KYC para fintechs en Brasil: guía práctica y checklist para 2025

Key takeaways
 

Brasil es el mercado fintech más grande de LatAm, con más de 2.000 empresas activas.

El fraude de identidad es uno de los mayores retos: deepfakes, identidades sintéticas y falsificación documental.

Las fintech deben cumplir con normas de KYC/AML tan estrictas como los bancos. La verificación inicial no es suficiente: la monitorización continua es obligatoria.

Didit permite cumplir con estas normativas de forma rápida, transparente y sin costes ocultos.

La industria fintech es una de las más representativas de Brasil. No en vano, algunos registros indican que hay más de 2.000 empresas de este sector repartidas por todo el país. Para contextualizar, esta cifra supone alrededor del 56% de todas las compañías fintech mapeadas en América Latina. En números, el mercado fintech brasileño alcanzó los $4.73 mil millones en 2024.

Esto se traduce en oportunidades, pero también en retos, sobre todo en cuestión de cumplimiento normativo y prevención de blanqueo de capitales. Sin ir más lejos, el pasado 1 de septiembre se publicó que Brasil obligaría a las fintech a cumplir con las mismas regulaciones que los bancos, apenas unos días después de desmantelar una red de lavado de dinero operada por la mayor organización criminal del país. Esta futura regulación plantea que las fintech presenten información sobre transacciones financieras a las autoridades mediante un sistema que la banca tradicional ya utiliza desde hace más de dos décadas. Unas demandas que podrían incluso tener carácter retroactivo, según apuntan algunas fuentes.

Ante este aumento de la presión regulatoria, las fintech brasileñas no pueden considerar la verificación de identidad como un mero check. Los procesos de KYC cobran más importancia que nunca. Para ello, necesitan herramientas seguras, rápidas y transparentes que les ayuden a combatir el creciente problema de fraude de identidad existente en Brasil.

El fraude de identidad, un problema creciente para las fintech brasileñas

Los datos actuales afirman que Brasil tiene un problema muy grave con el fraude de identidad. Solo en el primer trimestre de 2025, los intentos de fraude crecieron más de 50%, mientras que el país continúa encabezando el ranking global de fraudes con tecnología deepfake: sufre cinco veces más incidentes que Estados Unidos y hasta diez veces más que Alemania.

Pero los deepfakes no son el único problema al que deben hacer frente las fintech y demás industrias financieras del país. Las identidades sintéticas crecieron de forma interanual un 140%, mientras que el aumento de IDs falsos y otra documentación ponen en jaque los sistemas de verificación actuales.

Un aumento alarmante, que señala que cada 16 segundos se produce un intento de estafa en Brasil, y que provoca pérdidas millonarias.

Un impacto directo sobre las fintech

Las fintech brasileñas han visto cómo el fraude en el sector creció un 143,2%, según reportes de TIInside. Esto sitúa a la industria fintech como el tercer sector más afectado del país, solo por detrás de las casas de apuestas y las redes sociales.

El impacto del fraude en las fintech provoca:

• Pérdidas económicas directas
• Fricción excesiva para usuarios legítimos
• Falsos positivos y abandono de clientes

Las normativas KYC en Brasil: lo esencial para las fintech

En Brasil, el marco regulatorio de KYC (Know Your Customer) para fintech se encuentra en plena transformación. Aunque las normas de prevención de blanqueo de capitales no son nuevas (la Ley nº 9.613/1998 ya obligaba a las instituciones financieras a reportar actividades sospechosas al COAF), la novedad está en que el regulador quiere equiparar las obligaciones de las fintech con las de la banca tradicional.

Esto significa que las fintech brasileñas deben implementar programas de compliance robustos, capaces de:

• Identificar, verificar y validar la identidad de cada cliente (KYC)
• Monitorizar transacciones y operaciones sospechosas
• Reportar actividades sospechosas al COAF en un plazo de 24 horas
• Conservar registros durante, al menos, cinco años

Además, la Resolução BCB nº 3.978/2020 y posteriores guías del Banco Central do Brasil (BCB) añaden obligaciones más específicas para el sector, como la necesidad de contar con matrices de riesgo proporcionales al perfil de la entidad y controles internos capaces de detectar fraudes como identidades sintéticas y deepfakes.

