PLD/FT para fintechs: guia de conformidade com validação de CPF

Para cumprir PLD/FT (Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo) com validação de CPF, fintechs devem: validar o CPF de todo novo cliente via API antes do onboarding, armazenar o log de validação por mínimo de 5 anos, monitorar transações atípicas por CPF e reportar operações suspeitas ao COAF — tudo conforme a Circular 3.978/2020 do BACEN.

Introdução

A Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT) é uma obrigação regulatória para todas as instituições financeiras e fintechs no Brasil. A Circular BCB 3.978/2020, complementada pela Carta Circular BCB 4.001/2020, define os procedimentos que devem ser adotados para identificar, avaliar e mitigar riscos de lavagem de dinheiro.

Para fintechs — que operam com processos digitais e volume elevado de transações — a validação de CPF via API é uma ferramenta fundamental para cumprir as obrigações de PLD/FT de forma escalável. A verificação automatizada do CPF é a primeira etapa de um programa de conformidade robusto.

O que é PLD/FT e por que importa para fintechs

Definição

PLD/FT é o conjunto de políticas, procedimentos e controles internos que uma instituição financeira deve implementar para:

Prevenir que seus produtos e serviços sejam utilizados para lavagem de dinheiro.
Detectar operações suspeitas que possam indicar lavagem ou financiamento do terrorismo.
Reportar operações suspeitas ao COAF (Conselho de Controle de Atividades Financeiras).

Por que fintechs são alvos

Fintechs são particularmente vulneráveis por conta de:

Processos de onboarding totalmente digitais (sem verificação presencial).
Volume elevado de transações de baixo valor (que podem ser usadas para estruturação).
Agilidade na abertura de contas (que pode ser explorada por fraudadores).
Operações com criptoativos, pagamentos instantâneos e câmbio.

Marco regulatório

Circular BCB 3.978/2020

Principal norma de PLD/FT para instituições autorizadas pelo BACEN. Exige:

Política de PLD/FT — Documentada, aprovada pela diretoria e revisada periodicamente.
Avaliação interna de risco — Identificação e classificação dos riscos de lavagem aplicáveis ao negócio.
Procedimentos de identificação de clientes — KYC (Know Your Customer) obrigatório para todos os clientes.
Monitoramento contínuo — Acompanhamento de transações para detecção de operações atípicas.
Comunicação ao COAF — Reporte de operações suspeitas em até 24 horas.

Carta Circular BCB 4.001/2020

Detalha os procedimentos de coleta e verificação de dados cadastrais, incluindo:

Nome completo.
CPF.
Data de nascimento.
Endereço.
Renda ou faturamento.

Lei 9.613/1998 (atualizada pela Lei 12.683/2012)

Define os crimes de lavagem de dinheiro e as obrigações das instituições financeiras.

O papel da validação de CPF na PLD/FT

A validação de CPF é a primeira camada de proteção contra lavagem de dinheiro. Ela atua em três frentes:

Identificação do cliente (KYC)

A Circular BCB 3.978/2020 exige que a instituição colete e verifique os dados cadastrais do cliente antes de estabelecer a relação de negócio. A validação de CPF via API permite:

Confirmar que o CPF existe e é válido.
Verificar que o nome declarado corresponde ao nome oficial.
Obter a data de nascimento para cruzamento com outros documentos.

Detecção de inconsistências

CPFs com dados divergentes (nome diferente do declarado) podem indicar:

Uso de documentos falsos.
Tentativa de criar contas com identidades fictícias.
Laranjas (pessoas que emprestam seus dados para operações ilícitas).

Evidência de diligência

Os logs de validação de CPF servem como prova de que a fintech realizou a devida diligência na identificação do cliente, conforme exigido pelo regulador.

Implementando PLD/FT com validação de CPF

Fluxo recomendado

Onboarding — Cliente informa CPF e dados pessoais.
Validação via API — Sistema consulta a API de CPF para verificar os dados.
Análise de risco — Com base nos dados retornados, o cliente é classificado em uma categoria de risco.
Decisão — Onboarding aprovado, rejeitado ou encaminhado para análise manual.
Monitoramento contínuo — Transações são monitoradas e CPF é revalidado periodicamente.
Comunicação ao COAF — Operações suspeitas são reportadas dentro do prazo.

Exemplo de integração em Python

import requests
from datetime import datetime

def verificar_cpf_pld(cpf, nome_declarado):
    """
    Valida CPF como parte do processo de PLD/FT.
    Retorna resultado da verificacao com dados para analise de risco.
    """
    url = f"https://api.cpfhub.io/cpf/{cpf}"
    headers = {
    "x-api-key": "SUA_CHAVE_DE_API",
    "Accept": "application/json"
    }

    response = requests.get(url, headers=headers, timeout=10)
    dados = response.json()

    resultado = {
    "cpf": cpf,
    "timestamp": datetime.utcnow().isoformat(),
    "etapa": "PLD/FT - Identificacao do cliente"
    }

    if not dados.get("success"):
    resultado["status"] = "REJEITADO"
    resultado["motivo"] = "CPF invalido ou nao encontrado"
    resultado["risco"] = "ALTO"
    return resultado

