Políticas e Procedimentos de AML: Um Guia Completo de Conformidade
Os bancos não são os únicos que precisam se preocupar com a lavagem de dinheiro. Corretoras de criptomoedas, processadores de pagamento, lojas online — se sua empresa movimenta dinheiro, algum órgão regulador eventualmente perguntará como você impede que fundos ilícitos passem por ela. Sua resposta precisa estar documentada. Essa é a sua política de AML (Antilavagem de Dinheiro), e políticas e procedimentos de AML inadequados podem resultar em multas, contas bloqueadas e danos à reputação que perduram mesmo após a violação.
Então, o que de fato compõe um desses documentos? Este guia explica o que uma política de AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro) contém, por que os órgãos reguladores a exigem e como criar uma estrutura que resista a uma auditoria. Não importa se você administra um banco, uma startup de fintech ou uma empresa de pagamentos com criptomoedas — a lógica subjacente é a mesma.
O que são políticas e procedimentos de AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro)?
Uma política de AML (Antilavagem de Dinheiro) é o conjunto de regras escritas da sua organização para identificar, impedir e denunciar a lavagem de dinheiro e o financiamento do terrorismo. Pense nela como o "o quê" e o "porquê" — apetite ao risco, quais tipos de clientes são rejeitados imediatamente, quem na equipe é responsável por cada ação. Toda essa disciplina é conhecida como combate à lavagem de dinheiro, ou AML, e os órgãos reguladores usam esse termo como abreviação para praticamente qualquer controle destinado a manter o dinheiro sujo fora do sistema financeiro.
Os procedimentos abrangem o "como". Uma transação é sinalizada de alguma forma. Alguém a revisa. Um relatório de atividade suspeita é arquivado, seguindo um processo específico. Políticas e procedimentos juntos compõem uma parte do que geralmente é chamado de programa de conformidade com AML (Antilavagem de Dinheiro), que também engloba treinamento, tecnologia e auditorias independentes.
As pessoas confundem esses termos constantemente, mas os órgãos reguladores não. Uma política sem procedimentos que a respaldem é basicamente inexequível. Procedimentos sem uma política que os sustente não têm qualquer fundamento legal.
Eis por que essa distinção é realmente importante no dia a dia: um auditor não se limita a verificar se um documento de política existe em alguma gaveta. Ele analisará transações reais e as rastreará por meio de seus procedimentos, verificando se a documentação corresponde ao que de fato aconteceu. Muitas políticas parecem perfeitas no papel, mas desmoronam no momento em que são confrontadas com arquivos reais — essa é uma das lacunas mais comuns encontradas por auditores em pequenas e médias empresas.
Por que toda empresa precisa de uma política de AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro)?
Não estamos falando de um crime qualquer. A ONU estima que entre 2% e 5% do PIB global seja lavado anualmente, e só em 2023, mais de US$ 3 trilhões em fundos ilícitos circularam pela economia mundial. Toda empresa que não controla esse fluxo, seja intencionalmente ou não, torna-se parte desse esquema.
Os reguladores sabem disso, e é por isso que instituições financeiras, empresas de serviços monetários e, agora, empresas de criptomoedas, estão sujeitas a obrigações obrigatórias de conformidade com as normas de AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro). As penalidades variam de multas à perda total da licença de operação. E o risco legal é, honestamente, apenas a menor parte do problema — um escândalo de lavagem de dinheiro fica marcado na memória de clientes e parceiros por anos.
Auditores e reguladores exigem, antes de qualquer outra coisa, a política documentada. Sem uma política, não há como comprovar a boa-fé, mesmo que suas práticas diárias sejam perfeitamente razoáveis.
Basta observar o histórico de fiscalização. Órgãos reguladores em todo o mundo continuam aplicando multas milionárias por falhas em programas de combate à lavagem de dinheiro, e muitas vezes a lavagem em si sequer foi comprovada — a multa resultou de lacunas nas políticas, no treinamento ou no monitoramento que impossibilitaram a comprovação da prevenção. Uma política bem estruturada custa muito menos do que esse tipo de exposição.

Principais leis e regulamentações de AML (Anti-Money Laundering - Combate à Lavagem de Dinheiro) que você precisa conhecer.
