O que é o Sherlocker?

Plataforma de investigação digital que cruza +50 fontes de dados para revelar conexões ocultas entre pessoas e empresas — em segundos, não em dias.

Para quem é o Sherlocker?

Advogados de execução, analistas de compliance, profissionais de crédito e investigadores corporativos que precisam encontrar o que tentam esconder.

Como é diferente de outras ferramentas?

Nosso diferencial é o grafo de conexões visual. Enquanto outras ferramentas mostram telas de dados, o Sherlocker mapeia automaticamente vínculos que você não encontraria.

As informações são atualizadas?

Sim. Integramos diretamente com fontes oficiais e atualizamos os dados continuamente. Você vê o que existe, não o que existia.

O que são "consultas avançadas"?

São buscas que enriquecem seu mapa com dados adicionais: processos judiciais, veículos, histórico societário e mais. As investigações básicas são ilimitadas.

Sim, oferecemos API REST para integração com seus sistemas internos. Disponível nos planos corporativos. Fale com nosso time para saber mais.

Posso testar antes de assinar?

Você tem 5 dias grátis para testar. Cancele quando quiser, sem burocracia.

KYC é obrigatório para todas as empresas?

Obrigatório por lei para instituições financeiras, seguradoras, operadoras de cartão e demais pessoas obrigadas pelo COAF (Resolução 40/2021). Para empresas fora do setor regulado, não há obrigatoriedade legal direta, mas a adoção é recomendada como prática de governança — especialmente se a empresa lida com contratos de alto valor, parcerias estratégicas ou opera em setores com risco de fraude.

Qual a diferença entre KYC e due diligence?

KYC foca na verificação de identidade e perfil de risco do cliente no momento do onboarding e durante o relacionamento. Due diligence é um processo mais amplo de investigação que pode abranger transações, terceiros, fornecedores e até aquisições de empresas. Na prática, o KYC é um componente da due diligence — mas due diligence vai além do cliente individual.

Quais documentos são necessários no processo de KYC?

Para pessoa física: documento de identidade com foto (RG ou CNH), CPF, comprovante de residência e comprovante de renda. Para pessoa jurídica: contrato social, CNPJ, documentos dos sócios e beneficiários finais, e comprovante de endereço da empresa. A Circular BACEN 3.978/2020 exige ainda a identificação de beneficiários finais com participação acima de 25%.

O que acontece se a empresa não fizer KYC?

Para empresas reguladas, as consequências incluem multas administrativas do BACEN e da CVM, sanções do COAF, e em casos graves, responsabilização criminal dos gestores. Além das penalidades legais, a ausência de KYC expõe a empresa a fraudes de identidade, lavagem de dinheiro e dano reputacional que pode custar muito mais que qualquer multa.

Como a LGPD afeta o processo de KYC?

A LGPD (Lei 13.709/2018) exige que a coleta de dados no KYC siga os princípios de finalidade, necessidade e proporcionalidade. A base legal mais usada é o cumprimento de obrigação regulatória (Art. 7, II) e a prevenção à fraude (Art. 11, II, d para dados sensíveis). Na prática, significa coletar apenas o necessário, informar o titular sobre o uso dos dados e manter registros do tratamento.

KYC com IA substitui a análise humana?

Não substitui — acelera. A IA automatiza coleta, cruzamento de dados e detecção de padrões suspeitos em segundos. Mas a decisão final sobre clientes de alto risco, casos ambíguos e exceções regulatórias ainda exige julgamento humano. O modelo mais eficaz combina automação para volume com análise humana para complexidade.

KYC (Know Your Customer): Guia Prático | Sherlocker

Em 2025, o Brasil registrou mais de 6,4 milhões de tentativas de fraude no primeiro semestre. Fraudes com documentos ultrapassaram 51 mil análises suspeitas, e ataques com deepfakes cresceram 126% no país. Cada um desses números representa alguém que passou por um processo de onboarding — e não deveria ter passado.

