Lavagem de Dinheiro com Criptomoedas: Como a Lei Brasileira Está Enfrentando o Novo Desafio Digital

O que é lavagem de dinheiro com cripto e por que importa

Criptoativos são registros digitais negociados em redes distribuídas. Eles são meios de transferência de valor e, por isso, podem ser usados tanto para fins legítimos quanto ilícitos. A lavagem de dinheiro (LD) é o processo de ocultar ou dissimular a origem de recursos provenientes de crimes — e envolve fases clássicas (colocação, ocultação/layering e integração). Em cripto, a dinâmica não é idêntica ao sistema bancário, mas as finalidades são as mesmas: dificultar a rastreabilidade, pulverizar valores e reconectar o dinheiro “limpo” ao mundo real.

Base legal no Brasil: arcabouço antilavagem aplicável a cripto

No Brasil, a LD é crime previsto na Lei 9.613/1998 (alterada pela Lei 12.683/2012), que define condutas como “ocultar ou dissimular a natureza, origem, localização, disposição, movimentação ou propriedade de bens, direitos ou valores” decorrentes de infração penal (art. 1º). Essa lei também estabelece obrigações preventivas a setores econômicos — cadastros, registros, comunicação de operações suspeitas e compliance — e cria o COAF, unidade de inteligência financeira do país.

Com o avanço dos criptoativos, o Marco Legal dos Criptoativos (Lei 14.478/2022) definiu conceitos e trouxe diretrizes para a prestação de serviços com ativos virtuais no Brasil. O Decreto 11.563/2023 designou o Banco Central do Brasil como autoridade competente para autorizar, supervisionar e sancionar VASPs (exchanges e custodians que operam no país), sem prejuízo de competências da CVM quando um criptoativo for valor mobiliário (conforme entendimento consolidado e o Parecer de Orientação 40/2022).

Quem está sujeito a obrigações preventivas

Prestadores de serviços com ativos virtuais que captem clientes no Brasil — inclusive por meios digitais — e executem serviços de troca, intermediação, custódia ou transferência de cripto estão no escopo de supervisão do BCB, devendo cumprir KYC, monitoramento de transações, comunicação ao COAF de operações suspeitas, políticas e controles internos, retenção de registros e, conforme regulação infralegal do BCB, regras de interoperabilidade e Travel Rule. A CVM poderá exigir obrigações adicionais quando o ativo for valor mobiliário (ex.: ofertas públicas de tokens que se enquadrem como valores mobiliários).

Tipologias e riscos mais comuns na LD com cripto

Sinais de alerta (red flags) para detecção

• Cliente recém-aberto que movimenta grandes volumes nas primeiras 24–72h, especialmente em ativos de alta anonimização.
• Uso reiterado de endpoints de mixing e bridging antes de “desembarcar” para moeda fiduciária.
• Chain-hopping em curtos intervalos, sem justificativa econômica, com fracionamento (smurfing).
• Pagamentos P2P para contas de terceiros não relacionados (mulas), seguidos de saques em dinheiro.
• Compra/venda de NFTs com preços incompatíveis com o mercado, entre carteiras possivelmente vinculadas.
• Operações cruzando fusos e jurisdições de alto risco (listas do GAFI, sanções), sem propósito de negócio claro.
• Alterações frequentes de dispositivos/IP, navegação via Tor/VPN e automação de ordens (bots) fora do perfil.

Responsabilidade penal, administrativa e civil

A prática de LD é crime (Lei 9.613/1998), com pena de reclusão e multa. Quem lava e quem auxilia pode responder por coautoria ou participação. VASPs e seus administradores respondem administrativamente perante o Banco Central por falhas de controles (multas, restrições, cassação de autorização) e podem responder civilmente por danos a terceiros se houver nexo entre o compliance deficiente e o prejuízo. A CVM pode sancionar ofertas irregulares de tokens que sejam valores mobiliários. Em paralelo, ordens judiciais podem determinar indisponibilidade e sequestro de criptoativos, inclusive com apoio de perícia on-chain.

LGPD x AML: como conciliar

A LGPD se aplica ao tratamento de dados em KYC e monitoramento. A base legal predominante é cumprimento de obrigação legal/regulatória (art. 7º, II), complementada por legítimo interesse (art. 7º, IX) em certas análises de risco. Devem-se observar minimização, retenção pelo prazo necessário (normas AML exigem prazos mínimos), segurança da informação e transparência. Dados sensíveis (biometria, por exemplo) exigem salvaguardas reforçadas.

