KYC na América Latina: guia país por país (2026)

Escrevo pipelines de KYC para fintechs da LatAm há tempo suficiente para saber que a maioria dos playbooks que circulam online foi escrita para a Europa, traduzida sem cuidado e publicada assim mesmo. Aqui não funcionam. Não porque a LatAm esteja atrasada — em trilhos de pagamento, o Brasil está ativamente à frente dos EUA — mas porque a pilha de identidade, regulação e economia é estruturalmente diferente. Quando você pega um modelo alemão de KYC e joga em São Paulo, o que aparece é uma taxa de falsos positivos que derruba o seu funil e um time de compliance que pede demissão no quarto mês.

Este é um guia KYC América Latina 2026, país por país, escrito do jeito que eu explicaria para um engenheiro novo entrando no nosso time de infraestrutura na Gu1. Sem enfeite, sem "líder de mercado" nem nada parecido. O que os reguladores exigem, como são os sistemas de ID e onde as arquiteturas usuais caem.

Por que o KYC na LatAm é diferente#

Antes de entrar em qualquer país, as quatro diferenças estruturais que você precisa internalizar:

• IDs não padronizados. O Brasil usa CPF. O México usa CURP mais INE. A Argentina usa DNI. A Colômbia usa Cédula. Não existe registro transfronteiriço, não existe camada de identidade federada, não existe equivalente ao eIDAS. Um usuário que sai de Bogotá para Buenos Aires começa do zero. Cada stack de KYC que você constrói tem que lidar com pelo menos um esquema de ID por país, e a lógica de validação não se parece em nada: o CPF tem dígito verificador; o DNI não; o CURP codifica data de nascimento e gênero na própria string.
• Economia informal. Cerca de 55% da força de trabalho da LatAm opera no setor informal (OIT). Isso significa que a fonte de recursos — a pergunta mais difícil de qualquer fluxo de KYC — frequentemente não tem um rastro de papel limpo. Um usuário ganhando dinheiro honesto como vendedor de rua na Cidade do México não tem holerite, não tem declaração de imposto de renda, não tem extrato bancário. Se o seu modelo de risco trata "sem renda formal" como "suspeito", você está excluindo metade do continente.
• Infraestrutura digital desigual. Zonas rurais nos quatro países têm acesso irregular a registros online. Sistemas de verificação documental que assumem conexão constante com uma API governamental caem por timeout. O seu pipeline de OCR precisa funcionar offline-first e reconciliar de forma assíncrona.
• Múltiplos reguladores com mandatos sobrepostos. BCB e COAF no Brasil. CNBV e UIF no México. UIF e CNV na Argentina. UIAF na Colômbia. Cada um com formato de reporte próprio, cadência própria, caminho de escalação próprio. Uma fintech operando em três países está enviando três formatos distintos de SAR para três UIFs diferentes, em três linhas de tempo diferentes.

Essa é a base. Agora, país por país.

País por país#

Brasil#

Reguladores: Banco Central do Brasil (BCB) para supervisão prudencial, COAF como Unidade de Inteligência Financeira, Receita Federal para tributário.

O ID central é o CPF: 11 dígitos com dígito verificador. Todo residente adulto tem um. Qualquer fluxo de onboarding de fintech que não valide o checksum do CPF antes de bater no registro federal está queimando dinheiro em chamada de API.

Controles exigidos pela Resolução BCB 519/2025:

• Verificação obrigatória de CPF contra a Receita Federal
• Selfie de liveness obrigatória para contas tier-1 (contas que podem movimentar valores acima de um limite mínimo)
• OCR de documento sobre RG ou CNH
• Match biométrico entre a captura de liveness e a foto do documento

Obrigações de reporte:

• Travel Rule em toda transferência acima de R$30.000, com dados de originador e beneficiário anexados
• Teto de R$200 por transação em dispositivos não cadastrados (regra de hardening do PIX, 2024)
• SAR ao COAF em até 24 horas para casos urgentes, 60 dias para reportes padrão

Contexto recente:

A fraude via PIX cresceu 43% ano contra ano, atingindo R$2,7 bilhões em 2024 (Febraban).

