Regulação de IA no Brasil

Regulação de IA no Brasil: KYC, Fraudes e Compliance

Por · · 4 min de leitura
Regulação de IA no Brasil: KYC, Fraudes e Compliance

A MIT Technology Review Brasil revelou a existência de aproximadamente duas dúzias de canais e grupos no Telegram dedicados a burlar processos de verificação de identidade (KYC, sigla para Know Your Customer) em grandes corretoras de criptomoedas e bancos. As ferramentas oferecidas nesses grupos utilizam recursos de inteligência artificial para falsificar documentos, simular biometria facial e contornar os controles automatizados exigidos pela regulação financeira.

O caso não é isolado. Ele integra uma tendência global de uso de IA generativa para fraudes de identidade, que já causou prejuízos estimados em USD 48 bilhões ao setor financeiro mundial em 2023, segundo relatório da Javelin Strategy & Research. No Brasil, o impacto direto recai sobre fintechs, bancos digitais e exchanges de criptoativos que operam sob obrigações rígidas de prevenção à lavagem de dinheiro.

Para founders, CTOs e compliance officers, o episódio levanta uma pergunta urgente: qual é a responsabilidade jurídica de uma plataforma quando sua camada de KYC automatizado é burlada por IA adversarial? A resposta, no marco regulatório brasileiro atual, é mais complexa do que parece.

Contexto jurídico e regulatório

O que diz o arcabouço regulatório brasileiro

No Brasil, a obrigação de KYC para instituições financeiras e prestadores de serviços de ativos virtuais decorre de três pilares normativos principais: a Lei nº 9.613/1998 (Lei de Lavagem de Dinheiro), atualizada pela Lei nº 12.683/2012; a Resolução BCB nº 37/2021, que trata de prevenção a fraudes no âmbito do PIX; e a Resolução BCB nº 96/2021, que regulamenta as instituições de pagamento. Para exchanges de criptoativos, soma-se a Resolução BCB nº 455/2024, que passou a exigir autorização prévia do Banco Central para operação no país.

A LGPD (Lei nº 13.709/2018) também incide diretamente sobre os sistemas de KYC. O tratamento de dados biométricos e documentos de identidade enquadra-se como dado pessoal sensível (art. 5º, inciso II), sujeito a consentimento explícito e medidas técnicas de segurança proporcionais ao risco. Se uma plataforma adota reconhecimento facial automatizado e esse sistema é enganado por deepfake gerado por IA, a ANPD pode questionar se as medidas de segurança adotadas eram adequadas, com base no art. 46 da LGPD.

Há ainda o PL 2.338/2023, o Marco Legal da IA, aprovado pelo Senado e em tramitação na Câmara até a data de publicação deste artigo. O texto classifica sistemas de IA usados em decisões de acesso a serviços financeiros como de alto risco (art. 14), o que exigirá avaliação de conformidade, documentação técnica e mecanismos de supervisão humana. Sistemas de verificação biométrica e análise de documentos para KYC se enquadram nessa categoria.

Do ponto de vista penal, a facilitação involuntária de fraudes por falha em sistemas de KYC não gera, por si só, responsabilidade criminal da empresa. Contudo, se houver omissão dolosa ou culpa grave na adoção de controles adequados, gestores podem responder por participação em crime de lavagem de dinheiro (art. 1º, §2º, da Lei 9.613/1998) ou por descumprimento de normas do COAF, que pode aplicar multas de até BRL 20 milhões por infração.

Impacto prático

Para startups de IA que desenvolvem ou integram soluções de KYC, o cenário exige revisão imediata de contratos com clientes financeiros. Cláusulas de responsabilidade por falhas no sistema de verificação precisam estar alinhadas ao que o Marco Legal da IA deve exigir: rastreabilidade das decisões automatizadas e possibilidade de contestação humana. Contratos que transferem integralmente o risco ao cliente sem documentar as limitações técnicas do sistema tendem a ser contestados judicialmente.

