Como se sabe, desde agosto de 2025, houve uma ampliação da fiscalização dos órgãos de controle do governo federal nas instituições de pagamentos e participantes de arranjos de pagamento, em grande medida pela publicação da Instrução Normativa RFB 2.278, de 28 de agosto de 2025, que passou a exigir daquelas instituições a entrega da e-Financeira, isto é, a obrigação de repasse de informações sobre as operações de seus clientes à Receita Federal.
Esta medida (IN RFB 2.278) surge no bojo da deflagração de um conjunto de ações coordenadas, de diversos órgãos de controle federais – Receita Federal e Polícia Federal, especialmente, mas também a Controladoria Geral da União e a Procuradoria-Geral da Fazenda Nacional – como as operações “Tank” (que investiga a lavagem de dinheiro do crime organizado, o contrabando de produtos químicos e sonegação fiscal em uma rede de postos e distribuidoras de combustíveis) e “Carbono Oculto” (objetiva eliminar crimes no setor de combustíveis), que investiga elos da cadeia de combustíveis controlados pelo crime organizado que visam a ocultação e blindagem do patrimônio, via fintechs e fundos de investimentos.
Importante perceber que tanto a referida Instrução Normativa RFB 2.278, como as operações “Tank” e “Carbono Oculto”, deflagradas no mesmo dia 28 de agosto de 2025, não coincidentemente, mas de forma coordenada, objetivaram debelar práticas ilícitas e aumentar o rigor no controle fiscal, justamente para atingir o coração das organizações criminosas. Cabe destacar aqui que estas ações demonstraram a íntima relação havida entre o crime organizado e determinadas instituições de pagamento.
Vejam: é preciso saber identificar que as fintechs não estão a serviço do crime organizado. Nada disso! Observou-se, ao longo das investigações protagonizadas pelos diversos órgãos de controle, a utilização destas empresas (fintechs), caracterizadas pela inovação tecnológica, agilidade e segurança nas transações financeiras, para a prática de ilícitos penais, em especial, a lavagem de dinheiro, justamente pela inexistência ou diminuta qualidade dos controles formais da atividade financeira.
É desta constatação (ausência de controles formais das atividades financeiras de instituições de pagamento e participantes de arranjos de pagamento) que surge a IN RFB nº 2.278/2025 e amplia o controle fiscal destas empresas (como as fintechs), obrigando-as ao repasse de informações sobre as operações de seus clientes à Receita Federal, em equiparação regulatória impostas às instituições financeiras tradicionais (bancos). Estas ações impõem às empresas uma ampliação da vigilância regulatória e dos cuidados com suas atividades e, mais ainda, amplia, também, a necessidade de reestruturação de processos internos de controle, com a finalidade de evitar sanções administrativas (para empresas) e penais para a alta administração (pessoas físicas).
A natureza tecnológica dos sistemas digitais de pagamentos realizados no âmbito das fintechs é terreno fértil para a incidência de crimes como a lavagem de capitais, em razão da difícil rastreabilidade, as fraudes eletrônicas, em razão da vulnerabilidade dos usuários e os ilícitos financeiros, mostram a necessidade do aperfeiçoamento dos controles internos das empresas, eventualmente a realização de investigação interna de incidentes e treinamento dos colaboradores. Significa dizer que é necessário, cada vez mais, o investimento em mecanismos de proteção de ilícitos para evitar a responsabilização penal dos dirigentes e monitoramento contínuo dos programas de prevenção.
O banco central vem intensificando nos últimos dias, medidas que ampliam as obrigações de compliance das fintechs, para que as mesmas não sejam terreno fértil para o crime organizado, e isso amplia a necessidade dessas startups (em sua maioria) se estruturarem, sob pena do cometimento de ilícitos penais e a perda da autorização dada pelo BC.
