Em 2024, o COAF recebeu mais de 7 milhões de comunicações de operações suspeitas. Bancos, fintechs, seguradoras e até cartórios reportaram movimentações que não batiam com o perfil do cliente. E ainda assim, a Receita Federal estima que o Brasil lava mais de R$ 200 bilhões por ano — uma fração mínima é detectada. O resto passa. Por falha, por desenho, por compliance de fachada.
AML Compliance existe para fechar essa torneira. Não é papelada para auditor ver. É o sistema que impede sua empresa de virar veículo de lavagem — e evita que os gestores respondam pessoalmente quando o cliente certo aparece com a operação errada.
Este guia cobre o programa AML de verdade: o que a Lei 9.613/1998 exige, quem é obrigado, quais são os pilares do programa, como implementar sem travar o negócio, e onde a tecnologia corta tempo de verdade sem deixar buraco regulatório.
O que é AML Compliance?
AML Compliance (Anti-Money Laundering Compliance) é o conjunto de políticas, procedimentos e controles que uma empresa adota para prevenir, detectar e reportar operações suspeitas de lavagem de dinheiro e financiamento do terrorismo. No Brasil, a base legal é a Lei 9.613/1998, complementada por normas setoriais do COAF, BACEN, CVM e SUSEP.
Na prática, um programa AML combina cinco coisas: conhecer o cliente (KYC), avaliar risco, monitorar transações, treinar pessoas e comunicar o COAF quando algo não bate. Cada peça tem regra própria. Cada regra tem multa anexada.
A sigla vem do inglês — Anti-Money Laundering. No Brasil, o termo regulatório é PLD-FT (Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo). Mesma coisa, nome diferente. Quem chama "AML" geralmente vem de banco internacional ou fintech; quem chama "PLD-FT" geralmente é COAF-nativo. Regulador aceita os dois.
AML, KYC e PLD-FT: as diferenças que importam
Os três termos aparecem juntos o tempo todo. E os três são confundidos o tempo todo. Aqui está a diferença sem hedging:
| Termo | O que é | Onde atua | Exemplo prático |
|---|---|---|---|
| KYC (Know Your Customer) | Verificação de identidade e perfil de risco do cliente | Onboarding + relacionamento | Coletar RG, CPF, comprovante, validar, definir perfil |
| AML (Anti-Money Laundering) | Programa completo de prevenção à lavagem | Toda a empresa | KYC + monitoramento + comunicação + treinamento |
| PLD-FT | Termo regulatório brasileiro equivalente ao AML, com foco adicional em financiamento do terrorismo | Mesmo escopo do AML | Programa PLD-FT exigido pelo BACEN, COAF, CVM |
O KYC é o componente inicial do AML — sem KYC não existe AML. Mas KYC sozinho não é AML. Uma empresa pode ter KYC perfeito e mesmo assim falhar em AML se não monitora transações ao longo do tempo, não faz screening de listas de sanções e não comunica o COAF quando detecta algo estranho.
PLD-FT e AML são basicamente intercambiáveis no Brasil. A diferença é de vocabulário, não de substância.
Como funciona a lavagem de dinheiro: as 3 etapas
Antes de falar em programa, entenda o problema. Lavagem de dinheiro clássica passa por três etapas definidas pelo GAFI/FATF — o padrão internacional que o Brasil segue:
1. Colocação (placement)
O dinheiro ilícito entra no sistema financeiro. É a fase mais arriscada para quem lava — o dinheiro ainda está "sujo" e visível. Táticas comuns:
- Fracionamento (smurfing): múltiplos depósitos abaixo do limite de comunicação (no Brasil, R$ 30 mil em espécie é gatilho automático)
- Compra de bens de alto valor: joias, obras de arte, veículos, imóveis pagos em dinheiro
- Uso de laranjas: conta de terceiros para receber
- DPMS (Depositário de Produtos, Metais ou Sementes): ouro, cacau, outras commodities usadas como canal
Um programa AML decente detecta colocação. Se não detecta aqui, as próximas fases ficam exponencialmente mais difíceis.
2. Ocultação (layering)
O dinheiro circula. Várias transações para distanciar origem do destino. É onde a estrutura societária opaca vira ferramenta: múltiplas empresas, jurisdições, beneficiários finais escondidos. Táticas:
- Transferências internacionais entre contas próprias em jurisdições de sigilo
- Criação de empresas de fachada (frequentemente em grupos econômicos complexos)
- Beneficiário final oculto por trás de holdings, trusts e sócios laranjas
- Operações casadas, compra e venda simultâneas de ativos, swaps fictícios
Essa é a fase onde a análise de vínculos em grafo é decisiva. Dados isolados não revelam nada. Conectados, a estrutura aparece.
3. Integração (integration)
O dinheiro volta ao sistema com aparência legal. Investimento imobiliário, participação societária em empresas lícitas, empréstimos para si mesmo via empresa offshore, aquisição de negócios reais. A essa altura, separar o lícito do ilícito exige trabalho forense — e o programa AML já falhou duas vezes.
Regra prática: quanto mais tarde a detecção, mais cara a resposta. O programa AML eficaz para a operação na colocação ou início da ocultação.
Quem é obrigado a ter programa AML no Brasil?
A Lei 9.613/1998, no artigo 9º, lista as "pessoas obrigadas". Não é lista fechada — cada regulador setorial detalha os próprios. Aqui está o mapa prático:
| Setor | Quem | Norma principal |
|---|---|---|
| Bancos, financeiras, corretoras | Todas as instituições financeiras | Circular BACEN 3.978/2020 |
| Mercado de capitais | Corretoras, distribuidoras, fundos, gestoras | Instrução CVM 617/2019 |
| Seguros e previdência | Seguradoras, resseguradoras, entidades abertas de previdência | Circular SUSEP 612/2020 |
| COAF direto (não-financeiros) | Factorings, consórcios, fomento mercantil, joalherias, imobiliárias, auditorias, bolsas de mercadorias | Resolução COAF 40/2021 |
| Cartórios | Tabeliães, oficiais de registro | Resolução COAF específica + Provimento CNJ |
| Outros | Jogos e loterias, leiloeiros públicos, comércio de bens de alto valor (DPMS) | Lei 9.613 art. 9º + resoluções COAF |
Se sua empresa está em um desses setores, o programa AML não é opção — é obrigação com prazo, formulário e fiscal. Se não está, também não fica de fora: a gestão de riscos de terceiros pode te obrigar a implementar AML básico via exigência de clientes e contrapartes — principalmente se você presta serviço para obrigados.
E tem a hipótese que ninguém gosta de falar: empresa não-obrigada pode ser responsabilizada penalmente se participar, ainda que indiretamente, de cadeia de lavagem. A Lei 12.683/2012 ampliou muito o escopo. Compliance AML deixou de ser coisa só de banco há uma década.
Os 5 pilares de um programa AML Compliance
Programa AML não é documento — é sistema. O BACEN (Circular 3.978), a CVM (617), a SUSEP (612) e o COAF (Res. 40) convergem nos mesmos cinco pilares. Quem entende os pilares navega qualquer norma setorial.
Pilar 1: Governança e responsabilidade
Alguém responde pelo programa. Na Circular BACEN 3.978, é o diretor responsável pela PLD-FT — com nome, CPF e comunicação formal ao BACEN. Em outros setores, é o Compliance Officer ou equivalente. Esse profissional:
- Reporta diretamente à alta administração
- Tem autonomia (acesso a dados, orçamento, autoridade para bloquear operações)
- Responde pessoalmente por falhas graves
Governança também significa comitê AML, políticas aprovadas pelo conselho e revisão periódica (mínimo anual). Sem governança, tudo o resto é teatro.
Pilar 2: Avaliação interna de risco (AIR)
Conhecida como risk assessment, é o documento que mapeia:
- Clientes: quais categorias, quais jurisdições, quais setores, quais volumes
- Produtos: quais oferecem maior vulnerabilidade (conta digital anônima, pagamento instantâneo, crypto, câmbio)
- Canais: digital, presencial, terceiros, correspondentes
- Geografia: operações em países de risco (lista FATF atualizada)
Cada dimensão vira score (baixo, médio, alto). Clientes de alto risco exigem due diligence reforçada (EDD). Produtos de alto risco exigem monitoramento diferenciado. AIR sem score é poesia — precisa virar matriz operacional.
Pilar 3: Políticas, procedimentos e controles internos
Aqui mora o documento que o auditor pede. Mas não é só documento:
- Política PLD-FT — aprovada pelo conselho, publicada, treinada
- Procedimentos de KYC — onboarding padrão + EDD para alto risco
- Fluxo de comunicação COAF — quem detecta, quem decide, quem reporta, prazo
- Procedimento de screening de sanções — frequência, fontes (OFAC, ONU, UE), tratamento de hit
- Procedimento de investigação interna — o que fazer quando um alerta dispara
- Política de beneficiário final — como identificar, o que fazer se não conseguir
A maioria das empresas fracassa aqui por copiar template genérico. Política AML que não reflete o negócio real é papel. Auditor fiscal descobre em 15 minutos.
Pilar 4: Monitoramento e detecção
Duas frentes:
- Monitoramento transacional — regras (limites, padrões, desvios de perfil) + machine learning quando possível
- Screening contínuo de clientes — PEP, sanções, listas restritivas, mídia negativa, varreduras periódicas
Ponto onde a automação faz diferença real. Uma instituição financeira média pode gerar milhares de alertas por dia. Sem tecnologia para priorizar (risk scoring), o time de AML afoga e os alertas importantes se misturam com ruído. Voltamos a isso na seção de tecnologia.
Pilar 5: Treinamento e cultura
Exigência formal — todo colaborador precisa de treinamento AML inicial + reciclagem anual. A Circular BACEN 3.978 pede evidência documental (lista de presença, conteúdo, avaliação). Mas o ponto real é cultura:
- Time comercial não pode ser incentivado por volume sem considerar risco
- Alerta levantado por analista júnior tem que subir sem retaliação
- A alta administração precisa falar sobre AML publicamente, não só assinar política
Treinamento sem cultura vira compliance de adesivo. Uma empresa que pune quem levanta alerta não tem programa AML — tem placa na parede.
Como implementar AML Compliance passo a passo
Implementação realista para empresa obrigada que ainda não tem programa maduro. Prazo típico: 90 a 180 dias para MVP operacional; 12 a 18 meses para maturidade plena.
Fase 1 — Diagnóstico (semanas 1-3)
- Mapear obrigações regulatórias aplicáveis (BACEN? CVM? COAF direto?)
- Inventariar o que já existe (políticas, KYC, sistemas)
- Identificar gaps críticos (comunicação COAF, screening, monitoramento)
- Definir diretor/responsável formal
Fase 2 — Avaliação de Risco (semanas 4-8)
- Construir matriz de risco (clientes × produtos × canais × geografia)
- Definir critérios de classificação (baixo, médio, alto)
- Aprovar critérios no comitê/diretoria
- Documento formal assinado
Fase 3 — Políticas e Procedimentos (semanas 6-12, em paralelo)
- Política PLD-FT aprovada pelo conselho
- Procedimentos operacionais (KYC, EDD, screening, comunicação, investigação interna)
- Fluxos desenhados (não só escritos)
- Integração com áreas (comercial, jurídico, operações, TI)
Fase 4 — Sistemas e dados (semanas 8-20)
- Escolher/contratar ferramenta de screening de sanções/PEP
- Configurar monitoramento transacional (regras baseadas na AIR)
- Integrar identificação de beneficiário final
- Treinar time técnico
Fase 5 — Treinamento e go-live (semanas 14-24)
- Treinamento obrigatório de todos os colaboradores
- Simulação de casos (estudo de tipologias COAF)
- Go-live com monitoramento próximo nos primeiros 60 dias
- Ajustes finos nas regras (taxa de falso positivo)
Fase 6 — Melhoria contínua (perpétua)
- Revisão anual da política e da AIR
- Atualização de regras conforme novas tipologias
- Auditoria interna anual
- Teste efetivo dos controles (não só existência)
Onde a maioria falha: pular a Fase 2 (avaliação de risco) ou copiar de outra empresa. Sem AIR real, o programa é genérico — e programa genérico detecta fraude genérica, não a sua.
