Talvez o título deste texto não faça justiça a importância revolucionária que este assunto tem, e que pode mudar em muito a forma de trabalharmos os processos de PLD no futuro. Mas do que uma simples análise de uma norma europeia nova, meu objetivo aqui é trazer uma provocação, e assim um estímulo para que este assunto seja discutido por aqui, e mais do que isto que seja implantado pelos reguladores! Pois vai fazer toda a diferença, e você vai entender por que ao acabar de ler este texto todo....
Banco Central do Brasil, CVM e COAF este texto foi escrito também para vocês lerem e refletirem....
A governança da integridade financeira global atravessa uma fase de profunda dissonância entre esforço e resultado, pois ainda que os setores público e privado tenham intensificado significativamente seus investimentos em estruturas de conformidade, análise transacional e prevenção a ilícitos, os indicadores de efetividade permanecem dramaticamente aquém do necessário.
A constatação alarmante pois se estima por exemplo de que em 2023, mais de 3,1 trilhões de dólares em fluxos financeiros ilícitos tenham circulado pelo sistema financeiro global, o que dá um volume que representa quase 3% do PIB mundial. Por outro lado segundo dados da UNODC apenas uma fração ínfima inferior a 1% desses valores é efetivamente rastreada, bloqueada e recuperada anualmente.
Esse descolamento entre insumo e produto é ainda mais grave quando se consideram os custos diretos de compliance e prevenção de crimes financeiros. Na Europa por exemplo o custo de conformidade em PLD/FT nas instituições financeiras e setores regulados superou US$ 85 bilhões em 2023, de acordo com a estimativa da Forrester Research, representando uma das maiores despesas operacionais não produtivas do setor bancário. A sociedade em última instância arca com esse custo por meio de tarifas, spreads mais elevados, exclusão financeira e alocação ineficiente de capital. Portanto o sistema atual não apenas falha em proteger contra o crime, como também impõe custos regressivos para a economia formal.
A razão para essa disfunção estrutural segundo o diagnóstico europeu reside na arquitetura institucional fragmentada da governança de riscos financeiros. De um lado os criminosos atuam em redes globais, sofisticadas, ágeis, tecnologicamente avançadas, que exploram com precisão as brechas jurídicas e operacionais dos diferentes países. De outro nós os atores encarregados de combatê-los, que são os analistas de PLD. CCO., supervisores, UIFs, polícias, bancos, advogados, contadores, que operam de forma compartimentalizada com jurisdições limitadas, padrões regulatórios distintos, deficiências tecnológicas, e sobretudo com fluxos de informação lentos, unilaterais e restritivos.
Essa constatação não é nova, mas foi escancarada nos últimos anos por escândalos de magnitude transnacional (como os Panama Papers, Danske Bank, Wirecard e Pandora Papers), além do crescimento exponencial das fraudes digitais e do uso de criptomoedas em esquemas de lavagem e financiamento de atividades ilícitas.
Assim aquele modelo clássico de “reportes de operações suspeitas”, com comunicações aqui ao COAF, que estrutura a lógica de cooperação entre instituições financeiras e UIFs há mais de duas décadas, tem se mostrado insuficiente para lidar com essa nova realidade de riscos interconectados. Embora continue sendo um pilar essencial, ele é reativo, muitas vezes redundante e com baixa taxa de conversão em investigações, processos ou recuperação de ativos.
É nesse cenário de disfunção sistêmica e ineficiência crônica que se insere a proposta do Artigo 75, que longe de ser um mero ajuste normativo, ele representa uma inflexão conceitual, de uma migração de um modelo baseado em comunicação obrigatória unidirecional (instituição–UIF), para uma lógica de compartilhamento colaborativo multidirecional, entre entidades privadas, entre setores distintos e entre países, sob protocolos claros, governança definida e salvaguardas legais robustas. Se trata em essência de basicamente abandonar a mentalidade de apenas “relatório”, e passar a adotar a cultura de “inteligência coletiva”, capaz de gerar alertas precoces, aprendizado sistêmico e resposta estratégica integrada.
A Finalidade Estrutural do Artigo 75 e a Inovação Conceitual das Parcerias de Compartilhamento de Informações
A criação do ta Artigo 75 não é fruto de um impulso político isolado, mas sim o resultado de um movimento articulado dentro da União Europeia para remodelar sua capacidade de resposta frente aos desafios contemporâneos dos crimes financeiros. O artigo esta dentro do Capítulo VI do Regulamento (UE) 2024/1624, sendo um ponto central de um esforço legislativo para permitir, em bases legais consistentes, o surgimento de parcerias estruturadas de compartilhamento de informações (Information Sharing Partnerships ou ISPs), compostas por múltiplos atores públicos e privados, voltadas à prevenção de lavagem de dinheiro e financiamento do terrorismo.
A inovação trazida pelo Artigo 75 está em reconhecer que o conhecimento isolado é insuficiente, pois os criminosos contam com a pouca transparência estrutural dos sistemas para fragmentar suas atividades entre diferentes intermediários, países e canais de pagamento. Nenhum agente isoladamente nem banco, nem regulador, nem polícia, detém a totalidade deste quebra-cabeça, e assim ao permitir que a informação sejam compartilhadas legalmente entre os participantes de uma parceria previamente autorizada, o Artigo 75 permite que se construam mosaicos de risco mais completos e que padrões ocultos se revelem com maior rapidez.
A norma basicamente autoriza agora de que os países membros da UE de criar formalmente essas parcerias intersetoriais, nas quais podem participar:
- Entidades obrigadas: bancos, corretoras, seguradoras, fintechs, escritórios de advocacia, imobiliárias, entre outras;
- Autoridades competentes: supervisores financeiros, autoridades de proteção de dados, reguladores setoriais;
- Unidades de Inteligência Financeira: UIF nacionais como o COAF;
- Órgãos de persecução penal ou autoridades judiciais: como observadores ou recebedores autorizados de relatórios resultantes das análises conjuntas.
