DeCripto

Política AML/CFT (PLD/FT)

Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo

Última atualização: Fevereiro/2026

PEIXER LABS LTDA

CNPJ 63.011.289/0001-64

Marca/Plataforma: DeCripto

Rua Pais Leme, 215, Conj. 1713 — Pinheiros — São Paulo/SP — CEP 05424-150

Compliance: compliance@decripto.com.br

1. Objetivo, Escopo e Compromisso

A PEIXER LABS LTDA, por meio da marca/plataforma DeCripto, mantém uma Política de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT), com o objetivo de prevenir, identificar, mitigar e reportar indícios de lavagem de dinheiro, financiamento ao terrorismo e demais ilícitos correlatos.

Esta Política se aplica a:

  • Colaboradores, sócios, administradores, prestadores de serviço e parceiros que atuem na operação
  • Processos de onboarding, KYC/KYB, monitoramento automatizado, sanções, investigações internas, retenção de registros e comunicações regulatórias

A DeCripto adota postura de tolerância zero para utilização da plataforma com finalidade ilícita.

2. Base Legal e Referências

Esta Política é estruturada com base em legislação e melhores práticas aplicáveis, incluindo:

2.1 Legislação Nacional

  • Lei nº 9.613/1998 (Lavagem de Dinheiro) e alterações
  • Lei nº 12.683/2012 (alterações à Lei nº 9.613/1998)
  • Lei nº 14.478/2022 (Marco Legal das Criptomoedas) — Diretrizes para prestação de serviços de ativos virtuais
  • Resolução BCB nº 520 — Regulamentação de PSAVs
  • Resolução Coaf nº 36/2021 — Comunicação de operações suspeitas
  • Lei nº 13.810/2019 (Cumprimento de sanções do CSNU)

2.2 Normas Internacionais

  • Recomendações do GAFI/FATF, incluindo Recomendação 16 (Travel Rule)
  • Circular BCB nº 3.978/2020, como referência de melhores práticas de controles e governança
  • Resoluções do Conselho de Segurança da ONU

A DeCripto acompanha ativamente a regulamentação do Banco Central para PSAVs e adequa seus processos conforme as normas específicas vigentes.

3. Governança e Responsabilidades

3.1 Alta Administração

A Alta Administração é responsável por:

  • Aprovar esta Política e suas revisões
  • Assegurar recursos adequados (pessoas, sistemas, treinamento)
  • Apoiar a independência funcional do Compliance
  • Definir o apetite de risco da organização

3.2 Compliance Interno

A DeCripto mantém equipe de compliance interna com atribuições de:

  • Coordenar a execução e manutenção desta Política
  • Supervisionar KYC/KYB e monitoramento automatizado
  • Analisar alertas AML gerados pelo motor automatizado
  • Deliberar sobre casos de maior risco e medidas de mitigação
  • Conduzir processos de Diligência Devida Aprimorada (EDD)
  • Manter registros e conduzir comunicações ao COAF
  • Promover treinamentos e revisões periódicas

Canal oficial: compliance@decripto.com.br

3.3 Independência e Segregação

As atividades de análise, aprovação e monitoramento observam segregação e rastreabilidade, com trilha de auditoria completa em ledger com cadeia de hash SHA-256 e isolamento SERIALIZABLE.

4. Abordagem Baseada em Risco (RBA)

A DeCripto adota abordagem baseada em risco, classificando clientes e operações para calibrar níveis de diligência e intensidade de monitoramento.

4.1 Score de Risco Automatizado

Cada saque e depósito passa por análise de risco com score de 0 a 100 pontos, avaliando 8 dimensões:

  • Valor da transação individual vs. limites configurados
  • Agregado diário (volume e quantidade de transações)
  • Agregado mensal vs. limite mensal
  • Velocidade de transações (máx. 5 em 60 minutos)
  • Idade da conta (penalidade para contas com menos de 7 dias)
  • Nível de KYC do usuário
  • Tipo de operação (crypto = risco adicional por irreversibilidade)
  • Histórico de saques (primeiro saque = risco adicional)

4.2 Níveis de Risco

Baixo (0-19)

Aprovação automática

Médio (20-39)

Revisão manual obrigatória

Alto (40-59)

Revisão manual obrigatória + monitoramento intensivo

Crítico (60-100)

Revisão manual obrigatória + EDD + possível bloqueio

4.3 Perfil de Risco do Usuário

O perfil de risco de cada usuário é recalculado dinamicamente com base no histórico de alertas AML. Intervalos de revisão:

  • Baixo: Revisão a cada 3 anos
  • Médio: Revisão a cada 2 anos
  • Alto: Revisão anual
  • Crítico: Revisão anual + EDD obrigatória

5. Motor AML Automatizado — 10 Regras

A DeCripto opera motor AML automatizado que executa 10 regras de detecção após cada operação significativa, alinhadas com a Resolução Coaf nº 36/2021:

HIGH

1. Valor Elevado (Cash-in/Cash-out)

Detecta operações acima de R$ 50.000 ou USDT 10.000 — limiar de comunicação obrigatória ao COAF

HIGH

2. Fracionamento (Structuring)

Detecta 3+ operações em 24h cujo total excede o limiar, com valores individuais abaixo dele

MEDIUM

3. Velocidade Anormal

Detecta 5+ transações em 30 minutos

CRITICAL

4. Depósito-Saque Rápido (Pass-through)

Detecta saque de 70%+ do valor depositado em até 4 horas

HIGH

5. Conta Nova com Volume Alto

Detecta volume acima de R$ 25.000 ou USDT 5.000 em contas com menos de 30 dias

MEDIUM

6. Reativação de Conta Inativa

Detecta reativação súbita após 90+ dias de inatividade

HIGH

7. Limiar Mensal (COAF)

Detecta volume mensal acima de R$ 50.000 ou USDT 10.000

LOW

8. Valores Redondos

Detecta 3+ operações com valores múltiplos de R$ 1.000 em 48 horas

HIGH

9. Padrão Cross-border

Detecta padrão BRL → USDT → saque crypto (possível evasão de divisas) em 30 dias

MEDIUM

10. Múltiplas Carteiras

Detecta cadastro de 3+ endereços de saque em 7 dias

Alertas são registrados automaticamente e classificados por severidade (LOW, MEDIUM, HIGH, CRITICAL). Alertas CRITICAL disparam automaticamente avaliação de EDD.

6. Diligência Devida Aprimorada (EDD)

A DeCripto aciona EDD automaticamente quando detectados os seguintes gatilhos:

  • PEP declarado: Cliente se autodeclara Pessoa Politicamente Exposta
  • Volume mensal elevado: Volume mensal acima de R$ 50.000
  • Inconsistência OCR: Dados do documento divergem dos dados cadastrais
  • Perfil de risco alto: Usuário classificado como HIGH ou CRITICAL
  • Alerta AML crítico: Alerta de severidade CRITICAL nos últimos 30 dias

Quando EDD é acionada, o compliance interno é notificado e pode solicitar documentação adicional, comprovação de origem de recursos e validações ampliadas antes de permitir a continuidade das operações.

7. Travel Rule (Recomendação 16 do GAFI)

Em conformidade com a Recomendação 16 do GAFI/FATF e o Art. 44 da Resolução BCB 520, a DeCripto implementa procedimentos para coleta e transmissão de informações do ordenante e beneficiário em transferências de ativos virtuais.

7.1 Informações Coletadas

Ordenante

  • Nome completo
  • Endereço da carteira de origem
  • CPF/CNPJ
  • Endereço físico ou data/local de nascimento

Beneficiário

  • Nome completo
  • Endereço da carteira de destino
  • Número da conta (quando aplicável)

7.2 Transferências para VASPs

  • Verificação se a contraparte é VASP regulado e de boa reputação
  • Transmissão das informações exigidas de forma segura e verificável
  • Retenção de registros das informações transmitidas/recebidas
  • Recusa de operações quando informações não puderem ser obtidas

7.3 Transferências para Carteiras Não-Custodiais

  • Coleta de declaração de propriedade da carteira
  • Verificação de sanções contra o endereço da carteira
  • Aplicação de limites e monitoramento reforçado quando aplicável

8. Pessoas Politicamente Expostas (PEP)

Para clientes classificados como PEP (e, quando aplicável, familiares e estreitos colaboradores), aplica-se diligência reforçada automática:

  • EDD é acionada automaticamente quando PEP é declarado no KYC
  • Verificação e evidência de origem de recursos
  • Monitoramento intensivo via motor AML
  • Atualização cadastral mais frequente

9. Sanções e Listas Restritivas

A DeCripto verifica clientes e transações contra listas e bases aplicáveis antes de permitir operações. Para detalhes completos, consulte nossa Política de Sanções.

