Pular para o conteúdo principal
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Voltar para o blog
Blog · 13 de junho de 2026

Requisitos de Conformidade KYC em 2026: Um Guia Completo (PT-BR)

A conformidade KYC em 2026 foca em quatro obrigações essenciais: CIP, CDD, EDD e monitoramento contínuo. Entenda o que as empresas reguladas, FATF e as estruturas AML da UE exigem, e como atender a cada requisito de forma.

Por DiditAtualizado
kyc-compliance-requirements-2026.png

A conformidade KYC em 2026 exige que as empresas reguladas satisfaçam quatro controles principais: Programa de Identificação do Cliente (CIP), Due Diligence do Cliente (CDD), Due Diligence Aprimorada (EDD) e monitoramento contínuo. Juntos, eles formam a estrutura operacional que os padrões globais de combate à lavagem de dinheiro (AML) exigem e que os reguladores nacionais aplicam.

Este guia detalha o que cada obrigação realmente exige, como as recomendações do FATF e as estruturas AML da UE as enquadram, e como a tecnologia pode preencher a lacuna de conformidade sem transformar o onboarding em atrito.

Principais pontos

  • A conformidade KYC se concentra em CIP (identificar o cliente), CDD (avaliar seu risco), EDD (escrutínio elevado para contas de alto risco) e monitoramento contínuo.
  • As Recomendações do FATF e o Regulamento Único AML da UE definem a linha de base global; os reguladores locais as aplicam nas regras nacionais.
  • Os requisitos de propriedade beneficiária estendem o KYC a clientes corporativos — os UBOs (Beneficiários Finais) por trás de um negócio devem ser identificados e verificados.
  • As obrigações de manutenção de registros geralmente duram cinco anos a partir do término do relacionamento com o cliente.
  • A Didit é o único provedor formalmente atestado por um governo de um estado membro da UE (Tesoro / BdE / SEPBLAC / CNMV da Espanha) como mais seguro do que a verificação presencial.
  • Fluxo principal completo: $0,33 por verificação, 500 grátis/mês, sem mínimos.

Programa de Identificação do Cliente (CIP)

O CIP é a primeira obrigação. Antes de entrar em um relacionamento financeiro, uma empresa regulada deve coletar e verificar informações suficientes para estabelecer quem é o cliente.

O conjunto mínimo de dados na maioria dos regimes inclui: nome legal completo, data de nascimento, endereço residencial e um número de identificação emitido pelo governo. A verificação significa confirmar que as informações são precisas — e não apenas registrar o que o cliente afirma.

Para clientes individuais, os métodos de verificação incluem:

  • Verificação de documentos — examinar um documento de identidade emitido pelo governo (passaporte, carteira de identidade nacional, carteira de motorista) quanto à autenticidade e extrair os dados via OCR.
  • Verificação biométrica — verificação passiva de vivacidade mais correspondência facial com a fotografia do documento, confirmando que o apresentador é o verdadeiro titular do documento.
  • Validação de banco de dados — comparação da identidade declarada com registros de bureaus de crédito, empresas de telecomunicações ou registros governamentais.

Para a maioria dos produtos financeiros em mercados regulados — bancos, pagamentos, criptomoedas — a verificação de documentos e biométrica é o padrão esperado. A Verificação de ID da Didit ($0,15) + Vivacidade Passiva ($0,10) + Correspondência Facial ($0,05) + Análise de IP ($0,03) oferece uma camada CIP completa por $0,33 por verificação, em menos de 2 segundos, em mais de 220 países e 14.000 tipos de documentos.

Due Diligence do Cliente (CDD)

O CDD se baseia na identidade verificada. Uma vez que você sabe quem é o cliente, o CDD estabelece o risco que ele representa.

