A lei antifacção e o novo paradigma do compliance

A sanção da lei 15.358/26, apelidada de "lei antifacção" ou "lei Raul Jungmann", em março deste ano, inaugurou um capítulo que as áreas de compliance brasileiras deveriam ter encerrado há muito tempo: o da indiferença corporativa em relação ao crime organizado. Ao tipificar o crime de domínio social estruturado, endurecer penas para até 40 anos e, sobretudo, deslocar o foco da repressão para as lideranças e o patrimônio do chamado "andar de cima", o legislador comunicou uma mensagem clara ao mercado: a responsabilização não se exaurirá mais nos executores de ponta de linha.

A leitura estritamente penal da nova lei, contudo, captura apenas parte do fenômeno. Para o universo corporativo, especialmente em setores expostos, como logística, infraestrutura, construção civil, mineração, combustíveis e transporte de cargas, o diploma legal opera como um vetor de reorganização dos programas de integridade. E o ponto nevrálgico dessa reorganização é, inevitavelmente, a due diligence de terceiros.

Do tipo penal ao risco empresarial: Por que a lei conversa com o compliance

A tipificação do domínio social estruturado - conduta caracterizada pelo controle territorial, social e econômico de determinadas áreas mediante violência, grave ameaça ou coação sistêmica - traz implicações que ultrapassam a esfera criminal individual. Ao reconhecer juridicamente que existem territórios e cadeias econômicas efetivamente capturadas por organizações criminosas, a lei torna juridicamente insustentável a tese, ainda presente em defesas corporativas, do desconhecimento presumido.

Se uma empresa opera rotas, constrói obras ou terceiriza serviços em regiões com domínio estruturado conhecido, o ônus argumentativo se inverte: não basta alegar que não havia sinais. É preciso demonstrar que houve diligência proporcional ao risco. A ausência de controles robustos deixa de ser omissão administrativa e passa a ser, potencialmente, elemento caracterizador de culpa in eligendo, culpa in vigilando ou, em cenários mais graves, cegueira deliberada (willful blindness), figura já consolidada na jurisprudência do STF em matéria de lavagem de capitais e aplicada de forma cada vez mais expansiva em apurações de corrupção e crime organizado.

Some-se a isso o reforço dos mecanismos de confisco patrimonial, que agora alcançam com mais intensidade bens de lideranças, testas de ferro e estruturas societárias interpostas. Contratos com terceiros contaminados podem, na prática, converter ativos legítimos da empresa contratante em alvos de medidas assecuratórias, paralisando operações, congelando recebíveis e destruindo valor acionário em semanas.

O terceiro deixou de ser uma questão contratual e passou a ser uma questão de integridade sistêmica

Por muito tempo, a due diligence de terceiros foi tratada no Brasil como uma etapa formal: Questionários preenchidos, certidões colhidas, background checks padronizados, aprovação registrada em sistema. Esse modelo é insuficiente diante da lei 15.358/26 por três razões objetivas.

Primeiro, porque o crime organizado contemporâneo não se apresenta com a iconografia antiga. Ele opera por meio de empresas formalmente regulares, com contabilidade aparentemente organizada, alvarás em dia e, muitas vezes, quadros societários limpos na superfície. A identificação do risco exige análise de beneficiário final efetivo, cruzamento de dados geográficos, mapeamento de relacionamentos com servidores públicos, leitura de padrões de contratação, rotatividade societária atípica e inconsistências entre capacidade operacional declarada e efetiva.

Segundo, porque a matriz de risco deixou de ser puramente transacional. Um fornecedor de baixo valor contratual, mas que opera em rota de alto risco, pode representar exposição reputacional e jurídica desproporcional ao volume financeiro envolvido. A proporcionalidade da diligência, portanto, precisa ser recalibrada: não mais pelo valor do contrato, mas pelo risco do contexto.

