Compliance, Fintechs

Como evidenciar o KYC para fiscalização do BACEN – com exemplo prático de dossiê auditável 

Escrito por Marília Pavinski, advogada especialista em societário para fintechs e empresas do setor financeiro na NDM Advogados.

Desde 2014 oferecemos assessoria jurídica completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 09/06/2026

Se a sua instituição está sob fiscalização do Banco Central do Brasil ou se prepara para uma inspeção regulatória, uma das primeiras perguntas a serem feitas é: “Você tem como evidenciar o seu processo de KYC?”

Ter uma Política de KYC (Know Your Customer) escrita não é suficiente. O BACEN exige que você demonstre, de forma rastreável e documentada, que cada etapa do processo foi realmente executada.

Neste artigo, você vai entender o que significa evidenciar o processo de KYC, o que o BACEN espera encontrar em uma fiscalização, como montar um dossiê auditável na prática e quais são os erros mais comuns que colocam instituições em risco durante esse processo.

1) O QUE É O KYC E POR QUE O BACEN EXIGE EVIDÊNCIAS DO PROCESSO?

O KYC é o conjunto de procedimentos que uma instituição regulada deve adotar para conhecer e verificar a identidade de seus clientes, avaliar o seu perfil de risco e monitorar o relacionamento ao longo do tempo. No Brasil, esse processo está entre as principais obrigações relacionadas à PLD/FTP (Prevenção à Lavagem de Dinheiro, ao Financiamento do Terrorismo e à Proliferação de Armas de Destruição em Massa).

O ponto de atenção é que o BACEN não se contenta em saber que esse processo existe. Ele precisa ver que foi executado, quando foi executado, por quem, com base em quais informações e com qual resultado. 

2) O QUE O BACEN ESPERA ENCONTRAR EM UMA FISCALIZAÇÃO DE KYC?

Durante uma fiscalização, é verificado se os controles internos da empresa realmente funcionam. Para o KYC, isso significa verificar elementos como:

ELEMENTOO QUE É VERIFICADO?QUAIS SÃO OS RISCOS?
Política de KYC aprovadaAprovação pela Diretoria, data de vigência e revisão periódica.Deficiência de governança.
Coleta de dados cadastraisCampos coletados, fonte dos dados, data de atualização.Perfil de cliente incompleto.
Validação de identidadeDocumentos aceitos, processo de verificação (manual ou automatizado).Cadastro de clientes não verificados.
Checagem em listas restritivasCSNU, OFAC, Receita Federal, PEP — com data e resultado.Exposição a sanções internacionais e nacionais.
Classificação de risco do clienteMetodologia de pontuação de risco e categorias aplicadas.Ausência de due diligence aprimorada.
Monitoramento contínuoRegistros de revisões periódicas e alertas gerados.KYC desatualizado após onboarding.
Rastreabilidade dos registrosLogs de quem acessou, alterou e de quando cada cadastro foi atualizado.Impossibilidade de auditoria.

Na prática, vemos que instituições que possuem políticas bem redigidas ainda assim podem ser reprovadas em processo de fiscalização e auditoria, pois não foi demonstrado como esses procedimentos são executados na prática.

3) O QUE É UM DOSSIÊ AUDITÁVEL DE KYC?

Um dossiê auditável de KYC é o conjunto organizado e rastreável de documentos, registros e comprovantes que demonstram que cada etapa do processo de identificação e verificação de um cliente foi concluída com sucesso. Não se trata apenas de guardar documentos digitalizados. Um dossiê auditável precisa responder, para qualquer cliente, às seguintes perguntas:

  • Quais dados foram coletados e quando?
  • Quem validou a identidade e com base em qual evidência?
  • O cliente foi checado em listas restritivas? Qual foi o resultado?
  • Qual é o perfil de risco atribuído e qual metodologia foi utilizada?
  • O cadastro foi revisado desde o onboarding? Quando?
  • logs de acesso e alteração para garantir a integridade dos dados?

4) EXEMPLO PRÁTICO: COMO MONTAR UM DOSSIÊ AUDITÁVEL DE KYC

Cenário hipotético: a 123Pay, uma instituição de pagamento autorizada pelo BACEN, recebe um apontamento relacionado à PLD/FTP. O Compliance Officer precisa, em 2 (dois) dias, apresentar os dossiês de KYC de uma amostra de 10 clientes.

Etapa 1: Coleta e registro documental

Cada cliente deve ter um registro com: nome completo/razão social, CPF/CNPJ, data de nascimento, endereço, profissão, faturamento declarado, PEP (sim/não) e origem dos recursos. Esses dados precisam ter:

  • Data exata de coleta.
  • Fonte dos dados (formulário digital, integração com bureau, declaração do cliente).
  • Versão dos documentos aceitos (RG, CNH, passaporte, contendo número e validade).

Etapa 2: Validação de identidade

A validação pode ser manual ou automatizada, mas precisa estar registrada. O dossiê deve conter:

  • Comprovante da verificação (print de tela de ferramenta, log do sistema ou laudo).
  • Resultado da validação (positivo, negativo, pendente).
  • Responsável pela validação e data.

