Cripto deixa de ser exceção regulatória — o que o enquadramento prudencial exige das prestadoras de ativos virtuais

Auditoria

Cripto deixa de ser exceção regulatória — o que o enquadramento prudencial exige das prestadoras de ativos virtuais

4 de julho de 2026

Categoria

Prestadoras de ativos virtuais entram no perímetro prudencial: capital, gerenciamento de riscos e divulgação a partir de 2027 — e a base é contábil.

Resumo

  • O regulador bancário aprovou, em 1º de julho de 2026, a incorporação das prestadoras de serviços de ativos virtuais aoarcabouço prudencialvigente, classificando-as como instituições de Tipo 3 e alocando-as noSegmento 4 (S4)até 30 de junho de 2028, independentemente do porte — transição gradual e deliberada.

  • A partir de1º de janeiro de 2027, essas instituições deverão observar requisitos prudenciais: estrutura de gerenciamento de riscos, requerimentos de capital compatíveis com as atividades exercidas e políticas de divulgação de informações.

  • A normaveda a prestação de serviços de ativos virtuais por instituições do Segmento 5 (S5)— o regime simplificado destinado a instituições de menor porte —, sinalizando que a atividade é considerada incompatível com estruturas prudenciais reduzidas.

  • Para as prestadoras, o desafio não é jurídico, é operacional e contábil: apurar capital sobre bases confiáveis, montar estrutura de riscos proporcional mas efetiva, e construir a trilha de dados e controles que sustentará supervisão contínua — e, na sequência, a auditoria e a asseguração.

Dimensão prudencial

O que passa a ser exigido

Pré-condição contábil e de controles

Enquadramento (Tipo 3 / S4)

Alocação no Segmento 4 até 30/jun/2028, independentemente do porte

Delimitação clara do perímetro da entidade regulada dentro do grupo e das atividades que o determinam

Capital

Requerimentos compatíveis com as atividades exercidas, exigíveis a partir de 01/jan/2027

Balanço fidedigno: segregação entre ativos próprios e de clientes, mensuração consistente dos ativos virtuais

Gerenciamento de riscos

Estrutura formal de identificação, mensuração e mitigação — incluindo riscos operacional, de mercado, de liquidez e cibernético

Dados íntegros de exposição, políticas aprovadas, alçadas definidas e testes periódicos documentados

Divulgação de informações

Políticas de disclosure prudencial ao supervisor e ao mercado

Processo de reporte com rastreabilidade da origem do dado até o relatório divulgado

Vedação ao S5

Instituições do regime simplificado não podem prestar serviços de ativos virtuais

Revisão do modelo de negócio de instituições menores que planejavam a atividade

O que exatamente muda — e por que o desenho importa

O ponto central da norma não é criar regras novas para um mercado novo — é estender a um mercado novo as regras que já existem. O arcabouço prudencial brasileiro opera por segmentação: as instituições são classificadas em segmentos (S1 a S5) conforme porte e perfil de risco, e a intensidade das exigências — capital, riscos, divulgação — é proporcional ao segmento. Ao alocar todas as prestadoras de serviços de ativos virtuais no S4 até meados de 2028, independentemente do porte, o regulador fez uma escolha técnica deliberada: garantir um período de adaptação em um segmento de exigências conhecidas e administráveis, sem permitir que empresas de grande volume se beneficiassem de regimes mais leves ou que empresas pequenas fossem esmagadas por exigências de segmento superior antes de amadurecerem.

A vedação ao Segmento 5 é a outra face da mesma moeda. O S5 é um regime simplificado, com metodologia facultativa de apuração de requerimentos e estrutura reduzida de gerenciamento de riscos, desenhado para instituições de menor porte e perfil de risco reduzido. A decisão de proibir que instituições nesse regime prestem serviços de ativos virtuais equivale a afirmar que a atividade — pela sua natureza, pela volatilidade dos ativos envolvidos e pelos riscos operacionais e cibernéticos que carrega — não é compatível com estrutura prudencial mínima. Não há atalho: quem quer operar ativos virtuais precisa de estrutura completa.

O cronograma escalonado merece leitura atenta. O enquadramento no S4 vale desde já; os requisitos prudenciais propriamente ditos — riscos, capital, divulgação — passam a ser exigíveis em 1º de janeiro de 2027. Isso dá ao mercado um intervalo de estruturação que é, ao mesmo tempo, generoso e traiçoeiro: generoso porque há tempo para construir; traiçoeiro porque estrutura prudencial não se improvisa em semanas, e a experiência dos ciclos regulatórios anteriores mostra que quem começa a adequação perto do prazo termina cumprindo forma sem substância — e descobre isso na primeira inspeção ou na primeira auditoria.

Do enquadramento ao balanço: onde a exigência prudencial encontra a contabilidade

Requerimento de capital é, antes de qualquer coisa, uma fração aplicada sobre uma base — e a base é contábil. Para uma prestadora de serviços de ativos virtuais, apurar capital regulamentar pressupõe resolver questões que o mercado nem sempre tratou com rigor: a segregação entre ativos próprios e ativos de clientes (custódia não é propriedade — e a mistura, além de violação regulatória, distorce a base de capital); a mensuração dos ativos virtuais mantidos em carteira própria, com política contábil consistente e fontes de preço verificáveis para ativos que negociam 24 horas por dia em múltiplas plataformas; e o reconhecimento adequado de receitas de intermediação, custódia e demais serviços, sem antecipações que inflem o patrimônio.