Terceiro, porque o regulador, o Ministério Público e o Judiciário passaram a esperar - e a exigir - evidências de que a empresa efetivamente monitorou seus terceiros ao longo do ciclo de vida da relação, e não apenas na contratação. A due diligence contínua, com reavaliação periódica e gatilhos automáticos para eventos de risco (nova denúncia, operação policial na região, alteração societária, inclusão em listas restritivas), deixou de ser best practice e tornou-se padrão mínimo de diligência exigível.

Logística e infraestrutura: Os setores no epicentro do novo risco

Não é coincidência que a discussão sobre a lei antifacção tenha capturado, de imediato, a atenção das áreas jurídicas e de compliance de empresas de logística e infraestrutura. Esses setores concentram três vetores de exposição que raramente aparecem simultaneamente em outras cadeias: presença física obrigatória em território potencialmente dominado, alta fragmentação da base de terceiros e vulnerabilidade operacional que, historicamente, induziu "acordos de passagem" travestidos de custos de segurança, taxas de descarga, pedágios informais ou prestações de serviços fictícios.

Para o compliance, o desafio é duplo. De um lado, é preciso reconhecer, com honestidade institucional, que determinadas práticas normalizadas na operação podem hoje ser reinterpretadas à luz da nova tipificação, o que demanda revisão de políticas, treinamentos direcionados e canais reforçados de reporte. De outro, é preciso blindar a governança: aprovações escalonadas para operações em áreas de risco elevado, registros auditáveis, segregação de funções e, sobretudo, um fluxo claro para situações em que a operação só seja viável mediante exposição regulatória inaceitável, cenário em que a resposta institucionalmente correta é recusar o negócio.

Não existe programa de integridade maduro em 2026 que permita à operação decidir, sozinha, operar em rota contaminada.

O que as empresas precisam fazer a partir de agora

A adaptação à lei 15.358/26 não se resolve com aditivos contratuais ou cláusulas de compliance ampliadas - embora ambos sejam necessários. Exige-se uma reengenharia que articule pelo menos cinco frentes.

A primeira é a atualização da matriz de riscos, incorporando de forma explícita o risco de contaminação por organizações criminosas com domínio territorial, com granularidade geográfica e setorial suficiente para orientar decisões operacionais reais.

A segunda é o redesenho da due diligence de terceiros, com abordagem baseada em risco, identificação rigorosa de beneficiário final, uso de inteligência de dados e fontes abertas, e revisão periódica obrigatória para relações de médio e alto risco.

A terceira é o fortalecimento do canal de denúncias e dos mecanismos de investigação interna, com atenção especial à proteção do denunciante em contextos de coação territorial - em que o risco à integridade física é concreto e exige protocolos específicos, muitas vezes envolvendo articulação com autoridades.

A quarta é o treinamento direcionado de áreas críticas, notadamente compras, operações, segurança patrimonial e jurídico contencioso, com foco em reconhecimento de sinais de captura e procedimentos claros de escalonamento.

A quinta, e talvez a mais sensível, é o alinhamento do board e da alta administração quanto à tolerância zero em relação a operações em zonas de domínio estruturado conhecido. Sem esse alinhamento e sem o respaldo explícito dos acionistas ao CCO, todo o restante do programa opera em base frágil.

A autoridade do compliance, enfim, encontra seu terreno próprio

Há anos, a área de compliance brasileira discute como deixar de ser percebida como custo e passar a ser reconhecida como geradora de valor. A lei antifacção oferece, paradoxalmente, a oportunidade dessa consolidação. Ao elevar drasticamente o custo da inércia - reputacional, patrimonial, criminal - a nova legislação torna evidente, inclusive para os acionistas mais refratários, que um programa de integridade robusto deixou de ser um investimento defensivo para se tornar condição de continuidade operacional em determinados setores.

A autoridade do diretor de compliance, nesse contexto, não virá do volume de normativos emitidos, mas da capacidade de dizer, com base técnica sólida: "por esse caminho, há risco inaceitável; por este outro, seguimos". Essa é a diferença entre um programa que apenas cumpre formalidades e um programa que, efetivamente, preserva a empresa.

A lei 15.358/26 não criou o risco. Apenas retirou as empresas do conforto de fingir que ele não existia.