É muito importante dizer de que essas parcerias não substituem os mecanismos tradicionais de reporte ao COAF, mas os complementam, funcionando assim como uma camada de inteligência tática intermediária, onde dados brutos são transformados em informação qualificada por meio de cruzamento, contextualização e validação colaborativa.
Do ponto de vista normativo, importante dizer antes que começe as reclamações e dúvidas, envolvendo perda da privacidade e ser contra a LGPD, de que o artigo estabelece que a informação só pode ser compartilhada se houver necessidade objetiva e proporcional para o cumprimento de obrigações legais de PLD/FT, ou que o compartilhamento for compatível com os direitos fundamentais, como privacidade e proteção de dados, assim como o cliente ou transação for enquadrado como de alto risco, nos termos de uma matriz objetiva prevista no próprio regulamento.
Isso significa que não se trata de acesso irrestrito ou vigilância em massa. O modelo europeu é cuidadosamente balizado por salvaguardas legais, técnicas e procedimentais, em que respeita a presunção de inocência, exige que os dados compartilhados estejam pseudonimizados (exceto em casos específicos), e impõe deveres de governança, rastreabilidade e auditoria. As entidades não podem se eximir de suas obrigações individuais de análise de risco, nem delegar suas responsabilidades regulatórias ao coletivo.
O escopo de informações que podem ser compartilhadas é amplo, mas circunscrito a dados úteis para identificar e mitigar riscos de lavagem ou financiamento ao terrorismo, como por exemplo as informações cadastrais e de beneficiário final, os dados de transações suspeitas, a origem de recursos e finalidade da operação, e os sinais de alerta e fatores de risco identificados, assim como principalmente as análises de comportamento anômalo, inclusive quando geradas por algoritmos de inteligência artificial, desde que auditadas por humanos.
Sendo que a proposta vai além do simples compartilhamento de dados, mas sim de criar um ecossistema regulado de inteligência colaborativa, onde as fronteiras institucionais não sejam barreiras, mas pontes para a construção de um entendimento sistêmico e proativo das ameaças financeiras. É um convite para a quebra dos silos que ainda dominam o sistema global de PLD.
Vou tentar detalhar melhor o assunto abaixo, de forma que fique mais claro como funcionaria.
Estrutura das Parcerias e Critérios Operacionais de Compartilhamento
A inovação regulatória introduzida pelo Artigo 75 não reside apenas na autorização para compartilhamento de dados sensíveis entre atores públicos e privados, mas principalmente na exigência de que esse compartilhamento ocorra dentro de uma estrutura institucional específica e rigorosamente controlada, que são estas taisparcerias formais de informação, que devem ser voluntárias, supervisionadas e auditáveis.
O funcionamento dessas parcerias depende de um conjunto de pilares normativos e operacionais cuidadosamente definidos pelo regulador europeu, que garante a legalidade, a proporcionalidade e a rastreabilidade de todos os fluxos de informação.
Participação Voluntária, mas Condicionada à Aprovação Supervisora
A participação de entidades obrigadas nas parcerias previstas no Artigo 75 é formalmente voluntária, o que significa de que bancos, corretoras, escritórios de advocacia, empresas de contabilidade, imobiliárias e outros atores do setor privado não são forçados a aderir, ainda que não querer participar e ajudar, é um sinal bem estranho, para não dizer preocupante. Contudo uma vez que optem por integrar uma parceria, devem cumprir um rigoroso processo de aprovação junto a sua autoridade supervisora competente.
O primeiro passo é a notificação formal da intenção de participar, que deve ser feita pelas entidades aos respectivos supervisores setoriais. Essa notificação inclui por exemplo uma descrição da composição e finalidade da parceria, assim como a tipologia dos dados que serão compartilhados, e o escopo geográfico (nacional ou transfronteiriço). além da estrutura de governança e controle, e das política de segurança da informação e confidencialidade.
No caso de parcerias multissetoriais, envolvendo entidades supervisionadas por diferentes autoridades (por exempl, um banco e uma empresa de consultoria financeira), o regulamento exige aprovação conjunta e coordenação regulatória horizontal entre os supervisores envolvidos. Essa exigência já antecipa uma necessidade crítica de interoperabilidade regulatória, tanto no plano doméstico quanto internacional.
Avaliação de Impacto sobre Proteção de Dados (DPIA)
Um dos aspectos mais rigorosos e sensíveis do modelo europeu é a obrigatoriedade da Data Protection Impact Assessment (DPIA). Essa avaliação, que seria equivalente ao Relatório de Impacto à Proteção de Dados Pessoais (RIPD) previsto no art. 38 da LGPD brasileira, é uma análise técnica e jurídica dos riscos envolvidos no tratamento dos dados pessoais que serão objeto de compartilhamento dentro da parceria.
A DPIA deve abranger por exemplo a finalidade legítima do compartilhamento ou uma base legal aplicável lá sob o Regulamento Geral sobre a Proteção de Dados (GDPR), além das categorias de dados envolvidas (financeiros, cadastrais, comportamentais), e as medidas de pseudonimização, encriptação e controle de acesso. Com uma avaliação dos riscos aos titulares dos dados (clientes) e as medidas de mitigação e compensação desses riscos.
O documento deve ser avaliado e aprovado pela autoridade supervisora, que poderá solicitar ajustes, exigir medidas adicionais ou até recusar a parceria caso entenda que os riscos são excessivos ou as proteções insuficientes. Em casos que envolvam dados sensíveis (por exemplo os relacionados a denúncias de corrupção, transações em setores regulados, ou dados de clientes politicamente expostos), a autoridade de proteção de dados pode ser formalmente consultada antes da aprovação.
