Os 5 desafios de AML que toda fintech da América Latina vai enfrentar

Toda fintech que escala além de um país na América Latina bate nas mesmas cinco paredes. A gente viu isso acontecer com dezenas de clientes nossos na Gu1 — times que levantaram Série A em São Paulo ou na Cidade do México, expandiram para um segundo mercado, e de repente descobriram que a postura de compliance que funcionava em casa já não se sustentava em outro lugar.

Não é uma história sobre times ruins. Os times com quem a gente trabalha são bons. O produto funciona. O uso cresce. E aí eles tropeçam em algo estrutural — um regulador, um formato de relatório, um vetor de ameaça, um problema de capacidade — que ninguém avisou porque ninguém tinha escrito num lugar só.

Então aqui está. Os cinco desafios que aparecem toda vez, e o que a gente viu funcionar em campo com 54 clientes ativos operando no Brasil, México, Argentina e Colômbia.

1. Fragmentação regulatória#

A primeira parede é a que bate no momento em que você cruza uma fronteira. A América Latina não é um regime único de compliance. É um mosaico de FIUs nacionais (Financial Intelligence Units, ou o equivalente local), cada uma com seu próprio mandato, seus próprios modelos de relatório e sua própria definição do que é uma operação suspeita.

Operar em três países não é um regime de compliance escalado por três. São três regimes de compliance completos rodando em paralelo.

Os órgãos-chave:

• COAF no Brasil
• UIF na Argentina e no México (são duas UIFs distintas, não confunda)
• UIAF na Colômbia
• UAF no Chile

Relatórios diferentes. Prazos diferentes. Formatos diferentes — algumas aceitam XML, outras exigem PDF subido num portal proprietário, outras ainda querem um papel assinado junto com o envio eletrônico. As janelas de reporte também variam: 24 horas para casos urgentes na maioria das jurisdições, 60 dias para um SAR (Suspicious Activity Report) padrão, mas o relógio começa em eventos diferentes dependendo do país.

O custo para uma fintech em crescimento é real. Você tem dois caminhos: contratar equipe de compliance em cada mercado (caro, lento, difícil de padronizar) ou construir uma camada de abstração — um modelo interno único do que é um caso suspeito, e embaixo uma camada de tradução que emite o formato certo, para o regulador certo, dentro da janela certa. O modelo de abstração é o único que a gente viu escalar. A Gu1 foi construída exatamente em cima dessa premissa.

O que a gente viu funcionar#

As fintechs que lidam melhor com isso separam com clareza duas coisas: a decisão de risco (esse cliente, essa transação, esse padrão são preocupantes?) da obrigação de reporte (o que o COAF precisa amanhã às 9 da manhã?). Quando essas duas coisas vivem juntas na mesma linha de código, cada país novo dobra a sua complexidade. Quando estão separadas, um país novo é um adapter de saída novo, não um time de compliance novo.

2. A economia informal, e o dinheiro em espécie#

A segunda parede é a que a maioria dos playbooks importados interpreta mal. A Europa e os Estados Unidos escreveram o manual global de AML em cima de uma economia majoritariamente formal. O salário chega por depósito direto. A renda é verificável. A origem dos recursos é uma consulta num banco de dados.

A América Latina não se parece com isso.

Cerca de 55% da força de trabalho da América Latina está no setor informal, segundo a OIT. A maior parte da atividade econômica acontece fora dos registros de emprego formal.

Renda informal é difícil de rastrear. Não é fraudulenta — é renda legal em espécie, de trabalho legítimo — mas ela não gera o rastro documental que um modelo AML no estilo europeu espera ver. Quando uma fintech passa um cliente num motor de risco copiado e colado de um fornecedor europeu, a renda informal aparece como bandeira vermelha por padrão. O cliente fica marcado como suspeito. A fintech ou aprova assim mesmo (e viola a própria política) ou recusa (e deixa um mercado enorme na mesa).

