Este artigo examina o bloco de integridade e proteção do usuário proposto no PL 4.308/2024. O texto impõe um núcleo mínimo de segurança operacional, prevenção a ilícitos, rastreabilidade e suporte ao usuário, com remissões a regimes sancionadores já existentes (isto é, o descumprimento pode ser enquadrado em bases legais sancionatórias prévias, sem depender de regime específico aplicado para stablecoins).
Segurança cibernética
O PL exige que instituições emissoras mantenham estrutura robusta de gestão de risco cibernético compatível com natureza, porte, complexidade, estrutura e perfil de risco de suas atividades. Em termos jurídicos, isso produz dois efeitos centrais.
A obrigação é calibrada por risco: o emissor deve conseguir demonstrar que o ambiente de controles e governança acompanha aquilo que ele de fato opera (custódia, emissão, resgate, integrações, gestão de chaves, smart contracts, fornecedores críticos, infraestrutura de APIs, módulos de assinatura etc.).
Ainda, o texto aproxima o patamar de exigência daquele aplicado a instituições financeiras equivalentes. Embora o PL não defina quais equivalências serão adotadas, o comando é claro: no que toca segurança e resiliência, não se espera que um emissor de stablecoin opere com um padrão materialmente inferior ao exigido de entidades reguladas expostas a risco operacional comparável.
O PL também explicita conteúdo mínimo: mecanismos de prevenção e detecção, redução de vulnerabilidades, resposta e recuperação de incidentes, além de avaliação, revisão, auditoria e testes periódicos, inclusive após mudanças significativas. Isso desloca a conformidade para um plano de governança e evidências: política escrita, trilhas de teste, relatórios de auditoria, gestão de fornecedores críticos e relatórios estruturados de incidentes (com análise de causa, medidas corretivas e lições aprendidas) integram o núcleo mínimo do que o regulador tende a exigir como conformidade demonstrável.
PLD/FTP
O PL exige políticas e procedimentos voltados à prevenção à lavagem de dinheiro, financiamento do terrorismo e proliferação de armas de destruição em massa, com referência direta às leis aplicáveis e a padrões internacionais (por exemplo: Lei 9.613/1998 – PLD; Lei 13.260/2016 – terrorismo; Lei 13.810/2019 – sanções e indisponibilidade de ativos; e recomendações do GAFI/FATF).
O emissor deve operar com programa de PLD/FTP compatível com o risco do produto. Em stablecoins, isso afeta diretamente onboarding, monitoramento, controles de origem e destino de recursos, governança de exceções, rastreabilidade e capacidade de sustentar auditoria e supervisão, especialmente quando o token é utilizado como meio de circulação e transferência com características transfronteiriças.
Monitoramento e reporte ao Coaf
O texto determina monitoramento contínuo para caracterização de operações suspeitas e comunicação ao Coaf com a “maior brevidade possível” quando houver fundada suspeita de envolvimento com ilícitos relevantes.
No contexto do próprio PL, o foco recai sobre lavagem de dinheiro, financiamento do terrorismo e proliferação, e, por consequência prática, sobre estruturas correlatas que frequentemente se conectam a esses ilícitos, como fraudes patrimoniais com uso de criptoativos, burla a sanções e estruturas de ocultação, conforme o caso concreto e os sinais de alerta adotados pelo programa de integridade.
A exigência se traduz em processo: não basta ter política; é necessário ter mecanismos de detecção, rotas decisórias internas, governança de escalonamento, documentação do racional (por que foi ou não foi reportado) e tempestividade. O PL também amplia diligência mínima para além de clientes: inclui colaboradores, parceiros, prestadores de serviço e outros que possam representar risco.
Registros e rastreabilidade
O PL exige manutenção de registros detalhados de todas as operações por prazo não inferior a cinco anos. A função jurídica desse comando é permitir reconstrução do evento, inclusive para fins de auditoria, supervisão e investigação.
Em stablecoins, é recorrente supor que a evidência on-chain (isto é, “registrada na blockchain”, com hash, endereços e transações) seja suficiente. O texto fala em registros detalhados, o que normalmente inclui também logs internos, trilhas de autorização, documentação de controles, registros de atendimento e metadados de compliance (KYC/KYB, decisões de bloqueio, revisões e liberações, regras de monitoramento disparadas, justificativas de exceção etc.). Na prática, a prova de conformidade costuma depender da capacidade de conectar a trilha on-chain com a camada organizacional e documental do emissor.
Responsabilização
O texto prevê que o descumprimento das obrigações de PLD/FTP sujeita a instituição às penalidades previstas na Lei 9.613/1998 (marco legal de prevenção à lavagem de dinheiro) e, adicionalmente, submete a instituição emissora ao regime da Lei 13.506/2017 (regime do processo administrativo sancionador no âmbito do Banco Central e da CVM, com ferramentas e sanções administrativas relevantes para agentes supervisionados).
Portanto, há uma camada típica de PLD/FTP (com consequências próprias) e uma camada administrativa sancionadora do sistema supervisionado, o que eleva o custo de não conformidade e reforça a necessidade de programa formal, evidências e governança.
Proteção do usuário
O PL exige medidas para proteção dos direitos dos usuários, com informações claras e detalhadas sobre riscos do uso de stablecoins, incluindo possibilidade de variações de valor e eventual ausência de garantias governamentais.
Aqui, “direitos do usuário”, no desenho do dispositivo, se conecta principalmente a: direito à informação adequada e compreensível sobre riscos, transparência sobre características do produto e acesso a canais efetivos de suporte para reclamações e disputas.
Quanto às “garantias governamentais”, o ponto é evitar a impressão de que stablecoins teriam proteção semelhante à de certos produtos do sistema financeiro tradicional, como mecanismos de proteção de depósitos (por exemplo, a referência comum do mercado ao FGC em produtos cobertos). O PL exige, portanto, que o usuário seja alertado sobre a inexistência de salvaguardas estatais para perdas associadas ao uso do ativo.
Além disso, o texto determina mecanismos de suporte ao consumidor para tratar reclamações e disputas. Embora o PL não detalhe o “como”, é natural interpretar esse dever em harmonia com as obrigações gerais já existentes de atendimento e proteção do consumidor no ordenamento (CDC e normas setoriais de atendimento ao consumidor/SAC, quando aplicáveis ao tipo de atividade e ao canal de relacionamento), exigindo estrutura mínima de atendimento, registro de demandas, prazos internos, trilhas de solução e governança de ouvidoria.
Conceitos abertos
O texto utiliza alguns conceitos como gatilhos de obrigação, mas não os densifica com critérios operacionais. Na prática, isso desloca para a regulamentação complementar e, desde já, para as políticas internas do emissor a tarefa de estabelecer parâmetros objetivos, rotinas e evidências de conformidade. Assim, destacam-se pontos que tendem a exigir critérios internos e padronização:
Uma leitura prudente é tratar esses conceitos como deveres de governança: se a instituição não define critérios internos, fluxos claros de decisão e evidências documentais, ela fica exposta a fiscalização mais incerta e reativa — porque não consegue demonstrar, de modo consistente, como converteu comandos legais abertos em rotinas efetivas de conformidade.
