O que é o Sherlocker?

Plataforma de investigação digital que cruza +50 fontes de dados para revelar conexões ocultas entre pessoas e empresas — em segundos, não em dias.

Para quem é o Sherlocker?

Advogados de execução, analistas de compliance, profissionais de crédito e investigadores corporativos que precisam encontrar o que tentam esconder.

Como é diferente de outras ferramentas?

Nosso diferencial é o grafo de conexões visual. Enquanto outras ferramentas mostram telas de dados, o Sherlocker mapeia automaticamente vínculos que você não encontraria.

As informações são atualizadas?

Sim. Integramos diretamente com fontes oficiais e atualizamos os dados continuamente. Você vê o que existe, não o que existia.

O que são "consultas avançadas"?

São buscas que enriquecem seu mapa com dados adicionais: processos judiciais, veículos, histórico societário e mais. As investigações básicas são ilimitadas.

Sim, oferecemos API REST para integração com seus sistemas internos. Disponível nos planos corporativos. Fale com nosso time para saber mais.

Posso testar antes de assinar?

Você tem 5 dias grátis para testar. Cancele quando quiser, sem burocracia.

O que é uma API de compliance?

Uma API de compliance é uma integração que permite consultar dados de cadastro, risco, sanções, PEP, processos, mídia negativa e monitoramento dentro de sistemas internos. Ela automatiza coleta e triagem, mas não substitui análise de contexto nem decisão humana em casos sensíveis.

Quais dados uma API de compliance no Brasil deve cobrir?

Depende do risco, mas uma esteira robusta costuma cruzar CPF, CNPJ, Receita Federal, quadro societário, beneficiário final, PEP, listas de sanções, processos judiciais, dados regulatórios da CVM, mídia adversa e vínculos entre pessoas e empresas.

API de compliance substitui analista de compliance?

Não. A API entrega dados estruturados, alertas e evidências iniciais. O analista continua responsável por interpretar materialidade, reduzir falso positivo, documentar decisão, avaliar proporcionalidade e escalar casos de risco alto.

Qual é a diferença entre API de KYC e plataforma de investigação?

A API de KYC integra consultas repetíveis em fluxos de onboarding. A plataforma de investigação ajuda a explorar exceções, vínculos, grafos, evidências e narrativas de risco quando a resposta não cabe em aprovado ou reprovado.

Como avaliar LGPD em APIs de compliance?

Verifique finalidade, base legal, minimização, segurança, retenção, logs de acesso, papel de controlador ou operador e contrato de tratamento. A LGPD permite tratamento para obrigações legais e prevenção à fraude em hipóteses específicas, mas isso não dispensa governança.

Quando usar API e quando investigar manualmente?

Use API para volume, triagem e regras repetíveis. Escale para investigação quando houver PEP, sanções, mídia negativa, estrutura societária complexa, beneficiário final obscuro, falso positivo relevante ou decisão com impacto jurídico/comercial alto.

APIs de Compliance no Brasil: Guia Prático | Sherlocker

APIs de compliance no Brasil viraram atalho para um problema real: ninguém quer consultar CPF, CNPJ, processos judiciais, listas de sanções, PEP, dados da CVM e mídia negativa em dez sistemas diferentes antes de aprovar um cliente, fornecedor ou contraparte. O time quer uma resposta rápida. O regulador quer evidência. O jurídico quer rastreabilidade. O negócio quer não travar.

Só que existe uma armadilha: dado bruto com cara de automação não é decisão de compliance. Uma API pode dizer que encontrou um processo, uma empresa relacionada, uma sanção ou uma pessoa politicamente exposta. Ela não diz sozinha se aquilo é material, se é homônimo, se a relação é atual, se a base legal está correta ou se a decisão final é proporcional.

Este guia separa o que uma API de compliance resolve, o que ela não resolve e como montar uma esteira brasileira para KYC, KYB, AML, due diligence, fornecedores e análise de risco sem transformar endpoint em falso conforto.

