Conformidade KYC/AML para Fintechs: Melhores Práticas

Principais conclusões:

A conformidade KYC/AML é fundamental para as fintechs num ambiente regulatório cada vez mais exigente, com custos de implementação que atingiram 28 milhões de dólares por empresa em 2022.

Uma abordagem baseada no risco permite às fintechs otimizar recursos e melhorar a eficácia na deteção de atividades suspeitas, adaptando-se aos perfis de risco de produtos, clientes e localizações geográficas.

Os componentes essenciais de um programa KYC/AML robusto incluem a identificação do cliente, a devida diligência, a triagem AML, a monitorização de transações e os relatórios regulatórios, apoiados por tecnologias avançadas.

A implementação eficaz de programas de conformidade KYC/AML não só evita sanções, como também se torna uma vantagem competitiva para as fintechs, fortalecendo a confiança dos clientes e reguladores.

A conformidade KYC/AML para fintechs tornou-se um verdadeiro desafio para as empresas financeiras. De acordo com um relatório da Fintech Alliance, o custo médio global da conformidade KYC/AML para instituições financeiras disparou 19% em 2022, atingindo quase 28 milhões de dólares por empresa.

A indústria evolui todos os dias e a digitalização financeira traz novas oportunidades, mas também novos riscos associados à fraude e ao branqueamento de capitais. A prevenção de fraude e a verificação de identidade são cruciais neste contexto. Por exemplo, em Espanha, onde o setor fintech cresceu 16% em 2023, a necessidade de implementar processos de verificação KYC e prevenção de branqueamento de capitais (AML) é uma realidade. As regulamentações locais estão preparadas para isso.

A Sexta Diretiva Europeia contra o Branqueamento de Capitais (AMLD6), cuja implementação total está prevista para julho de 2027, elevou o padrão da regulamentação, exigindo às fintechs medidas de conformidade muito mais sólidas. A alternativa: enfrentar multas milionárias, revogações de licenças ou outras sanções que poderiam pôr em risco o futuro da sua empresa.

Como podem as fintechs garantir a conformidade KYC/AML sem sacrificar a inovação e a experiência do utilizador? Descubra as chaves neste artigo e aprenda como transformar a conformidade regulatória numa vantagem competitiva para a sua empresa.

O panorama regulatório da conformidade KYC/AML para fintechs

O panorama regulatório da conformidade KYC/AML para fintechs é um terreno complexo e em constante evolução. As empresas fintech devem navegar entre diferentes regulamentações globais e regionais projetadas principalmente para combater o branqueamento de capitais e o financiamento do terrorismo. Entender esta dificuldade é crucial para que as empresas financeiras possam desenvolver estratégias de conformidade eficazes, proteger o sistema financeiro e evitar sanções.

A nível global, as normas do Grupo de Ação Financeira Internacional (GAFI) estabelecem as políticas de KYC e AML. Estas 40 recomendações, que não são legalmente vinculativas, são amplamente aceites como um quadro de referência na luta contra o branqueamento de capitais e o financiamento do terrorismo. Os países membros desta organização, bem como muitas outras nações, baseiam as suas regulamentações nestas recomendações, tomadas como padrões internacionais.

Fechando o círculo sobre o âmbito regional, por exemplo, as Diretivas Anti-Branqueamento de Capitais da União Europeia têm sido fundamentais na criação de um quadro regulatório para as fintechs que operam na Europa. Todas estas regulamentações evoluíram ao longo dos anos, em função das novas ameaças e tecnologias que surgiram.

Regulamentações específicas por região que as fintechs devem cumprir

Como vimos, além das normas globais e regionais, as fintechs devem adaptar-se às regulamentações específicas de cada país em que operam. Estas regulamentações podem variar significativamente de uma jurisdição para outra, adicionando ainda mais complexidade à conformidade regulatória.

Nos Estados Unidos, a Lei do Sigilo Bancário (BSA, na sigla em inglês) de 1970 e a Lei USA PATRIOT de 2021 são pilares fundamentais dentro do quadro regulatório. Estas leis exigem que as instituições financeiras, incluindo as fintechs, implementem programas robustos de verificação KYC, monitorizem transações suspeitas e reportem atividades potencialmente ilícitas às autoridades competentes através de Relatórios de Atividades Suspeitas (SAR). Para cumprir estas regulamentações, as fintechs devem adotar uma abordagem baseada no risco, realizando avaliações de risco periódicas e aplicando medidas de devida diligência proporcionais ao nível de risco identificado.

Por sua vez, a União Europeia endureceu as sanções e ampliou a responsabilidade penal dos crimes de branqueamento de capitais com a Sexta Diretiva contra o Branqueamento de Capitais (AMLD6). Esta diretiva, que entrou em vigor em dezembro de 2020 (embora não esteja completamente implementada até 2027), obriga as fintechs a implementar medidas mais rigorosas de devida diligência do cliente, incluindo a verificação de identidade dos beneficiários efetivos e a monitorização contínua das relações comerciais. Além disso, a AMLD6 introduz requisitos mais rigorosos para a prevenção de fraude, como a obrigação de reportar transações suspeitas dentro de 24 horas.

No Reino Unido, por outro lado, os Regulamentos de Branqueamento de Capitais de 2017 (MLRs) transpõem a Quarta Diretiva Anti-Branqueamento de Capitais da União Europeia para o direito britânico. Estes regulamentos estabelecem requisitos detalhados para a verificação de clientes, avaliação de riscos e manutenção de registos, obrigações aplicáveis tanto a instituições financeiras tradicionais como a fintechs. Neste sentido, será necessário observar atentamente a evolução deste quadro regulatório após o Brexit.

Sanções por incumprimento regulatório

Não cumprir com as regulamentações KYC/AML pode ter consequências completamente devastadoras para as fintechs. Falamos de multas milionárias, mas também de outros danos difíceis de quantificar, como reputação, ações penais contra executivos ou a revogação de licenças.

De facto, nos últimos anos, testemunhámos alguns acontecimentos que devem servir como um alerta para todo o setor financeiro. Em 2022, por exemplo, uma exchange de criptomoedas foi multada em 50 milhões de dólares pela Comissão de Valores Mobiliários dos Estados Unidos (SEC) por deficiências nos seus programas de KYC e AML.

Este caso não é único, mas reflete (com a multa milionária) a importância de as fintechs terem um programa de conformidade KYC/AML robusto, adaptável e atualizado.

Abordagem baseada no risco: uma solução para a conformidade KYC/AML em fintechs

A abordagem baseada no risco tornou-se um pilar fundamental para que muitas fintechs assegurem a conformidade KYC/AML. Este método permite às empresas alocar recursos de forma mais eficiente, concentrando-se nas áreas de maior risco e adotando os seus controlos em consequência. Para muitas fintechs, especialmente aquelas startups que operam com recursos limitados, aplicar esta abordagem é crucial para manter a conformidade efetiva sem comprometer a inovação nem o crescimento.

Esta abordagem baseada no risco permite às fintechs otimizar recursos para concentrar os seus esforços noutras áreas de maior crescimento, melhora a eficácia ao adotar controlos para detetar atividades suspeitas e facilita a escalabilidade, uma vez que podem ser ajustados de forma proporcional.

Avaliação de riscos AML de acordo com produtos ou serviços oferecidos por fintechs

Nem todos os produtos ou serviços financeiros acarretam o mesmo nível de risco de branqueamento de capitais. Alguns dos produtos de maior risco são:

• Transferências internacionais: Alto risco devido à possibilidade de mover fundos entre diferentes jurisdições. As fintechs devem implementar controlos robustos de KYC e monitorização de transações para mitigar os riscos associados às transferências internacionais, especialmente quando envolvem países de alto risco (veremos o que são mais abaixo).
• Criptomoedas: Com a sua natureza descentralizada e a falta de uma regulamentação uniforme, tornam-se ferramentas vulneráveis ao branqueamento de capitais. As fintechs que oferecem serviços relacionados com criptomoedas devem aplicar medidas de devida diligência reforçadas, incluindo a verificação da identidade dos clientes e a monitorização de transações em busca de padrões suspeitos.
• Empréstimos P2P: Podem ser usados para estruturar transações e ocultar a origem real dos fundos. As fintechs que facilitam empréstimos P2P devem implementar controlos para verificar a identidade dos mutuários e mutuantes, bem como monitorizar as transações em busca de atividades suspeitas, como o fracionamento de empréstimos para evadir os limiares de reporte.

Além destes produtos de alto risco, as fintechs também devem avaliar cuidadosamente os riscos associados a outros serviços, como contas de dinheiro móvel, cartões pré-pagos e serviços de pagamento online. Cada produto deve ser avaliado minuciosamente em função da sua vulnerabilidade em relação ao branqueamento de capitais e devem ser implementados controlos proporcionais ao nível de risco identificado.

Diferentes perfis de clientes e o seu impacto na avaliação de riscos

O perfil do cliente é outro dos fatores que devem ser tidos em conta ao desenvolver uma estratégia baseada no risco nas fintechs. Alguns dos perfis mais destacados são:

• Pessoas Politicamente Expostas (PEPs): Requerem uma devida diligência reforçada devido ao maior risco de corrupção. Pode ler mais sobre as PEPs no nosso blog. As fintechs devem implementar processos para identificar as PEPs, incluindo o uso de listas de verificação e ferramentas de deteção automatizadas. Uma vez identificadas, devem ser aplicadas medidas de devida diligência reforçadas, como a verificação da fonte dos fundos e a monitorização contínua das transações.
• Clientes de alto património: Podem apresentar riscos adicionais devido à complexidade das suas transações e à sua posição financeira. As fintechs devem aplicar medidas de devida diligência reforçadas para os clientes de alto património, incluindo a verificação da fonte da riqueza e a monitorização de transações em busca de atividades incomuns ou suspeitas.
• Empresas com estruturas de propriedade complexas: Dificultam a identificação do beneficiário efetivo, aumentando o risco de branqueamento de capitais. É uma das questões que a Travel Rule tenta abordar. As fintechs devem implementar processos para identificar os beneficiários efetivos das empresas com estruturas de propriedade complexas, incluindo a obtenção de documentação de suporte e a verificação da informação fornecida.

Além destes perfis de alto risco, as fintechs também devem considerar outros fatores importantes, como a ocupação do cliente, o propósito da relação comercial e o comportamento transacional esperado. Ao desenvolver perfis de risco de clientes completos, as fintechs podem aplicar medidas de devida diligência proporcionais e detetar atividades suspeitas de forma mais eficaz.

A localização geográfica dos clientes e a sua relevância na avaliação de riscos

O local onde os nossos clientes se encontram e as transações que realizam (das quais são emissores ou beneficiários) também são um fator crucial na avaliação de riscos AML para as fintechs.

Que aspetos devem ser considerados? De acordo com o GAFI, existem países de alto risco devido às suas deficiências nos seus sistemas de prevenção do branqueamento de capitais. Também se coloca o foco naqueles centros financeiros offshore, que podem apresentar muito risco devido à opacidade dos reguladores e ao facto de terem regulamentações mais "laxas". Também é importante vigiar aquelas zonas em conflito ou instabilidade política, uma vez que costumam ser focos de maior risco para o branqueamento de capitais.

As fintechs devem implementar processos para identificar e gerir os riscos associados às localizações geográficas dos seus clientes e transações. Isto pode incluir:

• Manter listas atualizadas de países de alto risco e aplicar medidas de devida diligência reforçadas para os clientes e transações relacionados com estas jurisdições.
• Monitorizar as transações transfronteiriças em busca de padrões suspeitos, como transferências frequentes para países de alto risco ou transações que não se ajustam ao perfil do cliente.
• Obter informação adicional sobre o propósito das transações e a fonte dos fundos para as transações que envolvem jurisdições de alto risco.
• Formar o pessoal sobre os riscos específicos associados a diferentes localizações geográficas e como identificar e reportar atividades suspeitas.

Ao incorporar a localização geográfica nas suas avaliações de risco, as fintechs podem ajustar os seus controlos KYC/AML para abordar os riscos específicos associados a diferentes jurisdições e garantir o cumprimento das regulamentações locais e internacionais.

Desenvolvendo uma metodologia de avaliação de riscos

Para implementar uma abordagem baseada no risco eficaz, as fintechs devem desenvolver uma metodologia sólida de avaliação de riscos. Esta metodologia deve incluir os seguintes passos-chave:

1. Identificação de riscos: O primeiro passo é mapear todos os possíveis riscos de branqueamento de capitais associados aos produtos, serviços, clientes e localizações geográficas da fintech. Isto envolve realizar uma análise exaustiva das potenciais vulnerabilidades e considerar como poderiam ser exploradas por criminosos.
2. Avaliação de riscos: Uma vez identificados os riscos, a fintech deve avaliar a sua probabilidade e potencial impacto. Isto envolve atribuir níveis de risco (por exemplo, baixo, médio, alto) a cada fator identificado, com base em critérios pré-definidos e consistentes.
3. Mitigação de riscos: Com base na avaliação de riscos, a fintech deve desenvolver e implementar controlos proporcionais ao nível de risco identificado. Isto pode incluir medidas como a devida diligência reforçada para clientes de alto risco, a monitorização mais frequente de transações para produtos de alto risco e a formação especializada para o pessoal que lida com situações de alto risco.
4. Monitorização e revisão: A avaliação de riscos não é um exercício único, mas um processo contínuo. As fintechs devem estabelecer processos para rever e atualizar periodicamente a sua avaliação de riscos, tendo em conta as mudanças no seu negócio, no panorama regulatório e nas tendências de branqueamento de capitais.

Os componentes essenciais para implementar um programa KYC/AML sólido para fintechs

As características únicas das fintechs e o seu risco em relação ao branqueamento de capitais tornam os programas de conformidade KYC/AML essenciais. Estes ajudam a proteger o negócio, a cumprir as regulamentações e a evitar multas.

Embora alguns detalhes possam variar dependendo da jurisdição e do modelo de negócio específico da fintech, existem alguns componentes-chave que todas as fintechs devem incluir nos seus programas de conformidade regulatória.

Programas de Identificação de Clientes (CIP)

Em qualquer programa KYC/AML, a identificação e verificação segura dos clientes é o primeiro passo. É o ponto prévio ao início de qualquer relação comercial. O que devem incluir os Programas de Identificação de Clientes (CIP)?

Por um lado, as empresas devem ter métodos fiáveis de verificação de identidade. Não é suficiente que um utilizador nos diga que se chama João Silva; deve ter algum documento de identificação (principalmente) emitido pelo governo do seu país ou região que permita assegurar e verificar a identidade das pessoas.

Aqui, a tecnologia desempenha um papel fundamental. A automatização dos processos KYC ajuda as fintechs a tornar este processo muito mais seguro. Desenvolvimentos como a verificação de documentos, para validar a originalidade e extrair dados, ou o reconhecimento facial, com biometria e testes de vida para autenticar o utilizador, permitem realizar a verificação KYC remotamente e em poucos segundos, proporcionando uma experiência de utilizador inigualável e assegurando o cumprimento regulatório.

Na Didit, oferecemos um serviço KYC gratuito, ilimitado e para sempre. Porquê? Porque em tempos de fraude, como deepfakes e inteligência artificial generativa, verificar que quem está do outro lado do ecrã é realmente um ser humano não deve ser um luxo, mas um direito fundamental.

Devida Diligência do Cliente (CDD)

Depois de verificar a identidade dos novos clientes, as fintechs devem realizar uma devida diligência para compreender que riscos estão associados a cada perfil de cliente. Desta forma, os clientes que apresentam um maior risco de branqueamento de capitais, como as Pessoas Politicamente Expostas, serão submetidos a uma devida diligência reforçada (EDD).

A CDD envolve a recolha e análise de informações sobre a atividade económica do cliente, a origem dos seus fundos e o objetivo da relação comercial. Para clientes de alto risco, a EDD pode incluir uma verificação mais exaustiva da fonte de riqueza e uma monitorização mais frequente das transações.

Deteção de Sanções e PEPs (Triagem AML)

As tarefas de Triagem AML são fundamentais em qualquer programa de conformidade das fintechs. Estes processos permitirão detetar que clientes e transações podem estar sujeitos a sanções ou apresentar um maior risco de corrupção.

A Triagem AML, entre outras tarefas, é responsável por identificar Pessoas Politicamente Expostas através da comparação de diferentes listas e bases de dados; enquanto a deteção contra as listas de sanções procura verificar os clientes e as suas transações contra várias listas emitidas por organismos nacionais e internacionais para garantir o cumprimento das obrigações legais.

Monitorização de Transações

A monitorização eficaz das transações ajuda as fintechs a detetar e reportar atividades suspeitas. Desta forma, as fintechs podem identificar padrões de atividades suspeitas que podem potencialmente levar a diferentes formas de branqueamento de capitais.

As fintechs devem implementar sistemas de monitorização automatizados que utilizem regras baseadas em cenários e análise comportamental para detetar transações incomuns. Estes sistemas devem ser capazes de se adaptar aos perfis de risco dos clientes e às tendências emergentes no branqueamento de capitais.

Relatórios Regulatórios

Quando uma atividade suspeita é detetada, as fintechs devem reportá-la às autoridades competentes de forma atempada e completa. Cada país ou território tem a sua própria autoridade competente. Em Espanha, por exemplo, é o SEPBLAC (Serviço Executivo da Comissão de Prevenção do Branqueamento de Capitais e Infrações Monetárias); enquanto nos Estados Unidos é a FinCEN (Financial Crimes Enforcement Network); no Reino Unido, a National Crime Agency (NCA); na Alemanha, a Financial Intelligence Unit (FIU) ou em França, a Tracfin (Traitement du renseignement et action contre les circuits financiers clandestins).

As fintechs devem estar familiarizadas com os requisitos de reporte em todas as jurisdições em que operam e ter processos estabelecidos para apresentar Relatórios de Atividades Suspeitas (SAR) ou os seus equivalentes de forma atempada e precisa.

Formação Contínua e Cultura de Conformidade

Um componente crucial que é frequentemente negligenciado é a formação contínua do pessoal e a promoção de uma cultura de conformidade em toda a organização. As fintechs devem assegurar que todos os funcionários, desde o nível executivo até ao pessoal da linha da frente, compreendem a importância da conformidade KYC/AML e estão cientes das últimas regulamentações e melhores práticas.

A implementação eficaz destes componentes não só ajudará as fintechs a cumprir as regulamentações, como também lhes proporcionará uma vantagem competitiva ao construir confiança com os clientes e os reguladores.

Conclusão: A conformidade KYC/AML é um pilar fundamental para as fintechs

O panorama da conformidade KYC/AML para fintechs é um terreno complexo e em constante evolução, mas a sua importância não pode ser subestimada. Explorámos os componentes essenciais de um programa de conformidade sólido, desde a identificação do cliente até à monitorização de transações e relatórios regulatórios. Também analisámos como uma abordagem baseada no risco permite às fintechs otimizar os seus recursos e adaptar-se a um ambiente regulatório em mudança.

A implementação proativa de um programa de conformidade KYC/AML sólido não é apenas uma obrigação legal, mas também uma vantagem competitiva. Protege a empresa de sanções dispendiosas, fortalece a confiança dos clientes e reguladores, e permite às fintechs inovar com segurança. Num setor onde a confiança é fundamental, uma conformidade robusta torna-se um diferenciador chave. As fintechs que adotarem esta abordagem não só estarão melhor posicionadas para navegar os desafios regulatórios, como também estarão a construir uma base sólida para um crescimento sustentável e responsável no mundo em mudança das finanças digitais.

Dê o primeiro passo com a nossa solução de verificação KYC gratuita. Clique no banner abaixo e os nossos colegas responderão a qualquer dúvida que tenha. Salte para um novo paradigma onde verificar a identidade dos seus utilizadores não tem custos!