O modo de falha é o modelo, não o cliente. Origem de recursos na América Latina precisa estar calibrada em sinais locais:

• Entradas de dinheiro em espécie informais que se agrupam em torno dos ciclos de pagamento de setores específicos
• Padrões de mobile money e transferências carteira a carteira que aqui são normais e na Europa são raros
• Corredores regionais de remessas — México para os Estados Unidos, Venezuela atravessando a região, Argentina para a Espanha
• Padrões de grupos rotativos de poupança e crédito (tandas, juntas, consórcios, cundinas)

O que funciona é modelagem de risco construída em cima de ground truth latino-americana. O mesmo cliente que parece suspeito para um motor europeu parece perfeitamente normal para um modelo treinado em 50 milhões de transações locais. Essa é uma das razões centrais pelas quais a gente construiu a Gu1 na região, em cima de dados regionais, em vez de licenciar um motor estrangeiro e traduzir a interface.

3. Fraude com IA está crescendo mais rápido que defesa com IA#

A terceira parede chegou mais rápido do que qualquer um queria. As mesmas ferramentas generativas que os times de compliance e de produto estão adotando, os criminosos estão adotando mais rápido — e em alguns casos melhor.

Os números são feios.

O Brasil viu a fraude com deepfake crescer 700% em 2024–2025, com tentativas de identidade sintética subindo 140% no mesmo período (Sumsub). Globalmente, identidade sintética cresceu 8x em 2025, e a América Latina respondeu por aproximadamente metade desse volume (LexisNexis). Mais de 50% das tentativas de fraude já envolvem IA de alguma forma (Feedzai).

O quadro mais amplo é consistente. A fraude na América Latina subiu 32% no primeiro semestre de 2024 (Veriff). Tentativas de golpe em 36 instituições e 300 milhões de clientes cresceram 155% em 2025 (BioCatch). Account takeover no México está 324% mais alto em 15 meses (BioCatch). Não são projeções. Já estão nos logs.

O problema estrutural: os sistemas de fraude legados foram desenhados para detectar humanos tentando enganar humanos. Eles não foram desenhados para detectar um modelo que gera um rosto que passa em liveness, um documento que passa no OCR e uma voz que passa numa verificação por call center — tudo na mesma sessão. Uma identidade sintética é, por construção, projetada para passar no controle. O controle é a função objetivo do modelo que está atacando você.

O que precisa mudar#

A resposta é IA contra IA. Concretamente:

• Liveness 3D com desafios ativos, não comparação passiva de foto
• Biometria comportamental — como o usuário digita, como ele faz scroll, como ele segura o dispositivo, não só o que ele digita
• Detecção de anomalias combinando sinais de dispositivo, rede e sessão, não cada um isoladamente
• Análise de grafos de rede para trazer à tona anéis que compartilham dispositivos, IPs ou números de telefone entre dezenas de contas aparentemente não relacionadas

Os times que estão segurando a linha são os que tratam fraude como um problema de ML adversarial e não como um problema de regras. Regras ficam para trás. Modelos aprendem.

4. Velocidade contra profundidade#

A quarta parede é cultural antes de ser técnica. O Nubank estabeleceu o piso. Todo usuário latino-americano que abriu uma conta nos últimos cinco anos espera que o onboarding seja de minutos, não de dias. Mercado Pago, Nequi, Uala, Albo — os incumbentes convergiram todos para a mesma expectativa. Se o seu onboarding leva uma semana, você não tem um problema de compliance, você tem um problema de crescimento.

E mesmo assim. Due diligence reforçada de verdade — aquela que libera um PEP (Pessoa Exposta Politicamente), verifica a origem dos recursos de uma entrada grande, ou revisa uma estrutura societária com várias camadas — leva tempo. A versão honesta dessa conversa é que due diligence profunda é medida em dias, não em minutos.

A tensão entre as duas é real e não vai embora. O time de UX tem razão em empurrar por velocidade. O time de risco tem razão em empurrar por profundidade. A resposta ruim é escolher uma e ignorar a outra. A resposta boa, e a que a gente vê repetir nos nossos melhores clientes, é KYC em camadas (tiered KYC).

Como o KYC em camadas funciona na prática#

• Uma camada básica para contas de baixo risco e limite baixo que resolve em segundos — documento, liveness, screening de sanções, pronto
• Uma camada intermediária que é ativada automaticamente quando um cliente cruza um limite de transação ou quando dispara um sinal comportamental específico — documento adicional, pergunta de origem de recursos, due diligence reforçada leve
• Uma camada profunda para PEPs, contas corporativas grandes e contas onde múltiplos sinais de risco foram acionados — revisão manual, due diligence reforçada, monitoramento contínuo

O cliente não vê uma experiência uniforme. Ele vê a fricção que é de fato justificada pelo perfil de risco dele. Os 95% dos usuários que são de baixo risco têm a experiência Nubank. Os 5% que precisam de uma conversa de verdade têm uma conversa de verdade. Essa distinção vale muita conversão e muita qualidade de auditoria ao mesmo tempo.

