Voltar ao site SAFIE →
Compliance e PLD cripto

Compliance e PLD Cripto: o que exige a lei

Por · · 5 min de leitura
Compliance e PLD Cripto: o que exige a lei

A corretora Kraken anunciou que migrará a tecnologia de suporte ao seu Wrapped Bitcoin (kBTC) do protocolo LayerZero para a infraestrutura da Chainlink. A informação foi publicada pelo Portal do Bitcoin e integra um movimento mais amplo de abandono do LayerZero por parte de projetos relevantes do setor, motivado por questionamentos sobre segurança e governança do protocolo.

À primeira vista, a notícia parece restrita ao universo técnico dos desenvolvedores blockchain. Mas ela carrega implicações relevantes para o compliance de exchanges e para a análise jurídica de ativos encapsulados no Brasil. Tokens como o Wrapped Bitcoin (WBTC, kBTC e similares) são instrumentos que representam Bitcoin em redes como Ethereum, e dependem de infraestruturas de ponte (bridges) para existir. A escolha do protocolo que sustenta essa ponte não é neutra do ponto de vista regulatório.

Este artigo analisa o que a decisão da Kraken revela sobre os riscos de compliance associados a tokens encapsulados e protocolos de interoperabilidade, e o que as normas brasileiras exigem das empresas que operam ou oferecem esses produtos aos seus clientes.

Contexto jurídico e regulatório

O enquadramento regulatório das VASPs no Brasil

A Lei 14.478, de 21 de dezembro de 2022, estabeleceu o marco legal para prestadores de serviços de ativos virtuais no Brasil, denominados VASPs (Virtual Asset Service Providers). A norma atribuiu ao Banco Central a competência para autorizar e supervisionar essas entidades, competência que está sendo exercida progressivamente desde 2023.

A Resolução BCB 316/2023 detalhou os requisitos de autorização e funcionamento das VASPs, incluindo exigências de estrutura de governança, controles internos e, de forma expressa, a implementação de programas de prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT). Essas obrigações seguem também o disposto na Lei 9.613/1998 (Lei de Lavagem de Dinheiro), com as alterações trazidas pela Lei 12.683/2012.

Tokens encapsulados e a rastreabilidade exigida pelo COAF

O Conselho de Controle de Atividades Financeiras (COAF) enquadra as VASPs como pessoas obrigadas à comunicação de operações suspeitas, nos termos da Resolução COAF 36/2021. O ponto crítico aqui é a rastreabilidade das transações: a obrigação de identificar a origem e o destino dos recursos aplica-se inclusive quando os ativos circulam por meio de tokens encapsulados ou pontes entre blockchains.

Quando uma exchange oferece um produto como o kBTC da Kraken, ela está intermediando um ativo sintético lastreado em Bitcoin, mas que circula em outra rede. A rastreabilidade dessa estrutura depende diretamente da qualidade e da transparência do protocolo de ponte utilizado. Protocolos com falhas de auditoria ou governança opaca criam lacunas que dificultam o cumprimento das obrigações de PLD, pois tornam mais difícil rastrear a origem dos ativos até o Bitcoin subjacente.

A substituição do LayerZero pelo Chainlink, nesse contexto, tem relevância regulatória: o Chainlink opera com uma rede de oráculos com maior histórico de auditorias públicas e transparência de governança. Do ponto de vista do compliance, a escolha de infraestruturas mais auditáveis é um critério que reguladores estão começando a observar com mais atenção, especialmente após os colapsos de pontes como Ronin (US$ 625 milhões em 2022) e Wormhole (US$ 320 milhões em 2022).

A Travel Rule e os desafios das pontes blockchain

O Grupo de Ação Financeira Internacional (GAFI/FATF) publicou orientações em 2021 que estendem a chamada Travel Rule, que exige a transmissão de dados do remetente e do destinatário em transferências acima de US$ 1.000, para o ambiente cripto. O Brasil está em processo de implementação dessas diretrizes, e o Banco Central já sinalizou que a Travel Rule será parte das exigências para VASPs autorizadas.

O problema prático é que pontes blockchain, por natureza, fragmentam o fluxo de informações entre redes distintas. Quando um usuário converte Bitcoin em kBTC usando uma bridge, os dados que identificam o originador da transação podem não ser preservados de forma legível entre as duas redes. Protocolos com melhor documentação e padrões técnicos mais robustos, como o Chainlink CCIP (Cross-Chain Interoperability Protocol), oferecem mecanismos mais compatíveis com a preservação de metadados exigida pela Travel Rule.

