Estabelece norma de supervisão para participantes dos mercados da B3 sobre prevenção à lavagem de dinheiro, financiamento do terrorismo e proliferação de armas.
A Norma BSM 18/2025 organiza expectativas de supervisão para PLD/FTP dos Participantes B3.
📌 Reforça ABR, Política, AIR, RAIR, monitoramento, alertas, COAF, SISCOAF, listas restritivas e treinamento.
⚠️ A segmentação foi ampliada por falta de tag específica para Participante B3.
🧾 O RAIR tem prazo anual expresso: último dia útil de abril.
🔁 A norma produz efeitos em 02.01.2026 e revoga o Comunicado Externo 004/2020-DAR-BSM.
A Norma de Supervisão 18/2025-BSM é um documento de autorregulação voltado aos Participantes dos mercados organizados administrados pela B3 nos segmentos Listado e Balcão. Seu tema é a prevenção à lavagem de dinheiro, ao financiamento do terrorismo e ao financiamento da proliferação de armas de destruição em massa, com foco em monitoramento, análise, comunicação, governança e evidências. O documento tem natureza operacional: ele não se limita a repetir a regulamentação vigente, mas organiza expectativas de supervisão da BSM sobre como os Participantes devem estruturar, executar e demonstrar seu programa de PLD/FTP.
O núcleo da norma é a Abordagem Baseada em Risco. A curadoria tratou a ABR como requisito estruturante, mas também separou os blocos operacionais que possuem evidências, controles e donos próprios: Política de PLD/FTP, processo de Conheça seu Cliente, processos de conhecimento de funcionários, prestadores e assessores, atuação da alta administração, Diretor Responsável, metodologia de risco, classificação de clientes, investidores não residentes, Avaliação Interna de Risco, RAIR, indicadores de efetividade, monitoramento de operações, análise de alertas, comunicações ao COAF, SISCOAF, listas restritivas, equipe, treinamento e guarda de evidências.
A norma produz efeitos a partir de 02.01.2026 e revoga expressamente o Comunicado Externo 004/2020-DAR-BSM, de 21.09.2020. Como o pacote segue o modo de retrato-fonte, os requisitos foram extraídos apenas do próprio documento-fonte. Normas posteriores, versões futuras de manuais e alterações supervenientes não foram usadas para alterar status, ampliar obrigações ou consolidar o conteúdo.
O sujeito regulado descrito no documento é o Participante dos mercados organizados administrados pela B3, nos segmentos Listado e Balcão, sempre no limite de suas atribuições. A segmentação disponível no dicionário não possui tag específica para Participante B3 de Listado e Balcão. Por isso, a curadoria usou recorte setorial amplo de mercado de capitais e sinalizou a limitação no manifest. A aplicabilidade real não decorre de qualquer atuação genérica em mercado de capitais; ela depende de o ente estar enquadrado como Participante alcançado pela BSM e de desempenhar atividades às quais o comando se aplique.
A norma também menciona administradores, funcionários, prepostos, assessores de investimento, prestadores de serviços relevantes, clientes, investidores não residentes e entidades da cadeia de relacionamento. Esses públicos não foram tratados como sujeitos regulados independentes, mas como objetos, terceiros ou destinatários operacionais dos processos que o Participante precisa gerir.
O primeiro bloco operacional é a Política de PLD/FTP. Ela deve conter regras, procedimentos, controles, responsabilidades, sistemas, consultas a fontes externas, listas restritivas, procedimentos de bloqueio, auditoria ou testes, processos de tratamento de falhas, guarda de registros e relação com ABR, Conheça seu Cliente, Conheça seus Funcionários, Conheça seus Prestadores e, quando aplicável, Conheça seu Assessor de Investimento. A curadoria separou a implementação da Política, sua aprovação e divulgação, o monitoramento de assessores e prepostos e o controle de versões, porque cada tema tem evidência e processo de acompanhamento próprios.
O segundo bloco é a governança. A norma exige envolvimento da alta administração, aprovação de documentos relevantes, acompanhamento de indicadores e planos de ação, além da indicação de Diretor Responsável estatutário por PLD/FTP. A comunicação da nomeação do Diretor Responsável à CVM e à B3 foi tratada como entrega regulatória, com prazo remetido à regulamentação vigente. Como a norma não fixa número de dias, o pacote não inventa prazo.
O terceiro bloco é a metodologia de ABR e os fatores de risco. A norma exige que o Participante considere critérios mínimos para clientes, produtos, serviços, canais, ambientes de negociação ou registro, cadeia de relacionamento, jurisdições, PEP, organizações sem fins lucrativos, estruturas complexas, notícias desabonadoras, sanções, trusts, fundos exclusivos, investidores não residentes e outros elementos de risco. A extração evitou criar uma obrigação isolada para cada exemplo quando o exemplo era parte de um processo maior, mas separou os processos que têm execução distinta: jurisdição, cadeia de relacionamento, produtos e canais, risco de clientes, reclassificação, capacidade financeira e patrimonial, e investidor não residente.
O quarto bloco é a AIR e o RAIR. A AIR deve ser formal e escrita, considerando porte, volume, complexidade e atividades. O RAIR deve ser encaminhado à alta administração até o último dia útil de abril de cada exercício, com evidência de envio. Este foi o principal calendário normativo identificado, por isso recebeu série de recorrência anual. O conteúdo mínimo do RAIR, a retenção dos testes de efetividade e o uso de indicadores de efetividade foram modelados como requisitos próprios para facilitar checklist, cobrança de evidências e testes de aderência.
O quinto bloco é monitoramento, análise e comunicação de atipicidades. A norma exige controles para todas as ofertas e operações, monitoramento de trilhas de origem de ordem, acesso e cadastro, procedimentos contínuos para geração de alertas, análise por profissionais qualificados, conclusão com providência, descarte formalmente fundamentado, observância de prazo regulatório aplicável, amostragem qualitativa e comunicação de indícios de LD/FTP ao COAF. O pacote separou comunicação ao COAF, relatório de atipicidade, arquivamento de comunicações e gestão de acesso ao SISCOAF, pois esses objetos têm entregáveis, sistemas e evidências diferentes.
O sexto bloco é listas restritivas, equipe e treinamento. O monitoramento de listas restritivas foi tratado como requisito de alta criticidade por envolver sanções, terrorismo, proliferação e indisponibilidade de ativos. Equipe qualificada e treinamento foram tratados como requisitos de criticidade média, porque são estruturantes, mas sua execução é normalmente controlável por processos de RH, compliance e capacitação.
A principal consequência prática é que o Participante precisará demonstrar rastreabilidade entre risco, regra interna, sistema, alerta, análise, decisão, comunicação e evidência. A norma reforça a expectativa de que a Política não seja documento genérico: ela deve indicar processos, responsáveis, sistemas, fontes, periodicidades internas, critérios de monitoramento, testes e guarda de informações.
Para compliance e PLD/KYC, a norma exige revisão da matriz de risco, critérios de classificação, tratamento de PEP, organizações sem fins lucrativos, clientes com beneficiário final não identificado, investidores não residentes, jurisdições de maior risco, entidades da cadeia e prestadores relevantes. Para tecnologia e dados, os impactos aparecem nas trilhas de auditoria, origem da ordem, acesso, cadastro, geração de alertas, parâmetros de monitoramento e gestão de acessos ao SISCOAF. Para alta administração, os principais impactos são aprovação de Política, ciência do RAIR, acompanhamento de indicadores e planos de ação. Para jurídico-regulatório, destacam-se comunicação do Diretor Responsável, reporte a órgãos competentes, sanções e gestão de obrigações ligadas a listas restritivas.
