Compliance, Fintechs

PCC e CV classificados como terroristas: o que sua fintech precisa fazer e como evitar sanções da OFAC em 2026

Escrito por Luiza Queiroz, advogada especialista em societário para fintechs e empresas do setor financeiro na NDM Advogados.

Desde 2014 oferecemos assessoria jurídica completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 08/06/2026

Em maio de 2026, o governo dos Estados Unidos classificou o Primeiro Comando da Capital (PCC) e o Comando Vermelho (CV) como organizações terroristas estrangeiras. Com a inclusão das facções na lista SDN da OFAC a partir de 28 de maio de 2026, fintechs brasileiras que utilizam infraestrutura ou correspondentes em dólares precisam atualizar imediatamente seus sistemas de KYC e PLD-FT. A falta de adequação pode resultar na perda de parceiros internacionais e aplicação de multas severas. 

Este artigo explica o que mudou, o que isso exige da sua operação e quais os riscos de não agir.

O que aconteceu e por que isso importa para o seu negócio

A designação americana tem duas camadas. A primeira, em vigor desde 28 de maio de 2026, incluiu o PCC e o CV na lista SDN da OFAC, que é o órgão do Tesouro americano responsável por sanções econômicas. Essa lista já era conhecida do mercado financeiro por incluir países, organizações criminosas e indivíduos com os quais instituições americanas não podem fazer negócios. A segunda camada classifica as facções como organizações terroristas estrangeiras, categoria que ativa obrigações ainda mais severas no direito americano.

A razão pela qual isso afeta empresas brasileiras é técnica. O regime de sanções americano se aplica a toda transação que passa por dólares, por banco correspondente nos Estados Unidos ou por infraestrutura tecnológica com sede no país. Isso inclui a maior parte das transferências internacionais, os principais gateways de pagamento e os provedores de nuvem mais usados pelo mercado. Mesmo que sua empresa nunca tenha negociado conscientemente com nenhuma das facções, a exposição existe onde a cadeia financeira cruza o sistema americano.

O que muda na operação da sua fintech e como evitar sanções da OFAC

A mudança mais imediata é a necessidade de atualizar as listas de screening utilizadas nos processos de KYC e monitoramento de transações. O CV não constava de nenhuma lista anterior da OFAC, o que significa que sistemas configurados antes de 28 de maio simplesmente não o identificavam. Revisar essa configuração não é opcional para quem mantém operações com interface internacional.

A segunda mudança é na profundidade do monitoramento de contrapartes. O compliance de PLD-FT baseado apenas em listas de PEP e de sanções formais já não é suficiente para o cenário atual. O ambiente econômico do crime organizado é capilar e se manifesta em fornecedores, prestadores de serviços e parceiros comerciais que atuam em regiões com alta presença das facções. A due diligence de terceiros precisa alcançar pelo menos duas camadas de relacionamento para que a empresa possa demonstrar que tomou as precauções razoáveis.

A terceira mudança é documental. Sua política interna de PLD-FT precisa registrar expressamente como a empresa trata organizações designadas como terroristas por autoridades estrangeiras, mesmo quando essa designação não tem equivalência no direito brasileiro. 

A ambiguidade que ainda não foi resolvida

A Lei Antiterrorismo brasileira (Lei nº 13.260/2016) não foi alterada e o Brasil não reclassificou as facções em seu ordenamento interno. Isso significa que o dever de tratar o PCC e o CV como organizações terroristas para fins de compliance no direito brasileiro ainda não está definido com clareza e será construído caso a caso pelos reguladores e pelo Judiciário.

O que não está em aberto é a exposição extraterritorial. A OFAC pode investigar e autuar qualquer empresa ou pessoa cuja transação passe pelo sistema financeiro americano, independentemente de onde a empresa esteja sediada. A extensão prática desse alcance sobre contrapartes brasileiras de segundo e terceiro grau ainda será delimitada por precedentes, mas a posição mais segura é tratar o risco como real e presente, não como hipótese remota.

Outro ponto que merece atenção é que crime de apoio material previsto no direito americano, que pode alcançar quem fornece recursos ou serviços a uma organização terrorista estrangeira, exige que a pessoa saiba da natureza da organização. Isso não significa que a empresa precisa ter agido intencionalmente a favor das facções, mas significa que ignorância deliberada, isto é, deixar de investigar o que era razoavelmente investigável, não funciona como defesa. Esse ponto ainda será construído pela jurisprudência americana, mas a direção já está clara.

Os principais riscos para fintechs brasileiras

O risco mais imediato para a maioria das fintechs éa perda do relacionamento com bancos correspondentes internacionais antes de qualquer processo formal.

Bancos americanos que processam transferências e fornecem acesso ao sistema de dólares operam sob obrigação direta de compliance com a OFAC. Quando percebem que uma fintech parceira não atualizou seus controles, não monitora terceiros e não tem política formal para lidar com novas designações, a decisão de encerrar o relacionamento pode vir sem aviso prévio. Esse fenômeno, conhecido no mercado como de-risking, tem efeito imediato sobre a capacidade operacional da empresa e não depende de comprovação de nenhuma irregularidade.

O segundo risco é reputacional e tem dinâmica própria. A simples associação entre uma fintech e organizações recém-classificadas como terroristas, mesmo que investigada e descartada, é suficiente para paralisar negociações de rodada de investimento, acionar cláusulas de due diligence em contratos com parceiros internacionais e gerar cobertura de imprensa que antecede qualquer decisão regulatória. No setor financeiro, onde a confiança é o principal ativo, a contaminação reputacional não espera o encerramento do processo formal.

