O mercado de cripto brasileiro ficou adulto (e isso muda tudo)

Finalmente, o mercado de ativos virtuais no Brasil deixou de ser um espaço só de promessas, “boas intenções” e autorregulação informal, para se tornar um tema com fiscalização e supervisão governamental. Isso é uma ótima notícia, porque com as novas resoluções 519, 520 e 521 do Banco Central do Brasil e das IN 701 e 704, empresas que desejam atuar como prestadoras de serviços de ativos virtuais (ou, no vocabulário do Banco Central, as PSAVs) agora precisam demonstrar, com provas reais, que conseguem segregar recursos de clientes, manter estruturas de custódia seguras, operar com continuidade e adotar mecanismos efetivos de prevenção à lavagem de dinheiro.

Mais do que um processo meramente documental, o regulador exige que o negócio seja capaz de operar com segregação, segurança, continuidade, prevenção à lavagem de dinheiro e governança interna que não se dissolva no primeiro incidente. Tudo isso com implementação real e trilhas de auditoria.

Quatro perfis, quatro rotas regulatórias

A primeira providência, que geralmente costuma ser negligenciada, é definir qual é a rota regulatória da empresa. Isso porque o conjunto de normas é o mesmo, mas pode ter cronogramas, prazos e exigências diferentes a depender do perfil do operador.

Hoje, quatro situações aparecem com frequência no mercado brasileiro:

1. Empresas que pretendem iniciar do zero como prestadora de serviços de ativos virtuais (PSAV);
2. Quem já operava antes e precisa se regularizar, respeitando a transição e os prazos aplicáveis;
3. Instituições financeiras ou de pagamento que desejam entrar no mercado de ativos virtuais;
4. Operações estrangeiras que precisam adaptar estrutura e presença local.

Sem esse enquadramento inicial, muitas organizações adotam checklists genéricos e deixam lacunas justamente nos pontos que o regulador tende a valorizar.

O que o Banco Central passou a exigir?

As novas normas indicam três eixos centrais de avaliação.

1. Capacidade econômico-financeira e reputacional: o regulador analisará origem de recursos, viabilidade do modelo de negócios, qualificação de controladores e administradores e estrutura de governança. Ou seja: não basta mais ter só “capital mínimo” declarado, é preciso demonstrar sustentabilidade operacional.
2. Estrutura tecnológica e operacional: aqui é onde a maioria subestima a profundidade da mudança. A exigência inclui separação patrimonial entre empresa e clientes, controles de custódia, segurança cibernética, planos reais de continuidade de negócios e monitoramento permanente de riscos. Empresas que tratam tecnologia como “centro de custo” e segurança como “tiro de canhão depois do incidente” tendem a enfrentar dificuldades.
3. Compliance e governança interna: políticas precisam ter responsáveis definidos, trilhas de auditoria, revisão, versionamento, integração com auditoria e coerência contratual com clientes e fornecedores críticos.

Esse conjunto marca a transição de um mercado orientado por crescimento rápido para um ambiente orientado por maturidade institucional.

Certificação técnica: O fim do “parecer genérico”

As IN 701 e 704 merecem atenção especial porque mudam o jogo na prática. Agora, ao introduzir a certificação técnica independente, o parecer deixa de ser genérico e superficial e passa a percorrer item a item os requisitos regulatórios, com escopo definido e lastro em evidências verificáveis.

É nessa etapa que o processo costuma travar, se a empresa possui documentos formais, mas não consegue comprovar a implementação.

Além disso, a IN 704 organiza os ritos de protocolo, cadastro e comunicação com o regulador. Assim, erros de procedimentos podem impedir o avanço do processo mesmo quando a estrutura interna já está pronta.

Impactos para quem já opera

As empresas que nascem para prestar serviços de ativos virtuais costumam ter vantagem de foco, mas correm risco de, em prol do crescimento acelerado, mirarem em produto e marketing antes de estruturarem controles e rigor contratual. É preciso entender que o regulador e a certificadora técnica buscarão coerência sistêmica.

Para as empresas em atividade, o principal desafio são aqueles contratos antigos que nunca mais foram revistos, ou políticas copiadas de outras operações e sistemas que não registram trilhas mínimas de auditoria. É esse legado que, geralmente, trava a certificação. Na maioria das vezes, o caminho para operação segura envolve diagnóstico detalhado, revisão documental, ajustes operacionais e organização das evidências de coerência entre contrato e prática.

Já as instituições com atuação internacional ou conectadas ao mercado de câmbio terão, a partir de agora, atenção redobrada, especialmente na classificação de fluxos, controles de origem e destino de recursos e integração entre compliance cambial e de ativos virtuais. As mudanças também afetam indiretamente fornecedores de tecnologia (como serviços de nuvem, KYC, monitoramento e custódia) que passarão a ser avaliados sob cláusulas de auditoria, segurança e reversibilidade contratual.

A mensagem que fica é que, com a nova regulação, não basta mais dizer que está em conformidade, será preciso provar. Essa é a diferença entre “estar com documentos” e “estar pronto para certificação, para o regulador e para diligência de investidores”, com lastro operacional, controles e provas estruturados.

No novo ambiente, crescer rápido sem controles deixa de ser estratégia viável, uma vez que o mercado passa a premiar quem cresce com capacidade de demonstrar (e não apenas declarar) integridade operacional.