Investidor de jurisdição de risco — a nova régua de PLD/FTP e o que ela cobra dos controles internos

Auditoria

Investidor de jurisdição de risco — a nova régua de PLD/FTP e o que ela cobra dos controles internos

3 de julho de 2026

Nova régua de PLD/FTP impõe diligência reforçada a investidores não residentes de jurisdições de risco — o impacto nos controles e na asseguração.

Resumo

  • O regulador do mercado de capitais alterou pontualmente sua norma de prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FTP) para exigirmedidas de diligência reforçadasobre clientes classificados como investidor não residente (INR) originários de jurisdições listadas por organismos internacionais de combate à lavagem. A alteração entra em vigor em 15 de julho de 2026.

  • A mudança se alinha à recomendação internacional que trata de países de maior risco e responde ao processo de acompanhamento do Brasil junto ao organismo internacional de combate à lavagem — ou seja, é fruto de compromisso técnico externo, não de conveniência regulatória interna, o que torna sua fiscalização provável e consistente.

  • O modelo é dedois níveis: preserva a abordagem baseada em risco já vigente e sobrepõe a ela um piso de procedimentos adicionais obrigatórios quando a contraparte vem de jurisdição de maior risco. Não substitui o julgamento — adiciona um mínimo inegociável a ele.

  • Para a instituição, o impacto é operacional e documental: identificar corretamente a origem, acionar procedimentos reforçados de conhecimento do cliente e da origem dos recursos, registrar a decisão e submeter tudo a monitoramento e a evidência auditável. Programa de PLD sem trilha de evidência não sobrevive a essa régua.

Camada de controle

O que a régua passa a exigir

Risco de quem não se adequa

Identificação da origem

Classificar corretamente o cliente como INR e mapear a jurisdição de origem contra a lista internacional

Falha de gatilho: o controle reforçado nunca dispara porque a origem não foi capturada

Diligência reforçada (EDD)

Procedimentos adicionais de conhecimento do cliente, do beneficiário final e da origem dos recursos

Relacionamento estabelecido sem o piso mínimo de conhecimento — exposição direta

Abordagem baseada em risco

Manter a classificação de risco por cliente, agora com a origem como fator de elevação

Matriz de risco desatualizada que não reflete o novo fator obrigatório

Registro e monitoramento

Documentar a decisão, preservar trilha e submeter a operação a monitoramento contínuo

Ausência de evidência: o controle pode até existir, mas não é demonstrável

O que exatamente mudou — e por que não é um detalhe

A norma de PLD/FTP do mercado de capitais já operava, há anos, sob a lógica da abordagem baseada em risco: cada instituição classifica seus clientes, produtos e operações segundo o risco que representam e calibra a intensidade dos controles de acordo. Esse modelo é flexível por desenho — e é justamente aí que mora a fragilidade. Flexibilidade sem piso permite que uma instituição, de boa ou de má-fé, avalie como "baixo risco" um cliente que um organismo internacional já sinalizou como de risco elevado. A alteração recente corrige essa folga em um ponto específico: ela cria um piso obrigatório de diligência reforçada quando o cliente é um investidor não residente vindo de jurisdição listada.

Dois pontos técnicos merecem destaque. O primeiro é a origem da mudança. Ela não nasce de uma preocupação doméstica isolada; decorre do alinhamento a uma recomendação internacional consolidada que trata do tratamento de países de maior risco, no contexto do processo de acompanhamento a que o Brasil está submetido após sua avaliação mútua pelo organismo internacional de combate à lavagem de dinheiro. Isso importa porque compromissos assumidos nesse tipo de fórum tendem a se traduzir em fiscalização real e continuada — não em letra morta. O supervisor tem incentivo externo para verificar a implementação.

O segundo ponto é a arquitetura de dois níveis. A norma não abandona a abordagem baseada em risco: mantém a obrigação de classificar e de calibrar. O que ela faz é sobrepor, a esse regime, um conjunto mínimo de procedimentos adicionais que se tornam obrigatórios quando a contraparte se enquadra na hipótese de maior risco. Na prática, a instituição continua exercendo julgamento — mas esse julgamento não pode mais concluir por um controle inferior ao piso, quando a origem é uma jurisdição listada. É a diferença entre uma régua que sugere e uma régua que exige.