Impacto prático

Para exchanges e custodiantes brasileiros que oferecem tokens encapsulados em sua grade de produtos, a escolha da infraestrutura de bridge deixou de ser apenas uma decisão técnica. Ela integra o escopo do programa de PLD/FT da empresa, que deve contemplar a avaliação de risco dos protocolos utilizados, a qualidade de suas auditorias e o histórico de incidentes de segurança.

Na prática, isso significa que o compliance officer de uma VASP precisa, em 2026, incluir em seu mapeamento de riscos não apenas os clientes e as transações, mas também os protocolos de infraestrutura que sustentam os produtos ofertados. Uma bridge com governança opaca ou sem auditoria recente é um fator de risco que deve constar da matriz de risco da instituição, com controles proporcionais ao seu impacto potencial.

Para investidores e usuários, o recado é mais direto: exchanges que migram para infraestruturas mais auditáveis e transparentes tendem a apresentar menor risco de interrupção abrupta de serviços e maior aderência às exigências regulatórias que estão sendo consolidadas no Brasil. A due diligence sobre o ambiente técnico que sustenta um produto cripto é, portanto, parte da avaliação de risco de qualquer investidor institucional ou profissional.

Considerações finais

A decisão da Kraken de migrar do LayerZero para o Chainlink ilustra como escolhas de infraestrutura técnica têm dimensões regulatórias reais. No Brasil, onde o marco regulatório das VASPs está sendo consolidado pelo Banco Central e pelo COAF, a rastreabilidade, a auditabilidade e a governança dos protocolos utilizados por exchanges são elementos que compõem o programa de compliance exigido por lei.

Empresas que ainda tratam a escolha de bridges e protocolos de interoperabilidade como decisão exclusivamente técnica correm o risco de acumular passivos regulatórios silenciosos. O momento de estruturar ou revisar o programa de PLD/FT, incluindo a avaliação de infraestrutura, é antes da fiscalização, e não depois dela.

Perguntas frequentes

O que é um token encapsulado (wrapped token) e como ele se enquadra na regulação brasileira?

Um token encapsulado é um ativo digital que representa outro ativo (como o Bitcoin) em uma rede blockchain diferente. No Brasil, esses tokens são enquadrados como ativos virtuais nos termos da Lei 14.478/2022, e as exchanges que os oferecem são consideradas VASPs, sujeitas à autorização do Banco Central e às obrigações de PLD/FT do COAF.

O que é a Travel Rule e ela já se aplica às exchanges brasileiras?

A Travel Rule é uma diretriz do GAFI que exige que VASPs transmitam dados de identificação do remetente e do destinatário em transferências de criptoativos acima de um determinado valor (geralmente US$ 1.000). O Brasil ainda está implementando essa exigência formalmente, mas o Banco Central já sinalizou que ela integrará os requisitos das VASPs autorizadas. Exchanges devem preparar seus sistemas agora.

Uma bridge blockchain pode criar risco de compliance para uma exchange?

Sim. Protocolos de ponte (bridges) que não preservam metadados de transações, têm governança opaca ou carecem de auditorias regulares dificultam o cumprimento das obrigações de rastreabilidade exigidas pela Lei 9.613/1998 e pela Resolução COAF 36/2021. A escolha da infraestrutura técnica é, portanto, um elemento do programa de PLD/FT de qualquer VASP.

O COAF pode multar uma exchange por usar um protocolo de bridge inseguro?

Não diretamente por isso, mas sim pelas falhas de controle que uma bridge insegura pode gerar. Se o protocolo impede a rastreabilidade das operações ou facilita a ocultação de origem de recursos, a VASP pode ser responsabilizada por deficiência em seu programa de PLD/FT, sujeita às sanções da Lei 9.613/1998, que incluem multas de até R$ 20 milhões e suspensão de atividades.

Como uma empresa cripto deve avaliar o risco de um protocolo de interoperabilidade para fins de compliance?

A avaliação deve considerar: histórico de auditorias públicas do protocolo, qualidade da governança (quem controla atualizações e como), histórico de incidentes de segurança, compatibilidade com preservação de metadados de transações e reputação dos desenvolvedores no mercado. Esses critérios devem estar documentados na política de PLD/FT da empresa e revisados periodicamente.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE

Artigos relacionados

Mais artigos em breve.

Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.