CTOs e times de engenharia devem avaliar a robustez dos modelos contra ataques adversariais, incluindo deepfakes e documentos sintéticos. Ferramentas de liveness detection passiva já demonstraram vulnerabilidade a ataques com vídeos de alta resolução e modelos de difusão. A atualização contínua dos modelos e a adoção de camadas adicionais de verificação (como cruzamento com bases governamentais como Serpro e Denatran) deixaram de ser diferenciais para se tornarem requisitos mínimos de compliance.

Para advogados e contadores que assessoram fintechs, o momento é de mapear exposição regulatória dupla: perante o Banco Central, pela inadequação dos controles de PLD/FT (Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo), e perante a ANPD, pela eventual inadequação das medidas de segurança no tratamento de dados biométricos. Esses dois processos correm em paralelo e podem gerar sanções cumulativas.

Considerações finais

O uso de IA para burlar KYC não é um problema futuro: já está acontecendo em canais abertos do Telegram, identificados por pesquisadores da MIT Technology Review Brasil. O que muda com o Marco Legal da IA e a regulação do BCB para exchanges é que a tolerância regulatória com sistemas mal documentados e sem supervisão humana tende a zero. Empresas que tratam KYC automatizado como caixa-preta correm risco jurídico concreto.

A janela para adequação ainda está aberta, mas fecha com a aprovação definitiva do PL 2.338/2023 e com a maturação da supervisão da ANPD. Founders e gestores que agirem agora, revisando arquitetura técnica, contratos e políticas de PLD, saem na frente tanto na segurança operacional quanto na posição regulatória.

Perguntas frequentes

Minha fintech é responsável se um golpista burlar nosso KYC com deepfake gerado por IA?

Depende. A responsabilidade civil existe se for comprovado que as medidas de segurança adotadas eram inadequadas para o nível de risco da operação. O BCB e a ANPD avaliam se os controles técnicos eram proporcionais. Simplesmente ter um sistema de reconhecimento facial não é suficiente: é preciso documentar testes de robustez, atualizações periódicas e camadas adicionais de verificação.

O Marco Legal da IA (PL 2.338/2023) impacta sistemas de KYC automatizado?

Sim. Sistemas de IA usados para decidir o acesso de pessoas a serviços financeiros são classificados como de alto risco pelo texto aprovado no Senado. Isso exigirá documentação técnica, avaliação de conformidade antes da implantação e mecanismos que permitam revisão humana das decisões automatizadas.

Exchanges de criptoativos têm obrigações de KYC iguais às dos bancos tradicionais?

Não exatamente iguais, mas comparáveis. A Resolução BCB nº 455/2024 exige autorização prévia para operar e submissão às normas de PLD/FT do COAF e do BCB. As obrigações de identificação de clientes são equivalentes às das instituições de pagamento, incluindo coleta de documentos, verificação de identidade e monitoramento de transações suspeitas.

Quais multas a empresa pode receber por falhas no KYC que permitirem lavagem de dinheiro?

O COAF pode aplicar multas de até BRL 20 milhões por infração administrativa em caso de descumprimento das normas de PLD/FT (Lei 9.613/1998, art. 12). O BCB também pode aplicar penalidades próprias e, em casos graves, cassar autorizações de funcionamento. A ANPD pode aplicar multas de até 2% do faturamento no Brasil, limitadas a BRL 50 milhões por infração, em caso de violação da LGPD no tratamento dos dados de KYC.

Como proteger tecnicamente um sistema de KYC contra ataques com IA generativa?

As medidas mais eficazes incluem: liveness detection ativa (com desafios em tempo real), cruzamento de dados com bases governamentais como Serpro e Denatran, análise de metadados do dispositivo, detecção de anomalias comportamentais durante o onboarding e atualização contínua dos modelos de detecção de deepfakes. Nenhuma solução isolada é suficiente: o padrão regulatório exige abordagem em camadas.

Artigos relacionados

Mais artigos em breve.

Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.