Obrigações fiscais e reporte à Receita Federal

A IN RFB 1.888/2019 impõe que exchanges domiciliadas no Brasil reportem operações de clientes. Pessoas físicas e jurídicas que operam em exchanges estrangeiras ou P2P devem reportar mensalmente quando o volume superar determinado patamar (a regra vigente estabelece o limiar de valor total no mês). Para fins de Imposto de Renda, os ganhos de capital com alienação de cripto seguem as alíquotas progressivas aplicáveis a ganhos de capital; há isenção para vendas até um teto mensal (limite previsto na legislação tributária), e a declaração de posse ocorre na ficha Bens e Direitos, grupo específico de criptoativos, informando custo de aquisição e custódia.

Programas de compliance para VASPs e empresas expostas

Elementos mínimos

• Avaliação de risco por produto, cliente, canal e jurisdição (matriz dinâmica).
• KYC/KYB com verificação documental e, quando proporcional, biometria e prova de vida.
• KYT (monitoramento transacional) com heurísticas on-chain e listas (sanções, PEP, OFAC, ONU).
• Travel Rule: troca segura de dados de originador/beneficiário entre VASPs, com logs e evidências.
• Políticas, procedimentos, trilhas de auditoria e treinamento periódico.
• Oficial de compliance com autonomia e reporte à alta administração.
• Resposta a incidentes: congelamento tempestivo, comunicação ao COAF e autoridades.
• Testes independentes e revisão anual do programa.

Evidências e cadeia de custódia digital

Investigações envolvendo cripto dependem de evidências técnicas (hashes de blocos, txids, mapas de clusterização, ligações com serviços conhecidos) e evidências de perímetro (cadastro, logs de acesso, IP, dispositivo). A cadeia de custódia requer:

• Coleta forense com preservação de integridade (hashes, registros de data/hora, exportação verificável).
• Armazenamento seguro (e.g., cofres digitais, WORM), controle de acesso e trilhas de auditoria.
• Documentação clara de quem coletou, quando, como e onde as evidências circularam.
• Reprodutibilidade: terceiros devem conseguir verificar os dados no livro-razão público.

Empresas não financeiras que aceitam cripto: cuidados

Comércios, marketplaces e organizações que aceitam cripto devem escolher processadores regulados, ativar filtros de risco (por exemplo, bloquear fundos provenientes de endereços sancionados), manter política de chargeback e procedimentos de reembolso, além de controles antifraude para pedidos de alto valor, triangulação e compra de gift cards.

Cooperação internacional e extraterritorialidade

Crimes com cripto são, por natureza, transnacionais. O Brasil participa de redes de cooperação (MLATs, Egmont/COAF) para troca de informações. VASPs que atuem com clientes internacionais devem adotar screening por jurisdição, restrições de atendimento a países de alto risco e procedimentos de geofencing. Ordens judiciais podem atingir ativos custodiados no exterior por meio de cooperação, e desenvolve-se jurisprudência que aceita provas on-chain como fundamento para medidas cautelares.

Roteiro prático de conformidade para VASPs

1. Levantamento regulatório (Lei 14.478/2022; Decreto 11.563/2023; normas BCB/CVM; Lei 9.613/1998; LGPD; IN 1.888/2019).
2. Mapeamento de riscos (produtos, canais, parceiros, cadeias, carteiras, bridges, DEX).
3. Arquitetura de dados: retenção, segregação, criptografia, logs imutáveis.
4. KYC/KYB proporcional: verificação escalonada por risco; PEP, sanções, listas negativas.
5. Motor de alertas com heurísticas on-chain e inteligência de ameaças.
6. Travel Rule e interoperabilidade com outros VASPs; mensageria segura e provas de envio/recebimento.
7. Runbooks de congelamento, escalonamento e comunicação ao COAF/polícia/MP.
8. Auditoria externa periódica, testes de penetração e simulações de incidentes.

Casos típicos e como reagir

Recebi fundos que parecem vir de um mixer

Execute KYT, congele preventivamente quando a política assim determinar, solicite provas econômicas (origem lícita, notas, vínculo comercial), avalie risco e comunique ao COAF se a suspeita persistir.

