A construção de um perfil de risco de cliente no contexto de Prevenção à Lavagem de Dinheiro (PLD) e ao Financiamento do Terrorismo (FT) é um componente crítico e obrigatório dentro de qualquer programa de compliance robusto, em que esse perfil de risco de PLD do cliente é estruturado a partir de um conjunto de variáveis que permitem classificar o risco inerente a cada cliente, ajustando a intensidade das diligências aplicadas e orientando o monitoramento contínuo de suas operações.
A correta identificação e avaliação desses elementos é o que fundamenta, de forma prática, a aplicação do princípio da abordagem baseada em risco, exigida por regulamentações nacionais e internacionais como o GAFI, e a "biblia" de PLD que é a Circular 3.978 de 2020 do Banco Central do Brasil e as diretrizes do COAF.
A primeira categoria a ser analisada é o risco do cliente propriamente dito, que contempla um conjunto de variáveis atributos cadastrais individuais ou empresariais associados diretamente à identidade, reputação, estrutura de propriedade e comportamento do cliente ao longo do tempo.
Um dos principais aspectos é a estrutura organizacional, pois as empresas que apresentam estruturas complexas, com múltiplos níveis societários, holdings offshores, ou beneficiários finais registrados em jurisdições com baixa transparência tributária, representam um risco significativamente mais elevado.
A dificuldade em identificar os controladores efetivos dessas estruturas dificulta a rastreabilidade de origem e destino de recursos, abrindo espaço para práticas de ocultação patrimonial e dissimulação de propriedade.
Outro fator crítico é a exposição política. Pessoas Politicamente Expostas (PEPs), tanto nacionais quanto estrangeiras, estão mais sujeitas a riscos de corrupção, tráfico de influência e desvio de recursos públicos, o que exige a aplicação de diligência reforçada e constante atualização do vínculo político.
Além disso a existência de notícias negativas (chamado adverse media) funciona como um sinal preditivo importante de risco, dado as notícias que relacionam o cliente a investigações, fraudes, crimes financeiros ou operações policiais são elementos que indicam risco reputacional e, em muitos casos, risco legal. Essas informações devem ser capturadas com o apoio de ferramentas automatizadas e fontes confiáveis, ampliando o escopo da análise além dos documentos formais.
Um outro critério essencial nesta categoria é a verificação de sanções internacionais. Qualquer cliente listado em listas como OFAC (EUA), União Europeia, ONU, Reino Unido ou outras deve ser bloqueado imediatamente, uma vez que operar com indivíduos ou entidades sancionadas pode implicar multas bilionárias e severos danos reputacionais.
Além destas todas tem ainda outra importante de se olhar que são mudanças abruptas no comportamento do cliente, que também indicam risco crescente com variações atípicas no padrão de movimentações financeiras, aumento repentino de transações, troca frequente de contas ou produtos utilizados, ou resistência a atualizações cadastrais são exemplos de alertas comportamentais que demandam reavaliação imediata do perfil e possível escalonamento para a área de PLD.
Para ilustrar de forma prática vou usar um exemplo prático ambientado em uma corretora de câmbio fictícia chamada: "Antenna Câmbio e Remessas", que atua com câmbio turismo, transferências internacionais, recarga de cartões pré-pagos, compra de moeda estrangeira em espécie e soluções corporativas, apenas com o objetivo ilustrar, de forma didática e realista, como cada variável pode se manifestar no dia a dia da empresa e quais respostas são esperadas da área de compliance.
Vamos começar contando da situação em que a "Antenna" recebe uma solicitação de abertura de conta corporativa da empresa Uranium Global Trading Ltd., registrada em Belize, com sócios residentes em Dubai e controlada por um trust sediado em Guernsey. Na ficha cadastral aparece como responsável pela operação o Sr. Hector Valverde, um empresário panamenho com participação em outras quatro empresas também offshore. Durante a análise de background, o sistema de mídia negativa da Antenna detecta menções em jornais internacionais ligando Valverde a contratos superfaturados com estatais africanas. Além disso seu nome consta como PEP estrangeiro por ter sido Ministro da Indústria no Panamá até 2021. A empresa ainda solicita operações mensais acima de USD 200 mil para envio a países africanos, com justificativa genérica de “consultoria internacional”.