O que são APIs de compliance no Brasil

APIs de compliance são integrações que conectam sistemas internos — CRM, onboarding, antifraude, crédito, ERP, jurídico ou plataforma de risco — a fontes de dados usadas para verificar identidade, histórico, exposição política, sanções, vínculos, processos e sinais reputacionais.

No Brasil, isso normalmente envolve quatro camadas:

Cadastro e identidade: CPF, CNPJ, razão social, situação cadastral, quadro societário, endereços e dados básicos.
Risco regulatório: PEP, sanções, restrições administrativas, CVM, COAF quando aplicável, BACEN quando aplicável.
Risco jurídico e reputacional: processos judiciais, diários oficiais, mídia adversa, registros públicos e histórico de litígios.
Relações e contexto: sócios, beneficiário final, grupo econômico, vínculos familiares, empresas inativas, holdings e laranjas.

A API é o cano. O compliance é a lógica que decide o que fazer com a água que passa por ele.

Um endpoint que retorna “match em processo judicial” pode ser útil. Mas sem regra de materialidade, sem deduplicação, sem logs e sem revisão, ele vira ruído. Um fornecedor com 40 ações trabalhistas pequenas não tem o mesmo risco de uma contraparte com ação penal, sanção administrativa e vínculo societário com PEP. A API deve acelerar essa triagem; não fingir que todos os alertas têm o mesmo peso.

Por que o Brasil é difícil para compliance automatizado

O Brasil não é um mercado com uma base única, limpa e padronizada. A informação está fragmentada em órgãos, tribunais, juntas comerciais, diários oficiais, bases cadastrais, listas públicas e fontes privadas. Cada uma tem formato, frequência de atualização, qualidade e restrição de uso diferentes.

Na prática, o analista enfrenta perguntas como:

O CPF pertence à pessoa certa ou é homônimo?
O CNPJ está ativo, inapto, baixado ou ligado a empresas relacionadas?
O sócio atual já foi sócio de outra empresa com histórico relevante?
A pessoa é PEP, familiar ou colaborador próximo de PEP?
A empresa aparece em listas de sanções nacionais ou internacionais?
Há processo judicial material ou só ruído de homônimo?
Existe mídia adversa recente com impacto reputacional?
O beneficiário final está claro ou existe cadeia societária opaca?

Esse é o motivo pelo qual APIs de compliance no Brasil precisam ser avaliadas por cobertura, atualização, normalização e explicabilidade. Velocidade importa. Mas velocidade sem contexto só acelera erro.

Dados que uma API de compliance deve considerar

Não existe checklist universal. O conjunto de dados depende do setor, da regulação, do apetite de risco e da etapa do relacionamento. Mas em operações brasileiras de KYC, KYB, AML, crédito, compras e M&A, alguns blocos aparecem com frequência.

CPF e CNPJ

CPF e CNPJ são os identificadores de partida. Para pessoa física, CPF ajuda a validar identidade e reduzir erro cadastral. Para pessoa jurídica, CNPJ abre o caminho para situação cadastral, razão social, CNAE, endereço, quadro societário e histórico básico.

O erro comum é tratar “CPF válido” como “pessoa validada”. CPF válido só diz que o número segue uma estrutura e existe em determinada base. Não diz se o portador é quem apresentou o documento, se há fraude sintética, se há vínculo com terceiros de risco ou se o comportamento transacional faz sentido.

Receita Federal, quadro societário e beneficiário final

Para empresas, o CNPJ isolado é pouco. A análise precisa chegar ao quadro societário, administradores, empresas relacionadas e, quando possível, beneficiário final. Em grupos com holdings, sócios PJ e estruturas encadeadas, a pergunta real não é “qual é o CNPJ?”, mas “quem controla o risco?”.

É aqui que a automação precisa conversar com análise de vínculos. Um sócio minoritário pode ser irrelevante em um caso e decisivo em outro. Uma empresa baixada pode ser ruído ou evidência de padrão. Sem grafo, a estrutura vira lista; e lista não mostra ocultação.