Importante destacar de que conforme interpretação inicial do regulador europeu, a DPIA não precisa ser refeita a cada nova troca de dados, desde que a parceria mantenha a mesma finalidade e escopo operacional. Ela funciona como um instrumento contínuo de conformidade, a ser atualizado periodicamente ou sempre que houver alteração relevante no modelo operacional.
Requisitos de Governança, Registro e Auditoria
O Artigo 75 impõe uma série de obrigações formais de governança sobre as parcerias. Cada parceria deve possuir por exemplo os registros detalhados de todas as trocas de informações realizadas, assim como uma política interna de compartilhamento de dados, incorporada ao framework geral de prevenção a crimes financeiros da entidade, e um sistema de auditoria interna ou independente, que permita verificar a conformidade com os protocolos de segurança e legalidade; Além de ter um plano de continuidade e contingência, especialmente para lidar com incidentes de vazamento, uso indevido ou acessos não autorizados.
A autoridade supervisora pode a qualquer tempo determinar a realização de uma auditoria independente da parceria, inclusive como pré-requisito para sua autorização. Essa auditoria poderá ser exigida especialmente quando a parceria envolver o compartilhamento dos comunicados ao COAF (chamadas lá fora de "SARs" ou Suspicious Activity Reports), assim como do uso de ferramentas automatizadas de decisão (como algoritmos de machine learning), e a troca de dados entre diferentes jurisdições da UE.
Essa ênfase em controle e supervisão contínuos busca garantir que as parcerias não se transformem em ambientes de exposição indevida de dados, mas sim em mecanismos seguros, controlados e proporcionais de cooperação estratégica.
Critérios de Compartilhamento de Informações
O Artigo 75 estabelece três critérios cumulativos que devem ser observados antes de qualquer compartilhamento de informação dentro da parceria, que são:
Necessidade Estrita: O dado deve ser essencial para o cumprimento das obrigações de PLD/FT por parte da entidade participante. Dados irrelevantes ou de mera curiosidade operacional não podem ser compartilhados.
Compatibilidade com os Direitos Fundamentais: Todo o tratamento de dados deve respeitar o direito à privacidade, a proteção de dados e as garantias processuais do titular. Isso implica, por exemplo, que decisões automatizadas baseadas em dados compartilhados não podem ser tomadas sem revisão humana e que o cliente tem direito à revisão das decisões que o afetam.
Risco Elevado Justificado: O compartilhamento só pode ocorrer se houver elementos que classifiquem o cliente, transação ou relacionamento como de risco elevado nos termos dos artigos 29 a 46 do próprio regulamento europeu. Exemplos incluem por exemplos as transações com offshores, uso de dinheiro em espécie acima de limite legal, atividades em setores vulneráveis (como jogos de azar, obras de arte, mineração), ou comportamento atípico detectado por mecanismos de monitoramento.
Além disso a informação compartilhada não pode ser retransmitida, salvo em três hipóteses específicas, sendo a primeira a Inclusão em relatório formal à UIF, depois uma solicitação judicial ou de autoridade policial e por fim uma comunicação institucional a nova autoridade europeia de supervisão (AMLA).
Responsabilidades das Entidades Participantes
Cada entidade que participa de uma parceria deve:
Atualizar seu framework interno de prevenção à lavagem de dinheiro, incorporando os protocolos específicos da parceria;
Treinar seus colaboradores envolvidos, com ênfase em proteção de dados, riscos reputacionais, limites legais e tratamento de incidentes;
Estabelecer responsabilidades contratuais entre os membros da parceria, definindo claramente a responsabilidade por danos, o uso permitido dos dados e os limites operacionais de cada parte;
Manter documentação acessível para auditoria, inclusive as avaliações de risco aplicadas e os critérios para classificar clientes como de risco elevado.
Ao condicionar o funcionamento das parcerias a um conjunto complexo, mas claramente estruturado de requisitos legais, técnicos e organizacionais, o Artigo 75 cria um ambiente institucional fértil para a colaboração efetiva, mas sem abrir mão das garantias fundamentais e da segurança jurídica. A proposta é sofisticada porém pragmática pois viabilizar a troca de inteligência sensível em um ambiente controlado, onde o benefício coletivo de se antecipar a crimes financeiros supera, com responsabilidade e método, os riscos inerentes ao compartilhamento de dados.
Impactos Esperados e Benefícios Estratégicos do Artigo 75
A introdução das parcerias de compartilhamento de informações previstas no Artigo 75 representa um avanço não apenas normativo, mas estrutural na forma como o ecossistema europeu pretende combater crimes financeiros, pois ao reconhecer que nenhum agente isolado. seja um banco, uma UIF ou um supervisor, detém sozinha as ferramentas necessárias para compreender e enfrentar a complexidade dos fluxos ilícitos, o regulamento sinaliza uma mudança profunda de paradigma.
Agora o foco passa de um modelo unidirecional e fragmentado para uma abordagem colaborativa, multissetorial e baseada em inteligência integrada.
Aumento da Capacidade de Disrupção de Redes Criminosas
O primeiro e mais evidente benefício da aplicação do Artigo 75 é a capacidade ampliada de identificar, rastrear e desestruturar redes criminosas, especialmente aquelas que operam em múltiplas jurisdições ou que utilizam intermediários diversos para fragmentar e camuflar fluxos financeiros ilícitos. Ao permitir que instituições compartilhem informações em tempo útil sobre padrões de comportamento suspeitos, beneficiários finais, origem e destino de recursos, o modelo torna possível reconstruir com mais precisão a trilha do dinheiro e os vínculos ocultos entre entidades aparentemente desconectadas.