Quem responde e com quais sanções

No plano americano, a OFAC pode aplicar multa por violação da SDN List mesmo sem comprovação de dolo. A penalidade pode chegar ao maior valor entre USD 368.136 por transação ou o dobro do montante da operação, e é possível a cumulação por cada violação. Para a categoria de terrorismo, a responsabilidade criminal pode alcançar pessoas físicas com pena de até 20 anos de prisão, exigindo, nesse caso, prova de que o agente sabia da natureza da organização.

No plano brasileiro, o descumprimento de deveres de PLD-FT pode gerar sanção administrativa que vai de advertência à inabilitação de administradores, com multa de até R$ 20 milhões ou o dobro do lucro obtido com a infração, conforme a Lei nº 9.613/1998. A responsabilidade da pessoa jurídica não exclui a da pessoa física responsável pela área, o que inclui o diretor de compliance, o CEO e os membros do conselho que deliberadamente ignoraram alertas de risco identificáveis.

JurisdiçãoÓrgão ReguladorSanções FinanceirasSanções Administrativas e Penais
Estados UnidosOFACMulta de até USD 368.136 por transação ou o dobro do montante da operação.Responsabilidade criminal com pena de até 20 anos de prisão.
BrasilCOAF / BACENMulta de até R$ 20 milhões ou o dobro do lucro obtido com a infração.Advertência e inabilitação de administradores.

O custo que não está na tabela de sanções

Sanções formais representam apenas uma parte do custo real de uma falha de compliance nesta matéria. O que costuma ser subestimado é o custo que ocorre antes de qualquer processo regulatório ser aberto.

A perda de correspondente bancário internacional, por exemplo, pode inviabilizar operações da noite pro dia, sem prazo para reconstituição do relacionamento. Paralelamente, a paralisia de uma rodada de captação ao primeiro sinal de problema reputacional pode comprometer meses de trabalho e afetar o valuation da empresa. Além disso, o encerramento abrupto de contratos de parceria por cláusulas de compliance representa receita imediatamente perdida. Como se não bastasse, em futuros  processos de M&A ou de ingresso em grandes clientes corporativos, o histórico de falhas de compliance aparece em due diligences mesmo anos depois do ocorrido.

Afinal, o mercado tem memória mais longa do que o prazo prescricional das infrações administrativas. Por isso, construir o programa antes que o problema se materialize é sempre mais barato do que tentar reconstruir a reputação depois.

https://compliance.ndmadvogados.com.br/

O que um protocolo estruturado resolve

Nenhum programa de compliance elimina completamente o risco em um ambiente de crime organizado com a presença econômica que o PCC e o CV têm no Brasil. O que um programa estruturado entrega é a capacidade de demonstrar, diante de qualquer autoridade, parceiro ou investidor, que a empresa agiu com a diligência exigível dado o estado atual do risco e do ordenamento jurídico.

Essa demonstração começa pela atualização imediata das listas de screening para incluir as facções com seus aliases (apelidos/vulgos) e estruturas associadas. Segue com a revisão da política de PLD-FT para incorporar o tratamento de organizações designadas por autoridades estrangeiras. Passa pela estruturação de due diligence de terceiros com profundidade proporcional ao perfil de risco da operação. E se consolida em um processo documentado de revisão periódica, com trilha de auditoria que permita mostrar que os controles são ativos e não apenas formais.

A partir disso, resumimos algumas ações imediatas que a sua fintech deve adotar:

  • Atualizar imediatamente as listas de screening para incluir as facções e suas estruturas associadas.
  • Revisar a política de PLD-FT para incorporar o tratamento de organizações designadas por autoridades estrangeiras.
  • Estruturar processos de due diligence de terceiros que alcancem pelo menos duas camadas de relacionamento.
  • Manter um processo documentado de revisão com trilha de auditoria

Agir antes que o problema apareça é a única posição que o direito reconhece como defesa efetiva. Depois que a transação ocorre ou que o parceiro encerra o relacionamento, o programa que não existia não pode ser retroativamente construído.

Se sua fintech ainda não revisou os controles de PLD-FT à luz dessas mudanças, o momento de fazer isso é agora.

FAQ – Perguntas Frequentes

1. Por que a decisão dos EUA afeta minha fintech no Brasil? O regime de sanções americano se aplica a qualquer transação que utilize dólares, infraestrutura tecnológica sediada nos EUA ou bancos correspondentes americanos.

2. O Brasil também considera o PCC e o CV como organizações terroristas? Não automaticamente. A Lei Antiterrorismo brasileira (Lei nº 13.260/2016) não foi alterada e o Brasil não reclassificou essas facções em seu ordenamento interno.

3. O que acontece se a minha fintech não atualizar as políticas de PLD-FT? O risco mais imediato é o “de-risking”, onde bancos americanos encerram o relacionamento com a sua empresa sem aviso prévio. Além disso, a empresa fica exposta a multas milionárias aplicadas pela OFAC e danos reputacionais em rodadas de investimento.4. O Comando Vermelho (CV) já estava nas listas de sanções? Não. O CV não constava de nenhuma lista anterior da OFAC. Portanto, sistemas configurados antes de 28 de maio de 2026 não identificavam a facção, tornando a atualização das listas de screening obrigatória e urgente.

NDM Advogados especializado em fintechs, startups, instituições de pagamento e empresas de tecnologia https://contato.ndmadvogados.com.br/?utm_source=banner_blog&utm_medium=blog&utm_campaign=contato_lovable_home_botao_lateral&utm_content=contato_lovable_home_botao_lateral

Compartilhe esse conteúdo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Fique por dentro das nossas novidades!

Inscreva-se para receber atualizações exclusivas.

Entre em
contato conosco

Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!

Estamos prontos para ajudar seu negócio a crescer. Agende uma consulta e saiba mais!