Marco legal das criptomoedas no Brasil: o que muda em segurança e conformidade para exchanges e VASPs

Resposta direta

A Lei 14.478/2022 criou o marco regulatório brasileiro para prestadores de serviços de ativos virtuais (VASPs), definindo ativo virtual, exigindo autorização prévia do poder executivo e delegando supervisão ao Banco Central. As obrigações abrangem prevenção à lavagem de dinheiro, custódia segregada de ativos de clientes, controles de segurança de chaves criptográficas e adequação à LGPD. O descumprimento sujeita a empresa a multa, suspensão e cancelamento de autorização.

Principais conclusões

  • A Lei 14.478/2022 define legalmente 'ativo virtual' e 'prestador de serviços de ativos virtuais' (VASP) no Brasil, pondo fim à zona cinzenta regulatória para exchanges e custodiantes.
  • O Banco Central do Brasil foi designado pelo Decreto 11.563/2023 como o regulador prudencial e de conduta dos VASPs, com poder de autorizar, supervisionar, sancionar e decretar intervenção.
  • VASPs devem implementar programa de PLD/FT alinhado à Lei 9.613/1998 e às resoluções do COAF, incluindo KYC, monitoramento de transações e reporte de operações suspeitas.
  • A segregação de ativos dos clientes em relação ao patrimônio próprio da exchange é obrigação expressa da lei — hot wallets com limite de exposição e cold wallets com custódia HSM/MPC são a resposta técnica.
  • Smart contracts usados para custódia, DeFi ou tokenização exigem auditoria de código-fonte independente antes do deploy; vulnerabilidades como reentrância e manipulação de oráculo são vetores regulatórios e de sinistro.
  • A LGPD se aplica integralmente ao ciclo de dados KYC/AML das VASPs; dados biométricos e documentos de identidade são dados sensíveis com requisitos de consentimento e minimização mais estritos.

O que a Lei 14.478/2022 estabelece

Publicada em 21 de dezembro de 2022, a Lei 14.478 instituiu o regime jurídico dos prestadores de serviços de ativos virtuais no Brasil. Ela define 'ativo virtual' como a representação digital de valor que pode ser negociada ou transferida eletronicamente, excluindo explicitamente moeda nacional, moeda estrangeira, instrumentos de pagamento regulados e valores mobiliários sujeitos à CVM.

A lei cria a categoria regulatória do VASP — Prestador de Serviços de Ativos Virtuais — que inclui exchanges, custodiantes, corretoras de balcão e plataformas de transferência. Qualquer empresa que exerça essas atividades de forma habitual no Brasil precisará de autorização prévia do órgão competente, sob pena de enquadramento nos crimes de operação irregular de instituição financeira.

O texto ainda tipifica crimes específicos no ambiente de ativos virtuais: fraude piramidal lastreada em cripto e uso de ativos virtuais para facilitar crimes contra o sistema financeiro passam a ter moldura penal própria, o que amplia a responsabilidade dos operadores que não implementarem controles adequados.

O Banco Central como regulador e a regulamentação em andamento

O Decreto 11.563, de junho de 2023, designou o Banco Central do Brasil como autoridade supervisora dos VASPs. Isso significa que exchanges e custodiantes passam a orbitar no mesmo ecossistema regulatório de instituições de pagamento, com obrigações de capital mínimo, governança, controles internos e reporte periódico.

O Bacen publicou consultas públicas e normativos infralegais ao longo de 2024 e 2025 detalhando requisitos de autorização, limites de exposição em hot wallets, exigências de auditoria independente e padrões mínimos de segurança da informação. As normas seguem o princípio de proporcionalidade: quanto maior o volume de ativos sob custódia, mais rigorosos os controles exigidos.

Empresas que já operam no mercado têm prazo de adequação definido pelos normativos do Bacen. Ignorar esses prazos transforma uma obrigação regulatória em passivo penal imediato, já que a lei prevê crime para operação sem autorização.

Obrigações de PLD/FT: prevenção à lavagem de dinheiro e ao financiamento do terrorismo

Os VASPs são obrigados a cumprir a Lei 9.613/1998 (Lei de Lavagem de Dinheiro) e as resoluções do COAF. Na prática, isso se traduz em política de KYC robusta — verificação de identidade, checagem em listas de sanções nacionais e internacionais (OFAC, ONU), due diligence aprofundada para PEPs e pessoas jurídicas de alto risco.

O Travel Rule, já consolidado nas recomendações do GAFI e previsto na regulamentação do Bacen, exige que VASPs compartilhem dados do originador e do beneficiário em transferências acima de determinado valor. Isso demanda integração técnica entre plataformas — um requisito de segurança que vai além do cumprimento normativo e exige APIs autenticadas e canais cifrados.

