Conformidade com as normas de AML em 2026: Custos, Prazos e Penalidades Reais
US$ 4,3 bilhões. Esse foi o valor do acordo da Binance com o Departamento de Justiça dos EUA, a FinCEN e o OFAC em novembro de 2023, e continua sendo o maior valor já registrado em casos de descumprimento das normas de combate à lavagem de dinheiro no setor de criptomoedas. No entanto, esse não é o caso mais recente. Em fevereiro de 2025, a OKX pagou US$ 504 milhões para encerrar um processo paralelo movido pelo Departamento de Justiça. Em novembro do mesmo ano, o Banco Central da Irlanda multou a Coinbase Europe em € 21,46 milhões por não monitorar 30 milhões de transações no valor de € 176 bilhões. Em março de 2025, os servidores da Garantex foram apreendidos nos EUA, Alemanha e Finlândia. O padrão é claro. A aplicação das normas de combate à lavagem de dinheiro no setor de criptomoedas não é mais episódica. É contínua. É jurisdicional. É cara.
Para qualquer operador de negócios com ativos virtuais, a conformidade com as normas de AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro) em 2026 representa um custo anual de sete dígitos. Três processos de licenciamento (MiCA da UE, FCA do Reino Unido e DTSP de Singapura) são implementados em um único período de doze meses. As stablecoins agora representam 84% de todo o volume ilícito on-chain. O perfil das ameaças de crimes financeiros mudou mais rápido do que qualquer programa de conformidade elaborado antes de 2024 poderá absorver. Este é o estado atual da área, com os números que o acompanham.
O que significa a conformidade com as normas AML em 2026
A AML (Antilavagem de Dinheiro) é a estrutura legal e operacional que bancos e empresas de criptomoedas utilizam para impedir que fundos criminosos entrem em seus produtos. Esses fundos podem assumir diversas formas: proventos de crimes, sonegação fiscal, fraude, pagamentos de resgates e evasão de sanções. O objetivo de qualquer programa de AML é prevenir a lavagem de dinheiro, combater esquemas de lavagem de dinheiro já em andamento e impedir que fluxos de lavagem de dinheiro e financiamento do terrorismo se misturem ao sistema financeiro. No contexto das criptomoedas, a estrutura foi ampliada pela Recomendação 16 do GAFI (Grupo de Ação Financeira contra a Lavagem de Dinheiro e o Financiamento do Terrorismo) em 2019. Nos EUA, a Lei de Sigilo Bancário (Bank Secrecy Act) agora se aplica a empresas de serviços monetários, incluindo empresas de criptomoedas. A AML se baseia em quatro pilares operacionais: um programa de identificação do cliente (CIP); diligência devida do cliente (CDD) com gatilhos de diligência devida aprimorados que atendam aos principais requisitos de diligência devida; monitoramento contínuo de transações, com a obrigação de relatar atividades suspeitas à unidade de inteligência financeira relevante; e verificação de sanções. O processo de Conheça Seu Cliente (KYC) é apenas a etapa de identificação. O trabalho mais árduo ocorre após o cadastro do cliente. É preciso identificar transações suspeitas em tempo real, enviar a denúncia correta à autoridade competente dentro do prazo estipulado, e fazer tudo isso enquanto os clientes esperam um produto sem atritos.
Para um negócio de criptomoedas, isso significa algumas coisas. Você precisa conhecer seu cliente. Precisa saber quais fundos ele está movimentando. Precisa saber de onde esses fundos vieram. E precisa verificar se nenhum endereço, nome ou contraparte está em uma lista de sanções. O nível de esforço necessário varia de acordo com o risco e a jurisdição. Diferentes países ajustam as regras de maneiras diferentes. É aí que o cenário 2026 fica interessante.
2026 Quadro de Avaliação da Fiscalização: O Custo de Errar
Qual é o custo real de uma falha em AML (Anti-Money Laundering) em 2026? A trajetória de aplicação da lei desde 2022 é a resposta empírica. Cada caso estabeleceu um precedente, e os casos recentes foram muito além do padrão restrito aos EUA.
| Data | Empresa | Pena | Autoridade | Por que |
|---|---|---|---|---|
| Outubro de 2022 | Bittrex | US$ 29,28 milhões | FinCEN + OFAC | Mais de 116.000 transações com jurisdições sancionadas, totalizando US$ 263 milhões. |
| Novembro de 2023 | Binance | US$ 4,3 bilhões | DOJ + FinCEN + OFAC | Falhas sistêmicas no combate à lavagem de dinheiro, monitoramento de 5 anos da FinCEN, saída dos EUA |
| Março de 2025 | Garantex | Derrubar | EUA + Alemanha + Finlândia | Sancionada pelo OFAC desde 2022, continua em operação. |
| Fevereiro de 2025 | OKX | US$ 504,3 milhões | Departamento de Justiça | Transações suspeitas de mais de US$ 5 bilhões entre 2018 e 2024, confisco de US$ 420 milhões + multa de US$ 84 milhões |
| Novembro de 2025 | Coinbase Europa | € 21,46 milhões | Banco Central da Irlanda | 30 milhões de transações não monitoradas durante 12 meses (valor de € 176 bilhões) |
| Dezembro de 2025 | Paxful | US$ 3,5 milhões | FinCEN | Fluxos suspeitos superiores a US$ 500 milhões, exposição ao Irã/Coreia do Norte/Venezuela |
Vale a pena destacar dois padrões. Primeiro, a fiscalização não está mais concentrada nos Estados Unidos. A Europol e o Banco Central da Irlanda agora atuam por conta própria. Eles não estão esperando que a AMLA (Lei de Combate à Lavagem de Dinheiro) entre em vigor integralmente. Segundo, o caso Garantex demonstra que as sanções por si só não impedem a operação de uma corretora que não cumpre as normas. O OFAC (Escritório de Controle de Ativos Estrangeiros) sancionou a Garantex em abril de 2022. A corretora operou por quase três anos. Ela só parou quando as autoridades apreenderam fisicamente os servidores.
O custo de uma grave violação de AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro) agora abrange ordens de cessação e desistência, multas bilionárias, monitoramento criminal e saída forçada do mercado. Os US$ 4,3 bilhões da Binance ainda são o caso mais emblemático. Os casos da OKX e da Coinbase Europe estabelecem parâmetros mais relevantes para um CASP (Central de Serviços de Ativos Compartilhados) de médio porte que avalia riscos.
A virada das stablecoins e o ataque hacker à Bybit
O relatório 2026 da Chainalysis sobre crimes com criptomoedas mudou a perspectiva sobre o problema das finanças ilícitas. O volume total de transações ilícitas on-chain atingiu US$ 154 bilhões em 2025. Isso representa um aumento de 162% em relação ao ano anterior. Desse total, 84% envolveram stablecoins, contra 63% em 2024. Entidades sancionadas impulsionaram esse aumento. Os recebimentos para endereços sancionados cresceram 694% ano a ano. Quase todo esse valor veio da stablecoin russa A7A5, lastreada em rublos, que movimentou US$ 93,3 bilhões em menos de doze meses. Grande parte desse fluxo passou pela exchange Grinex.
O caso emblemático de 2025 foi o ataque à Bybit. Em 21 de fevereiro, o grupo norte-coreano Lazarus, operando sob o conglomerado TraderTraitor, extraiu US$ 1,5 bilhão em Ethereum de uma carteira fria da Bybit por meio de uma vulnerabilidade no front-end da SafeWallet. Em cinco dias, aproximadamente US$ 400 milhões foram movimentados por meio de exchanges descentralizadas, pontes entre blockchains e conversões para Bitcoin. Nenhum valor foi recuperado. Agentes ligados ao Estado norte-coreano roubaram mais de US$ 2 bilhões ao longo de 2025, o ano de maior sucesso em sua história de roubo de criptomoedas.
Para uma equipe de AML (Anti-Money Laundering - Prevenção à Lavagem de Dinheiro), duas coisas se seguem. Primeiro, a triagem de contrapartes apenas com análises da blockchain não é mais suficiente. As rotas de lavagem de dinheiro agora utilizam contratos inteligentes imutáveis, swaps atômicos e pontes em questão de horas após o roubo. Segundo, os emissores de stablecoins agora são o ponto de estrangulamento mais poderoso da blockchain. O congelamento do endereço correto pela Tether ou Circle é mais eficaz do que qualquer rastreamento posterior.
Calendário de Conformidade 2026: MiCA, FCA do Reino Unido, MAS
Três das quatro principais jurisdições ocidentais estão atingindo simultaneamente os prazos estruturais de combate à lavagem de dinheiro. Tudo isso dentro de um período de doze meses. Uma empresa de criptomoedas que opera em todas elas precisa planejar três processos de licenciamento em paralelo.
| Jurisdição | Estrutura | Prazo final | Impacto | Limite |
|---|---|---|---|---|
| UE | Regulamento MiCA + Transferência de Fundos | 1º de julho de 2026 | Todos os CASPs com direitos adquiridos precisam de autorização completa; a ESMA confirmou em abril de 1977 que não haverá prorrogações. | Zero (CASP-para-CASP) |
| UE | Supervisão AMLR + AMLA | 10 de julho de 2027 | A AMLR substitui a AMLD5/6; a AMLA supervisiona diretamente 40 entidades de altíssimo risco. | Padronizado em toda a UE |
| Reino Unido | Autorização completa de criptomoedas da FCA | Setembro 2026 | A janela de inscrição é aberta; não há renovação automática do registro AML existente. | Por regime |
| Cingapura | Estrutura MAS DTSP | 30 de junho de 2025 (aprovado) | Licença DTSP exigida para empresas com atuação no exterior; MAS declarou que "geralmente não emitirá" uma. | Por regime |
| Global | Recomendação 16 do GAFI | Em andamento | Regra de viagem: 73% das jurisdições têm legislação, 59% não a estão aplicando. | Taxa de câmbio base USD/EUR 1.000 |
A AMLA é a nova Autoridade Europeia de Combate ao Branqueamento de Capitais. Com sede em Frankfurt, iniciou suas operações formais em 1º de julho de 2025. Seu mandato abrange tanto a lavagem de dinheiro quanto o combate ao financiamento do terrorismo. Pela primeira vez, a conformidade regulatória em matéria de AML/CFT (Antilavagem de Dinheiro e Financiamento do Terrorismo) está sob a responsabilidade de uma única autoridade da UE. A primeira tarefa da AMLA é harmonizar cerca de sessenta supervisores nacionais de AML, que antes atuavam de forma fragmentada, sob um conjunto único de regras. A supervisão direta das quarenta entidades da UE de maior risco começa em 2028. A multa de € 21,5 milhões aplicada pelo Banco Central da Irlanda à Coinbase Europe em novembro de 2025 é um sinal precoce disso. As autoridades nacionais não estão esperando que a AMLA assuma todos os seus poderes.
A lacuna na regra de viagens é impressionante. A Atualização Direcionada de 2025 do GAFI constatou que 73% das 117 jurisdições que permitem VASPs aprovaram a legislação da Recomendação 16, mas 59% ainda não a implementaram. O Regulamento da UE sobre Transferência de Fundos vai além do GAFI: impõe um limite zero para transferências entre CASPs, o que significa que toda transferência entre entidades regulamentadas deve conter informações completas sobre o beneficiário.
Custo de AML: Conjunto de Fornecedores e Salários de Diretores de Conformidade
Esta é a parte da conformidade com as normas de AML que o conteúdo educacional raramente aborda. Um CASP de médio porte que executa um programa interno se depara com uma série de itens bem definidos. Os valores não são pequenos.
| Componente | Exemplos de fornecedores | Banda anual | Notas |
|---|---|---|---|
| Análise de blockchain (KYT) | Chainalysis KYT + Reator | €120 mil - €250 mil | Geralmente, o item de maior valor em uma única linha de pagamento. |
| Verificação de carteira | Navegador Elíptico | €80 mil - €180 mil | Às vezes substituído por Chainalysis |
| Risco de transação | Laboratórios TRM | €60 mil - €150 mil | Mais barato dos três principais. |
| KYC / identidade | Sumsub, Ondato, Trulioo | Com base no assento | Escala com o volume de integração |
| Regras de viagem | Notabene, Regra de Viagem Sumsub, TRISA | Subscrição | Preços vinculados ao volume de mensagens do VASP |
| triagem de sanções | LSEG / LexisNexis World-Check | Com base no assento | OFAC SDN, UE, listas do Reino Unido atualizadas diariamente |
Só o equipamento necessário para uma operação séria de médio porte custa entre € 300.000 e € 700.000 por ano. Isso sem contar os custos com salários. Depois, vem a questão das pessoas. Um Compliance Officer (Diretor de Conformidade) de criptomoedas nos EUA ganha, em média, US$ 159.792 (ZipRecruiter, 2025). Os cargos de Chief Compliance Officer (Diretor de Conformidade) têm uma média salarial de US$ 200.000. Um MLRO (Responsável pela Prevenção à Lavagem de Dinheiro) em Londres recebe entre £ 130.000 e £ 180.000 (Guia Morgan McKinley 2025). Adicione um cargo de Assistente de Conformidade. O custo total com pessoal ultrapassa US$ 400.000 nos EUA ou £ 220.000 no Reino Unido. Um programa AML robusto em um CASP (Prestador de Serviços de Criptomoedas) regulamentado raramente custa menos de US$ 1 milhão no total. Isso inclui assessoria jurídica, auditoria e infraestrutura.
Esses números comprovam por que a questão "construir ou comprar" tornou-se crucial para qualquer pessoa que entre no mercado de pagamentos com criptomoedas. As leis de combate à lavagem de dinheiro e as escolhas de medidas de conformidade podem determinar a viabilidade de um negócio.
Construir ou comprar: quando terceirizar a AML para um processador de pagamentos
Um pequeno ou médio comerciante de criptomoedas não precisa contratar um responsável pela prevenção à lavagem de dinheiro (MLRO) e licenciar três fornecedores de análise. Um processador de pagamentos assume as obrigações de AML como a principal instituição financeira. O comerciante integra uma API. O provedor de serviços de pagamento (PSP) cuida do licenciamento, do KYC (Conheça Seu Cliente), da triagem, do envio de relatórios de atividades suspeitas (SAR) e da infraestrutura para lidar com as regras de viagem. É assim que provedores como Plisio, BitPay e CoinGate se posicionam. AML é o produto, não um complemento.
A árvore de decisão é bastante clara. Considere aproximadamente US$ 50 milhões como o limite de volume. Abaixo desse valor, em uma única jurisdição, sem atividade regulamentada de VASP (custódia, câmbio, transferência de dinheiro), a opção PSP quase sempre se mostra mais vantajosa. Acima desse limite, a solução interna se destaca em termos de personalização, controle de dados e flexibilidade operacional. O custo deixa de ser evitável.
O modelo híbrido é agora dominante para operadores de médio porte. Um CASP regulamentado utiliza um terceiro para um ou dois serviços de nicho, como roteamento por regras de viagem. A questão fundamental não é qual modelo é mais barato, mas sim qual modelo coloca o risco de licenciamento na entidade correta.
Tornado Cash, Contratos Inteligentes e a Fronteira do OFAC
Uma mudança política separada que as equipes de compliance precisam internalizar. Em 26 de novembro de 2024, o Tribunal de Apelações do Quinto Circuito dos EUA decidiu no caso Van Loon que contratos inteligentes imutáveis não são "propriedade" sob a Lei de Poderes Econômicos de Emergência Internacional. Em 21 de março de 2025, o OFAC suspendeu formalmente as sanções contra a plataforma de mistura Tornado Cash. O processo criminal contra o cofundador Roman Storm continua, com o julgamento marcado para 14 de julho de 2025.
Na prática, isso significa que para uma equipe de AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro) é preciso, e não abrangente. O protocolo em si não pode mais ser sancionado, mas endereços de carteira específicos podem ser e permanecer na lista SDN do OFAC (mais de 12.000 entradas em março de 2019). Interagir com o protocolo não constitui, por si só, uma violação de sanções. Enviar ou receber fundos de um endereço sancionado, no entanto, ainda constitui. As políticas de interação com contratos inteligentes precisam ser escritas no nível do endereço, e não no nível do protocolo, com a verificação vinculada ao feed SDN do OFAC e às listas equivalentes da UE e do Reino Unido. O Reino Unido consolidou suas listas: a partir de 28 de janeiro de 2026, a Lista Consolidada do OFSI foi fechada e a Lista de Sanções do Reino Unido passou a ser a única fonte.
Análise da realidade da regra de viagens com criptomoedas
A Recomendação 16 da Força-Tarefa de Ação Financeira (FATF) sobre a Regra de Viagem exige que os Prestadores de Serviços de Ativos Virtuais (VASPs) transmitam informações sobre o remetente e o beneficiário para transferências acima de US$ 1.000/EUR. De acordo com a Atualização Direcionada da FATF para 2025, 73% das jurisdições que permitem VASPs aprovaram legislação, mas 59% delas não a implementaram. A UE vai além da FATF, impondo um limite zero para transferências entre prestadores de serviços de pagamento (CASP) sob o Regulamento de Transferência de Fundos.
Do ponto de vista operacional, o Relatório Notabene 2025 sobre o Estado da Regra de Viagem (com base em uma pesquisa com 91 VASPs) constatou que 100% dos respondentes se comprometeram com a conformidade com a Regra de Viagem até o final de 2025, e houve um aumento de 431% em relação ao ano anterior no número de empresas que bloqueiam saques até que as informações do beneficiário sejam verificadas. A infraestrutura amadureceu: Notabene, Sumsub Travel Rule, TRISA e Veriscope são os pilares operacionais. O problema remanescente é a interoperabilidade entre os provedores de rede concorrentes, uma fragmentação que provavelmente se consolidará nos próximos dois anos.
O que um programa de AML (Anti-Money Laundering) realmente precisa fazer em 2026
Despojado da camada de marketing, um programa de conformidade AML (Antilavagem de Dinheiro) em uma empresa de criptomoedas possui nove obrigações concretas. Um MLRO (Responsável pela Prevenção à Lavagem de Dinheiro) ou Oficial de Conformidade AML designado com autoridade documentada. Uma estrutura de CIP (Processamento de Informações ao Cliente) e CDD (Due Diligence do Cliente) baseada em risco, com gatilhos de EDD (Due Diligence Aprofundada) para clientes de alto risco e pessoas politicamente expostas (PEPs). Verificação de sanções em relação à OFAC SDN (Lista de Sanções do Escritório de Controle de Ativos Estrangeiros), à Lista Consolidada da UE e à Lista de Sanções do Reino Unido, com reavaliação contínua. Monitoramento de transações com regras e limites documentados. Relatórios de atividades suspeitas (arquivamento de SAR e CTR) junto à UIF (Unidade de Inteligência Financeira) relevante dentro dos prazos definidos. Implementação da Regra de Viagem para transferências acima do limite (zero na UE, US$ 1.000 globalmente). Testes anuais independentes do programa. Treinamento contínuo da equipe, documentado e datado. Manutenção de registros dentro do período de retenção aplicável (normalmente cinco anos).
As estruturas diferem em detalhes, mas o mínimo operacional é o mesmo em toda a FinCEN, FCA, MAS e na UE pós-AMLA. As regulamentações de combate à lavagem de dinheiro e as leis mais abrangentes convergiram mais rapidamente do que a maioria dos operadores esperava. As regras globais de AML agora fazem referência cruzada no nível dos requisitos regulatórios, e não na estrutura nacional. Os programas de conformidade de AML estão mais alinhados entre os reguladores do que nunca. Os esforços de conformidade antes se limitavam a bancos correspondentes e serviços financeiros tradicionais. Agora, eles se estendem a todos os canais de criptomoedas regulamentados. Os casos de penalidades de 2022 a 2025 se concentram em falhas em dois pilares: monitoramento de transações em larga escala e envio de SARs (Relatórios de Atividade Suspeita) sobre o que o monitoramento sinalizou. Construa primeiro para esses dois. A conformidade eficaz com as normas de AML é, em sua maior parte, um trabalho rotineiro. Você realiza essas duas tarefas consistentemente em milhões de transações e para cada cliente em sua carteira.