Esse benefício se amplifica em operações de fraude cibernética, lavagem de dinheiro com criptoativos, financiamento ao terrorismo, corrupção internacional e comércio ilícito, onde os fundos costumam passar rapidamente por diversas instituições e países. A inteligência fragmentada perde valor com o tempo, enquanto a inteligência conectada e compartilhada pode gerar ações coordenadas, congelamento ágil de ativos e, sobretudo, uma narrativa robusta que sustente a atuação das autoridades policiais e judiciais.
Na prática o artigo oferece um novo tipo de ferramenta preventiva, que é um espaço institucional de análise conjunta, onde o risco de cada cliente ou operação deixa de ser uma análise isolada e passa a compor uma visão ampliada, alimentada por múltiplas fontes e perspectivas.
Melhoria da Qualidade e Aderência dos Relatórios à UIF
Outro impacto importante está na qualidade e utilidade dos relatórios de operações suspeitas (SARs/STRs), que aqui chamamos de comunicação ao COAF. Como os dados compartilhados no âmbito das parcerias contribuem para enriquecer o contexto de risco, os relatórios enviados às UIFs passam a conter narrativas mais completas, dados mais qualificados e racionalidades mais consistentes. Isso permite às UIFs produzir dossiês de inteligência financeira com maior valor investigativo, reduzindo o volume de SARs meramente defensivos ou genéricos.
Além disso o compartilhamento pode gerar a identificação de casos que individualmente não seriam considerados suspeitos, mas que ganham relevância quando vistos de forma agregada. Isso é particularmente relevante em casos de smurfing, uso de money mules, ou lavagem em cadeia com microtransações, onde nenhuma instituição isoladamente possui o quadro completo.
Esse ganho de qualidade é um dos pontos mais destacados pelo regulador europeu, e representa um avanço relevante na efetividade do sistema como um todo. Relatórios melhores geram investigações mais eficazes, maior taxa de recuperação de ativos e maior percepção de risco por parte dos criminosos.
Redução do Custo Sistêmico de Compliance
Um efeito colateral positivo e não trivial do modelo do Artigo 75 é a racionalização do custo de conformidade regulatória. Atualmente muitas instituições replicam esforços na coleta e análise de informações que poderiam ser compartilhadas de forma controlada. Isso gera duplicidade de análises, sobrecarga operacional, ineficiência no uso de recursos e uma cultura de compliance excessivamente defensiva, baseada no temor da responsabilização legal.
Com a institucionalização das parcerias se torna possível por exemplo evitar duplicações de diligência para clientes em comum entre diversas instituições, ou também compartilhar sinais de alerta validados (red flags) para aprimorar os sistemas internos de monitoramento, assim como construir listas internas conjuntas de tipologias emergentes, reduzindo o tempo de resposta a novos padrões de lavagem ou financiamento ilícito, e ainda realizar treinamentos conjuntos e desenvolver tecnologia aplicada à análise preditiva em cooperação com outras instituições.
Essa inteligência operacional compartilhada permite um uso mais eficiente da força de trabalho, maior precisão nos alertas, menos falsos positivos e, portanto, menor custo de compliance com maior efetividade.
Estímulo à Participação Voluntária e Construção de Confiança
Embora a adesão às parcerias do Artigo 75 seja voluntária, o regulador europeu aposta no efeito demonstrativo, ou seja a medida que parcerias bem-sucedidas comprovem seu valor, outras instituições se sentirão estimuladas a aderir. A combinação de base legal clara, salvaguardas robustas e benefícios operacionais concretos tende a superar o temor inicial relacionado ao uso indevido de dados ou à responsabilização cruzada. Eu pessoalmente seria um dos primeiros a aderir na primera onda!
Mais do que isso o modelo estimula a construção de relações institucionais baseadas em confiança e colaboração, e não apenas em obrigação regulatória. Um dos principais gargalos das tentativas anteriores de integração entre setores público e privado, como os fóruns de inteligência financeira tradicionais, era justamente a ausência de mecanismos formais de proteção, o que levava à hesitação na troca de informações críticas. O Artigo 75 oferece um caminho juridicamente seguro para romper essa inércia.
Aliás que façam um artigos deste para Fraudes!
Adicionalmente a participação de setores tradicionalmente periféricos no combate à lavagem de dinheiro como advogados, contadores, setor imobiliário e empresas de tecnologia contribui para diversificar os pontos de observação e enriquecer a base de dados com insumos que, até então, raramente chegavam às UIFs.
Aprimoramento da Abordagem Baseada em Risco
O modelo do Artigo 75 também contribui significativamente para o fortalecimento da abordagem baseada em risco (ABR), ao permitir que os participantes das parcerias desenvolvam uma compreensão coletiva mais acurada sobre ameaças, vulnerabilidades e tipologias em evolução. A partir da troca estruturada de dados e experiência fiica possível por exemolo atualizar continuamente os fatores de risco aplicados à classificação de clientes e transações, assim como melhorar os critérios de segmentação de alertas, e de desenvolver indicadores compostos baseados em dados agregados de múltiplas instituições, além de validar ou revisar os pesos atribuídos a determinados comportamentos no modelo de monitoramento.
O resultado é uma ABR mais dinâmica, contextualizada e responsiva, capaz de alocar os recursos da linha de defesa de forma mais precisa e eficiente, conforme o risco real, e não apenas o risco percebido isoladamente.
Construção de um Ecossistema Sustentável de Inteligência Financeira
Acredito de que talvez o efeito mais duradouro do Artigo 75 seja a formação de um novo ecossistema regulatório de inteligência financeira colaborativa, em que o compartilhamento estruturado de dados deixa de ser exceção e passa a ser norma, dentro de um ambiente seguro, auditável e regido por compromissos éticos e técnicos comuns.
