Lições das operações “Carbono Oculto” e “Spare” para o Compliance do Século XXI
A manhã de 28 de agosto de 2025 marcou um divisor de águas na compreensão sobre a sofisticação dos crimes financeiros no Brasil. Três operações simultâneas da Polícia Federal, Receita Federal e Ministério Público de São Paulo revelaram a instrumentalização completa do ecossistema financeiro digital por organizações criminosas.
Com 42 endereços alvos de busca e apreensão, o epicentro da investigação foi a Avenida Brigadeiro Faria Lima, coração do que convencionamos chamar de “os mercados” por abrigar as sedes de muitos bancos e fundos de investimento. Do protagonista, o Primeiro Comando da Capital (PCC), já não se pode dizer que ele é oculto. A organização criminosa transcendeu suas origens e transmutou-se em uma corporação criminosa, com expertise na exploração da vulnerabilidade do sistema financeiro e da legislação. As recentes operações “Carbono Oculto” e “Spare” são lições que exigem uma reavaliação das estratégias e ações do Programa de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo e à Proliferação de Armas de Destruição em Massa (PLD/FTP). A realidade demonstra que o crime organizado se deslocou das ruas para as empresas de diversos segmentos e alcança as instituições financeiras, reforçando a importância da área de compliance como gestora de riscos de integridade e reputação em nível estratégico.
A anatomia de um moderno esquema financeiro e criminoso
As operações “Carbono Oculto” e “Spare” revelaram que o PCC construiu um verdadeiro ecossistema econômico para executar as três fases da lavagem de capitais de forma integrada e sistêmica. A organização criminosa instrumentalizou a lógica da integração de cadeias de suprimentos e da diversificação de portfólios, criando um sistema de círculo fechado onde o valor ilícito é transferido e disfarçado como transações comerciais legítimas entre empresas do mesmo conglomerado criminoso.
Para a “colocação”, se valeram de uma vasta rede de negócios com alto fluxo de caixa (postos de combustíveis, casas de jogos de azar ilegais, motéis) para mesclar dinheiro “sujo” do tráfico com receitas aparentemente legítimas.
A “ocultação” era executada por meio de um aparato financeiro e corporativo, utilizando fintechs e instituições de pagamentos para processar bilhões de reais em transações, explorando um suposto “vácuo regulamentar”. Empresas de fachada e estruturas corporativas complexas (sócios laranjas e holdings) ocultavam os verdadeiros beneficiários finais.
Na última fase, a “integração”, o dinheiro “lavado” era integrado à economia por meio da aquisição de ativos estratégicos de alto valor, como terminais portuários, usinas, fazendas de cana-de-açúcar e imóveis, consolidando o poder econômico e a influência do PCC.
Quando regulação e crime se entrelaçam
Deflagrada em agosto de 2025, a operação “Carbono Oculto” desmantelou um esquema bilionário de lavagem de dinheiro e sonegação fiscal centrado no setor de combustíveis e operado pelo PCC. A investigação mirou uma rede de aproximadamente mil postos de combustíveis que, entre 2020 e 2024, teriam movimentado cerca de R$ 52 bilhões em operações suspeitas. Uma única fintech, localizada na Faria Lima, foi apontada como responsável pela lavagem de R$ 46 bilhões nesse período, resultando em uma sonegação fiscal massiva, estimada em mais de R$ 7,6 bilhões. Devido às suas características: alto volume de transações em espécie, logística complexa e uma vasta cadeia de produção e distribuição, que oferece múltiplos pontos para a colocação e ocultação de recursos ilícitos, o setor de combustíveis foi o epicentro do esquema criminoso.
A “Operação Spare”, deflagrada em setembro de 2025, funcionou como um desdobramento da “Carbono Oculto”, revelando a agilidade tática e a estratégia de diversificação de riscos do PCC. O mecanismo central desvendado foi a mescla de fluxos de receita: máquinas de cartão (POS) apreendidas em casas de apostas clandestinas estavam cadastradas em nome de postos de combustíveis, com transações liquidadas nas contas desses estabelecimentos, criando uma fonte de receita aparentemente legítima para disfarçar lucros de crimes distintos.
Paralelamente às investigações criminais, o caso da Usina Comanche exemplifica a complexidade do enforcement regulatório. Condenada pela CVM por fraude que resultou em R$ 45 milhões de prejuízos, incluindo a fundos de pensão e prefeituras, a empresa integrava o mesmo conglomerado investigado na Operação Carbono Oculto. Na verdade, trata-se de um processo iniciado em 2014, concluído apenas em maio de 2025 com decisão final do Conselho de Recursos do Sistema Financeiro Nacional (CRSFN), que precisou encarar os desafios de coordenação entre esferas criminal e administrativa em diferentes jurisdições. Além disso, as investigações evidenciaram falhas de governança e compliance no papel da Acrux Administração de Recursos.