PEP, sanções e restrições

PEP não é proibição de relacionamento. É gatilho de diligência reforçada. A Circular BACEN nº 3.978/2020 e a Resolução COAF nº 40/2021 colocam identificação, classificação de risco e monitoramento no centro de programas PLD-FT.

Sanções e restrições também exigem leitura cuidadosa. Um match em lista restritiva pode ser bloqueador imediato, mas falso positivo em nome comum é frequente. A API boa entrega identificadores, fonte, data, grau de confiança e evidência. A API ruim entrega “match” e joga o problema no colo do analista.

Processos judiciais e dados regulatórios

Processos judiciais são úteis para due diligence, crédito, fornecedores, M&A e risco reputacional. Mas processo não é condenação. Uma empresa pode ter litígios normais do setor; outra pode ter padrão claro de fraude, inadimplência, dano ambiental ou corrupção.

Dados regulatórios — por exemplo CVM para agentes do mercado de capitais — ajudam a responder se há registro, sanção, inabilitação, investigação ou histórico relevante. O mesmo vale para bases setoriais específicas. O ponto é sempre materialidade: o dado precisa responder uma pergunta de risco, não só aumentar o volume do dossiê.

Mídia negativa e sinais reputacionais

Mídia negativa é uma das camadas mais difíceis de automatizar. A API pode buscar notícias, blogs, diários, redes e fontes abertas. Mas interpretar relevância exige contexto: data, fonte, gravidade, proximidade com a pessoa analisada, status do caso e relação com o negócio.

Um alerta de mídia adversa sobre um homônimo em outro estado não deveria travar onboarding. Uma reportagem recente envolvendo fraude, PEP e fornecedor crítico talvez deva travar tudo até revisão. A diferença está no desenho da triagem.

API de compliance vs plataforma de investigação

API e plataforma investigativa não competem sempre. Elas resolvem problemas diferentes.

Situação	API de compliance	Plataforma investigativa
Onboarding em volume	Excelente para triagem e consultas repetíveis	Útil para exceções e casos de risco alto
KYC/KYB padronizado	Integra regras no fluxo	Ajuda a explicar vínculos e evidências
PEP/sanções	Detecta matches e monitora listas	Ajuda a validar relação, proximidade e contexto
Processos judiciais	Retorna eventos e metadados	Ajuda a qualificar materialidade e padrão
Beneficiário final complexo	Pode retornar sócios conhecidos	Ajuda a mapear cadeia e conexões ocultas
Auditoria	Logs de consulta e resposta	Dossiê narrativo e evidências organizadas

A API é boa quando a pergunta é repetível: “esse CPF aparece em lista X?”, “esse CNPJ tem processo novo?”, “essa contraparte mudou de situação cadastral?”.

A plataforma investigativa é melhor quando a pergunta é contextual: “quem está por trás desse grupo?”, “esse sócio é laranja?”, “essa empresa de fachada está ligada ao fornecedor?”, “o processo encontrado muda a decisão ou é ruído?”.

O Sherlocker se posiciona nessa segunda camada: investigação e análise de dados com consulta por CPF, CNPJ, telefone ou e-mail, grafo de conexões, dossiês com IA e cruzamento de mais de 50 fontes oficiais brasileiras. Isso não deve ser confundido com promessa de API pública. O papel aqui é transformar sinais dispersos em evidência investigável.

Critérios para escolher uma API de compliance no Brasil

Antes de integrar qualquer fornecedor, faça perguntas duras. Se a resposta for vaga, o risco vai aparecer depois — em auditoria, incidente, falso positivo ou decisão contestada.

1. Fonte e cobertura

Quais fontes são consultadas? São oficiais, licenciadas, públicas, privadas ou agregadas? A cobertura inclui CPF, CNPJ, processos, PEP, sanções, CVM, mídia negativa e vínculos? Há diferença entre cobertura prometida e cobertura efetiva?

