Regulatório Financeiro 24 de maio de 2026 12 min de leitura

COAF o que é: papel, poderes e obrigações para fintechs

O COAF é a Unidade de Inteligência Financeira do Brasil e ocupa posição central no sistema de prevenção à lavagem de dinheiro. Founders e compliance officers de fintechs precisam entender exatamente o que o órgão faz, quem está obrigado a reportar e quais são as consequências do descumprimento.

Por Renato Lellis Oliveira

Por que o COAF importa para quem opera no mercado financeiro digital

Em 2025, o COAF recebeu um número recorde de 3,1 milhões de comunicações de operações suspeitas, alta de 20% em relação ao ano anterior, e produziu 20.548 Relatórios de Inteligência Financeira (RIFs), uma média de 56 por dia. Esses números não são apenas estatísticas institucionais: são o reflexo de um sistema de vigilância financeira que opera em tempo real sobre bancos, fintechs, corretoras e dezenas de outros setores obrigados.

Para founders, CFOs e compliance officers de startups e fintechs, a pergunta \”COAF o que é\” precisa de uma resposta precisa, não genérica. O órgão não é uma delegacia nem um tribunal. É uma central de inteligência financeira com poder sancionador administrativo, cujos relatórios alimentam investigações da Polícia Federal e do Ministério Público. Estar fora do radar não é uma opção segura.

O que é o COAF: natureza jurídica e base normativa

O COAF é o Conselho de Controle de Atividades Financeiras, criado pela Lei nº 9.613, de 3 de março de 1998, a chamada Lei de Lavagem de Dinheiro. Reestruturado pela Lei nº 13.974/2020, o órgão é hoje vinculado administrativamente ao Banco Central do Brasil, mas detém autonomia técnica e operacional plena.

Sua natureza é de Unidade de Inteligência Financeira (UIF), categoria reconhecida internacionalmente pelo Grupo de Ação Financeira Internacional (GAFI). O COAF não realiza investigação criminal, não efetua prisões, não bloqueia ativos diretamente. Sua função é produzir inteligência: receber dados dos setores obrigados, cruzar informações, identificar padrões suspeitos e disseminar os resultados às autoridades competentes.

As competências centrais do COAF estão nos artigos 14 e 15 da Lei nº 9.613/1998:

  • Receber, examinar e identificar ocorrências suspeitas de atividades ilícitas;
  • Comunicar às autoridades competentes (Polícia Federal e Ministério Público) quando houver indícios de lavagem ou outros ilícitos;
  • Disciplinar e aplicar penalidades administrativas;
  • Regular setores para os quais não haja órgão fiscalizador próprio.

Esse último ponto é relevante: quando um segmento econômico não tem regulador setorial próprio, o COAF assume diretamente o papel de supervisor de PLD-FT para aquele setor, com poder normativo e sancionador próprios.

Quem está obrigado a se relacionar com o COAF

O artigo 9º da Lei nº 9.613/1998 lista as \”pessoas obrigadas\”, um universo que cresce continuamente por inclusão legislativa e regulatória. No setor financeiro e de pagamentos, as instituições supervisionadas pelo Banco Central, incluindo Instituições de Pagamento (IPs), fintechs e PSPs autorizados, estão integralmente sujeitas às obrigações de PLD-FT reportadas ao COAF.

Em 2025, um exemplo ilustrativo ocorreu com empresas de apostas online: ao serem incluídas formalmente na lista de obrigados após a regulamentação do setor, as comunicações desse segmento saltaram de 928 em 2024 para mais de 27 mil em 2025. O efeito de uma nova obrigação regulatória é imediato e mensurável.

Além do setor financeiro, estão entre os obrigados:

  • Empresas de factoring, consórcios e administradoras de cartões (sob supervisão direta do COAF);
  • Contadores, auditores e advogados em operações específicas;
  • Joalherias, negociantes de obras de arte e concessionárias;
  • Imobiliárias e construtoras em transações acima de determinado valor;
  • Exchanges de criptoativos, equiparadas às instituições financeiras desde o Marco Legal dos Criptoativos (Lei nº 14.478/2022).

Como o COAF funciona na prática: do reporte ao RIF

O fluxo operacional do COAF parte dos setores obrigados e termina nas autoridades de persecução penal. Entender esse fluxo é essencial para estruturar um programa de PLD-FT que funcione.

Etapa 1 – Comunicação pelos obrigados

Existem dois tipos principais de comunicação ao COAF, realizadas via SISCOAF (Sistema de Controle de Atividades Financeiras):

  1. Comunicação de Operação Suspeita (COS): disparada quando a instituição identifica operação incompatível com o perfil do cliente, sem necessidade de confirmar o crime. Basta a existência de indícios ou sinais de alerta. O prazo é de até 1 dia útil após a decisão interna de comunicar, decisão essa que deve ocorrer dentro de um ciclo de monitoramento e análise de até 45 dias contados da ocorrência, conforme o rito da Circular BACEN nº 3.978/2020;
  2. Comunicação Obrigatória por Valor (COV): automática para operações em espécie (depósitos, saques, aportes) iguais ou superiores a R$ 50.000,00, a ser realizada até o dia útil seguinte à ocorrência, sem dar ciência ao cliente envolvido.

Um ponto crítico que muitas fintechs ignoram: a instituição que não realizar nenhuma comunicação ao longo de um ano civil não está livre de obrigações. Ela deve enviar a Declaração de Não Ocorrência até 10 dias úteis após o encerramento do ano, atestando que não houve operações passíveis de comunicação. A ausência dessa declaração já configura descumprimento.

Etapa 2 – Análise e produção do RIF

O SISCOAF recebe as comunicações e as submete a análise sistêmica com regras de inteligência predefinidas. Quando há indícios consistentes, os analistas do COAF produzem o Relatório de Inteligência Financeira (RIF). O RIF é protegido por sigilo constitucional, nos termos da Lei Complementar nº 105/2001, e não é prova processual direta, mas indica caminhos investigativos às autoridades.

Os RIFs podem ser espontâneos (de ofício, por iniciativa do COAF) ou por intercâmbio (a pedido de órgãos como Polícia Federal ou Ministério Público). Em 2025, o COAF processou 65 milhões de comunicações brutas para transformá-las nesses 20.548 relatórios de alta precisão.

Etapa 3 – Encaminhamento às autoridades

Quando o RIF aponta fundados indícios de lavagem de dinheiro ou qualquer outro ilícito, o COAF o encaminha às autoridades competentes para instauração dos procedimentos cabíveis, conforme o artigo 15 da Lei nº 9.613/1998. O receptor mais frequente em 2025 foi a Polícia Civil (12.937 intercâmbios), seguida da Polícia Federal (5.488).

Obrigações específicas para fintechs: o que a Circular BACEN 3.978/2020 exige

Para instituições supervisionadas pelo Banco Central, incluindo IPs, SCDs e SEPs, a Circular BACEN nº 3.978, de 23 de janeiro de 2020, é o principal instrumento regulatório de PLD-FT. Ela operacionaliza a Lei nº 9.613/1998 no âmbito do sistema financeiro nacional e estabelece obrigações concretas que dialogam diretamente com o COAF.

As principais exigências da Circular 3.978 para fintechs são:

  • Diretor responsável formalizado: o artigo 9º da Circular obriga a indicação formal ao Banco Central de um diretor pessoalmente responsável pelo cumprimento das obrigações de PLD-FT. Esse vínculo pessoal tem consequência direta: em casos de falha grave, a responsabilidade pode alcançar a esfera penal;
  • Política de PLD-FT aprovada pela diretoria: deve conter critérios de onboarding, monitoramento de operações, gestão de PEPs (Pessoas Expostas Politicamente) e procedimentos de comunicação ao COAF. A Resolução COAF nº 36/2021 e a Resolução COAF nº 40/2021 detalham as diretrizes aplicáveis;
  • Avaliação Interna de Risco (AIR): análise documentada do risco de lavagem associado aos produtos, serviços, canais e perfis de clientes da instituição, revisável a cada dois anos ou quando houver alterações significativas;
  • Monitoramento contínuo de operações: ciclo de até 45 dias para monitoramento e seleção, seguido de análise também de até 45 dias para caracterizar ou não a suspeição;
  • Habilitação no SISCOAF: obrigatória desde o início da operação, não apenas quando surgir a primeira suspeita;
  • Retenção de registros por 10 anos, com rastreabilidade e acesso rápido em eventual fiscalização.

Erros que colocam fintechs em risco regulatório

A experiência regulatória revela padrões recorrentes de descumprimento que vão além do óbvio. Os mais relevantes para startups e fintechs em fase de crescimento:

1. Confundir operação com situação suspeita. A Circular 3.978 obriga a reportar tanto operações quanto situações suspeitas. Situação suspeita é um comportamento do cliente, não necessariamente uma transação concluída: recusa em fornecer informações, perfil inconsistente com o produto contratado, origem de recursos incompatível com o cadastro. Monitorar apenas transações finalizadas deixa uma lacuna relevante.

2. Não se habilitar no SISCOAF no momento do início das operações. A habilitação é obrigação prévia, não decorrente do surgimento de suspeitas. Fintechs em fase de tração que postergar esse passo já estão em descumprimento formal.

3. Terceirizar a análise de suspeição. A Circular 3.978 permite contratar serviços auxiliares ao monitoramento, mas veda a terceirização da análise de suspeição em si. Essa distinção importa: a decisão de comunicar ou não ao COAF deve ser interna, documentada em dossiê, e de responsabilidade do diretor indicado.

4. Ignorar a Declaração de Não Ocorrência. A ausência de comunicações suspeitas ao longo do ano não exime a instituição da declaração anual. O prazo é de 10 dias úteis após o encerramento do ano civil.

5. Subestimar o risco do modelo BaaS. No Banking-as-a-Service, fintechs que operam sobre a infraestrutura de um banco parceiro precisam definir contratualmente quem é responsável pelo KYC e pelo reporte ao COAF. A omissão nesse ponto já gerou autuações no setor.

Penalidades: o que está em jogo

O descumprimento das obrigações da Lei nº 9.613/1998 expõe a empresa e seus administradores a um conjunto de sanções previstas no artigo 12 do mesmo diploma:

Sanção Referência
Advertência Descumprimento de registro de clientes e transações
Multa pecuniária Até o dobro do valor da operação, dobro do lucro obtido ou até R$ 20.000.000,00
Inabilitação temporária Até 10 anos para exercício de cargo de administrador
Cassação da autorização Para o exercício da atividade, operação ou funcionamento

As sanções podem ser aplicadas cumulativamente e alcançam os administradores das pessoas jurídicas, não apenas a entidade. Para fintechs em processo de captação ou em fase de due diligence por investidores, a existência de processos administrativos sancionadores junto ao COAF ou ao Banco Central é um passivo que compromete avaliações e rodadas.

Síntese acionável: o que estruturar agora

O COAF não é uma ameaça abstrata. É uma engrenagem funcional do sistema financeiro brasileiro que, em 2025, processou dezenas de milhões de comunicações e gerou mais de 20 mil relatórios usados em investigações reais. A pergunta não é se a sua fintech vai aparecer nos dados do COAF, mas em qual contexto isso acontecerá.

Uma estrutura mínima viável de PLD-FT para uma fintech autorizada pelo Banco Central exige: política aprovada pela diretoria, diretor formalmente indicado ao BCB, habilitação ativa no SISCOAF, processo documentado de KYC e monitoramento, e ciclo de análise de suspeição que respeite os prazos da Circular 3.978/2020. Esse não é um checklist de compliance para grandes bancos. É o piso regulatório para qualquer IP, SCD ou SEP em operação.

O Log.Law atua em regulatório financeiro, PLD-FT e estruturação de programas de compliance para fintechs e startups. Para avaliar um cenário particular, o contato está disponível no site.

FAQ

Uma fintech que ainda não tem autorização do Banco Central precisa se preocupar com o COAF?

A obrigação de comunicação ao COAF prevista na Circular BACEN 3.978/2020 aplica-se às instituições autorizadas a funcionar pelo Banco Central. Porém, dependendo da atividade exercida, a empresa pode estar sujeita às normas do próprio COAF enquanto não possui regulador setorial próprio, nos termos do artigo 14, parágrafo 1º, da Lei nº 9.613/1998. A análise do enquadramento deve ser feita antes do início das operações.

Qual é a diferença entre Comunicação de Operação Suspeita (COS) e Comunicação Obrigatória por Valor (COV)?

A COS é qualitativa: decorre de uma análise interna que identifica comportamento ou operação incompatível com o perfil do cliente, independentemente do valor. A COV é quantitativa e automática: toda operação em espécie igual ou superior a R$ 50.000,00 deve ser comunicada até o dia útil seguinte, sem necessidade de suspeita. As duas obrigações coexistem e são independentes.

O COAF pode bloquear contas ou ativos da minha empresa diretamente?

Não. O COAF é uma Unidade de Inteligência Financeira e não possui poderes de polícia judiciária. Não investiga, não interroga, não bloqueia ativos e não detém pessoas. Sua atuação se limita à análise de inteligência financeira e à produção de RIFs encaminhados às autoridades competentes, que então tomam as providências cabíveis. Na esfera administrativa, o COAF pode instaurar e julgar processos sancionadores com aplicação das penalidades previstas na Lei nº 9.613/1998.

Em um modelo BaaS, quem é responsável pelas comunicações ao COAF: a fintech ou o banco parceiro?

A responsabilidade depende da estrutura contratual e da forma como cada parte está autorizada pelo Banco Central. A Circular 3.978/2020 permite a comunicação centralizada por instituição do conglomerado prudencial (artigo 52), mas exige que cada instituição mantenha sua própria estrutura de governança de PLD-FT. Não há transferência automática de responsabilidade pelo simples fato de operar sobre infraestrutura de terceiro. O contrato com o banco parceiro deve delimitar com precisão os papéis, e a fintech autorizada pelo BCB permanece com obrigações próprias perante o regulador.

Próximo passo

Tem dúvidas sobre o seu caso específico?

Fale diretamente com Renato Lellis Oliveira, Sócio-fundador do Log.Law