Criando um plano de compliance global: Guia passo a passo

Key takeaways
 

Um plano de compliance global protege empresas fintech, bancos e exchanges face ao aumento contínuo de regulamentações financeiras internacionais.

As novas diretivas europeias AMLD6 e MiCA aumentam a necessidade de implementar programas sólidos de KYC e AML baseados em tecnologia automatizada.

Formar uma equipa especializada, com papéis definidos e formação contínua, é essencial para se adaptar às constantes mudanças regulatórias.

Ferramentas de compliance como AML Screening e monitorização contínua permitem identificar riscos em tempo real, evitando coimas milionárias e danos reputacionais.

O cumprimento normativo (ou compliance) tornou-se um fator crítico para as empresas que operam em ambientes cada vez mais globalizados. Com uma pressão regulatória crescente, tanto na Europa como noutros mercados-chave, construir um quadro global de compliance sólido não é uma opção, mas sim uma necessidade.

Para que tenha uma ideia, só em 2023 registaram-se mais de 800 novas regulamentações financeiras. Seria possível que as entidades obrigadas cumprissem todas elas sem um plano global, flexível e suficientemente escalável, que acompanhasse o crescimento do negócio?

O incumprimento não é uma opção. "Se não previne, é um potencial cúmplice do branqueamento de capitais", como afirmou Luis Rodríguez Soler, CEO da ComplianZen, numa entrevista recente para a nossa newsletter. Por outro lado, existem as coimas por não cumprir com as regulamentações de AML (Anti-Money Laundering), que ultrapassaram vários milhares de milhões de euros nos últimos anos. Além disso, a reputação do negócio e a sustentabilidade estão em jogo.

Neste artigo, explicaremos as etapas fundamentais para desenhar, implementar e escalar um plano de compliance capaz de se adaptar a futuras mudanças regulatórias e que acompanhe o crescimento da sua organização. Se é membro de uma equipa de compliance de uma fintech, um banco ou uma exchange centralizada de criptomoedas, isto interessa-lhe!

O panorama regulatório internacional em 2025

O ponto de partida para desenhar um roteiro de compliance global é compreender o contexto das principais leis e regulamentações que impactam o seu setor. É como conhecer as regras do jogo antes de começar a partida.

Entre os principais intervenientes que deve ter em conta:

• O Grupo de Ação Financeira Internacional (Financial Action Task Force, em inglês) é um organismo internacional de controlo do branqueamento de capitais e financiamento do terrorismo. Esta organização, com sede em Paris, estabelece normas internacionais para prevenir estas atividades ilegais e o dano que causam na sociedade. O GAFI/FATF, como também é conhecido, desenvolveu um quadro não vinculativo baseado em 40 recomendações, que servem como ponto de partida para muitos legisladores. Estas recomendações foram atualizadas recentemente.
• A União Europeia impulsionou novas regulamentações, como a AMLD5 ou AMLD6 (que entrará em vigor brevemente), bem como outras regulamentações relacionadas com a proteção de dados (RGPD) ou identidade digital (eIDAS 2). Além disso, outras regulamentações como MiCA (Markets in Crypto Assets) entraram em vigor para regular o mercado das criptomoedas, o que reforça a necessidade de um plano sólido de KYC e AML.
• Nos Estados Unidos, leis como a Bank Secrecy Act (BSA) ou a USA PATRIOT Act exigem às instituições financeiras um elevado grau de diligência dos utilizadores e relatórios de qualquer operação que considerem suspeita. As sanções por incumprimento aumentaram significativamente nos últimos anos.
• Outras regiões: Países como o Reino Unido, após a sua saída da União Europeia, têm a sua própria regulamentação (as conhecidas Money Laundering Regulations), embora mantenham a cooperação internacional com os diversos organismos. Noutras zonas, como por exemplo em Singapura, Hong Kong ou Japão, reforçaram as suas regulamentações em matéria de AML/CFT, procurando alinhar-se com as recomendações do GAFI.

Como criar um plano global de compliance

Após conhecermos as regulamentações em que nos devemos apoiar, é hora de começar a desenvolver o plano de cumprimento normativo. Aqui abordaremos questões relacionadas como a avaliação de riscos, a estruturação da equipa de compliance ou a escolha e implementação das soluções tecnológicas.

Passo 1. Estruturar uma equipa de compliance

Pode acontecer que tenha de formar uma equipa de compliance para a sua empresa a partir do zero, ou que a lidere como head of compliance. Em qualquer caso, deverá formar uma equipa e distribuir responsabilidades de forma clara.