Este exemplo mostra uma série de indicadores preocupantes como a estrutura societária complexa, a presença de PEP, a mídia negativa, a ausência de propósito claro das transações e os vínculos com jurisdições opacas exigem uma due diligence reforçada, mesmo com tudo isto apertada em fazer o orçamento e pagar suas contas, a Antenna optou por aprovar a abertura da conta com base apenas na análise formal de documentos, alegando não haver impedimento legal objetivo. Não houve escalonamento para o comitê de PLD, tampouco solicitação de comprovação robusta da origem e finalidade dos recursos. Meses depois a empresa foi mencionada em uma investigação internacional por uso de contas de corretoras para lavagem de recursos de corrupção pública. Como resultado a Antenna recebeu uma notificação e sofreu uma inspeção extraordinária do Banco Central e passou a responder a um processo administrativo por falhas graves em seu sistema de prevenção.
A segunda dimensão de variáveis relevante é sobre o risco do país, que avalia o impacto das jurisdições associadas ao cliente, seja por residência, local de operação, ou conexões comerciais e familiares. A análise geográfica é mandatória porque diversos países mantêm fragilidades sistêmicas em seus regimes de combate à lavagem de dinheiro, seja por falta de supervisão eficaz, legislação permissiva, corrupção institucionalizada ou ausência de colaboração internacional. A residência em países listados pelo GAFI como países de alto risco, a operação de empresas em paraísos fiscais não cooperantes ou a realização de negócios recorrentes com contrapartes baseadas em países sancionados ou em zonas de conflito são fatores que aumentam substancialmente a exposição ao risco. É importante lembrar que não é necessário que o cliente esteja domiciliado formalmente nesses locais para representar risco. Basta que mantenha relações frequentes com pessoas físicas ou jurídicas vinculadas a essas jurisdições, como familiares, contas conjuntas, fornecedores ou parceiros comerciais.
O exemplo deste bloco é de uma cliente chamada "Amina El Nour, que residente no Brasil, começou a realizar mensalmente remessas de USD 5k para familiares na Síria, que é um país classificado como de alto risco segundo o GAFI, com deficiências estruturais em combate ao financiamento do terrorismo. A Amina apresentava documentação pessoal válida e alegava trabalhar como manicure autônoma, declarando que as remessas eram para auxílio humanitário. O sistema da Antenna gerou um alerta geográfico automático, mas a equipe de PLD ignorou a necessidade de investigação complementar. Não foi exigida comprovação da origem dos recursos, nem foram identificados ou registrados os beneficiários finais no país de destino. Nenhum relatório foi encaminhado ao COAF, sob a justificativa de que os valores eram "pequenos e recorrentes". A negligência em aplicar medidas reforçadas, conforme exigido para jurisdições de risco elevado, expôs a empresa ao risco de envolvimento indireto com financiamento de atividades ilícitas, e comprometeu sua postura frente aos órgãos supervisores, sendo citada posteriormente em um relatório de inteligência financeira como uma das instituições com "pontos cegos operacionais relevantes".
O terceiro eixo de avaliação é o risco do produto ou serviço contratado, que se refere às características intrínsecas dos produtos financeiros ou não financeiros utilizados pelo cliente. Certos produtos até pela sua própria natureza, são mais propensos a uso indevido, como produtos com liquidez imediata, possibilidade de movimentação em espécie, ausência de registro centralizado de titularidade ou facilidade de portabilidade entre partes. Moedas virtuais, stablecoins, cartões pré-pagos, cheques administrativos ao portador e ativos de alta fungibilidade, como ouro e pedras preciosas, são exemplos típicos de produtos de risco elevado.