“Cobrimos tudo” é frase perigosa. Prefira fornecedor que sabe dizer onde cobre bem, onde há limitação e qual dado vem de qual fonte.

2. Atualização e monitoramento

Compliance não é foto; é filme. Um cliente aprovado hoje pode virar PEP amanhã, sofrer sanção, aparecer em mídia adversa ou abrir empresa relacionada. A API precisa explicar frequência de atualização, latência, webhooks ou mecanismos de monitoramento.

Sem monitoramento, o time faz onboarding e esquece. Em AML, KYC e risco de terceiros, isso é buraco operacional.

3. Explicabilidade e evidência

A resposta precisa ser auditável. De onde veio o dado? Quando foi consultado? Qual identificador gerou match? Qual é o grau de confiança? Qual documento ou URL sustenta o alerta?

Se a API devolve score sem explicar sinais, você compra caixa-preta. Caixa-preta pode até vender bem em demo; em comitê de risco, costuma desmoronar.

4. LGPD, segurança e governança

A LGPD exige finalidade, necessidade, transparência, segurança e base legal para tratamento de dados pessoais. Em compliance, há hipóteses de obrigação legal, exercício regular de direitos, proteção do crédito e prevenção à fraude, mas a empresa precisa documentar por que coleta, por quanto tempo guarda e quem acessa.

Para dados sensíveis, a atenção sobe. O Art. 11 da LGPD permite tratamento em hipóteses específicas, incluindo prevenção à fraude e segurança do titular em processos de identificação e autenticação, mas isso não autoriza coleta indiscriminada. A régua é proporcionalidade.

5. Integração operacional

Uma API boa para engenharia pode ser ruim para compliance se não entrega workflow. Verifique documentação, SDKs, ambiente de teste, idempotência, rate limit, SLA, paginação, webhooks, versionamento, logs e suporte.

Também avalie custo total: não só preço por consulta, mas tempo de engenharia, manutenção, revisão humana, falso positivo e retrabalho.

Como desenhar uma esteira prática

Um fluxo maduro não começa com “vamos comprar uma API”. Começa com matriz de decisão.

Etapa 1: definir perguntas de risco

Exemplos:

Cliente pessoa física é quem diz ser?
Fornecedor tem histórico judicial incompatível com o contrato?
Sócio ou beneficiário final é PEP?
CNPJ está ligado a empresas inativas, laranjas ou grupo econômico suspeito?
Há sanção, restrição ou mídia adversa material?
O alerta exige bloqueio, diligência reforçada ou liberação com justificativa?

Cada pergunta vira dado necessário, regra, evidência e responsável.

Etapa 2: automatizar triagem de baixo risco

Use API para consultas repetíveis: validação cadastral, screening básico, listas, atualização de status, monitoramento. O objetivo é tirar o analista do trabalho mecânico.

Mas defina thresholds. Se todo alerta vira tarefa manual, a API só criou fila. Se nenhum alerta vira revisão, a API só criou fachada.

Etapa 3: escalar exceções para investigação

Casos com PEP, sanção, mídia negativa, processo relevante, estrutura societária opaca ou vínculo suspeito devem sair da automação pura. Entram em investigação.

Aqui faz sentido usar grafo, dossiê, análise de vínculos e coleta de evidências. Um alerta isolado raramente conta a história. A rede de relações conta.

Etapa 4: documentar decisão

Compliance sem documentação é opinião. Registre fonte, data, resultado, racional, responsável, decisão e revisão. Se o caso for aprovado apesar de alerta, explique por quê. Se for rejeitado, explique materialidade.

Esse registro protege a empresa quando auditoria, regulador, parceiro ou juiz pergunta: “o que vocês sabiam e quando souberam?”.

Etapa 5: monitorar mudanças

A aprovação inicial não encerra o risco. Configure monitoramento proporcional: alto risco com revisão mais frequente; baixo risco com revisão periódica; gatilhos automáticos para PEP, sanção, processo novo ou mudança societária relevante.