A cadeia de controle na prática

Traduzir a exigência em operação significa desenhar uma cadeia de controle que funcione do cadastro ao monitoramento. Ela começa na identificação: a instituição precisa capturar corretamente a condição de investidor não residente e a jurisdição de origem, e confrontar essa jurisdição com a lista internacional de referência, que é dinâmica e muda ao longo do tempo. Um cadastro que não registra a origem com precisão, ou que registra mas não a compara periodicamente com a lista atualizada, produz um ponto cego fatal — o gatilho da diligência reforçada simplesmente nunca dispara. É o tipo de falha que não aparece em teste de mesa e explode em inspeção.

Disparado o gatilho, entra a diligência reforçada propriamente dita: procedimentos adicionais de conhecimento do cliente e do seu beneficiário final, aprofundamento sobre a origem e a natureza dos recursos, e avaliação do propósito do relacionamento. Não basta coletar documentos; é preciso avaliá-los criticamente e, quando as informações não fecham, escalar a decisão. Aqui a automação ajuda e atrapalha ao mesmo tempo: sistemas de triagem aceleram a identificação e o cruzamento com listas, mas um fluxo automatizado mal parametrizado pode aprovar relacionamentos que deveriam ter parado para análise humana. O controle automatizado precisa ser desenhado para escalar a exceção, não para engoli-la.

O terceiro elo é o registro e o monitoramento. A régua de PLD/FTP é, no fundo, uma régua de evidência: de pouco adianta a instituição ter feito a diligência se não consegue demonstrá-la depois. Cada decisão — classificação de risco, procedimentos reforçados aplicados, conclusão sobre a origem dos recursos, aprovação ou recusa do relacionamento — precisa deixar trilha documental preservada e recuperável. E o relacionamento, uma vez estabelecido, entra em monitoramento contínuo, porque o risco de lavagem não é estático: uma operação atípica meses depois da abertura da conta pode ser o sinal que a diligência inicial não capturou. Programa maduro é aquele em que o cadastro, o monitoramento e o registro conversam.

Implicações práticas para as instituições

A primeira implicação é de dado. A diligência reforçada só dispara se a instituição souber, com confiabilidade, quem é investidor não residente e de onde vem. Isso exige qualidade cadastral e uma rotina de confronto da base de clientes com a lista internacional — que muda. Instituições que mantêm cadastros incompletos, com campos de nacionalidade e domicílio preenchidos de forma inconsistente, precisarão de um esforço de saneamento antes mesmo de pensar em procedimentos reforçados. Não há controle sofisticado que compense um dado de origem errado na base.

A segunda implicação é de parametrização de sistemas. A maioria das corretoras e gestoras opera o PLD/FTP com apoio de ferramentas de triagem, monitoramento transacional e listas restritivas. Essas ferramentas precisam ser reparametrizadas para tratar a origem de jurisdição listada como fator de elevação de risco e como gatilho de fluxo reforçado, com escalonamento à análise humana onde o automatizado não deve decidir sozinho. Parametrização é engenharia de controle: uma regra mal calibrada gera excesso de alertas que soterra a equipe, ou escassez de alertas que deixa o risco passar. As duas falham.

A terceira implicação é de evidência e de segunda linha. O programa precisa produzir, de forma rotineira, a trilha que comprova a diligência — e a função de compliance e a auditoria interna precisam testar se a cadeia funciona de ponta a ponta, não apenas se a política existe no papel. Aqui entra também a asseguração independente: à medida que supervisores e contrapartes passam a exigir conforto sobre a efetividade dos controles de PLD/FTP, cresce a demanda por trabalhos de asseguração que atestem, com base em evidência, que o desenho e a operação dos controles correspondem ao que a norma exige. Política sem teste é intenção; controle sem evidência é fé.

Caso anonimizado: o gatilho que nunca disparou

Considere uma gestora de recursos de médio porte, com base relevante de investidores estrangeiros, que se considerava confortável em PLD/FTP: tinha política aprovada, ferramenta de triagem contratada e equipe dedicada. Sob a lógica reforçada, uma revisão de controles examinou a cadeia do cadastro ao monitoramento e encontrou o problema onde ninguém olhava — na captura da origem. O campo de domicílio do investidor não residente era preenchido de forma livre, sem padronização, e não havia rotina de confronto automático com a lista internacional. Resultado: para uma fração dos clientes de exceção, a origem em jurisdição de maior risco simplesmente não era reconhecida pelo sistema, e o gatilho da diligência reforçada nunca disparava. A política existia; o controle, na ponta, não operava.

A correção foi mais trabalhosa do que aparentava. Padronizar o campo de origem exigiu sanear a base cadastral histórica; implantar o confronto periódico com a lista exigiu integrar a ferramenta a uma fonte atualizada; e reprocessar a carteira de investidores não residentes à luz do novo gatilho exigiu revisar relacionamentos já estabelecidos, alguns dos quais deveriam ter passado por diligência reforçada e não passaram. A instituição regularizou-se, mas sob pressão de prazo e com exposição retroativa que a antecipação teria evitado. A lição é a de sempre nesse campo: o risco não estava na ausência de política, e sim na distância entre a política e o que os sistemas efetivamente faziam.

Como a MERC pode ajudar

A MERC atua na travessia entre a norma de PLD/FTP e o controle que a torna real. O ponto de partida é o diagnóstico da cadeia de controle — identificação da origem, gatilho de diligência reforçada, procedimentos de conhecimento do cliente e da origem dos recursos, registro e monitoramento —, cruzando a política formal com o que os sistemas e as rotinas efetivamente executam. É nesse cruzamento que aparecem os pontos cegos: campos cadastrais frouxos, listas desatualizadas, fluxos automatizados que não escalam a exceção, trilhas de evidência incompletas. Mapeá-los antes da inspeção é o que separa adequação tranquila de regularização sob pressão.

Sobre esse diagnóstico, o trabalho avança para o desenho e o teste dos controles e para a asseguração independente da sua efetividade — a evidência de que o programa não apenas existe, mas opera. Somando as competências das empresas do grupo em auditoria, em avaliação de controles e em governança de dados, a atuação entrega à instituição o que a nova régua realmente cobra: não um manual mais espesso, e sim a capacidade demonstrável de reconhecer o cliente de risco, aplicar o piso de diligência que a norma exige e provar, com trilha auditável, que o fez. Para corretoras e gestoras com base internacional de clientes, essa demonstrabilidade deixou de ser diferencial e virou condição.

Perguntas frequentes

A quem se aplica a exigência de diligência reforçada?

A clientes classificados como investidor não residente (INR) originários de jurisdições listadas por organismos internacionais de combate à lavagem de dinheiro. Para esses clientes, a instituição do mercado de capitais passa a ter de aplicar um conjunto mínimo de procedimentos adicionais de conhecimento do cliente e da origem dos recursos, além do que a abordagem baseada em risco já exigia.

Isso substitui a abordagem baseada em risco?

Não. O modelo é de dois níveis: a abordagem baseada em risco continua valendo para toda a base de clientes, e a diligência reforçada se sobrepõe a ela como um piso obrigatório quando a contraparte vem de jurisdição de maior risco. O julgamento da instituição permanece, mas não pode concluir por um controle inferior a esse mínimo.

Por que essa mudança tende a ser efetivamente fiscalizada?

Porque decorre do alinhamento a uma recomendação internacional e do processo de acompanhamento do Brasil junto ao organismo internacional de combate à lavagem, após sua avaliação mútua. Compromissos assumidos nesse tipo de fórum costumam se traduzir em supervisão real e continuada, e não em exigência apenas formal.

Qual é a falha mais comum nesse tipo de controle?

A falha de gatilho: o programa existe, mas a origem do cliente não é capturada com precisão no cadastro nem confrontada periodicamente com a lista internacional. Sem isso, a diligência reforçada nunca dispara para o cliente que deveria acioná-la — a política existe, mas o controle não opera na ponta.

Por onde começar a adequação?

Por um diagnóstico que percorra a cadeia inteira — da qualidade do dado cadastral de origem, passando pela parametrização dos sistemas de triagem e pelo fluxo de diligência reforçada, até a trilha de evidência e o monitoramento. O diagnóstico revela as lacunas com antecedência e permite corrigi-las antes que virem achado de supervisão.


Este conteúdo tem caráter informativo e técnico e não constitui aconselhamento contábil, jurídico, de compliance ou de auditoria para caso específico. Referências a normas e a listas internacionais devem ser confirmadas em suas fontes oficiais e aplicadas à luz da situação concreta de cada entidade.

 

Baixe o manual prático desta matéria — MERC Group

Baixar PDF gratuito →