O monitoramento contínuo de transações com alertas automáticos para padrões suspeitos — mixing, smurfing, saques estruturados — precisa estar documentado e testado. O COAF aceita comunicações tempestivas; o que não aceita é a ausência de sistema ou a falta de evidência de que o programa funciona.

Segurança técnica: custódia, chaves criptográficas e arquitetura de wallets

A segregação de ativos dos clientes do patrimônio próprio da exchange é um dos pilares da Lei 14.478/2022. Do ponto de vista técnico, isso exige contas de custódia individualizadas ou equivalente contábil, políticas de hot/cold wallet com limites de exposição definidos por política interna e aprovados pela diretoria, e processos de transferência entre hot e cold wallet com múltiplas assinaturas.

Hot wallets devem armazenar apenas o saldo necessário para liquidez operacional — tipicamente de 1% a 5% do total custodiado, conforme o perfil da exchange. O restante deve permanecer em cold wallets com Hardware Security Modules (HSMs) ou esquemas de Multi-Party Computation (MPC), que eliminam o ponto único de falha das chaves privadas sem introduzir dependência de um único detentor.

A gestão do ciclo de vida das chaves — geração, guarda, rotação, revogação e destruição — precisa de procedimento formal e testado. Exchanges que sofreram hacks históricos (Mt. Gox, Bitfinex, FTX) tiveram em comum a ausência ou o desrespeito a controles básicos de custódia. A regulação brasileira transforma essa negligência em ilícito administrativo e, potencialmente, penal.

Auditoria de smart contracts e segurança de APIs

Contratos inteligentes que gerenciam custódia, staking, tokenização de recebíveis ou operações DeFi ligadas a uma VASP regulada precisam passar por auditoria de código-fonte por empresa independente antes do deploy em mainnet. Os vetores críticos incluem reentrância (reentrancy), overflow aritmético, manipulação de oráculo de preço, acesso não autorizado a funções administrativas e dependência de timestamp de bloco.

O resultado da auditoria deve ser documentado, as vulnerabilidades críticas e altas precisam ser corrigidas antes do lançamento, e o relatório deve ser arquivado como evidência regulatória. Atualizações de contrato — mesmo em padrões upgradeables como proxies UUPS — exigem nova rodada de auditoria dos componentes alterados.

A segurança da camada de API é igualmente crítica: autenticação com chaves rotativas, rate limiting por usuário e por IP, proteção contra ataques de replay em endpoints de saque, logs de auditoria imutáveis e testes de intrusão periódicos documentados são requisitos que o Bacen pode exigir como parte do processo de autorização e de inspeções subsequentes.

LGPD e proteção de dados no contexto cripto

O processo de KYC de uma exchange coleta CPF, RG, comprovante de residência, selfies com documento e, em muitos casos, dados biométricos. Todos esses dados se enquadram na LGPD, com biometria classificada como dado sensível, sujeito a bases legais restritas — obrigação legal ou legítimo interesse fundamentado — e padrões mais elevados de proteção.

A base legal mais usada pelos VASPs para KYC é o cumprimento de obrigação legal, já que a Lei 14.478/2022 e as normas do Bacen exigem expressamente a identificação dos clientes. Essa base é sólida, mas não dispensa a adoção de medidas técnicas e organizacionais adequadas: criptografia em repouso e em trânsito, controle de acesso baseado em perfil, logs de acesso aos dados pessoais e plano de resposta a incidentes de segurança.

Incidentes que exponham dados KYC de clientes de exchanges têm tripla consequência: notificação à ANPD, comunicação ao COAF (se o vazamento comprometer a integridade do programa PLD/FT) e eventual acionamento do Bacen. Uma resposta a incidente planejada e testada é, portanto, requisito simultâneo de três regimes regulatórios distintos.

Como se adequar

  1. 1

    Mapeie sua atividade e confirme o enquadramento como VASP

    Revise todas as atividades da empresa à luz da definição da Lei 14.478/2022. Se você opera exchange, custódia, corretagem de balcão ou transferência de ativos virtuais de forma habitual, o enquadramento é automático — não há opção de 'não se aplicar'. Documente o resultado desse mapeamento com parecer jurídico.

  2. 2

    Inicie o processo de autorização junto ao Banco Central

    Acesse os normativos mais recentes do Bacen sobre VASPs, reúna documentação societária, plano de negócio, políticas de controles internos e segurança da informação e protocole o pedido de autorização no prazo definido. Empresas que já operam devem verificar o regime transitório aplicável.