Outro fator relevante nesta categoria são os bens de uso dual, ou seja aqueles bens que possuem aplicação tanto civil quanto militar, como equipamentos médicos, tecnologias de comunicação, softwares criptográficos, componentes eletrônicos ou produtos químicos industriais. A venda ou movimentação desses produtos pode estar atrelada a regimes de controle de exportação, e seu uso indevido representa risco de financiamento de atividades ilícitas. Produtos de titularidade facilmente transferível, como títulos ao portador ou ativos registrados fora do sistema financeiro formal, aumentam o risco de dissimulação. Cabe as empresas restringir ou aplicar controles específicos para o uso desses produtos, com base na classificação de risco do cliente e em justificativas econômicas devidamente documentadas.
Aqui a Antenna decidiu inovar e lançou no mercado um cartão internacional pré-pago multimoeda, com carregamento via boleto e saque autorizado em dezenas de países, sem exigência de justificativa de uso ou monitoramento granular das transações. O produto foi um sucesso comercial imediato. Um cliente chamado Carlos Mejía, alegando representar uma startup de tecnologia, comprou 30 cartões em nome de diferentes pessoas físicas, residentes em bairros periféricos de São Paulo. Cada cartão foi carregado com R$ 9.500, valor abaixo do limite de comunicação automática ao COAF, e os fundos foram rapidamente utilizados em caixas eletrônicos na Bolívia e no Paraguai. O sistema da Antenna não gerou alerta de estruturação, e a área de PLD sequer analisou a concentração de cartões sob controle de um único comprador. O produto havia sido lançado sem consulta prévia para a área de PLD e sem modelagem de risco específica. Quando o Bacen notificou a corretora sobre movimentações suspeitas ligadas ao uso de cartões em território fronteiriço, a Antenna se viu obrigada a interromper imediatamente o produto, revisar todos os cadastros associados e emitir dezenas de comunicados retroativos, sendo exposta em relatórios públicos como exemplo de má prática operacional.
A quarta dimensão se refere ao risco transacional, que é um dos pilares da detecção de lavagem de dinheiro em tempo real. Aqui se avalia o comportamento financeiro do cliente com base na natureza, frequência, volume e padrão das transações realizadas. Desvios significativos em relação ao histórico pessoal do cliente, ao comportamento médio de seu segmento de atuação, ou a expectativa estabelecida no momento da abertura da conta devem ser encarados como indícios de risco. Transações fracionadas com valor ligeiramente abaixo dos limites de reporte obrigatório são indicativas da prática de "smurfing" ou estruturação. Circularidade entre contas, ou seja transferências entre empresas ou pessoas vinculadas com finalidade meramente contábil, também é uma prática comum de dissimulação. Além disso os aumentos súbitos e injustificados de volume financeiro movimentado, ou alteração frequente de beneficiários das transações, são padrões típicos de anomalia que merecem investigação. A mitigação desse risco envolve não apenas o monitoramento automatizado baseado em regras e limites, mas também o uso de inteligência artificial e aprendizado de máquina para detectar padrões complexos e criar alertas personalizados por cliente ou segmento.
Aqui neste exemplo o cliente Felipe Santoro, que é um analista de tecnologia, começou a realizar cinco transferências internacionais por semana, sempre no valor de R$ 8.900, para diferentes destinatários na Colômbia, Panamá e Equador. O padrão de transações era incompatível com sua renda declarada de R$ 12 mil mensais. Apesar de o sistema de IA da Antenna ter identificado indícios de estruturação e circularidade, a equipe de relacionamento não encaminhou o caso ao time de PLD. Apenas quando o auditor interno questionou o histórico de movimentações foi que se descobriu que Felipe estava agindo como laranja, intermediando transações para terceiros mediante pagamento de comissão. A empresa não realizou análise de origem de recursos nem reavaliou o perfil de risco do cliente após mudança drástica de comportamento. A falha em responder aos alertas transacionais gerou sérios questionamentos por parte do Banco Central, que considerou a atuação da corretora como evidência de falhas sistêmicas de resposta a risco transacional. A Antenna foi obrigada a rever sua matriz de alertas, criar um comitê técnico de verificação de transações e capacitar novamente todas as áreas envolvidas.