Sinais de alerta (red flags) em AML
A Resolução COAF 40/2021 e as tipologias do FATF listam centenas de indicadores. Aqui estão os que mais aparecem em casos reais:
Sinais ligados ao cliente
- Cliente recusa ou dificulta fornecer documentos de identificação ou informações de beneficiário final
- Dados cadastrais inconsistentes (endereço não existe, telefone desligado, profissão incompatível)
- Cliente é PEP ou tem vínculo próximo com PEP e não declara
- Estrutura societária com múltiplas camadas sem justificativa de negócio
- Empresa recém-constituída com capital elevado e sem histórico operacional
Sinais transacionais
- Depósitos fracionados logo abaixo do limite de comunicação (estruturação/smurfing)
- Movimentação incompatível com o perfil declarado (renda de R$ 5 mil, movimenta R$ 500 mil/mês)
- Operações circulares (mesmo dinheiro entra e sai repetidamente)
- Transferências internacionais para jurisdições de risco FATF
- Pagamentos em espécie de alto valor (acima de R$ 30 mil é comunicação automática)
- Uso intensivo de contas de terceiros, beneficiários sem relação clara
Sinais ligados a produtos/serviços
- Compra e resgate rápido sem benefício econômico claro (ex: previdência resgatada em 60 dias)
- Uso de produtos complexos por cliente sem sofisticação aparente
- Seguros com prêmios desproporcionais ao risco coberto
- Investimento em cripto por cliente sem perfil tecnológico declarado
Sinal isolado raramente é smoking gun. Combinações são. Estrutura societária opaca + transferência internacional + cliente PEP não declarado = três vetores que isoladamente passariam. Juntos, viram comunicação ao COAF. O trabalho do sistema AML é ver os três ao mesmo tempo.
Tecnologia e IA em AML Compliance
Aqui mora a diferença entre compliance que detecta e compliance que só preenche planilha. O volume de dados em AML é inumano para análise manual — instituições financeiras geram milhões de transações por dia, listas de sanções atualizam toda semana, PEPs mudam de cargo, estruturas societárias se reorganizam. Sem automação, o time AML não vê a floresta.
Onde a tecnologia efetivamente corta tempo (e onde não corta):
Screening de listas em tempo real. Varredura automática contra OFAC, ONU, UE e listas nacionais no onboarding e periodicamente. Manual é impossível em escala.
Identificação de beneficiário final e estrutura societária. Grafo de conexões que mostra holdings, sócios laranjas, grupo econômico e sócios ocultos. O que levava 1 dia de pesquisa manual vira 2 minutos.
Risk scoring dinâmico. Modelo que atribui score a cada cliente combinando setor, geografia, histórico, mídia negativa, PEP status. Recalcula automaticamente quando algo muda.
Monitoramento transacional com machine learning. Além de regras fixas (limite, padrão), modelos aprendem comportamento normal do cliente e detectam desvios que regra manual não captura.
Mídia negativa e due diligence automatizada. Varredura contínua de notícias, processos judiciais, sanções regulatórias em nome do cliente e sócios.
Onde a IA NÃO substitui humano: decisão final sobre alerta, avaliação de caso ambíguo, comunicação ao COAF, interpretação de contexto regulatório. Modelo aponta; humano decide. Programa AML 100% automático não existe — e quem vende isso está mentindo ou não entendeu a regulação.
O Sherlocker cruza beneficiário final, sanções, PEP, processos e estrutura societária em uma pesquisa. Investigação que o compliance officer fazia em 15 abas vira um dossiê. Não substitui o programa AML — potencializa o time que executa.
Penalidades por falha em AML
A multa é a parte visível. O resto costuma ser pior.
Multas administrativas
- COAF: de R$ 5 mil a R$ 20 milhões por infração, ou até 200% do valor da operação envolvida (Lei 9.613, art. 12)
- BACEN: multa, suspensão de autorização, liquidação extrajudicial (Circular 3.978)
- CVM: inabilitação de administradores, cancelamento de registro, multa
- SUSEP: multa pecuniária, cassação de licença
Responsabilização individual
Gestores e diretores respondem pessoalmente. A Lei 9.613 permite responsabilização criminal por participação (mesmo omissiva) em lavagem — pena de 3 a 10 anos + multa. O diretor de PLD-FT de banco que omite comunicação COAF em caso grave pode ser réu.