1. Funções e responsabilidades.
   • Chief Compliance Officer (COO). Define as estratégias e supervisiona a execução.
   • Head of AML. Coordena as políticas contra o branqueamento de capitais.
   • KYC Analyst ou AML Analyst. Gerem a verificação de identidade dos utilizadores (KYC), realizando aqueles processos manuais que assim o exijam.
2. Colaboração transversal. A experiência dos nossos entrevistados diz que é importante que o departamento de compliance se alinhe com todos os outros atores da empresa, para alinhar objetivos, metas e necessidades.
3. Formação contínua. As atualizações normativas são constantes. Para isso, é fundamental estabelecer um plano de capacitação para a equipa e para aquelas áreas que, sem serem de compliance, devam cumprir com certas normas. Por exemplo, Mateo Villa, KYC Analyst de uma das exchanges de criptomoedas mais importantes do mundo, afirma que esta atualização contínua faz parte do seu dia a dia. Pode ler a entrevista completa com Mateo Villa aqui.

Passo 2. Avaliação de riscos e âmbito

Os perfis de risco são fundamentais, sobretudo quando existe uma base numerosa de utilizadores. Estes permitem avaliar os potenciais riscos a que a organização está exposta.

1. Identifique as jurisdições-chave. Identifique em que países opera, incluindo clientes, fornecedores e parceiros. Algumas regulamentações podem sobrepor-se e até ser contraditórias. Por isso, é fundamental ter um inventário claro.
2. Determine o seu perfil de risco. É uma fintech que oferece serviços financeiros? Opera com criptomoedas? Opera com setores de alto risco, como casas de apostas ou casinos online? Cada vertical ou setor terá requisitos diferentes, perfil de clientes diferente e, portanto, riscos diferentes (maior exposição a fraudes ou que os nossos clientes apareçam em listas de sanções, por exemplo).
3. Ferramentas e métodos de scoring. Implemente quadros de risco que combinem probabilidade e impacto. Também é recomendável implementar metodologias reconhecidas, como a ISO 3100 de gestão de riscos (artigo em castelhano).

Passo 3. Definir os requisitos legais e normativos

O próximo passo consiste em delimitar os requisitos legais de cada jurisdição e de cada regulamentação em função da secção em que trabalhamos.

1. Revisão da regulamentação local e internacional. É importante conhecer as leis e diretivas locais dos mercados em que vamos operar. Por exemplo, deveríamos conhecer que regulamentações de KYC e AML se aplicam em Espanha se operássemos no país. Relativamente ao setor, é fundamental conhecer as recomendações internacionais do GAFI/FATF e os próprios regulamentos setoriais, como aquelas normas que se aplicam aos pagamentos com cartão (PCI-DSS) ou regulamentações de segurança da informação (ISO 27001).
2. Cumprimento PBC/FT. Aplicar as regulamentações de prevenção do branqueamento de capitais e financiamento do terrorismo é algo prioritário e não negociável. Para isso, é fundamental contar com processos sólidos de KYC (Know Your Customer) que permitam verificar a identidade real dos clientes; e AML Screening, a revisão em listas de vigilância, sanções ou PEPs.
3. Políticas internas. Uma vez conhecidos os requisitos externos, é imprescindível definir as políticas internas que serão aplicadas em toda a organização. Falamos de:
   1. Protocolos de devida diligência
   2. Elaboração de manuais de atuação perante alertas (hits nos controlos de AML Screening, seja no inicial ou durante os controlos contínuos diários).
   3. Incorporar medidas de proteção de dados.

Isso também pode interessar você...

KYC e AML: Diferenças Fundamentais, Compliance e Melhores Práticas

Descubra as diferenças entre KYC e AML, por que são essenciais para a prevenção de fraudes e como integrá-los com sucesso em sua empresa.

Ler o artigo completo

Passo 4. Implementar soluções tecnológicas

Chega o momento de implementar soluções tecnológicas que permitam a automatização das tarefas e escalar os processos de compliance. A automatização de processos como KYC acontece graças à IA e torna-se algo fundamental, especialmente quando há um volume elevado de utilizadores.

Que benefícios oferece a automatização destes processos? Podemos ver, principalmente, duas vantagens: uma redução de custos, tanto humanos como económicos, e uma otimização da experiência do utilizador.

Ferramentas de KYC e AML

• KYC: Certifique-se de que a sua ferramenta cobre aspetos como Verificação de Documentos; Face Match 1:1; biometria e liveness detection para minimizar o risco de usurpação de identidade.
• AML Screening: Verifique em tempo real listas globais (incluindo PEPs e vigilância e sanções internacionais).
• Ongoing AML Monitoring: Permitem-lhe manter as diligências dos seus clientes atualizadas, detetando possíveis alterações nos perfis de risco.

O caso da Didit

Na Didit oferecemos a única solução gratuita e ilimitada de KYC do mercado, ajudando organizações de todos os tamanhos a cumprir com as regulamentações de PBC/FT. Como o fazemos?

