Banco Central define requisitos para auditoria de exchanges de bitcoin, regras passam a valer em fevereiro

25/01/2026 07:55 07:55

Moedas de Real brasileiro próximas de bitcoin Banco Central exchanges de bitcoin

O Banco Central do Brasil (BCB) publicou na quinta-feira (22) a Instrução Normativa BCB nº 701, estabelecendo regras rigorosas para a certificação técnica de empresas que desejam atuar no mercado de criptomoedas.

A norma detalha os requisitos que uma “empresa qualificada independente” deve analisar antes que uma exchange possa solicitar sua licença de operação sob a Resolução BCB nº 520/2025.

A nova instrução, que entra em vigor no dia 2 de fevereiro de 2026, exige a emissão de um parecer conclusivo sobre a segurança, governança e solvência das prestadoras de serviços de ativos virtuais (VASPs).

Se a empresa não apresentar essa certificação ou falhar nos requisitos, o pedido de autorização será considerado “sem efeito”, impedindo a operação legal no país.

Prova de Reservas e Segregação de Ativos

Um dos pontos mais críticos da nova norma é a exigência formal da chamada “Proof of Reserves” (Prova de Reservas). O auditor independente deverá verificar os mecanismos que asseguram que a corretora “possui efetivamente os ativos virtuais que declara ter em nome de seus clientes”.

Além disso, a certificação deve comprovar a efetiva segregação patrimonial. Ou seja, o auditor precisa atestar que os Bitcoins e criptoativos dos clientes não estão misturados com o patrimônio da própria empresa, protegendo os usuários em caso de falência da corretora.

O que mais será auditado?

A Instrução Normativa lista uma série de itens obrigatórios que o parecer técnico deve cobrir:

Prevenção à Lavagem de Dinheiro: Os processos devem atender à legislação de combate ao crime financeiro e financiamento do terrorismo.
Cibersegurança e Redundância: Avaliação dos planos de resposta a incidentes, segurança cibernética e mecanismos de redundância para garantir que o sistema não saia do ar ou perca dados.
Terceirização e Nuvem: Se a exchange usa serviços de terceiros (como custodiantes no exterior ou computação em nuvem), a capacidade técnica e legal desses parceiros também deve ser auditada.
Transparência no Staking: Para empresas que oferecem rendimentos (staking), o auditor deve verificar se os riscos são informados claramente ao cliente.

Independência e Conflito de Interesses

Para evitar fraudes onde a auditoria é “amiga” da empresa auditada, o Banco Central exige que a empresa certificadora inclua uma declaração formal de inexistência de conflito de interesses. Não pode haver relações societárias ou negociais que comprometam a imparcialidade da análise.

Além disso, todos os papéis de trabalho e memórias de cálculo utilizados pela auditoria devem ficar à disposição do Banco Central por, no mínimo, cinco anos.

Como era antes e como será agora?

A norma reforça que as instituições financeiras e demais entidades que já atuam no mercado ou desejam entrar, devem enviar essa certificação através do Sistema APS-Siscom.

A medida visa dar transparência e segurança jurídica ao mercado brasileiro, alinhando-se às diretrizes da Lei nº 14.478 (Marco Legal das Criptomoedas).