Uma avaliação CDD padrão inclui:

  • Triagem de listas de observação — verificação da identidade em listas de sanções (OFAC, ONU, UE), registros de pessoas politicamente expostas (PEP), bancos de dados de mídia adversa e listas de aplicação da lei.
  • Origem dos fundos — compreensão de onde vem o dinheiro do cliente, pelo menos para relacionamentos de maior valor.
  • Propósito do negócio — registro do motivo pelo qual o cliente está usando seu produto e quais transações você espera.
  • Classificação de risco — atribuição de uma classificação de risco (baixo, médio, alto) que determina o nível de escrutínio contínuo aplicado.

A Due Diligence Simplificada (SDD) é permitida para clientes de baixo risco em algumas circunstâncias — procedimentos de identificação reduzidos e monitoramento menos frequente. Clientes de maior risco exigem Due Diligence Aprimorada.

A Triagem AML da Didit ($0,20) verifica uma identidade verificada em mais de 1.300 listas de observação e retorna uma classificação de risco. Compor isso com a Verificação de ID em uma sessão significa que CIP e CDD são executados juntos sem integração adicional.

Due Diligence Aprimorada (EDD)

A EDD se aplica quando o perfil de risco de um cliente é elevado acima do limite padrão. Os cenários que tipicamente desencadeiam a EDD incluem:

  • Pessoas Politicamente Expostas (PEPs) — atuais ou antigos funcionários públicos e seus associados próximos.
  • Jurisdições de alto risco — clientes de ou que transacionam com jurisdições na lista de alto risco ou monitorada do FATF.
  • Estruturas de propriedade complexas — clientes corporativos com cadeias de UBOs incomuns, camadas de empresas de fachada ou propriedade beneficiária opaca.
  • Transações de alto valor ou incomuns — atividade de conta inconsistente com o propósito declarado.

A EDD exige a coleta de informações adicionais além do conjunto de dados CDD padrão — prova da origem dos fundos, aprovação da alta gerência, ciclos de revisão mais frequentes e monitoramento de transações mais rigoroso.

Requisitos de propriedade beneficiária

Para clientes corporativos, o KYC se estende além da entidade legal. As empresas reguladas devem identificar e verificar os UBOs (Beneficiários Finais) — tipicamente definidos como pessoas físicas que possuem ou controlam mais de 25% da entidade, ou que exercem controle efetivo por outros meios.

Isso significa executar KYC individual para cada UBO e documentar a estrutura de propriedade. O produto KYB da Didit lida com a verificação da entidade (consulta de registro, dados de funcionários, extração de propriedade) e gera sessões KYC vinculadas para cada UBO — assim, o mesmo fluxo de trabalho que integra um negócio também verifica as pessoas por trás dele.

Monitoramento contínuo

A conformidade KYC não termina no onboarding. As empresas reguladas devem monitorar sua base de clientes continuamente e revisar os registros quando as circunstâncias mudarem.

O monitoramento contínuo envolve: revisão periódica dos registros de CDD (a frequência escala com a classificação de risco), nova triagem de listas de observação quando as listas são atualizadas, monitoramento de transações para padrões suspeitos e atualização das classificações de risco quando novas informações surgem.

O Monitoramento AML Contínuo da Didit ($0,07 por usuário por ano) fornece vigilância contínua de listas de observação com alertas automáticos quando uma correspondência aparece. O Monitoramento de Transações da Didit abrange padrões comportamentais pós-onboarding em atividades fiduciárias e de criptomoeda.

Manutenção de registros

A maioria das estruturas regulatórias exige que as empresas retenham os registros KYC por cinco anos a partir do término do relacionamento com o cliente — ou a partir da data da transação para verificações únicas. Os registros devem incluir as informações coletadas, os documentos utilizados e o resultado de qualquer triagem AML.

A Didit armazena registros de sessão e dados de decisão em sua conta, acessíveis via Console de Negócios e API, com um registro de auditoria completo.

A estrutura regulatória global

As Recomendações do FATF (Grupo de Ação Financeira) são o padrão internacional. A Recomendação 10 cobre o CDD; a Recomendação 12 cobre PEPs; a Recomendação 15 cobre novas tecnologias; a Recomendação 22 estende as obrigações a empresas e profissões designadas não financeiras.