Esse número é o motivo de o BCB continuar apertando. O teto de R$200, a exigência de registro de dispositivo, o mandato de liveness — tudo é resposta regulatória direta à curva de fraude. Espere mais, não menos.

México#

Reguladores: CNBV (Comisión Nacional Bancaria y de Valores) e UIF (Unidad de Inteligencia Financiera). A Lei Fintech de 2018 é supervisionada pelos dois — CNBV cuida do lado prudencial, UIF do lado AML.

O stack de ID central é CURP (identificador pessoal de 18 caracteres que codifica dados de nascimento) mais a credencial INE (o documento de eleitor físico, que funciona como ID nacional de fato). Fluxos de KYC no México costumam verificar os dois.

Controles exigidos:

• Validação de CURP contra o RENAPO
• Verificação de INE contra o registro do INE (com o QR do verso desde a credencial de 2021)
• Liveness mais match biométrico
• Comprovante de endereço — essa é uma dor recorrente porque o México não tem um registro padronizado de endereços

Uma regra da CNBV que passou a vigorar em junho de 2024 adicionou um plano obrigatório de prevenção à fraude para toda fintech regulada, com retenção de log de auditoria por 10 anos. Essa última parte é operacional: se o seu stack de logging não consegue reter eventos estruturados de auditoria por uma década, você tem um problema de arquitetura, não de compliance.

59% dos mexicanos relataram ao menos uma tentativa de golpe por mês em 2024 (GASA), e a fraude de account takeover cresceu 324% nos 15 meses anteriores (BioCatch).

Esse é o threat model. A superfície de fraude no México é dominada por engenharia social e ATO, o que significa que KYC no onboarding é necessário mas não suficiente — você precisa de sinal contínuo de KYT sobre anomalias de comportamento. Escrevemos mais sobre essa metade do problema em o lado de AML.

Argentina#

Reguladores: UIF para AML; CNV (Comisión Nacional de Valores) registra provedores de serviços de ativos virtuais sob a Resolução 1058/2025.

O ID central é o DNI: 8 dígitos, sem checksum, com um contador de ejemplar que muda a cada reemissão. Validar "versão atual do DNI" é uma chamada própria de API ao RENAPER.

Controles exigidos:

• Validação de DNI contra o RENAPER
• Liveness mais OCR de documento
• Reporte mensal sobre remessas externas — essa é uma obrigação específica da Argentina, puxada pelo controle cambial
• Registro e reporte específicos de VASPs sob a CNV 1058/2025

O ambiente de fiscalização argentino é complicado pela volatilidade macroeconômica. A inflação do peso faz com que todo limite de transação em pesos seja um alvo móvel, e operadores precisam recalibrar motores de risco a cada trimestre. Uma configuração estática de limiares no seu stack de KYC fica obsoleta em seis meses.

Colômbia#

Regulador: UIAF (Unidad de Información y Análisis Financiero).

O ID central é a Cédula de Ciudadanía: 8 a 10 dígitos, sem checksum. A Registraduría Nacional emite e valida.

Controles exigidos:

• Validação de cédula contra a Registraduría
• Liveness mais OCR de documento (a nova cédula digital tem chip, o que adiciona leitura NFC como controle opcional)
• Screening de PEPs contra as listas da UIAF
• Due diligence reforçada baseada em risk score sobre limites definidos

A Colômbia tem mais de 560 fintechs ativas — um dos ecossistemas mais densos per capita da região. A pressão regulatória acompanha.

O roubo de identidade na Colômbia cresceu 400% desde 2020, e a Lei 2502/2025 agora classifica o roubo de identidade com uso de IA como agravante em condenações criminais.

Essa lei é a primeira na LatAm a tratar explicitamente a fraude de identidade sintética como crime distinto. Se você está construindo na Colômbia, as suas camadas de rastreio de UBO e detecção de deepfakes precisam estar em nível de produção, não de pesquisa.