• Rapidez: Verificações em tempo real, realizadas em menos de 30 segundos.
• Fiabilidade: Contamos com mais de 10 modelos de IA para combater fraudes como a falsificação de documentos, deepfakes ou máscaras pré-gravadas, entre outros aspetos.
• Escalabilidade sem custos ocultos: KYC reutilizável, personalização de fluxos de onboarding e configuração de limiares de risco segundo a tolerância de cada jurisdição.
• Monitorização AML: Incluímos funções premium como AML Screening ou Ongoing AML Monitoring, para estabelecer as bases de qualquer programa de prevenção de branqueamento de capitais.
• Conformidade internacional: Certificação ISO 27001, conformidade RGPD e compatível com eIDAS 2.

Passo 5. Monitorização e auditoria contínua

Cumprir com as normas não é implementar ferramentas e deixá-las atuar por si. Para garantir a eficácia a longo prazo de qualquer plano de AML/CFT, é necessária uma supervisão permanente dos utilizadores. Para isso, é fundamental a monitorização contínua dos clientes, a monitorização das transações ou as auditorias.

1. Ongoing AML Monitoring. Quase 80% das fraudes nas instituições ocorrem após o onboarding. Partindo desta premissa, é fundamental entender que a verificação e comprovações dos clientes não podem ser feitas uma única vez. Atualmente, organismos como o GAFI recomendam a monitorização contínua para reagir a sinais de alerta que possam surgir durante a relação com o cliente.
2. Monitorização de transações. Os perfis de risco permitem-nos estabelecer as bases de qualquer atividade suspeita. Se ocorrer alguma transação na plataforma que não se enquadre nas características do cliente, devemos atuar.
3. Auditorias. As internas permitem-nos rever procedimentos para detetar possíveis falhas; as externas proporcionam certificações que fortalecem a reputação e credibilidade perante investidores e reguladores.
4. Definir os KPIs. Conhecer a taxa de falsos positivos e negativos, o tempo médio de verificação, o custo por verificação ou a satisfação do utilizador.

Você também pode se interessar...

Três métricas que melhoram ao deixar de pagar por KYC e verificações

Otimize custos, tempos de aprovação e ROI com Didit, o KYC gratuito que revoluciona a verificação de identidade.

Ler artigo completo

Passo 6. Escalabilidade e adaptação à mudança

A escalabilidade é crítica num panorama regulatório que muda constantemente. Tal como dissemos no início, um programa de compliance robusto deve poder crescer com a organização e adaptar-se às novas leis e requisitos, sem ser um obstáculo para a mesma.

Para isso, é recomendável:

• Preparar-se para mudanças regulatórias, estar sempre atento às possíveis atualizações das regulamentações internacionais do GAFI/FATF, Estados Unidos e os principais reguladores internacionais. Por isso, é interessante desenhar procedimentos modulares que se possam ajustar rapidamente quando aparecerem novas diretivas que se apliquem ao seu setor.
• Conhecer os novos mercados, caso planeie uma expansão geográfica da sua solução. Verifique se têm políticas específicas de KYC/AML e certifique-se de que as soluções que tem integradas permitem a verificação de documentos de diferentes países. Por exemplo, na Didit oferecemos uma abordagem global, com documentação de mais de 220 países e territórios.
• A melhoria contínua é fundamental. Recolha feedback dos seus colaboradores e clientes para aperfeiçoar os processos.

Conclusão: Um plano de compliance robusto é uma blindagem da sua organização

Criar um quadro global de compliance não é apenas uma questão de "cumprir a lei". Trata-se de blindar a sua organização contra sanções, proteger a sua reputação e estabelecer relações de confiança a longo prazo com clientes, parceiros e investidores.

Por isso, é fundamental escolher uma tecnologia baseada em machine learning, que permita aplicar soluções de KYC/AML automatizadas de forma rentável e escalável. Também é recomendável contar com uma equipa especializada e parceiros confiáveis e comprometidos.

Contar com fornecedores como a Didit, que oferece o único plano gratuito e ilimitado de KYC, além de AML Screening e Ongoing AML Monitoring, facilita a adoção num mercado internacional sem incorrer em grandes custos internacionais. Mais de 800 empresas já integraram a nossa tecnologia e muitas relatam até 90% de poupança em matéria de compliance relativamente a outras soluções.

Clique no banner abaixo e revolucione o seu plano de compliance global com a melhor ferramenta de KYC do mercado.

Sobre o autor

Víctor Navarro

Especialista em identidade digital e comunicação

Sou Víctor Navarro, com mais de 15 anos de experiência em marketing digital e SEO. Sou apaixonado por tecnologia e como ela pode transformar o setor de identidade digital. Na Didit, uma empresa de inteligência artificial especializada em identidade, educo e explico como a IA pode melhorar processos críticos como KYC e conformidade regulatória. Meu objetivo é humanizar a internet na era da inteligência artificial, oferecendo soluções acessíveis e eficientes para as pessoas.

"Humanizing internet na era da IA"

Para consultas profissionais, contacte-me em victor.navarro@didit.me