Na última semana, operações deflagradas contra uma instituição de pagamento (IP) e uma gestora trouxeram aos holofotes a fragilidade de políticas e controles de prevenção à lavagem de dinheiro no mercado financeiro. Igualmente, no passado recente, houve diversos ataques cibernéticos ao Sistema de Pagamentos Brasileiro (SPB), atribuídos a falhas nos controles de IPs não autorizadas pelo Banco Central (BCB).
Nesse cenário, as fintechs, marcadas por uma postura inovadora e o uso intensivo de tecnologia na oferta de produtos e serviços financeiros, têm sido apontadas como vilãs.
Este texto explora a dinâmica entre inovação e regulação no mercado financeiro brasileiro, em um contexto no qual o discurso público – “compliance e governança são fundamentais” – tem estado em descompasso com a prática interna das instituições – “compliance é custo e não investimento”.
A inovação financeira demanda segurança jurídica
A quantidade de normas do Banco Central e da CVM, somadas à atuação dos autorreguladores (como BSM e Anbima) nos permite questionar como ainda é possível que recursos provenientes da prática de atos ilícitos contaminem o sistema financeiro.
Por outro lado, essas regras potencializaram o desenvolvimento do mercado financeiro brasileiro, com a disciplina das IPs, fintechs de crédito, Pix e open finance.
Para não sufocar os novos modelos de negócios, o BCB permitiu que IPs que tivessem volumetria abaixo de certos parâmetros não precisassem de autorização prévia. Assim, o escrutínio mais rigoroso seria voltado àquelas que efetivamente representassem maior risco, com base no volume financeiro e número de transações. Essa abordagem baseada em riscos é fundamental diante da escassez de recursos para fiscalizar as instituições reguladas.
Com a Resolução BCB nº 80/21 este modelo foi extinto, permitindo, porém, que algumas IPs já atuantes obtivessem autorização até março de 2029. O prazo dessa regra de transição foi antecipado para maio de 2026 pela Resolução BCB nº 494/25, publicada há alguns dias.
Dentre outras distorções, algumas empresas criavam uma nova entidade quando estavam prestes a alcançar a volumetria necessária para a obtenção da autorização e outras passaram a delegar aspectos críticos de governança a empresas de tecnologia que lhes permitiam o acesso ao SPB. Essas prestadoras de serviços de tecnologia (PSTI), foram consideradas, pelo BCB, infraestruturas críticas e, com isso, submetem-se a parâmetros de governança e segurança. A regra de Banking as a Service (BaaS), que virá após consulta pública realizada em 2024, está inserida nesse contexto.
Regras são ineficazes sem supervisão e enforcement
Sim, é preciso dizer o óbvio. Em nosso país, quando os holofotes se voltam a um dado problema, a resposta costuma ser um projeto de lei ou o anúncio de uma nova Resolução. A complexidade regulatória aumenta com novas regras, que podem levar a conflitos de interpretação, abertura de novas brechas e aumento de custos de observância.
No cenário anterior, ao que tudo indica, IPs que atuavam “fora do radar” optaram por políticas e controles mais relaxados em termos de prevenção à lavagem de dinheiro e segurança cibernética. Graças a alguns maus atores, há uma percepção, a meu ver equivocada, de que as fintechs são um risco para o Sistema Financeiro Nacional.
Com as novas normas, espera-se que a régua seja elevada e problemas como os que observamos no passado recente deixem de ocorrer ou, pelo menos, sejam reduzidos. Contudo, será fundamental que, do lado das empresas, as políticas não sejam apenas pedaços de papel, que o compliance não se desnature em formulários e checklists formais e que os controles sejam capazes de identificar efetivamente distorções e vulnerabilidades.
Do lado dos reguladores, que a supervisão seja capaz de alcançar as nuances do setor. Hoje podemos lançar mão de recursos de análise de dados para contornar a escassez de recursos humanos e materiais para a supervisão de mercado. Basta que tenhamos os dados certos e, nesse ponto, causa espanto que a Receita Federal tenha sido responsável por exigir as informações necessárias para a adequada rastreabilidade das transações, ao demandar que as IPs enviassem a e-Financeira.
“Ah, mas todo mundo faz assim… só nós vamos fazer do jeito ‘certo’?”
Quem trabalha no jurídico e compliance de uma empresa já escutou essa frase ao menos uma vez. Existe uma tensão entre compliance e comercial nas empresas. Esse embate é ainda mais relevante em setores regulados, como o de serviços financeiros. Diante de um novo produto ou serviço ou de um potencial cliente, em vez de confiar no “santo de casa” e sua interpretação das normas e opinião jurídica, administradores, sócios/acionistas ou pessoas ligadas ao comercial de empresas pressionam para que a resposta a um dado questionamento seja positiva. Em casos mais dramáticos, até mesmo tentam evitar fazer perguntas para não correr o risco de ouvir uma negativa.
Uma atividade, produto ou serviço pode operar por longos períodos no mercado antes de ser considerado ilícito ou submetido a novas exigências regulatórias.
“A regulação é um entrave”, costumam dizer. Na arena pública e nos corredores de Brasília, luta-se para criar exceções, plantar cavalos de Tróia nas regras em formação ou adota-se o discurso de que o desenvolvimento de certo setor (ou até da economia do país) depende de menos amarras, mais flexibilidade e menos intervenção estatal.
Tal mentalidade precisa ser repensada. Optar pelo caminho mais fácil pode ser altamente lucrativo no curto prazo. Todavia, à luz dos acontecimentos recentes, eventual dano reputacional pode dificultar ou impossibilitar o retorno ao mercado.
Empreender e inovar exige a tomada de riscos
É preciso reconhecer que, não raro, as áreas jurídicas e de compliance parecem ter um carimbo pronto com a palavra NÃO e o utilizam sem pensar duas vezes. Assim, há quem tenha certa antipatia por esses departamentos e os considerem burocráticos ou “inimigos do negócio”.
Empreender exige tomada de riscos e não há como gerar receita (e lucro e) se não há negócios. Diz um ditado que “o navio no porto está seguro, mas não foi para isso que navios foram construídos”.
Desse modo, o papel da área de compliance é criar caminhos seguros para se chegar ao SIM. Em outros termos, deve-se ter em mente que o objetivo é viabilizar negócios com a devida mitigação de riscos. E o NÃO, embora seja a resposta mais fácil, é a mais inconveniente para a empresa.
Desse modo, a regulação não precisa ser inimiga da inovação e vice-versa. A regulação impõe, de fato, custos de observância, mas graças a ela é possível corrigir distorções concorrenciais – o dinheiro sujo como “esteroide anabolizante” em competições esportivas – e garantir um nível mínimo de segurança jurídica e proteção aos investidores e consumidores, atraindo investimentos. No fim, a verdadeira inovação não é a que burla as regras, mas a que prospera dentro delas.
Fique à vontade para enviar comentários e críticas nas minhas redes sociais. Obrigado pela leitura!
*Isac Costa é advogado, professor do Insper e da LegalBlocks. Doutor (USP), mestre (FGV) e bacharel (USP) em Direito e Engenheiro de Computação (ITA). Ex-Analista da CVM, onde também atuou como assessor do Colegiado.
