Fiscalização PLD-FT: O que mais reprova gestoras de recursos na fiscalização da CVM

Escrito por Luiza Queiroz, advogada especialista em societário para fintechs e empresas do setor financeiro na NDM Advogados.

Desde 2014 oferecemos assessoria jurídica completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 16/06/2026

A Comissão de Valores Mobiliários intensificou a fiscalização de PLD-FTP sobre gestoras de recursos e os números mostram isso com clareza. Em 2025, o número de stop orders quase triplicou em relação ao ano anterior, e o volume de processos com potencial sancionador atingiu 729 somente no segundo semestre de 2024, segundo o Relatório de Atividade Sancionadora da CVM.

O marco que norteia esse processo é a Resolução CVM 50/2021, que revogou a Instrução CVM 617 e elevou o padrão de exigência para as políticas de PLD-FTP no mercado de capitais. A norma está em vigor há mais de três anos e a CVM já tem um mapa claro dos pontos que mais geram autuação.

Este artigo apresenta as falhas mais recorrentes identificadas em processos de supervisão e o que sua gestora precisa revisar antes de receber uma fiscalização.

De início, aqui estão alguns conceitos e definições importantes:

• Resolução CVM 50/2021: Norma que revogou a antiga ICVM 617, modernizando as regras de PLD-FTP para alinhar o Brasil aos padrões internacionais do GAFI.
• Abordagem Baseada em Risco (ABR): Princípio que exige que os controles da gestora sejam proporcionais ao risco real de seus clientes, produtos e canais de distribuição.
• Beneficiário Final (UBO): A pessoa física que, em última instância, detém, controla ou se beneficia dos recursos alocados.
• PLD-FT: Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo. É um conjunto de normas, políticas e procedimentos de compliance utilizados por instituições financeiras, empresas e órgãos reguladores para evitar que o sistema econômico seja usado para ocultar recursos de origem ilícita ou financiar atos terroristas.

Os 5 erros mais comuns na fiscalização de PLD-FT da CVM

1. Política de PLD-Ft genérica ou desatualizada

A falha mais comum é a existência de uma política de PLD-FTP aprovada e arquivada, mas que não reflete o perfil real da gestora. Isso acontece de duas formas. A política foi elaborada quando a norma entrou em vigor e nunca foi revisada, ou foi construída a partir de um modelo padrão de mercado sem nenhuma adaptação ao tipo de produto, ao perfil de cotistas ou aos canais de distribuição da gestora.

A Resolução CVM 50 exige que a política seja compatível com a natureza, o porte, a complexidade e o modelo de negócio da instituição. Uma política que descreve um fluxo de análise que nunca foi colocado em prática é tratada pelo regulador como política inexistente. Ter o documento não é suficiente. É preciso ter evidência de que os processos descritos nele realmente acontecem.

2. Avaliação interna de risco ausente ou superficial

A avaliação interna de risco é o mecanismo que demonstra que a Abordagem Baseada em Risco não é só um conceito na política, mas um processo ativo. O artigo 8 da Resolução CVM 50 exige que o diretor responsável elabore esse relatório periodicamente e o encaminhe à alta administração.

O que a CVM encontra com frequência é diferente. Muitas gestoras ou não produziram o relatório nenhuma vez desde que a norma entrou em vigor, ou o fizeram uma única vez em 2021 como ato inaugural e nunca repetiram. Outras apresentam documentos com categorias de risco genéricas, sem metodologia de priorização e sem nenhuma evidência de que o resultado influenciou alguma decisão concreta de controle. Quando o perfil de risco da gestora muda e a avaliação não acompanha, todos os controles construídos a partir dela estão potencialmente subdimensionados.

3. Beneficiário final identificado pela metade

O artigo 13 da Resolução CVM 50 exige a identificação da pessoa física que, em última instância, detém ou controla o cliente, com percentual de referência definido pela própria gestora, limitado ao teto de 25%. Na prática, gestoras que atendem cotistas pessoas jurídicas frequentemente param no primeiro nível societário sem rastrear a cadeia completa de controle. Quando o cotista é um fundo estrangeiro, um trust ou uma estrutura com múltiplas camadas, o problema se agrava.

O artigo 16 da norma determina que, quando não for possível identificar o beneficiário final após as diligências realizadas, a situação deve ser documentada e analisada, podendo resultar em comunicação ao COAF ou em recusa de continuidade do relacionamento. Deixar o campo em branco no cadastro sem nenhuma ação registrada é descumprimento direto da norma.

Como evidenciar a identificação do beneficiário final

Rastrear a cadeia societária até a pessoa física é apenas parte do processo. A outra etapa, igualmente relevante sob a ótica da fiscalização, é demonstrar como essa identificação foi realizada, quais fontes foram consultadas e quando as verificações ocorreram. Um cadastro contendo apenas o nome do beneficiário final, sem registro das diligências que levaram à sua identificação, pode ser insuficiente para comprovar o cumprimento das obrigações regulatórias.

Nesse contexto, muitas gestoras adotam ferramentas de apoio ao processo de KYC e due diligence para documentar as etapas de identificação e verificação. O NDM Check permite consolidar informações societárias, mapear a cadeia de controle de pessoas jurídicas e registrar as consultas realizadas em fontes públicas e listas restritivas, incluindo a Lista CSNU. O resultado é um relatório que reúne as evidências da diligência realizada, facilitando a manutenção dos registros exigidos pela regulamentação e a apresentação dessas informações em eventual fiscalização da CVM.