Para dar conta desses quadros, um programa de compliance eficaz, hoje, deve ir além da análise da atividade imediata do cliente e investir em tecnologia e enriquecimento de dados que permitam mapear a rede mais ampla de entidades e atividades associadas. Não fazer isso, diante de tudo o que se sabe agora, é assumir uma falha na matriz de risco.
Conheça o curso de Compliance Financeiro + Dupla Certificação CPC-F e CPRED
Números que impressionam – e preocupam
O setor financeiro digital brasileiro vive uma expansão acelerada, conforme demonstram os dados mais recentes. Para se ter uma ideia, em um único dia (6 de junho), o sistema PIX efetuou 276,7 milhões de transações, com R$ 135,6 bilhões transacionados neste dia recorde. O PIX, uma inovação brasileira, encontrou alta adesão na população, com 63% dos brasileiros utilizando o sistema ao menos uma vez por mês em 2024, segundo o estudo Geografia do Pix, da Fundação Getúlio Vargas (FGV). A mesma pesquisa mostra que, na média, o brasileiro realiza 32 transações mensais e a projeção é que o Pix deve superar cartões de crédito em e-commerce até final deste ano, segundo estudo da empresa brasileira de pagamentos Ebanx divulgado em setembro do último ano.
O dinheiro físico, tradicionalmente o meio mais utilizado para lavagem de dinheiro, hoje, é utilizado como forma de pagamento por apenas 6% dos brasileiros, de acordo com a pesquisa “Pagamentos em Transformação: do Dinheiro ao Código”, realizada pelo Google. Mas, diante das novas tecnologias, a presença do papel moeda não é mais tão necessário. Essa mesma infraestrutura que democratiza serviços financeiros também facilita a sofisticação de esquemas criminosos. Foram 4,7 milhões de fraudes no Pix em 2024, com R$ 6,5 bilhões em prejuízos e apenas 7% recuperado, de acordo com o Banco Central.Muito do sucesso dessa digitalização bancária por aqui reside na nossa relação com os onipresentes aparelhos celulares. Nada menos que 85% das transações financeiras realizadas em 2024 foram feitas via celular, segundo a pesquisa Estatísticas de Pagamentos de Varejo e de Cartões no Brasil, do Banco Central. Foram realizadas 58,6 bilhões de operações no ano.
A Resposta Regulatória
Diante da crise de confiança, ataquescibernéticos e investigações sobre uso indevido de plataformas, o Banco Central (BC) anunciou regulamentações robustas, oficializadas por meio de resoluções publicadas no Diário Oficial da União em 5 de setembro de 2025.
O objetivo central do regulador é dificultar que criminosos utilizem o sistema Pix para desvios de dinheiro e lavagem de recursos, aprimorando a rastreabilidade para transações de alto valor e complexidade adicional para operações suspeitas. Isso passa, por exemplo, pelo estabelecimento de limites transacionais de R$ 15 mil via Pix e TED para instituições de pagamento não autorizadas e as que se conectam à Rede do Sistema Financeiro Nacional via Prestadores de Serviços de Tecnologia da Informação (PSTI), que por sua vez, deverão ter capital mínimo de R$ 15 milhões, com quatro meses para se adequarem a essa nova medida. A antecipação do prazo final para que instituições de pagamento não autorizadas a funcionar pelo BC solicitem autorização para funcionamento de dezembro de 2029 para maio do ano que vem. Já para as instituições de pagamento, foram introduzidos controles adicionais. Somente integrantes dos segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. Os contratos vigentes deverão ser adequados em até cento e oitenta dias, março do próximo ano.
Ao mesmo tempo, existe o desafio para o BC de balancear a repressão ao crime organizado sem comprometer a inovação financeira que beneficia milhões de brasileiros, o que passa por não burocratizar excessivamente o sistema e manter a sua agilidade operacional. Muito da competitividade das fintechs brasileiras é possível pelos custos de compliance para pequenas instituições, além das poucas barreiras à velocidade de inovação no setor.
A Prevenção à Lavagem de Dinheiro, ao Financiamento do Terrorismo e à Proliferação de Armas de Destruição em Massa (PLD/FTP) é um ecossistema complexo, sustentado por legislação robusta e diversas instituições, como o Conselho de Controle de Atividades Financeiras (COAF), unidade de inteligência financeira nacional, responsável por receber, analisar e disseminar informações de inteligência financeira; o FATF-GAFI, que ordena as regras globais de PLDFTP, além de outros organismos internacionais e do próprio BC.
A Circular 3.978/2020 do Banco Central é a principal norma que rege as políticas de PLD/FTP para as instituições autorizadas a funcionar pelo Bacen, alinhando a regulamentação brasileira com as melhores práticas internacionais do GAFI. Seus pilares fundamentais são a avaliação interna de riscos, as políticas de KYC (Know Your Client), monitoramento e reporte e governança e responsabilidade.