Esse ecossistema é caracterizado pela interoperabilidade entre setores e jurisdições, assim como por uma cultura de governança compartilhada, e o investimento conjunto em tecnologias de análise e monitoramento, com a participação ativa de supervisores e autoridades de proteção de dados como facilitadores, e não apenas como fiscalizadores.
No médio e longo prazo esse novo ecossistema tende a redefinir o papel dos stakeholders na prevenção à criminalidade financeira, transformando o sistema financeiro de um passivo reativo para um ativo estratégico na construção de resiliência institucional contra ameaças ilícitas globais.
Os impactos esperados do Artigo 75 vão muito além do que se poderia esperar de uma norma tradicional de PLD/FT. Trata-se de um projeto regulatório de transformação estrutural, que busca transformar a fragmentação em colaboração, a desconfiança em confiança operacional, e a informação isolada em inteligência conectada. Os ganhos para o sistema são mensuráveis com mais eficiência, mais efetividade, menor custo e maior proteção ao interesse público.
Limitações e Desafios Práticos de Implementação do Artigo 75
Mas nem tudo é bom e fácil, pois a proposta do Artigo 75 como toda iniciativa transformadora que rompe com estruturas tradicionais, ela também traz consigo um conjunto de desafios práticos, conceituais e operacionais que, se não forem cuidadosamente endereçados, podem comprometer sua efetividade e até mesmo sua legitimidade. Estes desafios se dividem em cinco grandes blocos como a complexidade interpretativa e técnica, a rigidez legislativa e falta de clareza normativa, além das limitações da base legal do compartilhamento, e ainda os obstáculos operacionais e capacidade institucional; e (v) riscos jurídicos e desincentivos à adesão voluntária.
Complexidade Interpretativa e Técnica com um Modelo Avançado, Mas de Difícil Execução
O primeiro grande desafio do Artigo 75 está na sua própria sofisticação. Ao tentar conciliar múltiplas dimensões como proteção de dados, segurança jurídica, proporcionalidade, interoperabilidade e voluntariedade, o regulamento acaba por criar um modelo com elevada carga de complexidade técnica e procedimental. Isso pode dificultar sua implementação prática, especialmente por entidades de menor porte ou com maturidade regulatória limitada.
Um exemplo claro dessa complexidade é a exigência de que cada parceria realize uma Avaliação de Impacto sobre Proteção de Dados (DPIA), que deve ser previamente aprovada pela autoridade supervisora competente. Embora essa medida seja necessária para garantir a conformidade com o GDPR, e aqui no nosos caso seria com a LGPD, pois assim impõe um ônus elevado as entidades participantes, que precisam mobilizar equipes jurídicas, tecnológicas e de compliance para realizar uma análise detalhada dos riscos à privacidade, definir salvaguardas, e ajustar seus sistemas de controle.
Além disso o regulamento exige a pseudonimização dos dados, a padronização dos campos compartilháveis, a limitação de escopo com base em critérios de risco, a impossibilidade de retransmissão de informações, e a manutenção de registros auditáveis de todas as trocas realizadas. Isso pressupõe uma infraestrutura tecnológica e processual altamente desenvolvida, que nem todas as instituições estão preparadas para oferecer especialmente fora do núcleo dos grandes bancos.
Rigidez Legal e Ausência de Definições Claras
O segundo desafio está relacionado à rigidez e à ambiguidade de alguns dispositivos normativos. Termos-chave do Artigo 75, como “cliente de alto risco”, “necessidade estrita” e “informação necessária para o cumprimento das obrigações”, não são claramente definidos no corpo do regulamento, o que abre margem para interpretações divergentes entre os países, entre setores regulados, e até mesmo entre supervisores de uma mesma jurisdição.
A ausência de diretrizes harmonizadas pode gerar um efeito paralisante, aonde as instituições receosas de infringir normas de proteção de dados ou de se verem envolvidas em litígios poderão simplesmente optar por não participar das parcerias, mesmo reconhecendo seus potenciais benefícios. Essa rigidez sem clareza compromete o incentivo a adesão voluntária e reduz a escala sistêmica da inovação regulatória.
No contexto brasileiro por exemplo este ponto precisaria ser suprida desde o início por meio de normas infralegais interpretativas complementares, emitidas por reguladores como COAF, Bacen, CVM, Susep e ANPD, definindo de forma objetiva critérios de risco, padrões de pseudonimização, procedimentos mínimos de segurança, e hipóteses legítimas de uso dos dados compartilhados.
Limitação Estrutural ao Compartilhamento Apenas Pós-Suspeita
Um dos pontos mais debatidos, e também mais criticados com razão do Artigo 75 é a limitação ao compartilhamento de informações apenas nos casos de clientes de alto risco ou após surgimento de suspeita concreta. Essa restrição visa proteger direitos fundamentais, evitar abusos e limitar a exposição desnecessária de dados pessoais. Contudo, ela impõe um obstáculo relevante à ação preventiva das instituições.
Na prática isso significa que o compartilhamento de dados com base em sinais precoces ou indicadores comportamentais agregados ainda não é plenamente permitido, o que reduz a capacidade das instituições de detectar padrões emergentes, antecipar ameaças e agir antes da ocorrência de danos, especialmente em cenários como a lavagem com microtransações fracionadas entre múltiplas contas, ou as transações em cadeia com criptoativos entre jurisdicionais diferentes, e as atividades preparatórias ao financiamento do terrorismo, que ainda não configuram crime, mas indicam forte risco.
Essa limitação que embora compreensível do ponto de vista da proteção de dados, representa uma tensão fundamental entre prevenção e privacidade.
No Brasil onde os sistemas de monitoramento ainda estão amadurecendo, uma eventual legislação inspirada no Artigo 75 precisaria oferecer zonas de flexibilidade regulada, permitindo o compartilhamento com base em critérios de risco ponderado, mediante salvaguardas reforçadas e auditoria contínua.