Temos o risco do canal de operação usado, que se refere a forma como o cliente se relaciona com a empresa, assim os canais digitais, especialmente aqueles que não exigem validação presencial ou mecanismos robustos de autenticação, representam risco mais elevado. Isso ocorre porque dificultam a verificação da identidade e aumentam a possibilidade de uso de documentos falsos, identidades de terceiros ou atuação de laranjas. A participação de procuradores, representantes legais ou terceiros não relacionados diretamente ao cliente também é fator de risco, sobretudo se a procuração for recente, genérica ou concedida fora do contexto negocial. Mudanças cadastrais frequentes, ausência de comparecimento físico ao longo de toda a relação contratual, ou alteração de dados bancários via canais não auditáveis são sinais de alerta adicionais. Para mitigar esse risco a dica é da implementação de onboarding digital com validação de identidade por biometria facial, validação cruzada de documentos em bases públicas, exigência de assinatura eletrônica qualificada, reavaliações periódicas do cadastro, e restrição ao uso de canais mais vulneráveis para determinadas operações.
Aqui a Antenna oferecia abertura de conta digital para empresas com atendimento 100% remoto, e ai uma empresa recém-criada chamada SilverMerc Ltda., abriu conta por meio de um contador que apresentou uma procuração simples e fez uma videoconferência superficial com o time de cadastro. Nenhum dos sócios reais compareceu ou foi verificado biométricamente. Após a abertura da conta a empresa passou a movimentar valores expressivos, com pagamentos para fornecedores fictícios na Malásia e transferências para contas interligadas no Brasil. A ausência de validação da identidade real dos controladores, a aceitação de uma procuração genérica sem verificação aprofundada e a liberação de limites de operação elevados sem base documental concreta configuraram uma violação direta aos princípios de “conheça seu cliente” (KYC). Quando o caso veio à tona em uma reportagem investigativa, revelando que a empresa era uma fachada ligada a um esquema de desvio de verbas públicas, a reputação da Antenna foi severamente abalada. Além de enfrentar multas administrativas, a corretora perdeu contratos com empresas multinacionais que exigem robustos padrões de compliance de seus parceiros.
Esses exemplos acima ainda que fictícios, mostram bem de forma prática e contundente os riscos reais que uma empresa incorre ao falhar na aplicação proporcional e técnica da abordagem baseada em risco. A não observância de alertas, a aprovação automática de cadastros, o lançamento de produtos sem avaliação de PLD e o despreparo das áreas operacionais comprometem não apenas a conformidade, mas também a continuidade do negócio e sua credibilidade no mercado. Em um ambiente regulatório cada vez mais exigente e orientado por dados, as empresas precisam desenvolver cultura, sistemas e práticas que garantam que cada cliente seja avaliado com profundidade, proporcionalidade e responsabilidade. Esses erros devem servir de aprendizado institucional e alimentar continuamente a revisão dos modelos de risco, das políticas internas e da formação dos profissionais envolvidos no ciclo de prevenção.
Como vemos acima o perfil de risco do cliente é uma construção dinâmica, que exige revisão periódica, monitoramento contínuo, uso de tecnologia, e sobretudo uma política clara de escalonamento e resposta a desvios. A aplicação dessas variáveis em conjunto permite não apenas cumprir com as exigências regulatórias, mas sobretudo proteger a empresa de envolvimento com atividades ilícitas, multas regulatórias, bloqueios judiciais e danos reputacionais severos. Em um cenário de crescente sofisticação dos crimes financeiros, a qualidade do modelo de risco de cliente é o que diferencia empresas reativas de empresas verdadeiramente preparadas para operar com integridade e resiliência.