KYC (Know Your Customer) é o processo que deveria ter impedido isso. Mas na maioria das empresas, KYC virou sinônimo de "coletar documento e seguir em frente". Formulário preenchido, CPF validado, próximo. E aí, quando o cliente se revela um laranja, um fraudador ou uma pessoa politicamente exposta que ninguém verificou, a empresa descobre que checklist não é defesa.

Aqui você vai ver como funciona o KYC de verdade — o que a lei exige, quais são as etapas, onde a maioria das empresas falha e como transformar verificação de clientes em inteligência que detecta fraudes antes que causem dano.

O que é KYC (Know Your Customer)

KYC — sigla para Know Your Customer, ou "Conheça Seu Cliente" — é o conjunto de procedimentos que uma empresa adota para verificar a identidade, avaliar o perfil de risco e monitorar o comportamento de seus clientes. O objetivo é garantir que a empresa sabe com quem está fazendo negócio.

Na prática, isso significa três coisas:

Confirmar que o cliente é quem diz ser — verificação de identidade com documentos e dados biométricos
Avaliar o nível de risco que ele representa — análise de antecedentes, origem de recursos, conexões societárias
Acompanhar mudanças ao longo do tempo — monitoramento contínuo de transações e atualização cadastral

O conceito surgiu no setor financeiro como resposta à lavagem de dinheiro e ao financiamento ao terrorismo. Mas hoje vai muito além dos bancos: fintechs, seguradoras, marketplaces e qualquer organização que assuma risco de contraparte precisam de KYC funcional.

A diferença entre um KYC que protege e um que só gera burocracia? Profundidade. Validar CPF em base pública é o mínimo — e o mínimo não pega fraude de identidade sintética, sócios laranja ou estruturas societárias montadas para esconder o beneficiário final.

Para que serve o KYC na prática

O argumento mais comum a favor do KYC é "cumprir a regulação". Verdade. Mas é o argumento mais fraco — e o que mais ouvimos de empresas que depois levam multa. KYC serve para três coisas que impactam diretamente o caixa:

Prevenção de fraude no onboarding. O momento mais vulnerável de qualquer empresa é quando aceita um novo cliente. É ali que fraudadores apresentam documentos falsos, identidades sintéticas e empresas de fachada. Um KYC bem feito funciona como filtro — quanto mais camadas de verificação, menor a chance de aprovar quem não deveria.

Proteção contra lavagem de dinheiro. O Brasil é o quinto país com mais comunicações de operações suspeitas enviadas ao COAF. Empresas que não identificam corretamente seus clientes se tornam canal para lavagem — e quando a investigação chega, "não sabíamos" não é defesa legal. A Lei 9.613/1998 é clara: instituições que falham em seus controles internos respondem administrativa e criminalmente.

Redução de risco reputacional. Quando um escândalo de corrupção ou fraude aparece na imprensa e o nome da sua empresa está no meio — como fornecedora, parceira ou prestadora de serviço — o dano vai além da multa. Perda de contratos, queda de rating, saída de investidores. Um processo de KYC documentado e auditável é a evidência de que a empresa agiu com diligência.

As 4 etapas do processo KYC

O processo de KYC segue quatro etapas. Cada uma tem uma função específica — e pular qualquer uma delas cria uma brecha que fraudadores conhecem e usam.

1. Identificação do cliente (CIP)

O Customer Identification Program é o primeiro contato. Aqui, a empresa coleta os dados básicos: nome completo, CPF/CNPJ, data de nascimento, endereço, documento com foto. Para pessoas jurídicas, inclui contrato social, quadro societário e identificação dos beneficiários finais.

O erro mais comum nesta etapa: aceitar cópia de documento sem verificação cruzada. Um CPF válido não significa que pertence a quem está apresentando.

2. Verificação de identidade

Com os dados coletados, a empresa precisa confirmar que são legítimos. Isso envolve:

Consulta a bases públicas (Receita Federal, Juntas Comerciais, tribunais)
Verificação biométrica (quando aplicável)
Cruzamento com listas restritivas (sanções, PEPs, COAF, OFAC)
Validação de endereço e telefone

A Circular BACEN 3.978/2020 determina que instituições financeiras devem verificar a identidade do cliente em até 30 dias após a abertura da conta. Mas esperar 30 dias para verificar quem acabou de receber acesso ao sistema é, na prática, abrir a porta e conferir o crachá depois.

