KYC no Brasil: quais setores são obrigados a validar CPF por lei?

Introdução

No Brasil, os setores obrigados por lei a implementar KYC com validação de CPF incluem: instituições financeiras (bancos, fintechs, corretoras), seguradoras, operadoras de câmbio, plataformas de criptoativos, empresas de factoring, administradoras de consórcio e, desde 2023, plataformas de apostas esportivas — todos regulados por normas do BACEN, CVM, SUSEP ou legislação específica.

KYC (Know Your Customer) é o conjunto de procedimentos que empresas utilizam para verificar a identidade de seus clientes. No Brasil, a validação de CPF é a base do KYC, sendo exigida por lei em diversos setores. O descumprimento dessas obrigações pode resultar em multas milionárias, sanções administrativas e até responsabilização criminal dos gestores.

O que é KYC e por que o CPF é central no Brasil

KYC é um processo de diligência que visa confirmar que o cliente é quem diz ser. No Brasil, o CPF (Cadastro de Pessoa Física) é o principal identificador de pessoas naturais, sendo utilizado em praticamente todas as interações com o sistema financeiro, tributário e regulatório.

A validação de CPF no contexto de KYC envolve:

• Verificação de existência -- Confirmar que o CPF informado existe e está ativo.

• Confirmação de identidade -- Verificar se o nome associado ao CPF corresponde ao nome declarado pelo cliente.

• Verificação de idade -- Confirmar que o cliente atende aos requisitos etários do serviço.

• Registro para auditoria -- Manter logs de todas as verificações realizadas para fins regulatórios.

Setores obrigados a validar CPF por lei

1. Instituições financeiras e bancos

Regulamentação: Circular BACEN n. 3.978/2020 e resoluções complementares do Banco Central.

Obrigações:

• Identificar e qualificar todos os clientes antes da abertura de conta ou relacionamento de negócio.
• Manter cadastro atualizado com CPF, nome, data de nascimento e endereço.
• Realizar procedimentos de PLD/FT (Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo).

Penalidades: Multas de até R$ 20 milhões ou o dobro do lucro obtido com a irregularidade.

2. Fintechs e instituições de pagamento

Regulamentação: Resolução BCB n. 80/2021 e demais normas do Banco Central.

Obrigações:

• Mesmas obrigações de KYC das instituições financeiras tradicionais.
• Validação de CPF obrigatória no onboarding de clientes.
• Monitoramento contínuo de transações.

Penalidades: As mesmas aplicáveis a instituições financeiras.

3. Plataformas de apostas esportivas (bets)

Regulamentação: Lei n. 14.790/2023 e portarias do Ministério da Fazenda.

Obrigações:

• KYC obrigatório para todos os apostadores.
• Verificação de idade (18+).
• Cada CPF vinculado a apenas uma conta.
• Prevenção à lavagem de dinheiro.

Penalidades: Multas, suspensão e revogação da licença de operação.

4. Seguradoras

Regulamentação: Circular SUSEP n. 612/2020 e normas da Superintendência de Seguros Privados.

Obrigações:

• Identificação do segurado e beneficiários com CPF.
• Verificação de dados cadastrais antes da emissão da apólice.
• Procedimentos de PLD.

Penalidades: Multas e sanções administrativas da SUSEP.

5. Corretoras de valores e exchanges de criptomoedas

Regulamentação: Instruções CVM e normas do Banco Central para ativos virtuais.

Obrigações:

• KYC completo para abertura de conta.
• Verificação de CPF e dados pessoais.
• Monitoramento de transações atípicas.
• Comunicação de operações suspeitas ao COAF.

Penalidades: Multas da CVM e do Banco Central.

6. Operadoras de planos de saúde

Regulamentação: Normas da ANS (Agência Nacional de Saúde Suplementar).

Obrigações:

• Cadastro de beneficiários com CPF.
• Verificação de identidade no credenciamento.
• Conformidade com LGPD para dados de saúde.

Penalidades: Multas e sanções da ANS.

7. Imobiliárias e incorporadoras

Regulamentação: Resolução COFECI e normas de prevenção à lavagem de dinheiro.

Obrigações:

• Identificação de compradores, vendedores e locatários com CPF.
• Registro de transações imobiliárias com dados de identificação.
• Comunicação de operações suspeitas.

Penalidades: Multas e sanções do COFECI e COAF.

8. Empresas de telecomunicações

Regulamentação: Regulamento Geral de Direitos do Consumidor de Telecomunicações (Anatel).

Obrigações:

• Cadastro de assinantes com CPF.
• Verificação de identidade na habilitação de linhas.
• Limite de linhas por CPF.

Penalidades: Multas e sanções da Anatel.

Como automatizar o KYC com a API da CPFHub.io

A CPFHub.io oferece uma API REST que retorna nome, gênero e data de nascimento do titular em menos de 900ms, adequada para automação do KYC em tempo real.

Exemplo de consulta

curl -X GET https://api.cpfhub.io/cpf/12345678900 \
    -H "x-api-key: SUA_CHAVE_DE_API" \
    -H "Accept: application/json"

Resposta

{
    "success": true,
    "data": {
    "cpf": "12345678900",
    "name": "Daniela Martins Pereira",
    "nameUpper": "DANIELA MARTINS PEREIRA",
    "gender": "F",
    "birthDate": "16/08/1990",
    "day": 16,
    "month": 8,
    "year": 1990
    }
}

Exemplo de fluxo KYC em Node.js

async function executarKYC(cpf, dadosDeclarados) {
    const response = await fetch(
    `https://api.cpfhub.io/cpf/${cpf}`,
    {
    headers: {
    'x-api-key': process.env.CPFHUB_API_KEY,
    'Accept': 'application/json'
    }
    }
    );

    const resultado = await response.json();

    if (!resultado.success) {
    return {
    aprovado: false,
    etapa: 'validacao_cpf',
    motivo: 'CPF não encontrado'
    };
    }

    const { data } = resultado;

    // Verificar nome
    const nomeConfere = data.nameUpper === dadosDeclarados.nome.toUpperCase().trim();

    // Verificar idade mínima
    const nascimento = new Date(data.year, data.month - 1, data.day);
    const idade = Math.floor(
    (new Date() - nascimento) / (365.25 * 24 * 60 * 60 * 1000)
    );
    const idadeMinima = dadosDeclarados.idadeMinima || 18;

    // Resultado do KYC
    return {
    aprovado: nomeConfere && idade >= idadeMinima,
    nome: data.name,
    nomeConfere,
    idade,
    idadeMinima,
    idadeOk: idade >= idadeMinima,
    timestamp: new Date().toISOString()
    };
}

// Uso para fintech (18+)
executarKYC('12345678900', {
    nome: 'Daniela Martins Pereira',
    idadeMinima: 18
}).then(console.log);

Requisitos de armazenamento e auditoria

Independentemente do setor, as regulamentações de KYC exigem que as empresas mantenham registros das verificações realizadas. Recomendações:

• Armazene o resultado da validação -- Data, hora, CPF consultado, resultado (aprovado/reprovado) e motivo.

• Defina período de retenção -- A maioria das regulamentações exige retenção de 5 a 10 anos.

• Proteja os dados -- Os registros de KYC contêm dados pessoais e devem ser protegidos conforme a LGPD.

• Permita auditoria -- Os registros devem ser facilmente acessíveis para auditorias internas e externas.

Planos da CPFHub.io para KYC regulatório

O plano Corporativo é especialmente indicado para empresas em setores regulamentados, pois oferece SLA de 99,9%, suporte prioritário 24/7, infraestrutura exclusiva e gerente de conta dedicado -- requisitos comuns em auditorias regulatórias.

Perguntas frequentes

O que é KYC e por que é obrigatório?

KYC (Know Your Customer) é o processo de verificar a identidade dos clientes antes de prestar serviços. No Brasil, é exigido para prevenir lavagem de dinheiro, financiamento ao terrorismo e fraudes. As normas vêm principalmente do BACEN (Circular 3.978/2020), COAF e legislação antilavagem (Lei 9.613/1998).

Empresas de e-commerce comum são obrigadas a fazer KYC?

Não obrigatoriamente por lei, mas é uma boa prática para prevenção de fraudes. A obrigação legal se aplica a setores financeiros regulados. E-commerces que oferecem serviços financeiros embutidos (BNPL, carteiras digitais) podem estar sujeitos às mesmas regras das fintechs.

Qual é a diferença entre KYC e validação de CPF?

Validação de CPF é uma das etapas do KYC — confirma identidade. O KYC completo inclui também verificação de documentos, prova de endereço, checagem em listas de restrição (PEP, sanções) e monitoramento contínuo de transações. A API de CPF implementa a camada de identidade do KYC.

Há penalidades para empresas que não implementam KYC?

Sim. O COAF e o BACEN podem aplicar multas administrativas, determinar cessação de atividades e, em casos graves, encaminhar ao Ministério Público para investigação criminal. Para fintechs, a falta de KYC pode resultar em perda de autorização de funcionamento.

Conclusão

O KYC é uma obrigação legal em diversos setores no Brasil, e a validação de CPF é sua pedra fundamental. Instituições financeiras, fintechs, plataformas de apostas, seguradoras, corretoras, operadoras de saúde, imobiliárias e telecomunicações estão todas sujeitas a regulamentações específicas que exigem a verificação da identidade dos clientes. Com a API da CPFHub.io, é possível automatizar o KYC de forma rápida e em conformidade com a LGPD. Acesse cpfhub.io para criar sua conta e começar em minutos.