Os reguladores nacionais traduzem as Recomendações do FATF em lei. Na UE, o Regulamento Único AML — o pacote regulatório AML consolidado do bloco — estabelece padrões vinculativos em todos os estados membros. As empresas reguladas que operam na UE devem seguir os padrões técnicos vinculativos emitidos sob esta estrutura.

A Didit é o único provedor formalmente atestado por um governo de um estado membro da UE (Tesoro / BdE / SEPBLAC / CNMV da Espanha) como mais seguro do que a identificação presencial — o mais alto endosso regulatório independente do mercado.

Casos de uso

EMI e serviços de pagamento — Instituições de Dinheiro Eletrônico na UE devem atender aos requisitos da diretiva AML. CIP + CDD no onboarding e monitoramento contínuo satisfazem a condição principal da licença.

VASPs de Cripto — A regulamentação MiCA (Mercados de Criptoativos) e a orientação do FATF exigem CIP e triagem AML para todos os titulares de contas, com medidas aprimoradas para transações acima do limite.

Crédito ao consumidor — os credores devem verificar a identidade do mutuário e avaliar o risco antes de conceder crédito. CIP + triagem AML em uma sessão cobre a linha de base regulatória.

iGaming — operadores de jogos regulamentados enfrentam verificação de idade (uma obrigação CIP) e obrigações AML. Executar KYC + AML no registro cobre ambos.

Como integrar com a Didit

O construtor de fluxo de trabalho da Didit permite que você componha um fluxo de conformidade completo no Console de Negócios: verificação de documentos + biométrica para CIP, triagem AML para CDD e monitoramento contínuo para o ciclo de vida pós-onboarding. Inicie uma sessão:

curl -X POST https://verification.didit.me/v3/session/\n  -H "x-api-key: $DIDIT_API_KEY"\n  -H "Content-Type: application/json"\n  -d '{\n    "workflow_id": "your_compliance_workflow_id",\n    "vendor_data": "user_33001",\n    "callback": "https://yourapp.com/webhook/kyc"\n  }'

Certificado SOC 2 Tipo 1, ISO/IEC 27001:2022 e iBeta Nível 1 PAD. Mais de 1.500 empresas usam a Didit para conformidade de identidade e fraude.

Perguntas frequentes

Qual é a diferença entre CDD e EDD?

CDD é a avaliação de risco padrão aplicada a todos os clientes. EDD é o escrutínio elevado aplicado a clientes de alto risco — PEPs, conexões com países de alto risco ou estruturas de propriedade complexas — e exige informações adicionais e monitoramento mais rigoroso.

Por quanto tempo os registros KYC devem ser mantidos?

A maioria das estruturas exige cinco anos a partir do término do relacionamento com o cliente. A Didit armazena registros de sessão e decisões em sua conta, acessíveis via API e Console de Negócios.

A Didit cobre a verificação de propriedade beneficiária?

Sim. O produto KYB da Didit lida com a consulta de registro de entidade e gera sessões KYC vinculadas para cada UBO, fechando o ciclo dos requisitos de propriedade beneficiária.

Quanto custa um fluxo de onboarding de conformidade completo?

O CIP via fluxo principal da Didit custa $0,33 (ID + Vivacidade + Correspondência Facial + IP). Adicione Triagem AML por $0,20 e Monitoramento Contínuo por $0,07/usuário/ano. 500 verificações gratuitas por mês, sem mínimos.

A Didit está em conformidade com as regulamentações AML da UE?

A Didit opera sob os padrões regulatórios da UE e é o único provedor formalmente atestado pelo Tesoro / BdE / SEPBLAC / CNMV da Espanha como mais seguro do que a identificação presencial. Revise as certificações na página Confiança e Segurança.

Pronto para começar?

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.

Comece grátisFale conosco
Peça para uma IA resumir esta página
Requisitos de Conformidade KYC em 2026 | Didit.