  3. 3

    Implemente e documente o programa de PLD/FT

    Estruture políticas de KYC, onboarding com verificação de identidade, listas de sanções (OFAC, ONU, COAF), monitoramento de transações e canal de comunicação ao COAF. Treine a equipe operacional e realize testes periódicos. O programa precisa existir por escrito e ter evidência de funcionamento.

  4. 4

    Defina e implemente a arquitetura de custódia

    Separe contabilmente e tecnicamente os ativos dos clientes do patrimônio da empresa. Estabeleça a política de hot/cold wallet com percentuais máximos, exija multisig ou MPC para qualquer movimentação de cold wallet e documente o processo de gestão do ciclo de vida das chaves criptográficas.

  5. 5

    Contrate auditoria independente de smart contracts e pentest de exchange

    Para cada contrato inteligente em uso ou em produção, contrate uma firma especializada para auditoria de código-fonte. Para a infraestrutura da exchange — APIs, painéis administrativos, módulos de saque — realize pentest com metodologia documentada (OWASP, PTES) e corrija as vulnerabilidades críticas antes de novos deploys.

  6. 6

    Adeque o tratamento de dados pessoais à LGPD

    Mapeie todos os dados coletados no KYC, defina a base legal (obrigação legal), implemente criptografia em repouso e em trânsito, restrinja o acesso por perfil de função e documente os procedimentos de resposta a incidentes de dados pessoais conforme o prazo de 72 horas exigido pela ANPD.

  7. 7

    Estabeleça ciclo de revisão anual e preparação para inspeção

    Regulação de VASPs é dinâmica: reserve ciclo anual para revisar políticas contra novos normativos do Bacen, atualizar o programa PLD/FT com novas tipologias do COAF e repetir testes de segurança. Mantenha dossiê de conformidade pronto para apresentar em inspeção do Bacen sem aviso prévio.

Perguntas frequentes

Qual é a definição legal de ativo virtual na Lei 14.478/2022?

A lei define ativo virtual como a representação digital de valor que pode ser negociada ou transferida por meios eletrônicos e utilizada para realização de pagamentos ou com propósito de investimento. A definição exclui expressamente moeda nacional, moeda estrangeira, instrumentos de pagamento já regulados e valores mobiliários sujeitos à regulação da CVM.

Quem fiscaliza as exchanges de criptomoedas no Brasil?

O Decreto 11.563/2023 designou o Banco Central do Brasil como o regulador prudencial e de conduta dos prestadores de serviços de ativos virtuais. O Bacen tem poderes para autorizar o funcionamento, supervisionar, aplicar sanções administrativas e decretar intervenção ou liquidação de VASPs que descumprirem a regulação.

Uma exchange pequena também precisa cumprir a Lei 14.478/2022?

Sim. O critério de enquadramento é a habitualidade na prestação do serviço, não o tamanho da empresa. O Bacen pode adotar critérios de proporcionalidade nos requisitos de capital e governança, mas a obrigação de autorização, PLD/FT e segregação de ativos se aplica a qualquer VASP que opere no Brasil, independentemente do volume.

O que é o Travel Rule e como ele afeta as exchanges brasileiras?

O Travel Rule é a obrigação de transmitir dados do originador e do beneficiário nas transferências de ativos virtuais acima de determinado limiar. Ele deriva das recomendações do GAFI (Grupo de Ação Financeira Internacional) e foi incorporado à regulação do Bacen. Na prática, exige que as exchanges implementem protocolos técnicos de compartilhamento seguro de dados com outras VASPs envolvidas em cada transação.

Por que a auditoria de smart contracts é uma questão de conformidade e não apenas técnica?

Porque contratos inteligentes que gerenciam ativos de clientes integram a infraestrutura de custódia da VASP. Falhas exploráveis — como reentrância ou acesso não autorizado a funções admin — podem resultar em perda de ativos dos clientes, o que viola diretamente a obrigação de segregação e proteção de ativos prevista na lei. O Bacen pode exigir evidência de auditoria como condição de autorização ou durante inspeções.

Como a LGPD interage com as obrigações de KYC de uma exchange?

O KYC coleta dados pessoais e, em muitos casos, dados sensíveis (biometria). A LGPD exige base legal, medidas de segurança técnica e organizacional, e plano de resposta a incidentes. A base legal mais robusta para VASPs é o cumprimento de obrigação legal, já que a regulação exige expressamente a identificação dos clientes — mas isso não elimina as demais obrigações de proteção, minimização e retenção adequada dos dados.

Fontes

A Decripte implementa a conformidade — sem você montar um time interno.

Diagnóstico de aderência, controles técnicos auditáveis, pentest e documentação para o regulador/auditor. Ou comece de graça vendo o que já está exposto.