fundamental que todos os participantes do ecossistema financeiro adotem mecanismos eficazes de prevenção e controle. “O compliance é indispensável para garantir a integridade do sistema financeiro. Todos devem estar comprometidos com políticas de prevenção à lavagem de dinheiro, independentemente do seu tamanho ou modelo de negócios.”
Etapas e processos da auditoria PLD/FT
Uma auditoria PLD/FT é um processo estruturado, baseado em evidências, que busca atestar se a instituição consegue identificar, investigar e reduzir riscos de lavagem de dinheiro e financiamento do terrorismo na rotina financeira.
Antes de qualquer teste prático, o auditor procura entender o modelo de operação, os produtos, os canais e a Avaliação Interna de Riscos (AIR) da instituição para definir um escopo alinhado aos riscos reais daquela organização específica.
Para ser realmente eficaz, este procedimento combina mecanismos tradicionais de auditoria com data analytics. As etapas mais comuns incluem o entendimento regulatório, o mapeamento dos fluxos críticos para a operação (onboarding, monitoramento de transações, investigação e reporte), revisão documental, testes de usabilidade (verificando se os controles internos estão bem estruturados) e testes de eficácia (avaliando se esses mecanismos funcionam na prática). Isso envolve amostragens, cruzamento entre bases de dados, simulações de cenários atípicos e validação de regras de monitoramento.
As instituições também passam por entrevistas com áreas-chave dentro das organizações, como compliance, operações e data science, permitindo avaliar a experiência de cada setor, a distribuição de funções e a responsabilidade de cada profissional. Por fim, o relatório de auditoria deve trazer conclusões claras sobre os riscos, recomendações a serem priorizadas e, sempre que possível, métricas que permitam acompanhar a implementação dessas iniciativas.
Durante o processo, alguns indicadores ajudam a medir o desempenho das instituições e orientar os próximos passos, como a porcentagem de alertas investigados dentro do prazo estipulado, o tempo médio de investigação, a taxa de alertas que se convertem em comunicação ao COAF, o percentual de falsos positivos e o número de investigações detalhadas para clientes de alto risco no período avaliado.
E é claro que, em processos robustos como este, também existem desafios. Entre os erros mais comuns que as instituições cometem está confiar nos resultados sem verificá-los, auditar apenas casos de baixo risco por conveniência, apresentar documentação incompleta que dificulta a busca por evidências nos casos suspeitos, e a terceirização de serviços sem governança adequada.
Principais obrigações das instituições financeiras
O compliance operacional das instituições financeiras vai muito além de um registro básico de informações sobre sua carteira de clientes. É preciso identificar e classificar corretamente os usuários na etapa de cadastramento, supervisionar continuamente suas operações, investigar alertas e reportar transações suspeitas ao COAF.
Logo na fase de onboarding, não basta coletar documentos: é necessário validar a identidade, origem dos recursos e propósito da relação com a instituição, escalando automaticamente para due diligence reforçada em clientes ou operações de alto risco. Isso é ainda mais relevante quando falamos de clientes PEPs e coligados, estruturas complexas ou o uso de plataformas de pagamento pouco transparentes.
O monitoramento transacional também deve ser contínuo, com uso de regras e modelos para identificar o desvio de padrões, sejam eles em volumes atípicos, no fluxo de dispersão de valores ou nas transações entre contas correlacionadas.
Por fim, o reporte ao COAF deve ser completo e ágil. A regulamentação exige que decisões de comunicação ao regulador sejam fundamentadas e documentadas, garantindo clareza sobre o motivo de investigação e sua conclusão.
Novas regras, como a Instrução Normativa RFB nº 2.278, apresentada em agosto de 2025, ampliaram o alcance das obrigações para fintechs, instituições de pagamento e participantes de ecossistema. O documento exige o envio de informações detalhadas sobre saldos, aplicações, transferências internacionais e outras movimentações financeiras, obrigando as organizações a aprimorar a integração entre equipes, sistemas e controles internos.
Na auditoria PLD/FT, outra obrigação das instituições é a Avaliação Interna de Riscos (AIR). Como explicado anteriormente, os auditores não apenas verificam a existência desse documento, mas também o utilizam para calibrar regras, priorizar recursos e ajustar os controles de risco.
Inovações e o futuro da PLD/FT
Sobre o futuro, Beatriz Lima, CDO da Data Rudder, destaca como tendência as instituições trabalharem de forma cada vez mais proativa, colocando como prioridade o acompanhamento contínuo das mudanças regulatórias e das atualizações do setor. “É fundamental estar por dentro das novas diretrizes e movimentos do setor financeiro, e até acompanhar o que está sendo discutido nas mídias, para entender se algo pode impactar a operação. O segredo está em agir de forma proativa para identificar casos suspeitos antes que se tornem um problema.”
Beatriz destaca ainda que o uso de modelos e inteligência artificial será determinante para aumentar a precisão dos alertas e otimizar o tratamento dos casos. “A ideia é centralizar tudo em um ambiente fácil de tratar, sem depender de dezenas de plataformas desconectadas.”
Nesse cenário, a auditoria PLD/FT terá um papel ainda mais estratégico, evoluindo para testar integrações entre áreas, validar a governança de modelos, revisar cenários de segmentos vulneráveis, como as bets, e checar canais formais de compartilhamento de informações entre as instituições. O objetivo, no entanto, continua sendo o mesmo: garantir que as organizações consigam cooperar, adaptar-se e responder rapidamente a riscos emergentes.
Como fortalecer o compliance e a governança
A auditoria PLD/FT transforma regras em práticas que realmente reduzem riscos, integrando tecnologia, processos e pessoas. Com bancos e fintechs assumindo mais responsabilidades regulatórias e novas modalidades financeiras em destaque, auditar é uma das maneiras de garantir que os controles funcionem e que as instituições operem com segurança e confiança.
Para Beatriz, um dos principais desafios que as instituições enfrentam neste processo está em calibrar os alertas de casos suspeitos com a realidade operacional. “É preciso encontrar o equilíbrio entre não deixar passar movimentações relevantes e, ao mesmo tempo, não gerar um volume de alertas impossível de tratar”, explica.
Ela destaca que, diferente dos sistemas antifraude, as análises PLD dificilmente geram decisões automáticas. “Cada caso precisa ser tratado individualmente. Por isso, é essencial ter pessoas capacitadas, processos bem definidos e uma plataforma ajustada à realidade da instituição.”
Soluções como o Monitora PLD, que acompanha em tempo real as movimentações financeiras e enriquece dados com listas restritivas e internacionais, ajudam a tornar esse equilíbrio possível, automatizando estas etapas, sem perder o olhar analítico que o combate à lavagem de dinheiro exige.
Mais do que cumprir normas, é preciso evoluir a maturidade tecnológica e o compliance dentro das instituições, transformando os mecanismos de prevenção, mitigação e auditoria PLD/FT em diferenciais competitivos e ferramentas eficazes contra o risco transacional e reputacional.
Para saber como o Monitora PLD pode auxiliar a sua operação, agende uma demonstração da plataforma.