3. Análise de risco (CDD)

Customer Due Diligence é onde o KYC deixa de ser coleta de dados e vira análise. A empresa classifica cada cliente em níveis de risco — baixo, médio, alto — com base em critérios como:

Perfil do cliente: PEP, histórico de processos, setores de alto risco
Origem geográfica: países com deficiência em controles AML (lista GAFI/FATF)
Tipo de transação: valores atípicos, operações sem fundamento econômico
Estrutura societária: múltiplas camadas, offshores, beneficiários ocultos

Para clientes de alto risco, entra a Enhanced Due Diligence (EDD) — uma investigação mais profunda que pode incluir análise de patrimônio, verificação de fontes de riqueza e mapeamento de grupo econômico.

4. Monitoramento contínuo

KYC não termina na aprovação do cadastro. Pessoas mudam de perfil de risco: um cliente comum pode se tornar PEP; uma empresa pode mudar de quadro societário; um padrão de transações pode indicar sinais de lavagem de dinheiro.

O monitoramento contínuo inclui:

Atualização cadastral periódica (a Circular 3.978 exige revisão conforme a classificação de risco)
Alertas automáticos para transações atípicas
Rechecagem contra listas de sanções atualizadas
Reavaliação de risco quando há mudanças no perfil do cliente

Empresas que tratam KYC como evento único — "verificamos no onboarding e pronto" — são exatamente as que aparecem nas páginas de sanções do BACEN. E aparecer ali custa caro.

KYC vs. AML vs. due diligence: qual a diferença

Esses três termos aparecem juntos o tempo todo — e muitos profissionais os tratam como sinônimos. Não são. Cada um tem escopo diferente, e confundir gera falhas nos controles internos.

	KYC	AML	Due diligence
Foco	Identidade e perfil do cliente	Prevenção à lavagem de dinheiro	Investigação ampla de riscos
Quando	Onboarding + monitoramento	Contínuo (transações)	Antes de decisões de negócio
Quem	Todos os clientes	Operações suspeitas	Clientes, fornecedores, alvos de M&A
Escopo	Dados cadastrais, risco do cliente	Fluxos financeiros, origem de recursos	Financeiro, legal, operacional, reputacional
Regulação BR	Circular BACEN 3.978	Lei 9.613/1998	Sem lei específica (boa prática)

A relação entre eles: KYC é um componente do programa de AML. AML é um componente do compliance empresarial. Due diligence pode incluir KYC e AML, mas também cobre áreas que não têm relação com identidade do cliente — como análise financeira, passivos trabalhistas e riscos ambientais.

Na prática, para o analista de compliance: o KYC responde "quem é esse cliente?". O AML responde "o dinheiro dele é limpo?". A due diligence responde "vale a pena fazer negócio com essa pessoa ou empresa?".

A legislação brasileira sobre KYC

O Brasil não tem uma "lei de KYC" única. O que existe é um conjunto de normas que, juntas, definem as obrigações de identificação e verificação de clientes:

Lei 9.613/1998 — A base de tudo. Criminalizou a lavagem de dinheiro, criou o COAF e definiu as "pessoas obrigadas" a manter controles de identificação de clientes. Atualizada pela Lei 12.683/2012, que ampliou o rol de crimes antecedentes.

Circular BACEN 3.978/2020 — A norma mais detalhada sobre KYC no Brasil. Define procedimentos de identificação, qualificação e classificação de risco para instituições financeiras. Exige identificação de beneficiários finais com participação acima de 25% e monitoramento de PEPs por até 5 anos após deixarem o cargo.

Resolução CVM 50/2021 (que substituiu a Instrução 617/2019) — Equivalente da Circular 3.978 para o mercado de capitais. Obriga corretoras, distribuidoras e gestores a manter programas de KYC.