Obstáculos Operacionais e Capacidade Institucional
A implementação bem-sucedida de uma parceria do tipo previsto no Artigo 75 exige capacidade operacional contínua, tanto por parte das entidades participantes quanto das autoridades envolvidas, ou seja será preciso ter equipes técnicas com conhecimento em proteção de dados, PLD/FT e segurança cibernética, e sistemas tecnológicos interoperáveis, com controle de acessos, trilhas de auditoria e arquitetura de pseudonimização, assim como a capacidade das autoridades supervisoras para analisar DPIAs, acompanhar o funcionamento das parcerias, realizar auditorias e atuar como instâncias de arbitragem.
No entanto a experiência internacional mostra que muitos países, inclusive dentro da UE, e aqui não é diferente, enfrentam déficits institucionais de capacidade, seja por restrições orçamentárias, escassez de pessoal qualificado, ou pela lentidão no desenvolvimento de normas complementares. Há também a questão da assimetria de maturidade entre os participantes: enquanto grandes bancos multinacionais estão preparados, instituições menores podem simplesmente não conseguir participar.
No Brasil esse desafio poderia ser enfrentado por meio da criação de um núcleo técnico permanente multissetorial, coordenado pelo COAF com apoio da ANPD e dos supervisores setoriais, que oferecesse suporte técnico, modelagens padronizadas de DPIA, repositórios de boas práticas e manuais operacionais para adesão progressiva de diferentes tipos de instituições.
Riscos Jurídicos e Ausência de Incentivos à Participação Voluntária
Outro dos maiores obstáculos a implementação do modelo proposto pelo Artigo 75 é o risco jurídico percebido pelas entidades participantes, em que mesmo com as proteções oferecidas pelo regulamento, o compartilhamento de informações sensíveis. especialmente dados pessoais ou operacionais, ainda é visto com receio, dado o potencial de sanções regulatórias, ações judiciais ou danos reputacionais decorrentes de vazamentos, uso indevido ou erro de classificação.
Além disso como a participação é voluntária, o modelo depende fortemente de incentivos reputacionais, operacionais ou regulatórios para atrair adesão. O regulamento europeu não estabelece até o momento mecanismos formais de reconhecimento, atenuação de penalidades, ou diferenciação regulatória positiva para os que aderem às parcerias. Isso enfraquece o argumento de custo-benefício para muitas instituições, especialmente em setores onde o apetite ao risco regulatório é naturalmente mais conservador (como auditoria, advocacia ou fiduciárias).
No Brasil, esse desafio precisaria ser enfrentado diria de forma um pouco mais pragmática, ou seja com mecanismos de incentivo regulatório direto, tais como a priorização em programas de supervisão baseada em risco para instituições aderentes, e o tratamento diferenciado em caso de autuação, considerando a adesão à parceria como atenuante, assim como o reconhecimento público em relatórios do COAF, como sinalização positiva de governança, e também a inclusão de cláusulas contratuais de mitigação de responsabilidade entre os membros da parceria.
Os desafios do Artigo 75 são reais, complexos e exigem soluções técnicas, jurídicas e políticas coordenadas. Contudo, como aponta o próprio relatório que sustenta o regulamento, o risco de não agir é ainda maior. Manter o sistema atual que écaro, fragmentado e ineficiente, representa um risco sistêmico crescente para a integridade do sistema financeiro, para a segurança nacional e para a credibilidade das instituições reguladoras. O enfrentamento desses desafios deve ser visto como parte essencial do processo de maturação institucional e de transformação regulatória.
Proposta de Adaptação do Modelo ao Brasil e os Caminhos Técnicos, Legais e Regulatórios
A implementação de um modelo brasileiro inspirado no Artigo 75 da UE exige mais do que a simples transposição de dispositivos legais, pois será necessário realizar uma adequação institucional profunda que leve em conta as diferenças estruturais entre os sistemas jurídicos, a natureza da supervisão nacional, o papel do COAF, a arquitetura de proteção de dados sob a Lei Geral de Proteção de Dados Pessoais (LGPD), e sobretudo uma cultura jurídica e regulatória vigente no Brasil.
A proposta a seguir se organiza em cinco blocos complementares, que são primeiro os fundamentos normativos e marcos legais, seguido da arquitetura institucional e supervisora, com uma nova estrutura das parcerias brasileiras de compartilhamento de informações, sem esquecer da proteção dos dados e responsabilização, e também os mecanismos de incentivo a adesão e escalabilidade do modelo.
Fundamentos Normativos e Marcos Legais de Sustentação
O ponto de partida para qualquer adaptação normativa é a criação de uma base legal clara que autorize e regulamente o compartilhamento de informações sensíveis entre entidades privadas e autoridades públicas para fins de prevenção à lavagem de dinheiro e financiamento do terrorismo. Essa base precisa harmonizar os princípios da LGPD com as diretrizes da Lei nº 9.613/1998 (Lei de Lavagem de Dinheiro) e com os normativos dos reguladores setoriais (Bacen, CVM, Susep, Previc).
Seria bom ter a edição de uma norma conjunta interagências, nos moldes da Resolução Conjunta CMN/CVM/Bacen/Susep nº 6/2023, contendo claramente por exemplo uma autorização expressa para constituição de parcerias de compartilhamento de informações (Parcerias Estruturadas de Inteligência Financeira – PEIF), com a delimitação do escopo e das finalidades legítimas para o compartilhamento, e uma exigência de avaliação prévia de impacto regulatório e de proteção de dados (RIPD). Assim como o estabelecimento de regras claras sobre pseudonimização, uso limitado, não retransmissão e consentimento tácito vinculado ao dever legal das entidades obrigadas, e uma coordenação centralizada pelo COAF, com suporte técnico da ANPD e dos supervisores setoriais.