A norma também eleva a importância de evidências de qualidade. Não basta gerar alertas em grande volume; a BSM verifica a qualidade das análises, relatórios, amostras, critérios estatísticos, tempestividade, conclusões e providências. Esse ponto foi refletido nos controles sugeridos de testes de amostragem, revisão de parâmetros, documentação de conclusões e retenção de bases utilizadas.
As evidências mais importantes para auditoria incluem: Política de PLD/FTP aprovada, matriz de aderência do conteúdo mínimo, controle de versões, atas de alta administração, comunicação da Política, inventário de prestadores e assessores, metodologia de ABR, matriz de risco, amostras de classificação e reclassificação, registros de PEP e listas restritivas, documentos de AIR, RAIR anual, evidência de encaminhamento do RAIR, testes de efetividade, indicadores, planos de ação, logs de alertas, relatórios de atipicidade, protocolos de comunicação ao COAF, registros do SISCOAF, gestão de acessos, registros de bloqueios e trilhas de treinamento.
As áreas internas sugeridas foram calibradas por requisito. A área de PLD/KYC aparece como dona operacional central, mas não isolada. Compliance e controles participam de governança, monitoramento e testes. Tecnologia é material nos requisitos de sistemas, trilhas, alertas e SISCOAF. Diretoria e alta administração aparecem nos requisitos de aprovação, RAIR, indicadores e Diretor Responsável. RH e contratos participam de treinamento, funcionários, prestadores e assessores. Jurídico-regulatório foi reservado para comunicação regulatória, Diretor Responsável, COAF, BSM e listas restritivas.
Alguns dispositivos foram mantidos como pontos de documento ou absorvidos por requisitos mais amplos. A introdução e o escopo foram preservados como ponto de apoio porque orientam aplicabilidade, mas não criam requisito autônomo além dos comandos extraídos. O item 1.9, sobre possibilidade de Política única para grupo ou conglomerado, foi tratado como condição de escopo e refletido nos requisitos de Política e ABR, não como requisito isolado. O item 1.58, que informa a existência de guia da BSM para RAIR, foi tratado como referência operacional. Os itens 2.1 e 2.2 descrevem atuação supervisora da BSM; por isso, não viraram requisito empresarial independente, embora tenham sido usados para calibrar evidências e pontos de atenção. O item 3.1 descreve consequência de enforcement; foi mantido como ponto e não como requisito, pois não há ação operacional nova além de cumprir os deveres materiais.
A revogação do Comunicado Externo 004/2020-DAR-BSM foi registrada em alteracoesRequisitos, sem recriar requisitos da norma revogada. Isso preserva a regra de retrato-fonte: a norma nova registra o efeito de revogação e contém apenas os requisitos que nasceram nela.
O primeiro ponto de atenção é a dependência de regulamentação vigente. A norma remete a prazos e condições externas em vários trechos, especialmente comunicação do Diretor Responsável, prazo de análise de alertas, comunicação ao COAF e retenção de documentos. O pacote não criou prazos não expressos; esses itens devem ser completados pelo arcabouço regulatório aplicável no workspace do cliente.
O segundo ponto é a segmentação. Como não há tag específica de Participante B3 de Listado e Balcão, o recorte usado é mais amplo que o sujeito jurídico exato. Esse aviso é relevante para evitar que empresas de mercado de capitais que não sejam Participantes B3 tratem os requisitos como diretamente aplicáveis.
O terceiro ponto é a atualização de referências operacionais. Guias, materiais de apoio, listas restritivas, SISCOAF e páginas oficiais podem ter versões ou endereços atualizados ao longo do tempo. O pacote preserva a referência oficial útil para execução, mas o cliente deve verificar a versão vigente no momento da utilização.
O quarto ponto é a granularidade dos requisitos. A curadoria preferiu dividir os comandos quando havia diferença de evidência, área, sistema, entrega, prazo ou risco. Isso permite transformar a norma em workflow de compliance com responsáveis, controles, evidências e perguntas de aderência específicas, sem criar um requisito genérico de “cumprir PLD/FTP”.
Nenhum item vinculado a este artefato.