Resolução COAF 40/2021 — Define procedimentos de KYC para setores não regulados por órgãos específicos: imobiliárias, joalherias, comerciantes de artigos de luxo, entre outros.

LGPD (Lei 13.709/2018) — Impacta diretamente a coleta de dados no KYC. A base legal mais usada para tratamento de dados no contexto de compliance é o cumprimento de obrigação regulatória (Art. 7, II). Para dados sensíveis, a prevenção à fraude (Art. 11, II, d) é a base mais aplicável. Em qualquer caso, vale o princípio da minimização: coletar apenas o necessário para a finalidade declarada.

O ponto que a maioria dos guias genéricos ignora: essas normas não existem isoladas. Uma empresa regulada pelo BACEN precisa cumprir a Circular 3.978 E a LGPD E a Lei 9.613 simultaneamente. Conflitos entre elas — como a obrigação de monitorar versus o direito à privacidade — exigem análise caso a caso, não checklist.

Como implementar KYC na sua empresa

Saber o que é KYC e conhecer a legislação é metade do caminho. A outra metade — a que separa empresas protegidas de empresas vulneráveis — é colocar em prática. Veja o passo a passo:

1. Defina sua política de KYC por escrito. Documento formal que estabelece critérios de aceitação de clientes, níveis de risco, procedimentos de verificação e responsabilidades. Sem política escrita, cada analista faz do seu jeito — e inconsistência é o paraíso do fraudador.

2. Classifique seus clientes por risco. Crie uma matriz de risco com critérios claros: tipo de pessoa (PF/PJ), setor de atuação, localização geográfica, volume de operações, presença em listas restritivas. Clientes de baixo risco podem ter verificação simplificada; alto risco exige EDD.

3. Estabeleça procedimentos de coleta e verificação. Defina quais documentos são obrigatórios por nível de risco, quais bases de dados serão consultadas, e qual o prazo para conclusão da verificação. Documente tudo — a auditoria vai perguntar.

4. Consulte listas restritivas e bases públicas. PEPs, sanções internacionais (OFAC, UE), lista do COAF, processos judiciais, protestos, negativações. Fazer isso manualmente para cada cliente é inviável acima de 50 clientes/mês.

5. Implemente monitoramento contínuo. Configure alertas para mudanças cadastrais, transações atípicas e atualização de listas de sanções. Defina frequência de revisão por nível de risco: alto risco a cada 6 meses, médio anualmente, baixo a cada 2 anos.

6. Treine sua equipe. Analistas que executam KYC precisam saber o que procurar — não apenas preencher campos. Treinamento sobre red flags de fraude de identidade, inconsistências documentais e técnicas de engenharia social.

7. Documente e audite. Registre todas as decisões de aprovação e rejeição com justificativa. Mantenha trilha de auditoria. Se o regulador perguntar por que o cliente X foi aprovado, a resposta precisa estar registrada.

A armadilha mais comum (e a gente vê isso toda semana): começar pelo software antes de ter o processo. Nenhuma ferramenta compensa uma política de KYC mal definida. Defina o processo primeiro, depois automatize.

KYC com IA e OSINT: além da verificação documental

Verificação documental é o piso — e o piso não pega quem sabe fraudar. Um CPF válido pode pertencer a uma pessoa falecida. Um contrato social pode listar laranjas. Um endereço pode ser de uma sala comercial vazia alugada por três meses. Já vimos os três acontecerem no mesmo onboarding.

É aqui que tecnologia muda o jogo. IA e OSINT (Open Source Intelligence) permitem ir além do que o cliente apresenta e verificar o que ele não contou.

Cruzamento de dados em múltiplas fontes. Em vez de verificar CPF em uma base e endereço em outra, cruzar dezenas de fontes simultaneamente: Receita Federal, Juntas Comerciais de todos os estados, tribunais, cartórios de protesto, mídias sociais, diários oficiais. Inconsistências entre fontes são red flags que a verificação manual raramente pega.