Entre as medidas anunciadas, há regras que determinam o encerramento de “contas bolsão”, muito utilizadas para pagamentos protegidos de eventuais penhoras do cliente e que, assustadoramente, eram anunciadas por fintechs sem cerimônia, ao mesmo tempo também foi ampliado o valor do capital mínimo para, dentre outras, instituições das Instituições de Pagamento. O objetivo, ao tornar mais rigorosas as regras aplicadas às instituições, é reforçar a segurança do sistema financeiro contra a infiltração do crime organizado na economia.
As chamadas “contas-bolsão” estiveram no centro do esquema de lavagem de dinheiro Primeiro Comando da Capital (PCC) desmantelado pela “Operação Carbono Oculto”, e foi justamente dessas contas que o crime organizado, por meio das fintechs, abriam contas em bancos credenciados, fazendo circular os recursos de todos os seus clientes, de forma não segregada, o que dificulta o trabalho dos órgãos de controle, ou seja, para o BC, só se visualizava a conta da Fintech e não do CPF A ou o CNPJ B.
A contar de 1º de dezembro, as instituições autorizadas pelo Banco Central ficam obrigadas a encerrar essas contas se constatarem que elas estão sendo usadas para realizar atividades caracterizadas como serviços financeiros ou de pagamento sem o respaldo legal e em desacordo com a regulação vigente, ou seja os Bancos estarão fechando as contas das fintechs, que não forem rigorosas nas regras de compliance, porém não ficou claro quais seriam os critérios, sendo que eles serão adotados de forma distinta de banco para banco. Para tanto, essas instituições poderão se utilizar dos bancos de dados públicos, o que deve gerar situações ainda mais confusas. Por exemplo, uma instituição pode cancelar uma conta de uma fintech, quando os “correntistas” dessa fintech tiverem um processo crime (acusação de tráfico), ainda que não tenha transitado em julgado?
Essas mesmas fintechs, precisarão, para fins de supervisão, manter toda a documentação relacionada às contas de depósito e pagamento encerradas, e as mesmas ainda devem permanecer à disposição do BC por pelo menos dez anos, ou seja, esses arquivos poderão ser utilizados em processos crimes na produção de prova.
Ao mesmo tempo, o Banco Central subiu a régua na exigência mínima de capital, ao alterar a metodologia utilizada para determinar os limites mínimos de capital social integralizado e de patrimônio líquido exigidos das instituições financeiras.
De forma escalonada a partir de julho de 2026, quando começam a vigorar as dos valores integralizados, o capital mínimo, vai sendo ampliado até janeiro de 2028. Em termos didáticos, a norma aumenta o montante de capital social e de patrimônio líquido exigido para que as instituições possam operar.
A título exemplificativo, o limite mínimo exigido para um banco, por exemplo, vai aumentar R$ 49 milhões: passará de R$ 7 milhões, atualmente, para R$ 56 milhões, ao final do período de transição. Já para as Instituições de pagamento (IPs) o salto será proporcionalmente maior, indo de R$ 2 milhões que é hoje para R$ 9,2 milhões.
O próprio BC projeta, em um cálculo bem conservador, que a medida deve atingir mais de 500 instituições de um total de quase 2.000, não bancárias (fintechs) autorizadas a funcionar hoje no Brasil. As novas regras entram em vigor imediatamente, mas há um período de transição. Até 30 de junho de 2026, deve ser mantido o capital social integralizado e o patrimônio líquido mínimos exigidos pelas regras anteriores. Depois, a esse valor será somada gradualmente a diferença estabelecida pela nova norma, nos seguintes porcentuais: 25% até 31 de dezembro de 2026; 50% até 30 de junho de 2027; 75% até 31 de dezembro de 2027; e 100% a partir de 1.º de janeiro de 2028.
Por último destacamos que a nova regra para apuração do limite mínimo de capital para instituições autorizadas pelo BC passa a considerar principalmente as atividades exercidas, e não mais o tipo da instituição, como na regulação antiga.
Aqui abordamos alguns aspectos apenas, mas tem muito mais por ser considerado na formação do compliance das fintechs, nessa nova ordem de transformação digital do sistema financeiro nacional.