Custo reputacional
Multa COAF costuma virar notícia. Em 2022, um banco brasileiro foi multado em mais de R$ 250 milhões por falhas sistêmicas de PLD. O impacto em stock price, relacionamento com correspondentes bancários internacionais e custo de capital superou a multa em múltiplos.
Listas restritivas
Empresa envolvida com lavagem pode ser incluída em listas internacionais (OFAC SDN, por exemplo) — fim de operação em dólar, fim de correspondente internacional, fim do negócio se ele depende do sistema financeiro global.
Custo de programa AML bem feito para uma fintech média: R$ 300 mil a R$ 1 milhão por ano (pessoas + sistemas). Custo da ausência: potencialmente catastrófico. Matemática simples.
Perguntas Frequentes
O que é AML Compliance?
AML Compliance é o programa corporativo que combina KYC, monitoramento transacional, screening de sanções, avaliação de risco, treinamento e comunicação ao COAF para prevenir que a empresa seja usada para lavagem de dinheiro. No Brasil, a base legal é a Lei 9.613/1998 e as normas setoriais do BACEN, CVM, SUSEP e do próprio COAF.
Qual a diferença entre AML e KYC?
KYC é um dos componentes do AML — a verificação de identidade e perfil do cliente. AML é o programa inteiro, que inclui KYC mais monitoramento contínuo, avaliação de risco, comunicação ao regulador e treinamento. KYC responde "quem é o cliente"; AML responde "como impedimos que o cliente lave dinheiro através da gente".
Minha empresa é obrigada a fazer PLD-FT?
Se está listada no artigo 9º da Lei 9.613/1998 ou em norma setorial (BACEN, CVM, SUSEP, COAF), sim — com prazo, fiscalização e multa. Empresas não listadas não têm obrigação direta, mas podem ser exigidas por clientes/contrapartes e podem responder penalmente por participação em cadeia de lavagem, mesmo indireta.
O que a Lei 9.613/1998 exige?
Que empresas obrigadas (1) identifiquem clientes, (2) mantenham registros de operações, (3) comuniquem operações suspeitas ao COAF, (4) implementem política de PLD-FT, (5) treinem colaboradores e (6) designem responsável formal. Falha em qualquer item gera multa e responsabilização. A Lei 12.683/2012 ampliou o escopo — hoje lavagem se aplica a qualquer infração penal antecedente, não só tráfico.
Como comunicar uma operação suspeita ao COAF?
Pelo SISCOAF (Sistema de Controle de Atividades Financeiras), online. Prazo: 24 horas após a decisão interna de reportar. Obrigações acessórias: sigilo absoluto (não avisar o cliente — crime), guardar documentação por 5 anos, manter registro das comunicações. A Resolução COAF 40/2021 detalha tipologias e limites automáticos.
O que são as 3 etapas da lavagem de dinheiro?
Colocação (inserir dinheiro ilícito no sistema), ocultação (distanciar origem do destino via múltiplas transações e estruturas opacas) e integração (reintroduzir os recursos com aparência lícita em investimentos, imóveis ou empresas). Um programa AML robusto tenta barrar a operação já na colocação — é a fase mais vulnerável para quem lava e mais fácil de detectar para quem previne.
AML Compliance não é lista de tarefas — é sistema vivo. Regras mudam (COAF publicou 3 resoluções relevantes nos últimos 18 meses), tipologias evoluem (crypto, pagamento instantâneo, fintechs, agentes autônomos), reguladores endurecem. Programa AML parado morre em 12 meses.
O caminho que funciona: governança clara, avaliação de risco que reflete o negócio real, políticas aprovadas e treinadas, monitoramento com tecnologia que enxerga o que humano não enxerga sozinho, e cultura que premia quem levanta alerta.
Compliance vira burocracia quando falta dado. Quando falta dado, falta ferramenta. Teste o Sherlocker grátis e veja como beneficiário final, sanções, PEP e estrutura societária viram um dossiê em minutos — a munição que seu programa AML precisa para detectar antes da comunicação virar multa.