Mapeamento de conexões societárias. Um background check básico mostra que a empresa existe. Um mapeamento com grafo de conexões revela que os sócios dessa empresa também são sócios de outras três — todas abertas no mesmo mês, no mesmo endereço, com o mesmo contador. Isso é padrão de empresa de fachada.

Detecção de padrões em escala. IA identifica padrões que o olho humano não percebe quando lida com volume: clusters de clientes com dados semelhantes, sequências de CPFs próximos (indicativo de identidade sintética), endereços compartilhados por dezenas de "clientes" diferentes.

Monitoramento contínuo automatizado. Em vez de rechecagem manual periódica, alertas automáticos quando um cliente aparece em nova lista de sanções, quando muda o quadro societário de sua empresa, ou quando uma notícia negativa é publicada.

O Sherlocker foi construído para esse tipo de verificação. A plataforma cruza dados em mais de 200 fontes públicas e privadas, mapeia conexões societárias em grafo visual e detecta inconsistências que indicam fraude — tudo em minutos, não semanas. Para compliance officers que lidam com volume, é a diferença entre verificação real e teatro de compliance.

A tecnologia não substitui o analista. Substitui o trabalho manual repetitivo que impede o analista de fazer o que realmente importa: analisar os casos que merecem atenção.

Perguntas frequentes sobre KYC

O que significa a sigla KYC?

KYC significa Know Your Customer, ou "Conheça Seu Cliente" em português. É o processo de verificação de identidade e avaliação de risco que empresas realizam para saber com quem estão fazendo negócio.

KYC e background check são a mesma coisa?

Não. Background check é uma verificação pontual de antecedentes — consulta a bases de dados e registros públicos em um momento específico. KYC é mais amplo: inclui verificação de identidade, classificação de risco e monitoramento contínuo ao longo de todo o relacionamento com o cliente.

O que é CDD (Customer Due Diligence)?

CDD é a etapa do KYC dedicada à análise de risco do cliente. Envolve classificar o cliente em níveis de risco (baixo, médio, alto) com base em critérios como perfil, localização, tipo de transação e estrutura societária. Para clientes de alto risco, a CDD se desdobra em EDD (Enhanced Due Diligence).

Quais setores são obrigados a fazer KYC no Brasil?

A Lei 9.613/1998 define as "pessoas obrigadas": bancos, seguradoras, corretoras, administradoras de cartão, empresas de factoring, imobiliárias, joalherias, comerciantes de artigos de luxo, entre outros. A lista completa está no Art. 9 da lei. Mesmo empresas fora da lista adotam KYC como boa prática de governança.

Com que frequência o cadastro KYC deve ser atualizado?

Depende do nível de risco do cliente. A Circular BACEN 3.978/2020 não define prazos fixos — exige que a frequência seja proporcional ao risco. Na prática, o padrão de mercado é: alto risco a cada 6 meses, médio risco anualmente, baixo risco a cada 2 anos. Qualquer evento relevante (mudança societária, transação atípica, inclusão em lista de sanções) exige revisão imediata.

Conclusão

KYC não é burocracia que atrasa o onboarding. É a primeira — e muitas vezes única — oportunidade de identificar quem não deveria se tornar cliente. Formulário preenchido e CPF validado em base pública não é KYC. É teatro de conformidade.

O processo que protege de verdade tem quatro camadas: identificação, verificação cruzada, análise de risco e monitoramento contínuo. Cada camada fecha uma brecha que fraudadores, laranjas e estruturas ilícitas usam para entrar.

A legislação brasileira — da Lei 9.613 à Circular BACEN 3.978 — define o mínimo. Empresas que tratam o mínimo como teto são as que aparecem nas manchetes erradas. As que tratam como piso e investem em tecnologia, cruzamento de dados e inteligência investigativa são as que detectam o problema antes que ele vire prejuízo.

A pergunta não é se sua empresa precisa de KYC. É se o KYC que ela tem hoje realmente funciona. Se a resposta for "não sei" — esse é o problema. Teste o Sherlocker grátis por 5 dias e veja o que a verificação real encontra.

KYC (Know Your Customer): O Guia Prático para Verificação de Clientes