    nome_oficial = dados["data"]["nameUpper"]
    nome_comparacao = nome_declarado.upper().strip()

    if nome_oficial != nome_comparacao:
    resultado["status"] = "PENDENTE_ANALISE"
    resultado["motivo"] = "Nome divergente"
    resultado["risco"] = "ALTO"
    resultado["nome_oficial"] = dados["data"]["name"]
    else:
    resultado["status"] = "APROVADO"
    resultado["risco"] = "BAIXO"
    resultado["dados_validados"] = {
    "nome": dados["data"]["name"],
    "nascimento": dados["data"]["birthDate"],
    "genero": dados["data"]["gender"]
    }

    return resultado

resultado = verificar_cpf_pld("12345678900", "Joao da Silva")
print(resultado)

Classificação de risco baseada em CPF

Resultado da validação	Classificação de risco	Ação recomendada
CPF válido, nome confere	Baixo	Prosseguir com onboarding
CPF válido, nome divergente	Alto	Encaminhar para análise manual
CPF não encontrado	Alto	Rejeitar onboarding
Erro na consulta	Indeterminado	Retry + análise manual

Essa classificação inicial deve ser combinada com outras variáveis (valor da transação, perfil do produto, país de origem) para compor a avaliação completa de risco.

Obrigações de comunicação ao COAF

Quando uma operação é classificada como suspeita, a fintech deve:

Analisar internamente — O setor de compliance deve avaliar a operação.
Comunicar ao COAF em até 24 horas — Utilizando o sistema SISCOAF.
Manter sigilo — O cliente não deve ser informado sobre a comunicação.
Registrar a evidência — A decisão de comunicar ou não deve ser documentada, incluindo os dados da validação de CPF.

Requisitos de registro e auditoria

A Circular BCB 3.978/2020 exige que os registros de PLD/FT sejam mantidos por no mínimo 10 anos. Isso inclui:

Dados cadastrais do cliente (incluindo CPF validado).
Registros de transações.
Análises de risco realizadas.
Comunicações ao COAF.
Logs de consultas de CPF via API.

A retenção dos logs de validação de CPF é um requisito direto de auditoria regulatória — certifique-se de que seu sistema de logs preserve o timestamp, o resultado da validação e a versão da API utilizada em cada chamada.

Planos recomendados para fintechs

Gratuito (R$ 0/mês) — 50 consultas/mês. Adequado para fintechs em fase de sandbox regulatório.
Pro (R$ 149/mês) — 1.000 consultas/mês, SLA 99%. Para fintechs em operação com volume moderado.
Corporativo (sob consulta) — Volume personalizado, SLA 99,9%, suporte dedicado 24/7. Para fintechs com alto volume de onboarding.

Perguntas frequentes

Quais fintechs são obrigadas a ter programa de PLD/FT?

Todas as fintechs com licença do BACEN (SCD, SEP, IP) e as que operam como correspondentes bancários. Empresas de câmbio, fintechs de criptoativos e plataformas de crédito também estão sujeitas, conforme o modelo de negócio e a regulação aplicável.

O que deve constar no programa de PLD/FT de uma fintech?

O programa mínimo inclui: política de identificação de clientes (KYC), procedimentos de due diligence, monitoramento de transações, lista de PEPs e sanções, treinamento de equipe e canal de reporte ao COAF. A validação de CPF via API é a implementação técnica da etapa de KYC.

Qual o prazo para reportar operações suspeitas ao COAF?

Operações suspeitas devem ser comunicadas ao COAF no prazo de 24 horas após a identificação da suspeita. A validação de CPF contribui indiretamente: com identidades confirmadas, o sistema consegue rastrear padrões anômalos por CPF e acionar alertas automaticamente.

Fintechs menores precisam do mesmo nível de PLD/FT que bancos grandes?

O BACEN aplica proporcionalidade: o programa de PLD/FT deve ser adequado ao porte, ao volume de operações e ao perfil de risco da fintech. Mas as obrigações básicas — como identificação e verificação de clientes — são as mesmas independentemente do tamanho. A validação via API é acessível mesmo para fintechs em estágio inicial.

Conclusão

A conformidade PLD/FT é uma obrigação inegociável para fintechs no Brasil, e a validação de CPF é a base desse processo. Uma API de consulta confiável permite automatizar a identificação de clientes, detectar inconsistências e gerar evidências de diligência para auditoria.

Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito — e implemente hoje mesmo a validação de CPF como primeira camada do seu programa de PLD/FT.

CPFHub.io

Pronto para integrar a API?

50 consultas gratuitas para testar agora. Sem cartão de crédito. Acesso imediato à documentação.

Começar grátis Ver documentação

Sobre a redação

Redação CPFHub.io

Time editorial especializado em APIs de CPF, identidade digital e compliance no mercado brasileiro. Produzimos guias técnicos, análises regulatórias e tutoriais sobre LGPD e KYC para desenvolvedores e líderes de produto.

PLD/FT para fintechs: guia prático de conformidade com validação de CPF