Golpe de investimento usando minha marca

Ative brand protection, preserve evidências (prints, URLs, hashes), registre BO e acione canais de denúncia de plataformas. Se possível, liste endereços vinculados e alimente seu mecanismo de bloqueio.

A ordem judicial pede sequestro de cripto

Implemente procedimentos padronizados para rotular endereços/carteiras-alvo, movimentar para cofres sob controle judicial e preservar cadeia de custódia de todo o fluxo.

Conclusão

Criptoativos não são sinônimo de anonimato absoluto; o livro-razão público frequentemente gera rastros forenses mais ricos do que o dinheiro em espécie. O desafio central está na interface com serviços (VASPs, DEX, processadores, P2P) e na velocidade das camadas tecnológicas (bridges, mixers, rollups). O Brasil construiu um arcabouço normativo que combina a Lei 9.613/1998, o Marco Legal dos Criptoativos (Lei 14.478/2022) e a supervisão do Banco Central, mais regras fiscais e de proteção de dados. Para reduzir riscos, VASPs e empresas expostas precisam de programas de conformidade vivos, orientados por risco, com KYC/KYT robustos, Travel Rule, governança e capacidade de resposta a incidentes. Assim, o ecossistema pode amadurecer, viabilizando inovação com integridade e segurança jurídica.

Guia rápido: como prevenir, detectar e responder à lavagem de dinheiro com cripto

1) Conceitos-chave que você precisa dominar (em 2 minutos)

• VASPs: provedores de serviços de ativos virtuais (exchanges, brokers, custodians). Estão sujeitos a KYC/KYT, comunicação ao COAF e supervisão do Banco Central, conforme Lei 14.478/2022 e Decreto 11.563/2023.
• Fases da LD: colocação (inserir recursos ilícitos), ocultação/layering (misturar e fragmentar) e integração (retorno “limpo”).
• Ferramentas de ofuscação: mixers/tumblers, bridges, DEX, privacy coins, chain-hopping, NFTs superavaliadas e P2P informal.
• Travel Rule: troca de dados de originador/beneficiário entre VASPs ao transferir cripto; integra o pacote de recomendações do GAFI e tende a ser cobrada pelos supervisores.

2) O que a lei brasileira exige agora

3) Red flags que exigem atenção imediata

• Cliente novo movimentando alto volume nas primeiras 24–72h e alternando várias redes/ativos (chain-hopping).
• Recebimento/saque após passagem por mixers ou bridges com histórico de abuso.
• Uso recorrente de DEX para trocas sem narrativa econômica compatível.
• Compras e vendas de NFTs com valores discrepantes do mercado entre carteiras possivelmente vinculadas.
• Pagamentos P2P a contas de terceiros (mulas), geografia de alto risco e acesso via Tor/VPN fora do perfil.

4) Passo a passo de resposta operacional

1. Congelar preventivamente quando previsto em política e o alerta indicar risco alto.
2. Executar KYT aprofundado: trilha on-chain, origem de fundos, exposição a sanções, análise de cluster.
3. Solicitar documentos e justificativas (provas econômicas, notas, contratos, prints de origem lícita).
4. Se a suspeita persistir, comunicar ao COAF dentro do prazo e registrar cadeia de custódia das evidências digitais.
5. Manter trilhas de auditoria e avaliar necessidade de geofencing, listas de bloqueio e revisão de limites.

5) Checklist de conformidade mínima para VASPs

6) Impostos e LGPD: não vacile

• Concilie todas as operações para reporte da IN 1.888/2019 e cálculo de ganhos de capital (DARF quando devido).
• Na LGPD, aplique minimização, segurança (criptografia, segregação, logs imutáveis) e retensão somente pelo prazo legal/regulatório.
• Documente base legal de cada tratamento (obrigação legal/regulatória; legítimo interesse quando cabível).

7) Erros comuns que custam caro

8) Regra de bolso para decisão rápida

Se três ou mais red flags se encaixarem e a narrativa econômica não fechar, eleve o caso, congele conforme política, colha evidências, peça documentação adicional e comunique ao COAF. Aja com proporcionalidade, mas registre tudo. Em cripto, a rastreabilidade existe; o que diferencia operações seguras é a velocidade e a qualidade do seu processo.