A entrada em vigor da regulamentação das Prestadoras de Serviços de Ativos Virtuais (PSAVs), em 2 de fevereiro de 2026, não representa apenas a formalização de um marco jurídico para o mercado cripto no Brasil. Ela redefine o conjunto de deveres organizacionais e comportamentais exigidos dessas instituições, deslocando compliance e gestão de riscos para um elemento central de conformidade regulatória.
Esse movimento faz especial sentido à luz dos episódios de fraude e lavagem de dinheiro relacionados ao mercado financeiro ao longo de 2025, em especial as investigações conduzidas pelas autoridades policiais que evidenciaram a utilização de infraestruturas vinculadas ao mercado de ativos virtuais como vetores para a ocultação, dissimulação e circulação de recursos ilícitos. Ao implementar as novas obrigações, o regulador responde não apenas a um imperativo normativo, mas a riscos concretos materializados no sistema financeiro.
O movimento regulatório acompanha uma tendência já observada no debate internacional. Estudos recentes da Organização para a Cooperação e Desenvolvimento Econômico (OCDE) sobre o uso de inteligência artificial em finanças e manifestações do Banco de Compensações Internacionais (BIS) convergem em um ponto central: quanto maior a complexidade tecnológica e operacional do modelo de negócios, maior deve ser a capacidade institucional de resposta ex ante (preventiva). Por sua vez, também o Grupo de Ação Financeira (Gafi/FATF) tem enfatizado os riscos e vulnerabilidades de ativos virtuais, em especial pela forte integração entre o ecossistema cripto e o sistema financeiro tradicional. A inovação, por si só, deixou de ser argumento para justificar arranjos organizacionais frágeis.
A partir da Lei nº 14.478/2022, do Decreto nº 11.563/2023 e, sobretudo, das Resoluções BCB nº 519, 520 e 521/2025, as PSAVs deixaram de operar sob a ausência de uma regulação setorial específica emanada da autoridade competente e passaram a ingressar, de forma expressa, no perímetro regulatório do Banco Central do Brasil (BCB). Paradoxalmente, contudo, a consolidação normativa inaugura uma nova zona de dúvidas para o mercado: menos sobre a existência das obrigações e mais sobre os critérios pelos quais a suficiência, a efetividade e a proporcionalidade dessas estruturas serão avaliadas pelas autoridades competentes.
As normas editadas pelo BCB impõem às PSAVs a implementação efetiva de mecanismos de compliance, e gestão de riscos, com responsabilização direta da alta administração.
Práticas como onboarding robusto de clientes/usuários, incluindo a declaração destes em termos assinados sobre a ausência de conhecimento sobre as tecnologias aplicadas, procedimentos de Conheça Seu Cliente (KYC), Conheça Seu Terceiro (KYS), identificação de beneficiários finais, consultas a Pessoas Expostas Politicamente (PEP), monitoramento transacional contínuo, consulta em listas restritivas e de sanções, políticas específicas de prevenção a fraudes, gestão de conflitos de interesses e deveres informacionais estão previstos na regulamentação e não se limitam a exigências formais. Elas passam a integrar o núcleo dos deveres regulatórios atribuídos às PSAVs e são elementos incluídos nas condições para a autorização de funcionamento, agora obrigatória.
Um aspecto particularmente relevante da nova regulamentação é a referência expressa à prevenção a fraudes. Diferentemente de outros setores regulados, em que a fraude costuma estar implicitamente subsumida ao risco operacional, e a referência expressa do regulador limita-se a prevenção à lavagem de dinheiro, o regulador optou por torná-la explícita, inclusive citando-a na exposição de motivos da Resolução nº 520/2025, o que eleva o nível de expectativa quanto às medidas preventivas. Essa opção normativa não é casual e pode ser compreendida à luz dos incidentes de fraude observados ao longo de 2025, como mencionado acima.
Transposto para o mercado de ativos virtuais, o recado é claro: não basta implementar estruturas de compliance e gestão de riscos; será necessário demonstrar, de forma consistente, que tais estruturas são adequadas, proporcionais aos riscos e efetivamente operantes.
Conheça o Compliance Financeiro + Dupla Certificação CPC-F e CPRED