Por isto mesmo agora vou falar mais sobre a importância e o passo a passo da construção de um modelo de score de risco de cliente para fins de prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT), o que é uma prática cada vez mais consolidada nas instituições financeiras, fintechs, corretoras de câmbio e demais empresas sujeitas às normas regulatórias de compliance.
Essa prática se fundamenta no princípio da abordagem baseada em risco, exigido pelas diretrizes do GAFI e pela Circular nº 3.978/2020 do Banco Central do Brasil e por diversas legislações internacionais. O objetivo central é identificar, classificar e monitorar o risco que cada cliente representa, de forma proporcional, objetiva e auditável. A partir dessa avaliação, pode se definir as medidas de diligência aplicáveis, a frequência de monitoramento e a necessidade de escalonamento interno ou comunicação ao COAF.
O primeiro passo para construir um modelo de score eficaz é a definição dos blocos de variáveis que serão considerados na análise. Essas variáveis devem representar, de forma abrangente, os principais fatores de risco associados a um cliente. De forma didática, o modelo pode ser estruturado em cinco dimensões principais: risco do cliente, risco de país, risco do produto ou serviço utilizado, risco transacional e risco do canal de entrega. Para que o score seja sensível às características do setor e ao perfil da empresa, cada uma dessas categorias deve receber um peso proporcional à sua relevância.
Em uma corretora de câmbio, por exemplo, o risco do cliente, que inclui elementos como estrutura societária, exposição política, sanções e reputação, costuma ter o maior peso, aonde a sugestão que deixo é na faixa dos 30% da pontuação total. Já o risco de país, o risco do produto/serviço e o risco transacional são igualmente importantes, podendo então receber 20% cada d epeso. Por fim o risco do canal de operação, que embora relevante tende a ser mais facilmente mitigável com tecnologia e controles operacionais, podendo ser ponderado com 10% da pontuação final. Totalizando obviamente os 100%.
Uma vez definidos os pesos das categorias de riscos, a próxima etapa consiste em criar uma escada de pontuação dentro de cada categoria, em que essa escada deve permitir atribuir uma nota de risco a cada variável analisada. Para fins didáticos e operacionais, a dica aqui é para começar utilizar uma escala simples de três níveis: risco baixo (0 pontos), risco médio (1 ponto) e risco alto (2 pontos). Com isso cada dimensão do risco do cliente é avaliada individualmente e sua nota é multiplicada pelo peso relativo da categoria. A soma dessas pontuações ponderadas fornece o score final do cliente, que poderá ser classificado como de risco baixo, médio, alto ou muito alto, conforme uma tabela de faixas de corte pré-definida.
Para ilustrar a aplicação prática desse modelo, vamos considerar o caso do cliente Felipe Santoro, atendido pela corretora de câmbio fictícia Antenna Câmbio, em que o Felipe é um cliente com perfil inicialmente estável, analista de tecnologia com renda mensal declarada de R$ 12.000, que sempre utilizou os serviços da corretora para comprar moeda estrangeira para viagens pessoais. Contudo nos últimos meses passou a realizar remessas internacionais de forma recorrente, fracionada e com múltiplos destinatários na Colômbia, no Equador e no Panamá. O volume das transações se mostrou elevado e incompatível com sua renda, e o padrão de movimentação indicava possível prática de estruturação (smurfing), o que acionou alertas no sistema de monitoramento da Antenna.