A estrutura de gerenciamento de riscos, por sua vez, exige mais do que um manual aprovado em ata. Ela pressupõe dados: exposições mensuradas com integridade, limites parametrizados em sistema, alertas que disparam e são tratados, testes de estresse documentados. No caso específico dos ativos virtuais, somam-se dimensões que o arcabouço tradicional trata de forma incipiente — gestão de chaves criptográficas, dependência de infraestruturas de terceiros (blockchains públicas, provedores de custódia, oráculos de preço), risco cibernético como risco central e não acessório. A conciliação entre os registros internos e a posição efetiva on-chain é o equivalente, nesse mercado, à conciliação bancária clássica: básica no conceito, crítica na execução, e frequentemente negligenciada.

Implicações práticas: a agenda até janeiro de 2027

A primeira frente é o diagnóstico de enquadramento. Cada prestadora precisa mapear com precisão quais atividades exerce — custódia, intermediação, administração de carteiras de ativos virtuais — e como elas se distribuem entre entidades do grupo. O perímetro determina o requerimento, e estruturas societárias montadas em ambiente não regulado raramente resistem intactas ao ingresso no perímetro prudencial: sobreposições de atividade, contratos intragrupo informais e caixas compartilhados precisam ser desfeitos ou formalizados.

A segunda frente é a contábil. A apuração de capital exigirá demonstrações preparadas com disciplina de instituição supervisionada: plano de contas aderente, políticas de mensuração documentadas, segregação patrimonial demonstrável e fechamentos tempestivos. Empresas que cresceram com contabilidade tratada como obrigação fiscal acessória terão de reconstruir o processo — e o intervalo até janeiro de 2027 é apertado para quem parte do zero.

A terceira frente é a de riscos e controles. A estrutura exigida precisa ser proporcional, mas efetiva: políticas aprovadas pela governança, responsáveis designados, limites e alertas operantes, testes documentados. E há um ponto que merece atenção antecipada: o supervisor cobra a estrutura, mas quem verificará sua efetividade de forma recorrente — inclusive para conforto de investidores, parceiros bancários e contrapartes — é a auditoria independente e os trabalhos de asseguração de controles. Construir já pensando na auditabilidade — trilha de evidência, rastreabilidade do dado, documentação de decisões — evita retrabalho e, principalmente, evita a descoberta tardia de que o controle existe no papel mas não funciona na prática.

Um caso anonimizado

Uma prestadora de serviços de ativos virtuais de porte médio, com atividade concentrada em custódia e intermediação, iniciou seu diagnóstico de adequação prudencial com uma convicção: "nosso problema será capital". O diagnóstico revelou o contrário. O capital existia; o que não existia era a base para apurá-lo. Os ativos de clientes e os ativos próprios transitavam por carteiras digitais comuns, sem segregação demonstrável; a posição contábil e a posição on-chain divergiam havia meses, sem conciliação formal; e a receita de intermediação era reconhecida por regime de caixa, inflando resultados em períodos de alta volatilidade. A adequação começou não pelo requerimento prudencial, mas pela reconstrução do processo contábil e da conciliação diária entre registros e blockchain — e o cronograma de dezoito meses, que parecia folgado, revelou-se justo. A lição: no ingresso ao perímetro prudencial, o gargalo raramente é o capital em si — é a confiabilidade da informação que o sustenta.

Como a MERC pode ajudar

A MERC é a primeira e única auditoria especializada no mercado financeiro brasileiro, e o enquadramento prudencial das prestadoras de ativos virtuais está no centro da sua competência: é o encontro entre regulação prudencial, contabilidade de instituição supervisionada e controles internos. A MERC Audit & Advisory apoia o diagnóstico de adequação — perímetro, base contábil, segregação patrimonial, estrutura de riscos — e realiza a auditoria das demonstrações e a asseguração da efetividade dos controles. A MERC Capital avalia os impactos do novo regime sobre valuation e estrutura de capital de empresas do setor, inclusive em operações de M&A que o reenquadramento regulatório tende a acelerar. E a MTax endereça os reflexos tributários da reorganização societária que o ingresso no perímetro costuma exigir.

FAQ

O que muda para as prestadoras de serviços de ativos virtuais com a nova norma?

Elas passam a integrar o arcabouço prudencial do regulador bancário como instituições de Tipo 3, alocadas no Segmento 4 (S4) até 30 de junho de 2028 independentemente do porte. A partir de 1º de janeiro de 2027, deverão observar requisitos de gerenciamento de riscos, capital e divulgação de informações.

Por que o regulador proibiu instituições do Segmento 5 de prestar serviços de ativos virtuais?

O S5 é um regime prudencial simplificado, destinado a instituições de menor porte e risco reduzido. A vedação indica que a atividade de ativos virtuais — pela volatilidade dos ativos e pelos riscos operacionais e cibernéticos envolvidos — foi considerada incompatível com estrutura prudencial mínima.

O que uma prestadora deve priorizar até janeiro de 2027?

Três frentes: diagnóstico de perímetro e atividades; reconstrução da base contábil (segregação entre ativos próprios e de clientes, mensuração consistente, conciliação entre registros internos e posição on-chain); e estruturação de gerenciamento de riscos com trilha de evidência auditável.

Qual o papel da auditoria independente nesse novo regime?

A auditoria verifica a fidedignidade das demonstrações que sustentam a apuração de capital e, por meio de trabalhos de asseguração, atesta a efetividade dos controles — condição de credibilidade perante o supervisor, investidores e contrapartes bancárias.

O enquadramento no S4 é permanente?

Não. A alocação obrigatória no S4 vale até 30 de junho de 2028, como regra de transição. Após esse período, o enquadramento tende a seguir os critérios gerais de segmentação por porte e perfil de risco.

 

Baixe o manual prático desta matéria — MERC Group

Baixar PDF gratuito →