Por que a AIR virou prioridade imediata para fintechs em 2026
Em agosto de 2025, a Receita Federal publicou a Instrução Normativa RFB nº 2.278, equiparando instituições de pagamento a bancos nas obrigações de reporte fiscal via e-Financeira. O gatilho foi uma operação da Polícia Federal que identificou fintechs sendo usadas pelo crime organizado para lavar recursos por meio de contas de pagamento. O COAF, por sua vez, recebeu 3,1 milhões de Comunicações de Operações Suspeitas em 2025, crescimento de 20% em relação ao ano anterior.
O movimento regulatório deixou claro o recado: quem opera como IP, SCD ou SEP autorizado pelo BACEN e não tem um programa de PLD-FT estruturado está exposto. E o ponto de partida de qualquer fiscalização é a Avaliação Interna de Risco (AIR), exigida pelo art. 10 da Circular BACEN nº 3.978/2020. Muitas fintechs ainda confundem a AIR com uma política genérica de compliance. São coisas distintas, e a diferença tem consequências jurídicas sérias.
O que a Circular 3.978/2020 realmente determina
A Circular BACEN nº 3.978, de 23 de janeiro de 2020, é a norma central de PLD-FT para todas as instituições autorizadas a funcionar pelo Banco Central, o que inclui bancos, cooperativas de crédito, instituições de pagamento, SCDs, SEPs e, desde fevereiro de 2026, as Sociedades Prestadoras de Serviços de Ativos Virtuais (SPSAVs), incorporadas pelas Resoluções BCB nº 519, 520 e 521.
O art. 10 da Circular determina que a instituição deve realizar avaliação interna com o objetivo de identificar e mensurar o risco de utilização de seus produtos e serviços na prática da lavagem de dinheiro e do financiamento do terrorismo. Não se trata de um documento opcional ou de uma formalidade inicial: é o instrumento que calibra todos os outros controles.
A Circular estabelece ainda, no art. 9º, que a instituição deve indicar formalmente ao BACEN um diretor responsável pelo cumprimento das obrigações, função que pode acumular outras, desde que não haja conflito de interesses. É esse diretor que assina a AIR.
O que a AIR precisa conter: além do checklist básico
A Abordagem Baseada em Risco (ABR) exigida pela Circular significa que os controles devem ser proporcionais ao risco efetivamente identificado pela instituição, não genéricos. A AIR precisa considerar, no mínimo, quatro perfis de risco:
- Perfil dos clientes: segmento atendido, concentração geográfica, presença de Pessoas Politicamente Expostas (PEPs) e beneficiários finais com participação superior a 25%.
- Perfil da instituição: modelo de negócio, canais de distribuição e área geográfica de atuação.
- Perfil das operações: produtos oferecidos, limites transacionais, tecnologias utilizadas e velocidade de onboarding.
- Perfil de terceiros: funcionários, parceiros, correspondentes e prestadores de serviços terceirizados.
Para cada dimensão, a AIR deve estimar a probabilidade de ocorrência e a magnitude dos impactos, financeiros, jurídicos, reputacionais e socioambientais. O documento precisa ser documentado, aprovado pelo diretor responsável e encaminhado ao Comitê de Auditoria, ao Conselho de Administração ou, na ausência deste, à diretoria. A revisão é obrigatória a cada dois anos ou sempre que houver mudança significativa no perfil de risco da instituição.
Framework prático: como estruturar a AIR de uma fintech de pagamentos
| Dimensão | Fator de risco | Classificação típica | Controle proporcional |
|---|---|---|---|
| Clientes | Alta proporção de PF sem relacionamento bancário anterior | Médio-alto | KYC reforçado + monitoramento transacional automático |
| Operações | Transferências P2P ilimitadas em tempo real (Pix) | Alto | Regras de alertas baseadas em padrões de fracionamento (Carta Circular 4.001) |
| Canais | Onboarding 100% digital sem interação presencial | Médio | Biometria facial + verificação de identidade com listas de sanções e PEP |
| Terceiros | Correspondentes digitais com acesso ao onboarding | Alto | Due diligence KYP formal + cláusulas contratuais de PLD-FT |
A AIR deve gerar um mapa de calor documentado, categorizar os riscos e descrever os controles adotados para cada categoria. Não existe formato único exigido pelo BACEN, mas o documento precisa ser suficientemente robusto para demonstrar que as medidas de controle são proporcionais aos riscos identificados.
Erros frequentes que tornam a AIR indefensável perante o BACEN
1. Copiar modelo genérico de mercado sem adaptação ao negócio. A AIR de uma SCD que concede crédito a pequenas empresas não pode ser idêntica à de uma IP pré-paga voltada a consumidores de baixa renda. O BACEN verifica se o documento reflete o modelo de negócio real.
2. Não documentar o dossiê de análise das operações monitoradas. Toda operação selecionada pelo sistema de monitoramento e submetida a análise deve gerar um dossiê, mesmo que a conclusão seja de que não há indício de lavagem. A Circular é explícita: todas as análises devem ser formalizadas.
3. Ignorar o prazo de 45 dias para análise e o prazo de um dia útil para o reporte. Após identificar uma situação atípica no monitoramento, a instituição tem 45 dias para analisar. Uma vez decidido o reporte ao COAF, a comunicação deve ocorrer no prazo de um dia útil, via SISCOAF.
4. Não revisar a AIR após mudanças relevantes no negócio. O lançamento de um novo produto, a entrada em novo segmento de clientes ou a adoção de tecnologia de onboarding biométrico são eventos que exigem revisão imediata da AIR.
5. Confundir diretor de PLD-FT com DPO da LGPD. São cargos com obrigações, responsabilidades e canais de comunicação com reguladores distintos. Acumulá-los sem análise de conflito de interesses é um risco regulatório duplo.
O que muda com as Resoluções BCB 519, 520 e 521 e a IN RFB 2.278/2025
As Resoluções BCB nº 519, 520 e 521, publicadas em novembro de 2025 e vigentes desde fevereiro de 2026, integraram as SPSAVs ao Sistema Financeiro Nacional. Com isso, exchanges e prestadoras de serviços com criptoativos passaram a ter as mesmas obrigações de PLD-FT das IPs, incluindo a AIR nos termos da Circular 3.978/2020. As empresas que já operavam têm até 30 de outubro de 2026 para protocolar o pedido de autorização junto ao BACEN.
No campo fiscal, a IN RFB nº 2.278/2025 equiparou fintechs e participantes de arranjos de pagamento a instituições financeiras nas obrigações de envio da e-Financeira, com reporte de saldos e movimentações de clientes pessoa física acima de R$ 2 mil mensais e pessoa jurídica acima de R$ 6 mil.
Síntese acionável: o que revisar antes do próximo ciclo regulatório
Qualquer fintech autorizada pelo BACEN deve verificar hoje: (i) se possui AIR documentada e aprovada pelo diretor indicado ao regulador; (ii) se o documento reflete o modelo de negócio atual; (iii) se o sistema de monitoramento gera dossiês auditáveis de todas as análises realizadas; (iv) se os prazos de reporte ao COAF estão operacionalizados; e (v) se a política de PLD-FT passou por treinamento formal de todos os colaboradores.
O descumprimento das obrigações de PLD-FT pode resultar em advertência, multa de até R$ 20 milhões ou cassação da licença, além de responsabilização pessoal dos administradores, nos termos do art. 12 da Lei nº 9.613/1998.
O Log.Law atua em direito regulatório financeiro, incluindo estruturação de programas de PLD-FT, revisão de AIR e assessoria em processos de autorização junto ao BACEN.
FAQ
Minha fintech é uma IP pequena, com poucos clientes. Ainda assim preciso de AIR formal?
Sim. A Circular BACEN 3.978/2020 se aplica a todas as instituições autorizadas a funcionar pelo BACEN, independentemente de porte ou volume operacional. O que varia é a proporcionalidade dos controles, não a obrigação de ter o documento.
Posso terceirizar a elaboração da AIR para uma consultoria externa?
A elaboração e a revisão do documento podem contar com apoio externo. O que a Circular proíbe é a terceirização da análise de operações suspeitas. A AIR pode ser construída com assessoria especializada, mas precisa ser aprovada e assinada pelo diretor de PLD-FT indicado ao BACEN.
O que acontece se o BACEN identificar que nossa AIR está desatualizada em uma inspeção?
Uma AIR desatualizada é tratada como deficiência no programa de PLD-FT. O BACEN pode exigir plano de ação com prazo determinado, aplicar advertência e, em casos de reincidência ou gravidade, instaurar processo administrativo sancionador com base no art. 12 da Lei nº 9.613/1998.
Com a IN RFB 2.278/2025, a e-Financeira substitui o reporte ao COAF?
Não. São obrigações distintas com finalidades e reguladores diferentes. A e-Financeira é um reporte fiscal periódico à Receita Federal. O reporte ao COAF, via SISCOAF, é uma comunicação de inteligência financeira sobre operações suspeitas específicas, com prazo de um dia útil após a decisão de comunicar.
Próximo passo
Tem dúvidas sobre o seu caso específico?
Fale diretamente com Renato Lellis Oliveira, Sócio-fundador do Log.Law