Erros comuns ao usar APIs de compliance

Confundir ausência de match com ausência de risco

Se uma API não encontrou sanção, isso só prova que naquela base, naquele momento, com aqueles identificadores, não houve match. Não prova que a contraparte é segura.

Tratar processo judicial como culpa

Processo é sinal, não sentença. O risco depende de tipo, valor, polo, fase, recorrência e relação com o negócio.

Ignorar homônimos

Nome comum derruba screening mal desenhado. CPF, CNPJ, data de nascimento, filiação, endereço e contexto reduzem falso positivo.

Automatizar decisão sem revisão

Bloqueio automático pode ser necessário em sanção confirmada. Mas a maioria dos casos exige classificação. Especialmente quando envolve mídia negativa, PEP indireta ou vínculo societário antigo.

Coletar dado demais

Mais dado nem sempre reduz risco. Pode aumentar exposição LGPD, custo e ruído. Colete o necessário para a finalidade definida.

Onde o Sherlocker entra no fluxo

Quando a busca é “API de compliance”, a intenção pode ser integração. Mas muitas vezes o problema real é investigação: entender quem controla uma empresa, como um sócio se conecta a outro, se há laranja, grupo econômico, PEP, mídia negativa ou patrimônio oculto.

Nesse cenário, o Sherlocker entra como camada investigativa. O site do produto descreve consulta por CPF, CNPJ, telefone ou e-mail, grafo interativo, dossiês com IA e cruzamento de mais de 50 fontes oficiais brasileiras. Para times de compliance, risco, jurídico e due diligence, isso ajuda especialmente em três momentos:

Exceções do onboarding: quando a API encontra alerta e alguém precisa decidir se é ruído ou risco.
Due diligence de terceiros: quando fornecedor, cliente, investidor ou contraparte tem estrutura complexa.
Documentação de evidência: quando a decisão precisa virar dossiê defensável, não print solto.

Se sua equipe precisa investigar uma contraparte brasileira com mais contexto do que uma resposta binária de API, comece pela plataforma Sherlocker. Se o fluxo exige volume e integração técnica, use APIs — mas desenhe a camada de revisão antes de deixar a automação decidir sozinha.

Checklist rápido para avaliação de fornecedor

Antes de assinar ou integrar, valide:

Quais fontes são usadas e qual é a data de atualização?
A API distingue pessoa física, pessoa jurídica, sócio, beneficiário final e empresa relacionada?
O match vem com evidência, URL, identificador, data e confiança?
Há tratamento para homônimos?
Existe monitoramento contínuo ou só consulta pontual?
Há logs auditáveis de consulta e resposta?
A política de retenção e segurança é compatível com LGPD?
O fornecedor deixa claro quando não tem cobertura?
O custo por consulta faz sentido com a taxa esperada de falso positivo?
Há workflow para revisão humana de alertas críticos?

Se a resposta falhar em fonte, explicabilidade ou LGPD, não é maturidade de compliance. É só automação bonita.

Conclusão

APIs de compliance no Brasil são úteis porque o ambiente brasileiro é fragmentado, regulado e cheio de sinais fracos. Elas reduzem trabalho manual, padronizam triagem e permitem monitorar mudanças em escala.

Mas compliance não termina na API. CPF, CNPJ, PEP, sanções, processos, CVM e mídia negativa são entradas. A decisão ainda depende de contexto, materialidade, base legal, documentação e julgamento.

O desenho mais seguro é híbrido: API para volume, plataforma investigativa para exceções, analista para decisão e dossiê para auditoria. É assim que dado vira evidência — e evidência vira decisão defensável.

Quer investigar uma contraparte brasileira com grafo, vínculos e dossiê em vez de planilhas soltas? Acesse o Sherlocker e teste o fluxo com CPF, CNPJ, telefone ou e-mail.

APIs de Compliance no Brasil: CPF, CNPJ, PEP, Sanções e Risco