4. Monitoramento sem trilha de auditoria

O artigo 25 da Resolução CVM 50 exige o registro de toda operação envolvendo valores mobiliários de forma a permitir a verificação da movimentação financeira de cada cliente. O que o regulador verifica em fiscalizações é se o monitoramento é real e documentado, não apenas declarado na política. Uma gestora que não tem evidência de que os alertas foram gerados, analisados e concluídos não passa nesse ponto.

A tempestividade das comunicações ao COAF também é verificada. O artigo 22 da norma exige que as comunicações de operações suspeitas sejam feitas em prazo adequado e contenham os elementos mínimos exigidos, incluindo qualificação dos envolvidos, identificação de pessoas politicamente expostas e relato fundamentado dos sinais de alerta. Comunicações genéricas ou incompletas são rejeitadas e evidenciam a fragilidade do processo.

5. O diretor responsável que não responde pela função

A Resolução CVM 50 criou uma responsabilidade individual clara para o diretor estatutário responsável pelo cumprimento da norma. O artigo 8 determina que ele deve implementar e manter a política, elaborar o relatório de avaliação interna e comunicar situações relevantes à alta administração. Essa responsabilidade não é delegável.

O problema recorrente em fiscalizações é o diretor que figura no registro da CVM como responsável pelo PLD-FTP, mas que na prática delega tudo para analistas ou para prestadores externos sem nenhum envolvimento real nas decisões. Quando a CVM verifica que o diretor desconhece os processos, não assinou os relatórios e não tem acesso efetivo às informações, a responsabilidade pessoal fica facilmente demonstrável. O mesmo vale para o conselho de administração, que o artigo 9 da norma responsabiliza pela aprovação e adequação da política e dos controles internos.

Expectativa do Regulador vs. Realidade das Gestoras

Por que tantas gestoras são autuadas? A resposta geralmente está na diferença entre o que a política diz e o que a operação faz.

Quem responde e com quais sanções

O regime sancionador está previsto no artigo 29 da Resolução CVM 50 combinado com a Lei nº 9.613/1998 e com a competência sancionadora da CVM prevista na Lei nº 6.385/1976. As penalidades incluem:  

• Multas Pesadas: Até R$ 20 milhões ou o dobro do lucro obtido com a infração.
• Inabilitação: Bloqueio temporário de administradores por até 20 anos.
• Cassação: Perda da autorização para operar

A responsabilidade da pessoa jurídica não exclui a do diretor responsável e não se extingue com a saída do cargo.

A CVM tem utilizado os Termos de Compromisso como alternativa ao processo sancionador pleno, com redução de penalidade entre um terço e dois terços do valor aplicável após confissão da infração. Esse instrumento é relevante para gestoras que identificam falhas e querem regularizar antes de uma autuação formal, mas depende de abordagem proativa e assistência jurídica especializada para ser efetivo.

Checklist: O que um programa estruturado resolve

O padrão da CVM não exige perfeição. Exige proporcionalidade e evidência. Uma gestora que demonstra os pontos a seguir está em posição defensável perante o regulador:

[ ] Mapeou os riscos com metodologia documentada;

[ ] Revisou a política de PLD-FTP nos últimos 12 meses;

[ ] Mantém trilha de auditoria inviolável de todos os alertas analisados;

[ ] Produziu e assinou o relatório anual pelo diretor estatutário..

O que o regulador não aceita é a inconsistência entre o que a política descreve e o que os registros operacionais demonstram. Essa inconsistência é verificável em qualquer supervisão e é o principal critério que define se a gestora sai de uma fiscalização com um ofício de alerta ou com a abertura de processo sancionador. O custo de estruturar o programa antes é mensurável. O custo de não tê-lo, quando a fiscalização chega, não é.

Se sua gestora ainda não revisou a política de PLD-FTP, não produziu a avaliação interna de risco nos últimos 12 meses ou tem dúvida sobre a profundidade do processo de identificação de beneficiários finais, o momento de agir é agora.

FAQ – Perguntas Frequentes

1. O que acontece se eu não conseguir identificar o Beneficiário Final? O artigo 16 da Resolução CVM 50 determina que, esgotadas todas as diligências, a situação deve ser amplamente documentada. Isso pode resultar no encerramento (ou recusa) do relacionamento com o cotista e em comunicação de operação suspeita ao COAF. Simplesmente ignorar não é uma opção.

2. A CVM costuma aceitar acordos em caso de falhas de PLD-FTP? Sim. A CVM tem utilizado os Termos de Compromisso como alternativa ao processo sancionador pleno. Isso pode gerar uma redução de penalidade entre 30% e 60% após a confissão. Porém, isso exige uma abordagem proativa e assessoria jurídica especializada antes da autuação formal.

3. Um diretor estatutário pode ser punido por falhas de um analista terceirizado? Sim. A Resolução CVM 50 cria uma responsabilidade “in vigilando” (dever de fiscalizar). A terceirização de ferramentas ou análises não exime o diretor e o conselho de administração da responsabilidade final pela adequação dos controles.

4. Com que frequência a Avaliação Interna de Risco deve ser refeita? A norma não fixa um prazo engessado em meses, mas exige periodicidade compatível com o negócio. O padrão de mercado (e a expectativa dos auditores) é que ela seja revisada ao menos anualmente ou sempre que houver mudança significativa nos produtos ou perfil de clientes da gestora.