A alegação pela Receita Federal, após a operação “Carbono Oculto”, de um “vácuo regulatório” que permitiu o uso de fintechs pelo crime organizado, contrasta com o arcabouço normativo vigente. A falha não foi a ausência de regras, mas a implementação deficiente e a supervisão insuficiente dos controles já estabelecidos pela Circular Bacen 3.978/2020. Essa norma já submetia as fintechs a obrigações de PLD/FTP, como diligência e monitoramento de clientes, que deveriam ter resultado em comunicações ao COAF diante das operações atípicas. Em reação, a Instrução Normativa RFB 2.278/2025 buscou sanar essa lacuna de reporte, igualando as fintechs aos bancos na obrigação de apresentar a e-Financeira.
Reflexões para profissionais de compliance
As organizações criminosas evoluem mais rapidamente que os controles tradicionais. E isso não é nenhuma novidade. Mas é preciso que as instituições financeiras digitais e seus profissionais de Compliance possam, ao menos, correr para não deixar o crime sempre muito à frente. E muito disso está à disposição do mercado. O uso de modelos de Inteligência Artificial Avançada, com modelos preditivos que identifiquem padrões emergentes, é um bom exemplo de novas tecnologias que podem ser adotadas sem muitas barreiras. Ao mesmo tempo, o compartilhamento de informações entre instituições e a adição da Análise Comportamental, com foco em redes e relacionamentos, não apenas transações, podem agregar novas camadas de governança na análise dos clientes e dos seus riscos.
Também fica evidente a necessidade de maior coordenação entre órgãos reguladores e autoridades criminais, evitando, duplicação de esforços investigativos, lacunas de supervisão e inconsistências sancionatórias.
Mais do que um retrato do tamanho do poder (e do problema) do crime organizado, as operações “Carbono Oculto” e “Spare” evidenciaram as fragilidades estruturais do ecossistema financeiro do Estado. A falha sistêmica explorada pelo PCC não decorreu de um vácuo regulatório, mas de uma assimetria nas obrigações de reporte, combinada à deficiência na implementação e na supervisão dos controles de PLD/FTP já exigidos diante da realidade. O fato de uma única fintech ter movimentado, com base nas investigações da “Carbono Oculto”, R$ 46 bilhões, demonstra a magnitude dos riscos. Além disso, com o processamento de 276 milhões de transações diárias, realizadas largamente por telefones móveis, reforça a necessidade de evolução dos frameworks de compliance para acompanhar as inovações do mercado incorporadas pelo crime organizado. Ainda há de se lidar com o envolvimento de colaboradores, algo longe de ser novo, mas que atinge um novo patamar diante da magnitude e da natureza dessas operações financeiras.
Para profissionais de compliance, em especial os que atuam em instituições financeiras, os eventos de agosto de 2025 representam um chamado à ação. É preciso revisar políticas para adequá-las aos novos padrões regulatórios e às práticas mais recentes dos grupos criminosos. As equipes precisam ser capacitadas para identificar e agir a partir de novos vetores de risco, com o fomento a uma cultura de questionamento (e porque não dizer, de ceticismo), capaz de identificar inconsistências que, à primeira vista, possam parecer legítimas.
Os investimentos em tecnologia precisam se materializar em ferramentas capazes de processar cerca de 60 bilhões de operações anuais, combinando tecnologia e análise crítica para detectar comportamentos atípicos. As recentes operações também deixam cristalino a necessidade de fortalecimento da primeira linha de defesa, com o apoio e disponibilização de recursos pela Alta Liderança. Já os reguladores, precisam adotar uma supervisão Inteligente, evoluindo de uma verificação meramente formal para uma fiscalização inteligente, avaliando a efetividade real das políticas.
As recentes operações revelam a contaminação do mercado regulado pelo crime organizado – um espelho da nossa realidade regulatória. Em um país onde o Pix processa quase 280 milhões de transações em um dia e apenas 7% das fraudes são recuperadas, o compliance não pode mais ser tratado como um obstáculo à inovação ou um centro de custo. É o pilar estratégico indispensável à sustentabilidade do negócio e à preservação da integridade institucional. Ignorar essa vulnerabilidade representa uma ameaça direta à estabilidade econômica e à credibilidade do sistema financeiro diante da atuação do crime organizado.
A pergunta que fica é: estamos preparados para enfrentar a próxima geração de crimes financeiros, ou continuaremos sempre um passo atrás dos criminosos?
AS MEDIDAS TOMADAS PELO BC PARA COIBIR A INSTRUMENTALIZAÇÃO DAS FINTECHS PELO CRIME ORGANIZADO
Para consulta das normativas específicas: Portal do Banco Central – Seção Normativos
Matriz de Indicadores de Alerta (Red Flag) e Medidas de Mitigação
A seguir, uma matriz que traduz as táticas criminosas observadas nas operações em indicadores de alerta práticos para instituições financeiras, associando-os aos requisitos regulatórios e às ações de mitigação recomendadas:
Conheça o curso de Compliance Financeiro + Dupla Certificação CPC-F e CPRED
Autores deste artigo:
