Circular 3.978 do BACEN: como APIs de CPF ajudam no cumprimento

Introdução

A Circular 3.978/2020 do BACEN exige que instituições financeiras implementem políticas de KYC e PLD/FT com identificação e verificação de clientes — e a API de CPF atende diretamente esse requisito ao confirmar que o CPF do cliente existe na base da Receita Federal e que os dados declarados são consistentes com o registro oficial.

A Circular 3.978 do Banco Central do Brasil (BACEN) estabelece procedimentos obrigatórios para a prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT) por parte de instituições financeiras. Entre as exigências centrais da norma está a identificação e qualificação de clientes, conhecida internacionalmente como KYC (Know Your Customer).

Para instituições que operam no Brasil, a validação de CPF é um componente fundamental desse processo. APIs de consulta de CPF permitem automatizar a verificação de identidade, garantindo que os dados cadastrais informados pelo cliente correspondam a registros reais e atualizados.

O que determina a Circular 3.978

A Circular 3.978 foi publicada pelo BACEN em janeiro de 2020 e consolidou diversas normas anteriores sobre prevenção à lavagem de dinheiro. Ela se aplica a bancos, cooperativas de crédito, instituições de pagamento, fintechs reguladas e outras entidades supervisionadas pelo Banco Central.

Principais obrigações

• Identificação e qualificação de clientes -- A instituição deve coletar e verificar dados como nome completo, CPF, data de nascimento e endereço de todos os clientes antes do início do relacionamento comercial.

• Manutenção de cadastro atualizado -- Os dados cadastrais devem ser atualizados periodicamente, com frequência definida pela política interna da instituição.

• Monitoramento de operações -- Transações atípicas devem ser identificadas e analisadas, com registro de todas as operações realizadas.

• Comunicação ao COAF -- Operações suspeitas devem ser comunicadas ao Conselho de Controle de Atividades Financeiras.

• Registro e armazenamento -- Todos os dados e registros de operações devem ser mantidos por no mínimo 10 anos.

O papel do CPF no processo de KYC

O CPF é o documento-chave para identificação de pessoas físicas no sistema financeiro brasileiro. A Circular 3.978 exige que a instituição verifique a autenticidade e a consistência dos dados do cliente, e o CPF é o ponto de partida para essa verificação.

Verificação de identidade

Ao consultar o CPF via API, a instituição obtém dados cadastrais do titular que podem ser comparados com as informações fornecidas pelo cliente:

curl -X GET https://api.cpfhub.io/cpf/12345678900 \
    -H "x-api-key: SUA_CHAVE_DE_API" \
    -H "Accept: application/json"

{
    "success": true,
    "data": {
    "cpf": "12345678900",
    "name": "Ana Paula Ferreira",
    "nameUpper": "ANA PAULA FERREIRA",
    "gender": "F",
    "birthDate": "08/11/1992",
    "day": 8,
    "month": 11,
    "year": 1992
    }
}

A comparação entre o nome e a data de nascimento informados pelo cliente e os dados retornados pela API permite identificar imediatamente inconsistências que podem indicar tentativa de fraude.

Atualização cadastral periódica

A Circular exige que os cadastros sejam mantidos atualizados. APIs com atualização diária de dados, como a da CPFHub.io, permitem que as reconsultas reflitam mudanças cadastrais recentes e mantenham o cadastro do cliente alinhado com os registros oficiais.

Registro de auditoria

Cada consulta à API gera um registro que pode ser utilizado como evidência de que a instituição realizou a devida diligência na verificação de identidade. Esses registros são essenciais para demonstrar conformidade em auditorias do Banco Central.

Como implementar a verificação de CPF no fluxo de KYC

Arquitetura de compliance automatizado

Uma implementação eficiente integra a validação de CPF em múltiplos pontos do relacionamento com o cliente:

1. Abertura de conta -- Verificação obrigatória no momento do cadastro.
2. Atualização periódica -- Reconsulta programada conforme política interna (trimestral, semestral ou anual).
3. Operações sensíveis -- Nova verificação antes de operações de alto valor ou risco.

Exemplo de implementação em Python

import requests
from datetime import datetime

def verificar_cpf_kyc(cpf: str, nome_informado: str, nascimento_informado: str, api_key: str) -> dict:
    """
    Realiza verificação de CPF para fins de KYC conforme Circular 3.978.
    Retorna resultado da verificação com detalhes para registro de auditoria.
    """
    url = f'https://api.cpfhub.io/cpf/{cpf}'
    headers = {
    'x-api-key': api_key,
    'Accept': 'application/json'
    }

    response = requests.get(url, headers=headers, timeout=10)
    data = response.json()

    resultado = {
    'timestamp': datetime.utcnow().isoformat(),
    'cpf_consultado': cpf,
    'status_consulta': 'sucesso' if data.get('success') else 'falha',
    }

    if data.get('success'):
    nome_api = data['data']['nameUpper']
    nome_informado_upper = nome_informado.upper()

    resultado['nome_confere'] = nome_informado_upper in nome_api or nome_api in nome_informado_upper
    resultado['nascimento_confere'] = data['data']['birthDate'] == nascimento_informado
    resultado['aprovado'] = resultado['nome_confere'] and resultado['nascimento_confere']
    resultado['dados_retornados'] = {
    'nome': data['data']['name'],
    'genero': data['data']['gender'],
    'nascimento': data['data']['birthDate']
    }
    else:
    resultado['aprovado'] = False
    resultado['motivo'] = 'CPF não localizado na base de dados'

    return resultado

# Exemplo de uso
resultado = verificar_cpf_kyc(
    cpf='12345678900',
    nome_informado='Ana Paula Ferreira',
    nascimento_informado='08/11/1992',
    api_key='SUA_CHAVE_DE_API'
)

print(resultado)

Requisitos da Circular e como a API atende

Boas práticas de compliance com APIs de CPF

Documentar a política de verificação

Elabore uma política interna documentada que especifique em quais momentos o CPF será verificado, quais divergências são toleráveis e quais acionam processos de investigação adicional.

Armazenar logs de auditoria

Mantenha registros detalhados de cada consulta realizada, incluindo timestamp, CPF consultado, resultado da verificação e ação tomada. Esses registros devem ser mantidos por no mínimo 10 anos, conforme exigência da Circular.

Definir regras de bloqueio e escalonamento

Estabeleça critérios claros para quando um cadastro deve ser bloqueado automaticamente (por exemplo, divergência total no nome) e quando deve ser escalonado para análise humana (divergências parciais ou dados incompletos).

Garantir conformidade com a LGPD

O tratamento de dados de CPF deve estar em conformidade com a Lei Geral de Proteção de Dados. A CPFHub.io opera em conformidade com a LGPD, processando dados de CPF com base legal, transparência e segurança adequadas ao ambiente regulado.

Escolher um provedor com SLA adequado

Para operações reguladas pelo Banco Central, a disponibilidade da API é crítica. O plano Corporativo da CPFHub.io oferece SLA de 99,9% e suporte prioritário 24/7, adequado para instituições financeiras.

Penalidades por descumprimento

O descumprimento da Circular 3.978 pode resultar em penalidades severas aplicadas pelo Banco Central, incluindo:

• Multas administrativas -- Valores que podem alcançar milhões de reais dependendo da gravidade da infração.

• Advertências e suspensão -- Em casos mais graves, a instituição pode sofrer restrições operacionais.

• Danos reputacionais -- A divulgação de penalidades afeta a confiança de clientes e investidores.

• Responsabilização de administradores -- Diretores e administradores podem ser responsabilizados pessoalmente.

A implementação de verificações automatizadas de CPF, com registros de auditoria adequados, demonstra diligência da instituição e reduz significativamente o risco de penalidades.

Perguntas frequentes

O que determina a Circular 3.978 do BACEN?

A Circular 3.978/2020 estabelece os requisitos mínimos de prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT) para instituições financeiras autorizadas pelo BACEN. Inclui obrigação de identificar e verificar clientes, monitorar transações e reportar operações suspeitas ao COAF.

A API de CPF sozinha atende todos os requisitos da Circular 3.978?

Não. A circular exige um programa completo de PLD/FT, incluindo política de due diligence, monitoramento de transações, treinamento de pessoal e reporte ao COAF. A API de CPF cobre a etapa de identificação e verificação de identidade, mas deve ser parte de um programa mais amplo.

Quem está sujeito à Circular 3.978?

Bancos, financeiras, corretoras, distribuidoras de títulos, administradoras de cartão, fintechs com licença do BACEN (como IPs e SCD/SEP) e demais instituições do Sistema Financeiro Nacional. Cooperativas de crédito seguem regulação própria mas com requisitos similares.

A validação de CPF via API gera o registro necessário para auditoria do BACEN?

Sim, desde que a plataforma armazene o log completo de cada consulta: data/hora, CPF consultado, dados retornados e resultado da comparação com os dados declarados. Esse registro é o comprovante documental de que a verificação de identidade foi realizada conforme exigido.

Conclusão

A Circular 3.978 do BACEN impõe obrigações claras de identificação e verificação de clientes que tornam a validação de CPF uma necessidade operacional e regulatória para instituições financeiras. APIs de consulta de CPF automatizam esse processo, reduzem custos operacionais e geram registros de auditoria que demonstram conformidade.

Ao integrar uma API confiável de validação de CPF ao fluxo de KYC, instituições financeiras podem atender às exigências do Banco Central de forma eficiente, escalável e documentada, minimizando riscos regulatórios e protegendo tanto a instituição quanto seus clientes.

Conheça os planos da CPFHub.io — inclusive o gratuito, com 50 consultas mensais — e automatize a verificação de identidade em cpfhub.io.