	Como as Corretoras fazem hoje (O “Padrão de Mercado”)	O que a IN nº 701/2026 exige agora (A Lei)
Prova de Reservas (PoR)	A maioria (ex: Binance, Bitso, Crypto.com) publica uma “Merkle Tree” voluntária. Muitas vezes é auto-declarada ou auditada por empresas menores, sem padronização de frequência.	Obrigatória e Certificada. Deve ser auditada por uma “empresa qualificada independente” que ateste que a corretora realmente possui os ativos que diz ter em nome dos clientes.
Segregação Patrimonial	Algumas corretoras nacionais (ex: Mercado Bitcoin) já praticam e defendem. As internacionais costumam manter fundos em contas globais (“omnibus accounts”), misturando ativos de clientes de vários países.	Segregação Efetiva e Auditada. O auditor deve comprovar mecanismos que separam totalmente o patrimônio da empresa do patrimônio dos clientes. Em caso de falência, o dinheiro do cliente não entra na massa falida.
Auditoria Externa	Algumas “Big 4” (Deloitte, EY, KPMG, PwC) se recusavam a auditar corretoras cripto (caso Mazars/Binance em 2022). As auditorias eram focadas em demonstrações financeiras, não em custódia técnica.	Auditoria Técnica Específica. A norma exige um parecer técnico focado em segurança, custódia e risco cibernético, não apenas contábil. O auditor deve declarar não ter conflito de interesses.
Sede e Jurisdição	Muitas operam como “entidades estrangeiras” (offshore), sem CNPJ local para custódia, dificultando processos judiciais e fiscalização direta do BC.	CNPJ e Migração Obrigatória. Empresas estrangeiras terão um prazo (aprox. 270 dias) para migrar clientes e operações para uma entidade local autorizada, sujeita à lei brasileira.
Staking e Rendimentos	Produtos de “renda passiva” (Earn) são oferecidos com termos de uso complexos, sem deixar claro se há garantias ou para onde o dinheiro vai.	Transparência de Risco. O auditor deve checar se a corretora informa claramente os riscos, a ausência de FGC (Fundo Garantidor de Créditos) e como o rendimento é gerado.
Cibersegurança	Falam em “segurança de nível bancário” e “fundos SAFU”, mas os detalhes técnicos dos planos de resposta a desastres raramente são públicos ou auditados externamente.	Auditoria de Resiliência. Exige certificação dos planos de resposta a incidentes, redundância de sistemas e segurança computacional. Se o sistema cair, precisa ter plano de recuperação auditado.

Bruno Costa

Bruno Costa ingressou no jornalismo cripto quando o DeFi ainda era um experimento de nicho e, desde então, tornou-se uma das principais vozes brasileiras na cobertura de finanças descentralizadas e ativos digitais. Atualmente atua como Senior Content Manager na Starkware.co, uma empresa de PR e marketing focada em DeFi, NFTs e crescimento de comunidades Web3. Seu trabalho frequentemente explora como as economias de tokens podem impulsionar a inclusão financeira no país, conectando a adoção de blockchain à realidade local. Ele é Certified Bitcoin Professional (CBP), credenciado pelo CryptoCurrency Certification Consortium (C4). Graduado em Jornalismo pela Universidade Europeia, Bruno aprofundou sua expertise com formações como o curso DAO Fundamentals (EDU Trainings) e o Web3 Solidity Bootcamp (Metana). Sua cobertura inclui adoção de DeFi em mercados emergentes, cultura NFT na América Latina e análises de UX em aplicações descentralizadas. Entre suas principais competências estão reportagem investigativa, análise do mercado cripto, construção de narrativa e estratégia de conteúdo. No Brasil, o público o conhece por portais como Cointimes.com.br, onde é colaborador regular, além de suas reportagens investigativas que revelaram golpes no setor DeFi. Uma de suas séries chegou a contribuir para alertas regulatórios e maior fiscalização por parte da CVM. Seu guia sobre stablecoins alcançou mais de 50 mil leitores e foi referenciado por três grupos acadêmicos de pesquisa, enquanto sua consultoria para uma carteira DeFi ajudou a redesenhar o conteúdo de onboarding e atraiu mais de 10 mil novos usuários. Bruno já foi citado pelo Valor Econômico, fez coberturas presenciais na São Paulo NFT Expo e no Rio Blockchain Meetup, e participou de grandes eventos como a SP Tech Week e a Blockchain Conference Brasil, onde discutiu temas sobre regulação do DeFi, UX e inovação. Curioso e criativo, com um forte foco em conectar tecnologia e cultura, ele costuma lembrar colegas e leitores de que “Journalism should empower readers with clarity in a world full of crypto hype and misinformation.” Disclaimer: Todo o conteúdo aqui apresentado diz respeito a temas de criptomoedas, blockchain e Web3 e possui caráter exclusivamente informativo e educacional. Não constitui aconselhamento financeiro, de investimento ou jurídico. As análises refletem a experiência e a pesquisa pessoal do autor. O nome do autor é utilizado como pseudônimo. Sempre faça sua própria pesquisa (DYOR) antes de tomar decisões no ecossistema cripto.

Comentários

Autor: