Adotar o modelo PEP 4.0 e integrar beneficiário final e reputação ao compliance é diferencial competitivo. Instituições que adotam essa abordagem elevam credibilidade, mitigam riscos e conquistam confiança de stakeholders. A escolha entre conformidade reativa e governança proativa pode definir a posição de sua instituição no mercado global.

O cenário de 2025 mostra que, mesmo com o fortalecimento regulatório em diferentes países, o sistema financeiro continua a apresentar pontos de vulnerabilidade. Operações de grande porte ligadas à lavagem de dinheiro foram rastreadas em múltiplos mercados, fintechs passaram a ocupar posição central em investigações relevantes e instituições de referência sofreram sanções severas por falhas em seus programas de prevenção à lavagem de dinheiro e ao financiamento do terrorismo.

O problema não decorre da ausência de normas — o arcabouço normativo é consistente e as recomendações do GAFI são amplamente conhecidas —, mas da dificuldade em transformá-las em mecanismos de monitoramento contínuo e efetivo.

Em muitas organizações ainda prevalece a adoção de controles estáticos e meramente formais. Formulários de cadastro e registros desatualizados podem satisfazer exigências documentais, mas não oferecem barreira real contra a infiltração de organizações criminosas, redes mafiosas ou grupos terroristas.

Os riscos, longe de serem abstratos, materializam-se em diferentes cenários: no Brasil, a atuação do PCC por meio de estruturas associadas ao mercado financeiro; na Europa, o uso de bancos subterrâneos por máfias italianas; nas Américas, cartéis de drogas e armas explorando brechas em fintechs; e, no Oriente Médio, grupos como Hamas e Hezbollah movimentando recursos via ativos virtuais.

O quadro é nítido: riscos estratégicos, reputacionais e de integridade atravessam fronteiras e se manifestam em múltiplas frentes. Tratar PEPs, beneficiários finais e reputação como mera formalidade documental compromete a conformidade regulatória, enfraquece a governança e reduz a competitividade institucional.

O núcleo duro da governança globalizada

A governança globalizada em prevenção à lavagem de dinheiro e ao financiamento do terrorismo estrutura-se em três pilares estratégicos: Pessoas Politicamente Expostas (PEPs), beneficiários finais e risco reputacional.

O GAFI, em suas Recomendações 10 e 12, fixa a diligência contínua como obrigação nuclear e impõe tratamento reforçado a PEPs, seus familiares e associados próximos. A Recomendação 24, por sua vez, consolida a exigência de transparência sobre beneficiários finais de pessoas jurídicas, pressionando os países a adotar medidas efetivas contra o uso de estruturas societárias para ocultação patrimonial.

Nos Estados Unidos, a Seção 312 do USA PATRIOT Act determina a aplicação de Enhanced Due Diligence (EDD) a figuras políticas estrangeiras e seus familiares, enquanto o Corporate Transparency Act, em vigor desde janeiro de 2024, tornou compulsório o reporte de beneficiários finais ao FinCEN, ampliando a rastreabilidade societária. O ambiente regulatório norte-americano também consagrou a expectativa do know your customer’s customer (KYC²), elevando o nível de diligência demandado às instituições financeiras.

Na União Europeia, as diretivas de quarta, quinta e sexta geração (Diretiva 2015/849, Diretiva 2018/843 e Diretiva 2018/1673) exigem monitoramento contínuo, avaliação granular de risco e integração da dimensão reputacional como parte indissociável da auditoria e da supervisão. O descumprimento dessas obrigações tem resultado em sanções severas, evidenciando que falhas na gestão de PEPs, beneficiários finais e reputação corroem a conformidade regulatória e comprometem a credibilidade institucional.

É nesse cenário que apresento o conceito de PEP 4.0, denominação que estabeleço para designar a superação do modelo estático de cadastro. PEP 4.0 significa tratar a identificação política, societária e reputacional como processo de monitoramento dinâmico, contextual e suportado por tecnologia, capaz de mapear vínculos indiretos, riscos de imagem e padrões transacionais.

Com essa abordagem, o tripé deixa de ser percebido como mera imposição normativa e se converte em elemento de diferenciação estratégica e verdadeiro teste de maturidade institucional.

Brasil no espelho das práticas externas

Enquanto os principais mercados regulados avançam para modelos de monitoramento dinâmico, o Brasil ainda preserva uma prática marcada pela formalidade protocolar.

O tratamento de Pessoas Politicamente Expostas permanece, em grande parte, limitado a perguntas incluídas no processo de onboarding e ao preenchimento de formulários padronizados. A identificação do beneficiário final, prevista na Lei nº 9.613/1998 e reforçada pela Circular Bacen nº 3.978/2020, art. 4º, frequentemente reduz-se a um dado estático de cadastro, sem o necessário acompanhamento contínuo.

O contraste internacional é contundente. Nos Estados Unidos, a combinação da Seção 312 do USA PATRIOT Act com o Corporate Transparency Act de 2021 estabelece a expectativa de diligência reforçada e de reporte detalhado sobre beneficiários finais. Na União Europeia, as diretivas de quarta, quinta e sexta geração impõem a bancos e fintechs a obrigação de documentar evidências de monitoramento granular e reputacional.

O GAFI, em sua Avaliação Mútua de 2023 sobre o Brasil, assinalou precisamente essa defasagem: um arcabouço normativo consistente, porém de eficácia comprometida pela dependência de cadastros estáticos e pela insuficiência na verificação de beneficiários finais.

A regulação nacional já incorpora a lógica da abordagem baseada em risco. A Circular Bacen nº 3.978/2020, em seus arts. 2º e 3º, determina que a política de PLD/FT seja orientada por avaliação e classificação de risco, enquanto a Resolução COAF nº 36/2021, art. 6º, exige a adoção de controles capazes de identificar operações incompatíveis ou suspeitas.

Na prática, contudo, muitas instituições financeiras tratam esses dispositivos como formalidade documental, sem integração efetiva entre compliance, áreas de negócio, tecnologia e instâncias executivas.

O resultado é um descompasso estrutural. Enquanto mercados maduros operam sob governança transversal, integração tecnológica e análise contínua, instituições brasileiras comprometem sua competitividade ao permanecer presas à lógica do checklist.

E o custo da inércia é concreto: bancos globais, regidos pela Recomendação 13 do GAFI sobre correspondent banking, exigem padrões mais rigorosos de seus parceiros. Sem monitoramento adequado de PEPs, beneficiários finais e riscos reputacionais, instituições nacionais correm o risco de perder a confiança de stakeholders internos e externos.

Terrorismo, crime organizado e PLD/FT no cenário internacional

Processos investigativos em diferentes jurisdições têm indicado a capacidade de adaptação das redes criminosas e terroristas ao sistema financeiro. Grupos como Hamas e Hezbollah passaram a utilizar criptoativos e fintechs para movimentar recursos de difícil rastreabilidade, estratégia que já motivou sanções e relatórios de inteligência financeira em múltiplos países.

Nos Estados Unidos, o FinCEN emitiu advisory detalhando o funcionamento das Chinese Money Laundering Networks (CMLNs), utilizadas por cartéis mexicanos – como o de Sinaloa e o CJNG – para ocultar receitas ilícitas.

Na Europa, apurações comprovaram a cooperação entre máfias italianas e bancos subterrâneos chineses em esquemas que combinaram evasão fiscal e lavagem de capitais em larga escala, ilustrando como a criminalidade organizada se apropria de brechas do sistema formal e de estruturas inovadoras para expandir sua atuação.

No Brasil, contudo, ainda predomina uma leitura restrita quanto à extensão do problema. Parte do mercado financeiro continua a tratar como improvável que investidores estrangeiros ligados a atividades ilícitas figurem como beneficiários finais ou interpostas pessoas em operações domésticas.

A exposição, porém, é mais ampla. Além da vizinhança latino-americana, marcada por cartéis de drogas e armas, o país está sujeito a fluxos provenientes do Oriente Médio, frequentemente associados a redes de financiamento terrorista, e a capitais vinculados a circuitos de contrabando e mineração ilegal com origem africana. Investigações também já identificaram vínculos entre estruturas societárias brasileiras e esquemas europeus de lavagem, notadamente aqueles que utilizam paraísos fiscais como elo intermediário.

A Resolução COAF nº 40/2021, ao incluir familiares e associados próximos de PEPs entre os sujeitos a monitoramento reforçado, e o art. 6º da Resolução COAF nº 36/2021, que impõe a identificação de operações atípicas ou incompatíveis com o perfil do cliente, fornecem instrumentos adequados para mitigar esse risco.

A questão não é normativa, mas de efetividade: sem a incorporação de análise geopolítica e de tecnologia de monitoramento contínuo, o sistema financeiro brasileiro permanece suscetível à infiltração de redes criminosas transnacionais, o que compromete sua resiliência e reduz sua credibilidade internacional.

Panorama recente: sanções, investigações e medidas regulatórias em PLD/FT

No Brasil, a investigação denominada Operação Carbono Oculto, conduzida pelo Ministério Público com apoio da Polícia Federal, trouxe à tona o uso de estruturas empresariais para a ocultação de capitais associados ao PCC, em especial no setor de combustíveis e em plataformas de meios de pagamento.

O episódio apontou fragilidades operacionais e societárias que desafiam o modelo de prevenção estabelecido pela Lei nº 9.613/1998. A exigência de abordagem baseada em risco e de monitoramento contínuo de clientes e beneficiários finais, prevista na Circular Bacen nº 3.978/2020, assume destaque diante dessas constatações, em consonância com as tipologias de risco divulgadas pelo COAF.

Nos Estados Unidos, a manutenção de padrões elevados de rigor regulatório traduziu-se em medidas sancionatórias e orientações de supervisão. A Block Inc. (CashApp) sofreu imposição pecuniária em razão de deficiências em seu programa de PLD/FT, em conformidade com os requisitos de verificação da Seção 326 do USA PATRIOT Act. Complementarmente, o FinCEN publicou advisory sobre as Chinese Money Laundering Networks (CMLNs), sublinhando o papel de intermediários e redes transnacionais no mascaramento de recursos de cartéis mexicanos e reforçando a necessidade de diligência ampliada (know your customer’s customer).

Na Europa, investigações e sanções indicaram a intensificação da resposta a falhas de governança e tecnologia. Registros públicos mostram que a Worldline passou a responder a apurações relativas a controles transacionais; a Revolut foi penalizada por descumprimentos da Diretiva (UE) 2015/849; e, na Turquia, medidas criminais atingiram executivos de plataformas digitais em procedimentos envolvendo movimentações suspeitas; reforçando, com esses desdobramentos, a centralidade do tripé PEP, beneficiário final e reputação nas práticas de supervisão europeias.

Em perspectiva multilateral, operações coordenadas por agências internacionais de investigação demonstram a articulação entre distintas modalidades de criminalidade econômica. 

A ação A.S.S.E.T., conduzida por Europol e Interpol, resultou em apreensões significativas e em relatórios que destacam a confluência entre corrupção, narcotráfico e financiamento ilícito. Pesquisas do setor privado, como o relatório da Chainalysis (2025), registram a profissionalização de técnicas de lavagem via ransomware, com estruturas que mimetizam arranjos empresariais – o que amplia a complexidade da detecção.

Esses casos não são isolados: configuram um padrão de deficiências na articulação entre controles, dados e governança. A consequência prática inclui maior exposição ao risco reputacional, amplificação do escrutínio supervisor e potencial restrição de operações em mercados onde a exigência por integridade se converte em critério de acesso e continuidade de relações financeiras.

A leitura que se impõe à alta administração e aos compliance officers é direta: fortalecer a governança, integrar fontes de informação e deslocar o foco do mero cumprimento documental para o monitoramento ativo e contextualizado de riscos societários e reputacionais.

PEP 4.0: governança transversal em PLD/FT para transformar risco em competitividade

No Brasil, a gestão de riscos em instituições financeiras ainda se concentra em dois extremos estéreis. De um lado, a “porteira aberta”, em que o controle se reduz à coleta de declarações formais e ao arquivamento de cadastros estáticos, sem monitoramento efetivo. De outro, a “porteira fechada”, na qual qualquer indício de risco conduz à negativa automática de crédito ou de câmbio, com perda de oportunidades comerciais.

Ambos os modelos revelam leitura equivocada das exigências regulatórias e refletem carência de maturidade institucional. 

O risk-based approach parte de premissa clara: controles devem ser proporcionais aos riscos identificados e capazes de demonstrar racionalidade e consistência. O regulador não impõe a adoção de todas as salvaguardas possíveis, mas exige que as medidas de mitigação sejam justificáveis e devidamente fundamentadas. É nesse exercício de calibragem que se distingue a instituição madura daquela que se limita a cumprir protocolos.

O conceito de PEP 4.0 representa esse deslocamento. Não se trata de multiplicar formulários ou sofisticar relatórios, e sim de reposicionar o tripé PEP, beneficiário final e reputação como eixo transversal de governança. Significa adotar monitoramento dinâmico, análise contextual e tecnologia aplicada como instrumentos que transcendem a conformidade e se projetam como elementos de diferenciação institucional.

Quando a alta gestão compreende que a integridade cadastral e o acompanhamento contínuo de vínculos societários impactam diretamente a confiança de stakeholders, o acesso a mercados e a atratividade de capital, o tema deixa de ser encargo exclusivo do compliance e passa a constituir vetor de sustentabilidade e de posicionamento estratégico.

É nesse patamar que o risco deixa de ser custo inevitável e se converte em oportunidade: transformar governança em reputação, reputação em confiança e confiança em competitividade.

A aplicação concreta do PEP 4.0 pressupõe governança transversal, com corresponsabilidade formalizada entre áreas e decisões ancoradas em critérios plenamente rastreáveis. A política de PLD/FT, nos termos da Circular Bacen nº 3.978/2020 (arts. 5º e 6º) e da Resolução COAF nº 36/2021 (art. 7º), deve ser aprovada pela alta administração e implementada de modo uniforme em todas as unidades, envolvendo:

• Operações: mediante validação cotidiana da coerência entre perfil do cliente e comportamento transacional, com reporte imediato de desvios que demandem investigação ou escalonamento;
• Produto: com a incorporação de salvaguardas já no desenho de serviços, prevenindo riscos estruturais desde a origem;
• Tecnologia: por meio do provimento de ferramentas de screening, integração de bases de dados e sustentação de modelos automatizados de detecção de padrões e anomalias em tempo quase real;
• Compliance: pela uniformização metodológica, consolidação de critérios e coordenação da documentação requerida por órgãos de supervisão e auditoria.

Essa arquitetura alinha-se à Recomendação 18 do GAFI, que exige a integração dos programas de compliance ao núcleo do negócio. Nesse arranjo, a análise de risco deixa de ser tarefa isolada de especialistas e se converte em fundamento da própria concepção, oferta e monitoramento de produtos e serviços.

A calibragem dos controles requer parâmetros claros. O art. 3º da Circular Bacen nº 3.978/2020 e o art. 4º da Resolução COAF nº 36/2021 impõem proporcionalidade das medidas de diligência em relação ao risco.

Cada critério deve ser registrado de forma transparente (cargo, grau de exposição pública, histórico reputacional, perfil transacional), acompanhado da lógica decisória, da fonte de dados, da alçada de aprovação e do horizonte de revisão. 

O nível de rastreabilidade é o que assegura defesa perante reguladores e parceiros, reduz falsos positivos, preserva eficiência operacional e garante sustentabilidade financeira aos programas.

Nesse contexto, a alta administração retoma papel decisório central. Relações com PEPs de maior exposição, limites de tolerância, critérios de aceitação condicional e revisões periódicas de vínculos estratégicos não podem ser delegados, unicamente, às áreas técnicas: trata-se de deliberações de governança, com repercussões diretas sobre reputação, continuidade e poder de mercado.

Procedimentos de escalonamento devem definir instância decisória, prazos de deliberação e evidências mínimas, além de prever medidas mitigadoras prévias à autorização final. Recursos humanos e tecnológicos dedicados a esse processo precisam operar sob metas objetivas – tempo médio de decisão, taxa de falsos positivos, custo por investigação, eficácia de mitigação — monitoradas por conselho e diretoria.

Disciplina documental e integração de processos convertem conformidade em posicionamento distintivo. Instituições que demonstram proporcionalidade, consistência e transparência em suas decisões reduzem exposição regulatória, preservam reputação e ampliam a confiança de contrapartes e investidores.

Destarte, o PEP 4.0 não se limita à observância normativa: afirma-se como mecanismo de governança capaz de converter risco em ativo estratégico, ao integrar tecnologia, processos e decisão executiva firme.

Conclusão: a hora de decidir

PEP, beneficiário final e reputação configuram o critério tangível da maturidade institucional. Quando passam a orientar decisões operacionais, de produto, tecnologia e compliance, a organização deixa de atuar sob lógica de conformidade reativa e adota governança proativa.

A implementação do PEP 4.0 requer três movimentos estruturantes: (i) monitoramento contínuo e contextualizado de vínculos e transações; (ii) calibragem documentada dos controles, com parâmetros que considerem cargo, grau de exposição, histórico e padrão transacional; e (iii) deliberação executiva sobre casos de risco elevado, sustentada por comitês e indicadores objetivos. São medidas ancoradas em normativos e passíveis de auditoria, que convertem apreciação subjetiva em decisão tecnicamente defensável.

As implicações são diretas: instituições maduras reduzem a exposição regulatória, preservam reputação e consolidam a confiança de contrapartes e investidores; instituições imaturas acumulam custos — investigações, restrições operacionais e perda de competitividade.

A questão colocada à alta direção é direta: elevar a governança a critério de desempenho ou aceitar a erosão de competitividade. O futuro de cada instituição dependerá da escolha.

FAQ