Ao aplicar o modelo de score, o risco do cliente foi avaliado como alto, devido à mudança abrupta de comportamento, ao fracionamento das transações e à falta de justificativa compatível com o perfil econômico declarado, resultando em 2 pontos. O risco de país foi classificado como médio, considerando que os destinos das remessas são países com histórico de fragilidade regulatória e percepção de risco moderado no contexto de PLD, o que equivale a 1 ponto. O risco do produto ou serviço utilizado foi considerado baixo, pois se tratava de uma remessa internacional convencional, com rastreabilidade completa e documentação formal, recebendo 0 pontos. O risco transacional foi classificado como alto, em função da frequência elevada, dos valores fracionados e da incompatibilidade com a renda declarada, atribuindo-se 2 pontos. Por fim o risco do canal usado para operar foi avaliado como baixo, pois a conta de Felipe havia sido aberta presencialmente, com verificação completa da documentação, sem o uso de intermediários, o que resulta em 0 pontos.
Com essas avaliações se aplica a ponderação conforme os pesos definidos no início. O risco do cliente com 2 pontos, é multiplicado pelo peso de 0,30, totalizando 0,60. O risco de país, com 1 ponto, é multiplicado por 0,20, resultando em 0,20. O risco do produto, com 0 pontos, zera sua contribuição. O risco transacional, com 2 pontos, é multiplicado por 0,20, somando 0,40. E o risco do canal, com 0 pontos, também não contribui para o score final. A soma das parcelas ponderadas é de 1,20.
Com o score final de 1,20, o Felipe Santoro é classificado como um cliente de risco alto. Com base nessa classificação, a corretora deve aplicar imediatamente medidas de due diligence reforçada (EDD), exigindo comprovação da origem dos recursos, documentação que justifique a relação com os beneficiários das remessas, além da finalidade das transações. Também é recomendável reavaliar seu cadastro, revisar a documentação e ativar regras de monitoramento contínuo com geração automática de alertas. O caso pode justificar ainda o envio de uma comunicação ao COAF.
A etapa seguinte do modelo consiste na definição das faixas de corte que determinam a categoria de risco final do cliente. Uma sugestão prática seria a seguinte de usar um score entre 0,00 e 0,49 que indica risco baixo e permite a aplicação de diligência simplificada, com revisão a cada 24 meses; score entre 0,50 e 0,99 indica risco médio, sujeito à diligência padrão e revisão anual; jpa um score entre 1,00 e 1,50 representa risco alto, exigindo diligência reforçada e revalidação semestral do cadastro; emquanto que um score acima de 1,50 caracteriza risco muito alto, situação em que a manutenção do relacionamento deve ser avaliada manualmente por comitê ou pelo responsável técnico de PLD, podendo inclusive resultar em recusa, bloqueio ou encerramento da conta.
É importante destacar que esse modelo, embora estruturado em lógica quantitativa, não substitui a análise qualitativa do time de compliance. O score serve como um guia, permitindo sistematizar, priorizar e justificar a tomada de decisões com base em critérios objetivos. Ele deve ser complementado por uma política clara de governança, incluindo revisão periódica dos pesos e faixas de risco, supervisão da performance do modelo e registro formal das decisões tomadas com base em seu resultado.
O modelo também pode ser adaptado para diferentes segmentos. Em uma fintech digital por exemplo o canal de comunicação e operação pode ter peso mais elevado devido a ausência de interação presencial. Já em uma seguradora o risco do produto contratado pode ser mais relevante, dado o uso de apólices como instrumentos para dissimular recursos. A flexibilidade do modelo permite ajustes sem perda de consistência metodológica, desde que sejam documentados, justificados e aprovados formalmente.
A adoção de um score de risco bem estruturado contribui significativamente para a maturidade e a eficácia do programa de PLD da empresa. Ele permite maior precisão na identificação de clientes de risco, otimiza os recursos do time de compliance, fortalece a rastreabilidade das decisões e amplia a confiança dos órgãos reguladores na robustez dos controles internos. Em tempos de crescente sofisticação dos esquemas de lavagem de dinheiro e intensificação da supervisão regulatória, investir em modelos como este é mais do que uma boa prática, mas é uma necessidade estratégica.