Os requisitos de AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro) variam de acordo com a jurisdição, mas alguns modelos básicos norteiam praticamente todas as políticas escritas atualmente. Compreendê-los é a maneira mais rápida de saber o que seu documento deve abranger.
| Regulamento | Região | Requisito fundamental |
|---|---|---|
| Lei de Sigilo Bancário (BSA) | Estados Unidos | Exige a manutenção de registros, a comunicação de transações suspeitas e um programa de AML (Antilavagem de Dinheiro) por escrito. |
| Lei Patriota dos EUA, Seção 352 | Estados Unidos | Mandatos em quatro pilares: responsável pela conformidade, treinamento, testes e controles internos. |
| Diretivas da UE contra o Branqueamento de Capitais (AMLD) | União Europeia | Harmoniza as normas de diligência prévia do cliente, titularidade efetiva e reporte em todos os estados membros. |
| Recomendações do GAFI | Global | Define o padrão internacional sobre o qual as leis nacionais de combate à lavagem de dinheiro são construídas. |
Nenhuma dessas estruturas é um complemento opcional. Elas são a base, e uma política que ignore aquela relevante para a sua região de atuação será reprovada na primeira análise regulatória. O Grupo de Ação Financeira Internacional (GAFI), em particular, estabelece o padrão que serve de modelo para a maioria das leis nacionais de combate à lavagem de dinheiro e ao financiamento do terrorismo. É por isso que a linguagem do GAFI aparece em políticas redigidas em diferentes partes do mundo.
Componentes Essenciais que Toda Política de AML Deve Incluir
A Seção 352 do USA PATRIOT Act estabelece quatro pilares obrigatórios para um programa de conformidade com as normas de AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro) por escrito, e a maioria das estruturas globais os reproduz de perto. Qualquer política que não inclua um desses pilares é considerada incompleta pelos padrões regulatórios.
- Um responsável pela conformidade designado, encarregado da supervisão diária das atividades de AML (Anti-Money Laundering - Prevenção à Lavagem de Dinheiro) e dos relatórios regulatórios.
- Treinamento contínuo para funcionários, abrangendo sinais de alerta, obrigações de notificação e atualizações de regulamentos.
- Testes ou auditorias independentes para confirmar se o programa funciona conforme o planejado, e não apenas conforme o projeto.
- Políticas, procedimentos e controles internos escritos que abrangem desde a integração de clientes até o monitoramento de transações.
As políticas modernas de AML (Antilavagem de Dinheiro) geralmente adicionam dois componentes aos quatro pilares: uma avaliação de risco de AML documentada e um processo de verificação de sanções. Os reguladores consideram ambos como esperados, mesmo quando a lei não os especifica explicitamente.
Um erro frequente é tratar esses componentes como uma lista de verificação a ser cumprida uma única vez, em vez de um sistema dinâmico. O cargo de responsável pela conformidade, por exemplo, exige autoridade e orçamento reais. Um título sem nenhum dos dois não se sustentará se os órgãos reguladores questionarem quem realmente tem o poder de congelar uma conta suspeita. Treinamentos que acontecem apenas uma vez na integração e nunca mais se repetem também se tornam rapidamente obsoletos em relação às novas tipologias e regulamentações atualizadas.
Due diligence do cliente e procedimentos baseados em risco
A diligência prévia do cliente (CDD, na sigla em inglês) significa simplesmente descobrir com quem você está realmente fazendo negócios, tanto no momento do cadastro quanto posteriormente. Isso envolve confirmar a identidade, entender o que o cliente realmente faz e ficar atento a qualquer coisa suspeita. Uma avaliação de risco de lavagem de dinheiro (AML, na sigla em inglês) indica onde concentrar seus esforços — quais contas precisam de uma verificação rápida e quais exigem uma análise mais aprofundada.
O risco não é distribuído igualmente entre os clientes, e essa é a essência de uma abordagem baseada em risco. Pessoas politicamente expostas, clientes residentes em jurisdições de alto risco, contas com movimentações financeiras atípicas — todos esses casos exigem uma diligência prévia reforçada. Verificações de antecedentes mais aprofundadas. Monitoramento mais frequente. Aprovação de um profissional sênior antes da abertura da conta. Se você não identificar uma pessoa politicamente exposta, atrairá rapidamente a atenção dos órgãos reguladores, portanto, não inclua essa triagem em um processo genérico de integração — dedique uma etapa específica a ela.
Depois, há a verificação de sanções, que consiste em consultar listas governamentais como a do OFAC para novos clientes (e, honestamente, também as transações) antes de qualquer movimentação de dinheiro. Ignorar essa etapa é cometer um dos erros mais custosos que uma política de AML pode conter.
Nada disso para depois do cadastro. Um cliente que parecia perfeitamente seguro no primeiro dia pode não continuar assim — volumes de transações maiores, novas contrapartes em locais de risco, atividades que deixam de corresponder ao que ele declarou ser seu negócio. Boas políticas baseadas em risco revisam as avaliações dos clientes periodicamente, em vez de tratar a primeira verificação como um ponto de controle único.
Passo a passo: Construindo sua estrutura de política de AML
Escrever uma política de AML (Anti-Money Laundering - Prevenção à Lavagem de Dinheiro) do zero é mais fácil quando se segue uma sequência predefinida. Veja a ordem que produz um documento defensável e pronto para auditoria:
- Realize uma avaliação de risco — mapeie quais produtos, clientes e regiões geográficas expõem sua empresa ao maior risco de lavagem de dinheiro.
- Nomeie um responsável pela conformidade ou um oficial de prevenção à lavagem de dinheiro — alguém com autoridade e recursos para gerir o programa no dia a dia.
- Defina o escopo e a tolerância ao risco da política — declare claramente quais tipos de clientes e atividades são aceitáveis, restritas ou proibidas.
- Defina os gatilhos para a Due Diligence do Cliente (CDD) e a Due Diligence Aprimorada — especifique exatamente quando as verificações padrão passam a exigir uma análise mais aprofundada.
- Crie regras de monitoramento de transações — defina limites e padrões que acionem alertas internos.
- Estabeleça um processo de notificação de atividades suspeitas (SAR, na sigla em inglês) — documente quem analisa os alertas e como os relatórios são enviados aos órgãos reguladores.
- Treine todos os funcionários relevantes — não apenas as equipes de conformidade, mas todos que têm contato direto com clientes ou realizam transações.
- Agende auditorias independentes — inclua uma revisão periódica no calendário antes da entrada em vigor da política, e não depois que um órgão regulador a solicitar.
Seguir essa ordem evita um erro comum: escrever procedimentos detalhados antes de realizar a avaliação de risco subjacente. Ignorar essa etapa geralmente resulta na necessidade de reescrever metade do documento posteriormente.
A maioria das empresas consegue concluir uma versão preliminar deste documento em quatro a seis semanas, embora o prazo dependa bastante da quantidade de linhas de produtos e jurisdições que a política precisa abranger. Empresas que tentam condensar isso em poucos dias geralmente acabam com uma linguagem genérica, copiada de modelos. Essa linguagem parece completa, mas não reflete o perfil de risco real da empresa, e é exatamente isso que um auditor notará primeiro.
Monitoramento, auditoria e atualização dos procedimentos de AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro)
Sua política só é tão boa quanto o sistema que monitora as transações por trás dela. Seja esse sistema manual ou automatizado, ele precisa detectar estruturas fraudulentas, movimentações de fundos anormalmente rápidas ou atividades que simplesmente não se encaixam no perfil normal do cliente.
O momento é crucial quando algo parece suspeito. As empresas geralmente têm 30 dias, de acordo com a Lei de Sigilo Bancário, para apresentar um relatório de atividade suspeita antes que as penalidades por atraso entrem em vigor. E não jogue fora a documentação depois — documentos de identidade, registros de transações, relatórios de atividades suspeitas, tudo isso precisa ser guardado por cinco anos, tanto de acordo com a Lei de Sigilo Bancário quanto com a 4ª Diretiva de Combate à Lavagem de Dinheiro da UE.
A própria política precisa ser revista, não apenas as transações que a regem. As regulamentações mudam, os modelos de negócios se transformam e novas táticas de lavagem de dinheiro surgem. A maioria das equipes de compliance revisa sua política de AML pelo menos uma vez por ano, além de atualizações adicionais sempre que as regulamentações ou a exposição ao risco mudarem o suficiente para serem relevantes.
Considerações sobre a conformidade internacional com as normas de AML (Anti-Money Laundering - Prevenção à Lavagem de Dinheiro)
Permanecer em um país significa cumprir apenas um quadro regulatório. Ao cruzar fronteiras, sua política repentinamente precisa se adequar a vários quadros regulatórios simultaneamente, sem que nenhum deles entre em contradição.
O que a maioria das equipes de compliance realmente faz: redige uma política global central e, em seguida, adiciona adendos locais para cada jurisdição. A política central aborda questões universais, como a abordagem baseada em risco, a Due Diligence do Cliente (CDD) e a verificação de sanções. Os adendos tratam de formatos de relatórios locais, quem contatar junto ao órgão regulador e os limites que variam de país para país.
As empresas de fintech e criptomoedas sentem essa pressão com mais intensidade, já que muitas delas atendem clientes em dezenas de jurisdições antes mesmo de completarem um ano de operação. Mantenha a política como um documento global único, revisado centralmente e aplicado localmente. É assim que você evita as lacunas que surgem quando políticas regionais são improvisadas posteriormente, em vez de serem concebidas dessa forma desde o início.
Mas há mais do que apenas burocracia. Uma transação que não levanta nenhuma suspeita segundo os limites estabelecidos por um país pode gerar uma notificação obrigatória em outro. Então, quem decide quando duas estruturas divergem? Normalmente, essa responsabilidade recai sobre uma única pessoa, o responsável pela conformidade ou o encarregado da prevenção à lavagem de dinheiro, que precisa entender exatamente onde os limites divergem.

Conformidade com as normas de AML (Anti-Money Laundering - Prevenção à Lavagem de Dinheiro) para empresas de criptomoedas e pagamentos digitais
As criptomoedas recebem mais atenção em termos de AML (Antilavagem de Dinheiro) do que a maioria das fintechs tradicionais e, honestamente, não é difícil entender o porquê. Carteiras pseudônimas, transferências que cruzam fronteiras em segundos, liquidação via blockchain mais rápida do que uma transferência bancária tradicional — tudo isso aumenta a pressão sobre os reguladores que tentam impedir a lavagem de dinheiro e o financiamento do terrorismo por meio de ativos digitais. E essa atenção recai diretamente sobre quem processa os pagamentos em criptomoedas.
Uma política de AML (Anti-Money Laundering - Prevenção à Lavagem de Dinheiro) preparada para criptomoedas precisa de alguns elementos que um modelo padrão para serviços financeiros simplesmente não abrange:
- Verificação do endereço da carteira em bancos de dados de atividades ilícitas conhecidas e sanções antes de aceitar fundos.
- Monitoramento de transações on-chain que rastreia fluxos de fundos em múltiplas etapas, não apenas no remetente imediato.
- Diretrizes claras para escalonamento de transações envolvendo mixers, exchanges de alto risco ou endereços em listas negras.
Se você administra um e-commerce e aceita criptomoedas, construir toda essa infraestrutura por conta própria é um exagero. Uma opção mais fácil é trabalhar com um processador de pagamentos que já tenha controles de AML e KYC integrados. A Plisio cuida da verificação de carteiras e transações como parte de sua infraestrutura, permitindo que os comerciantes aceitem criptomoedas sem precisar arcar sozinhos com toda a responsabilidade pela conformidade.
Essa lacuna é maior do que parece à primeira vista. Um comerciante que desenvolve um sistema de pagamento com criptomoedas em cima de um processador sem nenhum controle de AML (Antilavagem de Dinheiro) herda esse risco silenciosamente — ninguém percebe até que um órgão regulador ou parceiro bancário comece a fazer perguntas difíceis sobre a exposição a fundos ilícitos. Escolha uma infraestrutura que já realize a triagem e você terá uma resposta pronta antes mesmo que alguém pergunte.
Considerações finais
Uma política robusta de AML (Antilavagem de Dinheiro) não é um documento que você escreve uma vez e arquiva. É uma estrutura viva que precisa de monitoramento, auditoria e atualizações regulares à medida que as regulamentações e os riscos evoluem. Ao garantir que os fundamentos estejam corretos — uma avaliação de risco clara, procedimentos de due diligence bem definidos e um responsável pela conformidade designado — qualquer empresa, de um banco tradicional a uma plataforma de pagamentos em criptomoedas, estará à frente da maioria das revisões regulatórias.
As empresas que têm dificuldades com a conformidade com as normas de AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro) raramente são aquelas que enfrentam riscos realmente novos — são as que trataram suas políticas como um mero exercício burocrático em vez de um sistema operacional. Criar políticas e procedimentos de AML sólidos desde o início, com responsabilidades reais e revisões periódicas, é muito mais barato do que recriá-los depois que uma violação os obriga a agir.