  • Listas de sanções da ONU (CSNU)
  • Listas OFAC (Office of Foreign Assets Control)
  • Listas de sanções da União Europeia
  • UK Sanctions List (OFSI)
  • Bases nacionais de impedimento (CEIS, CNEP, CEPIM)

Usuários com correspondência ativa em listas de sanções são automaticamente bloqueados de realizar qualquer operação na plataforma.

10. Comunicação de Operações Suspeitas

A DeCripto realiza comunicações ao COAF quando identificados indícios de PLD/FT e demais hipóteses previstas na legislação aplicável, incluindo operações acima dos limiares de comunicação obrigatória (R$ 50.000 por operação ou volume mensal).

As comunicações são tratadas com confidencialidade, sendo vedado informar ao cliente ou a terceiros (“tipping-off”), exceto nos limites permitidos por lei e para fins de execução de controles internos.

11. Recusa, Bloqueio e Encerramento

A DeCripto pode, a seu critério e conforme avaliação de risco:

  • Recusar cadastro por insuficiência de informações, falha de verificação ou risco incompatível
  • Recusar, suspender ou reter operações com base em alertas do motor AML
  • Bloquear acesso/conta automaticamente em caso de correspondência em lista de sanções
  • Encerrar relacionamento em caso de risco inaceitável, inconformidades ou suspeitas

12. Manutenção e Retenção de Registros

A DeCripto mantém registros e evidências por prazo mínimo de 10 (dez) anos, incluindo:

  • Dados e documentos de identificação/verificação (KYC)
  • Registros de transações em ledger com cadeia de hash SHA-256
  • Informações de Travel Rule (ordenante e beneficiário)
  • Alertas AML, análises de risco e investigações internas
  • Decisões de EDD, aprovações e histórico de revisão
  • Comunicações ao COAF e histórico de tratamento

13. Treinamento e Conscientização

Todos os envolvidos recebem treinamento inicial e periódico sobre:

  • Conceitos de PLD/FT, sanções e indicadores de suspeição
  • Procedimentos internos e uso do motor AML
  • Travel Rule e obrigações específicas para criptoativos
  • Registro e escalonamento de alertas
  • Confidencialidade e condutas vedadas

Os treinamentos são documentados e atualizados anualmente ou quando houver mudanças significativas na regulamentação.

14. Canal de Denúncias (Whistleblowing)

A DeCripto mantém canal confidencial para reporte de suspeitas de irregularidades, violações desta Política ou condutas antiéticas:

E-mail: denuncia@decripto.com.br

As denúncias podem ser feitas de forma anônima e são tratadas com total confidencialidade.

  • Todas as denúncias são investigadas pelo Compliance
  • É garantida proteção contra retaliação a denunciantes de boa-fé
  • Retaliação contra denunciantes é expressamente proibida e passível de sanções

15. Auditoria e Melhoria Contínua

A efetividade dos controles é verificada através de:

  • Testes periódicos do motor AML e sistemas de monitoramento
  • Revisão de amostra de alertas e decisões
  • Auditoria interna anual
  • Auditoria externa independente (quando aplicável)
  • Análise de gaps e planos de remediação

16. Atualizações e Revisão da Política

Esta Política será revisada periodicamente (ao menos anualmente) e sempre que houver:

  • Mudança relevante no modelo de negócio
  • Incidentes/materializações de risco
  • Mudanças regulatórias relevantes (incluindo regulamentação do BCB para PSAVs)
  • Atualizações nas recomendações do GAFI/FATF
  • Necessidade de aprimoramento de controles

17. Contato

Para dúvidas sobre esta Política ou para reportar preocupações:

Compliance: compliance@decripto.com.br

Canal de Denúncias: denuncia@decripto.com.br

Políticas Relacionadas

Política KYCPolítica de SançõesPolítica de PrivacidadeTermos de Uso
Voltar para a página inicial