5. O teto de capacidade nas fintechs em estágio inicial#

A quinta parede é sobre pessoas, e é a que os fundadores subestimam com mais frequência. Compliance não é só tecnologia. É uma função com opiniões, critério e uma assinatura num relatório. E essa função, hoje, é difícil de preencher na América Latina.

Bons oficiais de compliance são caros. Também são lentos para contratar — os melhores têm lista de espera, estão sendo recrutados por bancos com dez vezes o orçamento de compensação de uma fintech Série A, e são o gargalo mais comum que a gente vê quando um cliente nos diz que quer expandir para um país novo no próximo trimestre.

Compliance já representa entre 15% e 20% do orçamento operacional de uma fintech típica em 2026. É um número grande quando headcount é a linha dominante dentro disso.

A abordagem in-house — construir você mesmo, contratar dez pessoas de compliance, desenhar os seus próprios workflows — funciona, eventualmente. Também é o caminho mais lento e mais caro para chegar lá, e reconstrói do zero aquilo que o resto da indústria já construiu.

A alternativa em que a gente acredita#

Compliance como infraestrutura. Uma fintech deve consumir AML, KYC e monitoramento de transações da mesma forma que consome pagamentos via Stripe ou emissão de cartão via Pomelo — como uma API que cuida da camada chata, regulada e não diferenciadora, para que o time possa focar no produto.

É isso que a gente está fazendo na Gu1. Uma stack de KYC, AML e KYT (Know Your Transaction) numa única API, pré-configurada para COAF, UIF, UIAF e UAF, calibrada em cima de dados latino-americanos. Nossos clientes não contratam dez engenheiros de compliance. Eles contratam um oficial de compliance que é dono da política e usa a nossa plataforma como camada de execução. A economia disso é muito diferente da do caminho in-house.

Para mais detalhe sobre como a stack se encaixa, veja o nosso post sobre a stack de compliance AI-native e o guia completo de KYC para a América Latina.

O que isso não é#

Nada do que está acima é uma reclamação contra reguladores. Deixo isso claro porque a linha entre "aqui tem um problema difícil" e "os reguladores são os vilões" é uma que muitos comentários do setor fintech cruzam com leveza demais.

COAF, UIF, UIAF e UAF estão tentando resolver problemas genuinamente difíceis com orçamentos limitados, headcount limitado, e um cenário de ameaças que se move debaixo dos pés deles em tempo real. México, Brasil e Argentina são membros plenos do GAFI (FATF) e estão entregando obrigações que foram escritas para economias muito maiores. A fricção que uma fintech cross-border sente não é um regulador específico falhando. É o custo estrutural de rodar uma operação que toca cinco regimes nacionais ao mesmo tempo.

Esse custo é um problema de design para os provedores de infraestrutura. É o nosso trabalho, e o do resto da camada RegTech, absorver esse custo para que os operadores não precisem resolver do zero em cada mercado novo. O modo de falha é uma lacuna de infraestrutura, não uma falha regulatória.

Fechamento#

Se você hoje está rodando uma fintech em um país e pensando no segundo, comece o trabalho regulatório doze meses antes do que você acha que precisa. Mapeie a FIU do mercado-alvo. Leia os últimos dois anos de guidance. Converse com um operador que já esteja lá. Coloque o gasto de compliance dentro do modelo de expansão — não como uma linha de overhead, mas como um custo de produto, porque nesta região ele é.

A gente vai continuar escrevendo análises aprofundadas por país nas próximas semanas — os detalhes do COAF no Brasil, as expectativas da UIF no México, o framework em movimento da Argentina, a stack de reportes do UIAF na Colômbia. Se você quer isso na sua caixa de entrada, assine o blog no link abaixo. E se você está construindo e já bateu numa dessas paredes, dê uma olhada no nosso texto sobre prevenção de fraude em mercados emergentes ou venha falar com a gente direto.

Para o contexto completo do que é a Gu1 e por que a gente está construindo, comece pelo boas-vindas ao blog da Gu1.