Essa norma teria o efeito de oferecer segurança jurídica para os participantes e clareza institucional sobre as fronteiras do modelo.
Arquitetura Institucional e Supervisora
Para que o modelo brasileiro funcione é fundamental desenhar uma estrutura institucional de suporte e governança, que seria composta por três níveis:
Nível Estratégico: Comitê Nacional de Inteligência Financeira Colaborativa, sob coordenação do COAF, com participação da ANPD, Bacen, CVM, Susep, Ministério da Justiça e representantes do setor privado. Este comitê seria responsável por emitir diretrizes, aprovar critérios técnicos, padronizar procedimentos e monitorar a evolução das parcerias.
Nível Tático: Núcleo Técnico de Apoio às Parcerias (NTAP), vinculado ao COAF, com capacidade operacional para avaliar a aderência dos modelos propostos pelas parcerias aos requisitos normativos, e auxiliar na elaboração dos Relatórios de Impacto à Proteção de Dados, assim como publicar modelos de referência e boas práticas e realizar auditorias temáticas e emitir pareceres técnicos.
Nível Operacional: As próprias PEIFs, formadas por bancos, corretoras, fintechs, seguradoras, empresas de auditoria, escritórios de advocacia, plataformas digitais e outros entes obrigados. Cada PEIF deverá manter governança própria, registros de compartilhamento, protocolos internos, e interlocução formal com o NTAP.
Estrutura das Parcerias Estruturadas de Inteligência Financeira (PEIFs)
As PEIFs brasileiras devem seguir um padrão mínimo comum de operação, garantindo segurança jurídica, controle institucional e rastreabilidade. Talvez a dica aqui seja de que cada parceria tenha por exemplo um regulamento interno, prevendo: escopo da atuação, critérios de adesão, deveres dos participantes, limites de responsabilidade e regras de confidencialidade, assim como um modelo de governança próprio, com comitê gestor, coordenação técnica e sistema de trilhas de auditoria, e o registro sistemático das trocas de informação, com identificação da finalidade, origem, pseudonimização e temporalidade dos dados, com um acordo multilateral entre os membros, que estabeleça cláusulas de confidencialidade, divisão de riscos, formas de responsabilização e hipótese de uso dos dados compartilhados.
Essas parcerias devem ter autonomia operacional, mas funcionar sob a supervisão tática do NTAP, que acompanhará sua conformidade legal e a efetividade dos controles internos.
Garantias da Proteção de Dados e Responsabilização
A compatibilização entre o compartilhamento de informações sensíveis e a LGPD é um dos pilares para a legitimidade do modelo. Para isso devemos adotar obrigatoriamente uma metodologia padronizada de Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para cada parceria, contendo por exemplo a análise de riscos à privacidade e às liberdades individuais, e uma justificativa legal com base no art. 7º, II e VI, da LGPD (cumprimento de obrigação legal e exercício regular de direito), assim como garantias técnicas como pseudonimização, segregação de acesso, controle de logs e encriptação, e mecanismos de revisão de decisões automatizadas, além de um plano de resposta a incidentes de vazamento ou uso indevido de dados.
Além disso temos o tema da responsabilização solidária entre os membros da PEIF, limitada às hipóteses de negligência ou uso indevido doloso, se excluindo da responsabilidade objetiva pelo mero compartilhamento dentro dos limites legais e auditáveis. Esse ponto é essencial para evitar que o risco jurídico desestimule a participação voluntária.
Mecanismos de Incentivo à Adesão e Escalabilidade
Para assegurar a adesão voluntária e escalável das entidades privadas ao novo modelo, propõe-se a criação de mecanismos concretos de incentivo, tais como o reconhecimento público em relatórios do COAF e dos reguladores, com destaque para as entidades que lideram boas práticas em inteligência colaborativa, assim como um tratamento regulatório diferenciado, como fator atenuante em autos de infração, sanções administrativas ou em programas de supervisão baseada em risco, e a priorização de interlocução institucional, com canais diretos com o NTAP para resolução de dúvidas e construção de políticas públicas, além da participação preferencial em comitês de inovação regulatória, e quem sabe a criação de um selo de boas práticas em inteligência financeira compartilhada, como instrumento de reputação institucional positiva.
A escalabilidade do modelo também deve ser assegurada por meio da modularização da adesão, permitindo que as PEIFs se estruturem por setores (bancário, segurador, jurídico, criptoativos) ou por temas específicos (por exemplo: “fraude em previdência complementar” ou “lavagem com imóveis”).
A proposta de adaptação do modelo do Artigo 75 ao contexto brasileiro não se resume a uma transposição normativa, mas vejo como uma tremenda oportunidade concreta para redesenhar a governança da inteligência financeira nacional, superando a fragmentação institucional, a rigidez excessiva dos fluxos de informação e os gargalos de confiança entre setores. Com base em fundamentos técnicos robustos, garantias jurídicas proporcionais e incentivos estratégicos, o Brasil pode criar um modelo próprio de inteligência financeira colaborativa estruturada, apto a enfrentar as ameaças cada vez mais sofisticadas que desafiam a resiliência do sistema financeiro.
Oportunidade para o Brasil e Papel dos Conselhos, Comitês de Riscos e Compliance
A leitura crítica e aprofundada do Artigo 75 do Regulamento (UE) 2024/1624 nos revela que a proposta europeia vai além de um instrumento regulatório de compartilhamento de dados, mas representa sim um novo modelo de governança colaborativa, com potencial de reconfigurar o modo como o setor privado se integra a arquitetura estatal de prevenção a lavagem de dinheiro e ao financiamento do terrorismo. Ao estabelecer mecanismos legais, técnicos e institucionais para que atores historicamente compartimentalizados passem a atuar de forma coordenada, a UE oferece ao mundo um novo paradigma, não apenas de cooperação, mas de corresponsabilidade estruturada.
