O Banco Central do Brasil (BCB) publicou na quinta-feira (22) a Instrução Normativa BCB nº 701, estabelecendo regras rigorosas para a certificação técnica de empresas que desejam atuar no mercado de criptomoedas.
A norma detalha os requisitos que uma “empresa qualificada independente” deve analisar antes que uma exchange possa solicitar sua licença de operação sob a Resolução BCB nº 520/2025.
A nova instrução, que entra em vigor no dia 2 de fevereiro de 2026, exige a emissão de um parecer conclusivo sobre a segurança, governança e solvência das prestadoras de serviços de ativos virtuais (VASPs).
Se a empresa não apresentar essa certificação ou falhar nos requisitos, o pedido de autorização será considerado “sem efeito”, impedindo a operação legal no país.
Prova de Reservas e Segregação de Ativos
Um dos pontos mais críticos da nova norma é a exigência formal da chamada “Proof of Reserves” (Prova de Reservas). O auditor independente deverá verificar os mecanismos que asseguram que a corretora “possui efetivamente os ativos virtuais que declara ter em nome de seus clientes”.
Além disso, a certificação deve comprovar a efetiva segregação patrimonial. Ou seja, o auditor precisa atestar que os Bitcoins e criptoativos dos clientes não estão misturados com o patrimônio da própria empresa, protegendo os usuários em caso de falência da corretora.
O que mais será auditado?
A Instrução Normativa lista uma série de itens obrigatórios que o parecer técnico deve cobrir:
- Prevenção à Lavagem de Dinheiro: Os processos devem atender à legislação de combate ao crime financeiro e financiamento do terrorismo.
- Cibersegurança e Redundância: Avaliação dos planos de resposta a incidentes, segurança cibernética e mecanismos de redundância para garantir que o sistema não saia do ar ou perca dados.
- Terceirização e Nuvem: Se a exchange usa serviços de terceiros (como custodiantes no exterior ou computação em nuvem), a capacidade técnica e legal desses parceiros também deve ser auditada.
- Transparência no Staking: Para empresas que oferecem rendimentos (staking), o auditor deve verificar se os riscos são informados claramente ao cliente.
Independência e Conflito de Interesses
Para evitar fraudes onde a auditoria é “amiga” da empresa auditada, o Banco Central exige que a empresa certificadora inclua uma declaração formal de inexistência de conflito de interesses. Não pode haver relações societárias ou negociais que comprometam a imparcialidade da análise.
Além disso, todos os papéis de trabalho e memórias de cálculo utilizados pela auditoria devem ficar à disposição do Banco Central por, no mínimo, cinco anos.
Como era antes e como será agora?
A norma reforça que as instituições financeiras e demais entidades que já atuam no mercado ou desejam entrar, devem enviar essa certificação através do Sistema APS-Siscom.
A medida visa dar transparência e segurança jurídica ao mercado brasileiro, alinhando-se às diretrizes da Lei nº 14.478 (Marco Legal das Criptomoedas).
| Como as Corretoras fazem hoje (O “Padrão de Mercado”) | O que a IN nº 701/2026 exige agora (A Lei) | |
| Prova de Reservas (PoR) | A maioria (ex: Binance, Bitso, Crypto.com) publica uma “Merkle Tree” voluntária. Muitas vezes é auto-declarada ou auditada por empresas menores, sem padronização de frequência. | Obrigatória e Certificada. Deve ser auditada por uma “empresa qualificada independente” que ateste que a corretora realmente possui os ativos que diz ter em nome dos clientes. |
| Segregação Patrimonial | Algumas corretoras nacionais (ex: Mercado Bitcoin) já praticam e defendem. As internacionais costumam manter fundos em contas globais (“omnibus accounts”), misturando ativos de clientes de vários países. | Segregação Efetiva e Auditada. O auditor deve comprovar mecanismos que separam totalmente o patrimônio da empresa do patrimônio dos clientes. Em caso de falência, o dinheiro do cliente não entra na massa falida. |
| Auditoria Externa | Algumas “Big 4” (Deloitte, EY, KPMG, PwC) se recusavam a auditar corretoras cripto (caso Mazars/Binance em 2022). As auditorias eram focadas em demonstrações financeiras, não em custódia técnica. | Auditoria Técnica Específica. A norma exige um parecer técnico focado em segurança, custódia e risco cibernético, não apenas contábil. O auditor deve declarar não ter conflito de interesses. |
| Sede e Jurisdição | Muitas operam como “entidades estrangeiras” (offshore), sem CNPJ local para custódia, dificultando processos judiciais e fiscalização direta do BC. | CNPJ e Migração Obrigatória. Empresas estrangeiras terão um prazo (aprox. 270 dias) para migrar clientes e operações para uma entidade local autorizada, sujeita à lei brasileira. |
| Staking e Rendimentos | Produtos de “renda passiva” (Earn) são oferecidos com termos de uso complexos, sem deixar claro se há garantias ou para onde o dinheiro vai. | Transparência de Risco. O auditor deve checar se a corretora informa claramente os riscos, a ausência de FGC (Fundo Garantidor de Créditos) e como o rendimento é gerado. |
| Cibersegurança | Falam em “segurança de nível bancário” e “fundos SAFU”, mas os detalhes técnicos dos planos de resposta a desastres raramente são públicos ou auditados externamente. | Auditoria de Resiliência. Exige certificação dos planos de resposta a incidentes, redundância de sistemas e segurança computacional. Se o sistema cair, precisa ter plano de recuperação auditado. |