¿Cuáles son los requisitos para la verificación de identidad en Brasil?

La verificación de identidad en Brasil no es un trámite rutinario, sino un proceso legal exigente que comienza con la recolección de datos imprescindibles: nombre completo, CPF y un documento válido, que luego deben contrastarse con bases oficiales como Serpro o la Receita Federal.

Bajo el principio de riesgo (Circular BCB 3.978/2020, Res. 119/2021), la verificación de la dirección (Proof of Address) solo es obligatoria en perfiles que no son de riesgo bajo. Además, si las fintech están bajo supervisión de la CVM, será necesario también recoger otros datos, como fecha de nacimiento, teléfono, email y ocupación.

Todo el flujo de verificación debe encajar en la Ley nº 9.613/1998 y adaptarse a la Ley de Protección de Datos (LGPD): las empresas solo deben solicitar la información indispensable, informar sobre su uso, cumplir con los periodos de retención (5 años) y eliminar lo que no sea necesario.

👉 En este post puedes ampliar la información sobre las normativas de KYC y AML en Brasil.

La monitorización continua es obligatoria en Brasil

Cumplir con las normativas no se limita a la verificación inicial. La monitorización continua de los usuarios es obligatoria, como señala la Circular BCB 3.978 (Artículo 17). Las empresas deben mantener actualizada la información de los clientes.

La norma no define la periodicidad de estas re-verificaciones, pero sí exige realizar nuevas comprobaciones siempre que cambie el perfil de riesgo del usuario.

¿Qué reguladores vigilan el cumplimiento normativo de las fintech en Brasil?

El cumplimiento normativo de las fintech está supervisado por diferentes organismos que combinan leyes estatales y requisitos sectoriales.

Los principales reguladores son:

• Banco Central do Brasil (BCB o BACEN). Regula el marco KYC/AML que impacta en fintech.
• COAF (Conselho de Controle de Atividades Financeiras). Unidad de inteligencia financiera de Brasil.
• CVM (Comissão de Valores Mobiliários). Supervisa valores, exchanges, administradores de fondos y emisores de tokens.
• SUSEP (Superintendência de Seguros Privados). Regula la industria de seguros y pensiones.
• ANPD (Autoridade Nacional de Proteção de Dados). Encargada de hacer cumplir la LGPD, clave para las fintech que manejan datos personales.

Checklist definitivo de regulaciones que afectan a las fintech en Brasil

• Ley 9.613/1998. Base del marco normativo KYC/AML.
• Ley 13.810/2019. Ley de sanciones.
• Ley 14.478/2022. VASPs como sujetos obligados.
• Circular BCB 3.978/2020. Primera guía de cumplimiento KYC en Brasil.
• Resolução BCB 119/2021. Obliga a solicitar dirección postal.
• Sectores específicos:
  • Real Estate → Resolução COFECI 1.336/2014
  • Telecomunicaciones → Resolução ANATEL 477/2007
  • iGaming → Ley 14.790/2023

¿Cómo puede ayudar Didit a las fintech en Brasil?

Las fintech en Brasil deben afrontar un doble reto: cumplir con las normativas KYC/AML y protegerse contra el fraude.

Los proveedores locales actuales han demostrado limitaciones:

• IDWall depende en exceso de revisión humana, lo que ralentiza el onboarding.
• Unico no es una plataforma end-to-end, dejando brechas explotables por los criminales.

Didit combina verificación documental, biometría, validaciones en fuentes oficiales y screening global, todo en una plataforma flexible, abierta y económica. Además, ofrece el primer plan gratuito e ilimitado de KYC.

Con Didit puedes crear flujos personalizados de verificación, desde el onboarding inicial hasta la autenticación biométrica, siempre alineados con los rápidos cambios regulatorios de Brasil.