Para o Brasil com nosso sistema financeiro sofisticado, regulamentação de PLD/FT consolidada, alta penetração tecnológica e forte cultura de inovação regulatória, vejo pessoalmente de que o momento é bom para liderar a transição para um modelo semelhante. O país pode inclusive se tornar uma referência entre as economias emergentes ao construir um sistema de inteligência financeira colaborativa auditável, baseado nos mesmos princípios do Artigo 75: legalidade, proporcionalidade, segurança jurídica, proteção de dados e efetividade operacional.
Contudo essa transição não será feita apenas pelas áreas técnicas, tampouco apenas pelas autoridades públicas, pois exigirá protagonismo da alta administração das empresas reguladas, que deve reconhecer que o combate aos crimes financeiros não é mais uma questão de mero compliance obrigatório, mas sim um pilar central da resiliência institucional, da proteção reputacional e da sustentabilidade do negócio.
O Papel Estratégico dos Conselhos de Administração
Os conselhos de administração ocupam posição central nessa agenda. São eles que devem garantir o alinhamento entre a estratégia da empresa, sua postura frente ao risco regulatório e sua atuação ética frente à sociedade. Diante da possibilidade de adesão a uma futura Parceria Estruturada de Inteligência Financeira (PEIF), cabe ao conselho por exemplo avaliar o apetite a riscos regulatórios e reputacionais associados ao compartilhamento de dados sensíveis, e se posicionar institucionalmente sobre o tema, e aprovar políticas internas e frameworks de governança de dados, PLD/FT e cibersegurança, de modo a viabilizar a participação em estruturas multissetoriais com segurança jurídica, assim como supervisionar a aderência aos princípios da LGPD, garantindo que as obrigações legais sejam traduzidas em controles operacionais e cultura de proteção de dados, e cobrar da diretoria a criação de processos internos para registro, auditoria e rastreabilidade das interações em parcerias de inteligência, assim como integrar a participação em parcerias estratégicas ao plano de longo prazo da empresa, inclusive como diferencial competitivo e ativo reputacional.
Os conselhos que assumirem essa postura proativa tendem a posicionar suas instituições como líderes na agenda de integridade, segurança financeira e responsabilidade corporativa.
O Papel Técnico dos Comitês de Riscos e de Auditoria
Os comitês de riscos e de auditoria terão papel determinante na operacionalização da participação em uma PEIF. Caberá a eles por exemplo revisar periodicamente os critérios internos de classificação de risco de clientes e transações, com base nas novas informações compartilhadas no âmbito da parceria, assim como validar os critérios técnicos usados para autorizar ou bloquear o compartilhamento de dados, assegurando aderência às políticas internas e à regulamentação externa, e também analisar os relatórios de monitoramento de transações alimentados por dados obtidos por meio das parcerias, aprimorando a abordagem baseada em risco, e ainda acompanhar a execução de planos de ação para mitigação de incidentes de privacidade, vazamentos ou acessos indevidos, atuando como instância de governança independente, assim como fiscalizar a efetividade da segregação de responsabilidades e do registro das trocas de informação realizadas pela instituição no âmbito da parceria, como parte do ciclo de auditoria contínua.
O comitê de riscos, por sua vez, pode ser o patrocinador interno da adesão à parceria, desde que atue com visão estratégica, supervisão técnica e compromisso com a efetividade da prevenção.
O Papel do Compliance como Arquitetor da Conformidade Dinâmica
A área de compliance, e em especial o Chief Compliance Officer (CCO), tem a responsabilidade técnica de desenhar e sustentar o arcabouço de controles que viabilizará a participação em uma PEIF. Estamos falando aqui de integrar a lógica da parceria ao programa de compliance da instituição, incluindo procedimentos, treinamentos, fluxos de aprovação e respostas a incidentes, assim como de atuar como ponte entre a área jurídica, a proteção de dados, o PLD/FT, a segurança da informação e as áreas de negócios, garantindo coesão na abordagem à parceria, e também coordenar a elaboração e atualização do Relatório de Impacto à Proteção de Dados (RIPD), em consonância com as diretrizes da ANPD e do COAF, e garantir que os dados compartilhados estejam adequadamente protegidos, registrados, pseudonimizados e dentro do escopo aprovado, evitando riscos de uso indevido, além de monitorar o desempenho da instituição na parceria, medindo a efetividade dos dados recebidos, a contribuição para a redução de riscos, e a geração de valor regulatório.
Mais do que seguir regras o compliance deverá orquestrar a transformação de um modelo de conformidade reativa para uma atuação estratégica, integrada, tecnológica e proativa
Um Chamado para a Liderança Estratégica
A regulamentação europeia avança em direção ao futuro da integridade financeira global, ao reconhecer que o isolamento informacional, a segmentação institucional e o medo jurídico são hoje os maiores aliados do crime financeiro. O Artigo 75 é um convite à maturidade institucional com a construção de um sistema que sem violar direitos fundamentais, permita colaboração estruturada, análise conjunta e ação coordenada entre os diversos elos da cadeia de prevenção.
No Brasil este é o momento de agir, com a criação de um nosso modelo nacional inspirado nos princípios do Artigo 75, o que vejo ser bem viável, legítima e desejável, pois pode nos colocar o país na vanguarda global da inteligência financeira colaborativa. Para isso é indispensável que conselhos, comitês, CCOs, reguladores e o próprio setor privado abracem essa agenda com coragem técnica, responsabilidade institucional e visão de longo prazo.
Em um ambiente onde o crime financeiro evolui a cada dia, a integridade não pode ser fragmentada. Ela precisa ser construída em rede.