Etapa 3: Checagem em listas restritivas e background check

Esta é uma das etapas mais críticas. A instituição deve demonstrar que verificou o cliente em:

  • Lista de Sanções do CSNU.
  • Lista OFAC.
  • Enquadramento como PEP (Pessoas Expostas Politicamente).
  • Consulta à Receita Federal (situação cadastral do CPF/CNPJ).
  • Dados de mídia negativa e histórico reputacional.

Como o NDM Check evidencia essa etapa

O NDM Check é uma ferramenta desenvolvida por advogados especializados em compliance regulatório para gerar relatórios de background check e KYC com valor auditável. Ao consultar um cliente pelo sistema, a plataforma registra automaticamente a data da consulta, as fontes verificadas, o resultado nas listas restritivas (PEP, CSNU, OFAC, Receita Federal) e o score de risco calculado, tudo consolidado em um relatório rastreável, pronto para ser incluído no dossiê auditável.

Na prática, isso resolve um problema comum: a instituição faz a checagem, mas não guarda o comprovante de que ela aconteceu. Com o NDM Check, cada consulta gera evidência documental pronta para ser apresentada ao BACEN em caso de fiscalização. 

NDM check background check procedimentos de KY (KYC, KYP, KYE, KYS, dentre outros)

Etapa 4: Classificação de risco

Com base nos dados coletados e nas checagens realizadas, o cliente deve ser classificado em uma categoria de risco. A metodologia precisa estar formalizada e o resultado registrado.

Etapa 5: Aprovação e registro de onboarding

O dossiê precisa ter o registro de quem aprovou o ingresso do cliente, em qual data e com qual status. 

Etapa 6: Monitoramento contínuo e revisão periódica

O procedimento de KYC não termina no onboarding. O dossiê deve conter o histórico de revisões do cadastro, incluindo:

  • Data de cada revisão realizada.
  • Eventuais alterações no perfil de risco.
  • Alertas gerados e como foram tratados.
  • Última atualização dos dados cadastrais.

5) OS ERROS MAIS COMUNS QUE COMPROMETEM A EVIDENCIAÇÃO DO KYC

Os erros que mais colocam instituições em risco durante uma fiscalização são:

  • Política sem evidência de execução: ter uma Política de KYC aprovada, mas nenhum log ou registro que prove que o processo foi aplicado a cada cliente.
  • Checagem de listas sem comprovante: fazer a consulta de PEP e CSNU, mas não guardar o resultado.
  • KYC congelado no onboarding: cadastros que nunca foram revisados após a abertura da conta, mesmo com o cliente há anos na base.
  • Dados desatualizados: endereço, faturamento e composição societária de clientes PJ sem revisão recente.
  • Ausência de rastreabilidade: sistemas que permitem alterar cadastros sem log de auditoria.
  • Onboarding de clientes de risco alto sem aprovação formal: aceitar PEPs ou clientes de jurisdições sensíveis sem a realização de enhanced due diligence (devida diligência aprimorada).

6) PERGUNTAS FREQUENTES

1. Toda instituição autorizada é obrigada a ter processo de KYC?

Sim. instituições autorizadas a funcionar pelo BACEN são obrigadas a manter processos estruturados de KYC nos termos da regulamentação aplicável.

2. Com que frequência o KYC precisa ser revisado?

A frequência depende do perfil de risco do cliente e dos procedimentos internos adotados pela instituição, mas um exemplo seria: anualmente para risco baixo, semestralmente para risco médio e trimestralmente para clientes de risco alto.

3. O NDM Check substitui o processo interno de KYC da sua instituição?

Não. O NDM Check é uma ferramenta que gera evidências auditáveis de consultas realizadas, especialmente para a etapa de background check, checagem de listas restritivas e score de risco. Ele complementa e documenta o processo interno da instituição, mas a Política de KYC, a metodologia de classificação de risco e os controles internos continuam sendo responsabilidade da própria organização.

7) CONCLUSÃO: A EVIDÊNCIA É O SEU PRINCIPAL ATIVO EM UMA FISCALIZAÇÃO

Processos de KYC mal evidenciados são um dos principais achados em fiscalizações do BACEN. Não porque as empresas não fazem KYC, na maioria dos casos, fazem, mas porque não conseguem provar que fizeram.

A diferença entre uma instituição que passa na fiscalização está muitas vezes relacionada à capacidade de apresentar os registros corretos, no momento certo, de forma organizada e rastreável.

É nessa etapa de transformar checagem em evidência que o NDM Check foi pensado pelo nosso time de compliance regulatório: cada consulta vira um relatório rastreável, pronto para compor o dossiê auditável que o BACEN espera encontrar. Para entender melhor como o NDM Check funciona, clique aqui.

NDM Advogados especializado em fintechs, startups, instituições de pagamento e empresas de tecnologia https://contato.ndmadvogados.com.br/?utm_source=banner_blog&utm_medium=blog&utm_campaign=contato_lovable_home_botao_lateral&utm_content=contato_lovable_home_botao_lateral

Compartilhe esse conteúdo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Fique por dentro das nossas novidades!

Inscreva-se para receber atualizações exclusivas.

Entre em
contato conosco

Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!

Estamos prontos para ajudar seu negócio a crescer. Agende uma consulta e saiba mais!