Do diagnóstico regulatório à certificação técnica, eis o passo a passo para garantir segurança às empresas, para além do que já está no papel
Depois que a regulação dos ativos virtuais no Brasil passou a ser realidade, com as Resoluções 519, 520 e 521 do Banco Central do Brasil e as Instruções Normativas 701 e 704, a questão central para empresas que pretendem atuar como prestadoras de serviços (as PSAVs) passou a ser como se adequar às novas regras com segurança e eficiência?
“A experiência prática mostra que o erro mais comum é tratar a regulação como mera produção de documentos. Isso porque o regulador exige coerência entre norma, contrato, operação e evidência, o que, inevitavelmente, requer método”, explica Plínio Ken Higasi, especialista em Direito Digital e sócio do PK Advogados.
Segundo Higasi, empresas que desejam estruturar sua adequação precisam seguir um roteiro objetivo, cujos passos são:
1. Definir a rota regulatória: onde está sua empresa?
Antes de revisar qualquer política, vale responder a uma pergunta estratégica: qual é o enquadramento regulatório da empresa?
E o motivo é que a trajetória será distinta para novos entrantes, para empresas já em atividade, ou instituições financeiras autorizadas que pretendam expandir escopo ou ainda grupos com estrutura internacional. Embora o conjunto normativo seja comum, a intensidade das exigências e os cronogramas variam conforme o perfil do operador. “Sem essa definição inicial, é comum que empresas invistam recursos em checklists genéricos e deixem lacunas justamente nos pontos que importam para o supervisor”, diz o advogado.
2. Realizar um gap assessment com matriz de evidências
Para o especialista, o movimento seguinte é o diagnóstico regulatório estruturado, o chamado gap assessment. Na prática, isso significa mapear riscos e construir uma matriz clara que responda: qual é o requisito regulatório, qual documento ou política o atende; qual contrato precisa ser ajustado; qual evidência comprova implementação; quem é o responsável interno; ou qual é o prazo de adequação?
“E é nesse momento que muitas organizações descobrem que até possuem documentos formais, mas não conseguem comprovar uma execução consistente.”
3. Revisar contratos e políticas com foco em implementação real
A fase seguinte é de remediação, o que inclui a revisão do que já existe, por exemplo: termos de uso e disclosures de risco com clientes, cláusulas com prestadores críticos (como serviços de nuvem, custódia ou monitoramento) e políticas internas (como PLD/FT, segurança da informação, continuidade de negócios e governança). Tudo precisa refletir a realidade operacional, porque se o contrato promete determinado padrão de controle, a estrutura tecnológica deve ser capaz de sustentá-lo. A falta de coerência entre o discurso e a prática tende a se tornar um dos principais pontos de atenção na certificação técnica independente.
4. Organizar o dossiê para certificação técnica
Longe de ser genérica, a certificação técnica introduzida pelas Instruções Normativas 701 e 704 exige verificação estruturada de requisitos com lastro em evidências auditáveis. E é precisamente por isso que a nova regra altera o padrão de exigência do mercado.
“Para a reduzir o risco de retrabalho, antes de a certificadora entrar em ação, é recomendável que a empresa se prepare para a avaliação técnica e organize um dossiê consistente, com todo arcabouço documental e trilhas de governança, contendo, por exemplo: suas políticas aprovadas e versionadas; as evidências de implementação; os registros de governança; a documentação de controles tecnológicos; e os contratos alinhados às exigências regulatórias”, explica Higasi.
5. Integrar jurídico e certificadora sem sobreposição de funções
Outro ponto relevante, de acordo com o especialista, é a integração entre áreas. A adequação regulatória em ativos virtuais não é tarefa exclusiva do jurídico ou do compliance: envolve também tecnologia, gestão de riscos, finanças e, em muitos casos, estruturas internacionais. Empresas que mantêm essas áreas operando de forma isolada tendem a enfrentar inconsistências narrativas e operacionais, o que pode gerar conflitos de interpretação e atrasos no processo de autorização.
6. Estruturar governança contínua após a autorização
De acordo com Higasi, talvez esse seja o ponto mais negligenciado, mas a experiência acumulada desde o Marco Civil da Internet e a Lei Geral de Proteção de Dados (LGPD) demonstra que a prova de conformidade precisa ser contínua. Sem revisões periódicas, treinamentos internos, trilhas de auditoria e atualização contratual, a empresa pode voltar rapidamente ao estado anterior.
Por esse motivo, a manutenção da conformidade envolve: um calendário de revisão de políticas; o monitoramento contínuo de riscos; a atualização contratual; o registro de decisões estratégicas; e a integração permanente entre a TI, o compliance e o jurídico.
Como um advogado especialista em Direito Digital pode ajudar?
Nesse contexto, contratar um advogado especializado significa prezar pela coordenação sistêmica da adequação. Entre as contribuições mais relevantes desse profissional estão: traduzir as normas em plano de ação com cronograma e responsáveis; estruturar uma governança executável e defensável; alinhar contratos, prática operacional e narrativa regulatória; e antecipar pontos sensíveis da certificação técnica.
“É preciso, portanto, encarar a nova regulação como um verdadeiro filtro de maturidade e não apenas como barreira de entrada. Empresas que estruturarem processos, integrarem suas áreas técnicas e jurídicas e organizarem evidências de forma consistente estarão melhor posicionadas diante do regulador e também em diligências de investidores e parcerias estratégicas”, garante o advogado. E é assim que, nesse novo ambiente regulatório, a vantagem competitiva, certamente, passa a estar na capacidade de demonstrar e sustentar a integridade operacional.
Sobre Plínio Kentaro Higasi
Sócio da área Digital do PK Advogados, Plínio é advogado, palestrante e uma das principais vozes do Direito Digital no Brasil. Presidente do DigitalRights Association e Vice-Presidente da Comissão de Direito Digital em Novos Modelos de Negócios da OAB/SP, é mestre em Inteligência Artificial aplicada ao Direito pela PUC-SP e com LLM em Direito e Tecnologia pela Escola Politécnica da USP. Tem ainda especializações pela FGV, PUC-SP e Fundação Getúlio Vargas em técnicas alternativas de resolução de conflitos. Também é professor, conselheiro de inovação e membro ativo de instituições como ACSP e Ethics4AI.
Sobre o PK Advogados
Referência em inovação há 24 anos, o PK Advogados é um escritório de advocacia full service que acredita na prática de um Direito que viabiliza a tecnologia. Ao todo, a empresa conta com 12 sócios, cerca de 60 advogados associados e equipe de apoio de mais de 40 profissionais, no Brasil e no mundo, com perfis variados e altamente qualificados — o que proporciona visão multifacetada das necessidades e soluções. Essa diversidade profissional, aliada à constante atualização do time, permite apoiar diferentes tipos de clientes, de multinacionais a startups. E é por meio do trabalho artesanal e personalizado, reconhecido pela excelência no atendimento e postura inovadora, que o escritório constrói reputação e tradição em serviços jurídicos.
Isenção de responsabilidade: As opiniões, bem como todas as informações compartilhadas nesta análise de preços ou artigos mencionando projetos, são publicadas de boa fé. Os leitores deverão fazer sua própria pesquisa e diligência. Qualquer ação tomada pelo leitor é prejudicial para sua conta e risco. O Bitcoin Block não será responsável por qualquer perda ou dano direto ou indireto.
Compre Bitcoin com sigilo absoluto.
Sem KYC, sem burocracia e em poucos minutos.
Na Royal BTC você troca reais por BTC sem KYC e sem burocracia.
Use o cupom BITCOINBLOCK e entre na economia do Bitcoin com sigilo absoluto.