Prazos e armadilhas comuns#

As janelas de reporte nos quatro países se agrupam em torno de duas âncoras:

• 24 horas para casos urgentes (fraude ativa, hits de sanções, financiamento do terrorismo)
• 60 dias para SAR padrão — o clássico "vimos algo, investigamos, segue o pacote"

O edge case transfronteiriço é onde a maioria dos operadores quebra. Se você está rodando no Brasil, México e Colômbia, uma única transação suspeita pode disparar três envios para três UIFs diferentes, cada uma em um formato diferente, cada uma com uma cadência diferente. Ou a sua plataforma de compliance gera os três programaticamente a partir de um único evento, ou seus analistas estão fazendo à mão. A gente já viu times montarem mesas de filing de 8 pessoas porque ninguém automatizou essa camada.

A outra armadilha comum — essa é arquitetural — é copiar e colar modelos europeus de KYC. Pegar um stack calibrado para a BaFin ou a FCA e soltar em cima da base de identidade da LatAm produz taxas de falso positivo na faixa de 15 a 25% no primeiro dia. Os modelos europeus assumem rastro de renda limpo, namespace unificado de ID e baixa base de economia informal. Nada disso se sustenta aqui. Se você está partindo de uma arquitetura de referência europeia, orce uma reescrita completa do modelo de risco, não um port.

O custo de compliance, de modo geral, gira em torno de 15 a 20% do orçamento operacional de uma fintech na região. Esse número é alto porque os problemas acima se combinam.

Resolvendo na camada de infraestrutura#

Como é o KYC moderno na LatAm, em 2026:

• Liveness 3D, não 2D. O liveness 2D (o fluxo de "vire a cabeça") foi superado por ataques de foto impressa anos atrás e agora por vídeo generativo. Você precisa de captura de profundidade, sinal passivo de liveness e um modelo treinado em padrões regionais de spoofing. Stacks 2D não conseguem mais separar com segurança um deepfake de boa qualidade de uma sessão real.
• OCR documental calibrado para templates regionais. Nos quatro países que cobrimos existem muitos tipos de documentos distintos em circulação ativa — múltiplas versões de CNH no Brasil, credenciais INE pré-2019 e pós-2019 no México, vários formatos de DNI na Argentina, a cédula antiga e a nova na Colômbia. OCR genérico trava na long tail de documentos em formato antigo que aparecem em tráfego de produção; os modelos calibrados pegam eles direito.
• Consulta real a bases de beneficiários. O rastreio de UBO (ultimate beneficial owner) é subespecificado no texto regulatório mas fortemente escrutinado em auditoria. Você precisa de consultas automatizadas em registros societários nos quatro países, mais escalação manual para cadeias de propriedade que cruzam fronteiras. Feito na mão — Junta Comercial no Brasil, RFC no México, Câmara de Comércio na Colômbia, cada um com seu próprio portal — cada onboarding PJ vira gargalo para o time de ops.
• Onboarding escalonado. Verificação básica de identidade em segundos para usuários de baixo risco, due diligence reforçada disparada por risk score, não por regra. Se todos os usuários passam pelo fluxo de máxima fricção, a conversão despenca. Se nenhum passa, os reportes se acumulam.
• Onboarding em segundos, não em 3 a 7 dias. O modelo batch legado — onde o KYC é uma fila processada de madrugada — não sobrevive contra pagamento em velocidade de PIX. O relógio regulatório e o relógio do produto têm que rodar na mesma frequência.

Esse é o formato do stack que construímos na Gu1. AI-native não significa "colocamos um modelo na frente do fluxo" — significa que as camadas de scoring de risco, classificação documental e detecção de anomalias foram desenhadas em torno de machine learning desde a primeira linha de código, não encaixadas depois. Se você quer a versão arquitetural mais longa, o post sobre o stack de compliance AI-native percorre tudo.

Fechando#

KYC na LatAm não é difícil porque as regras sejam vagas — na prática, elas são mais concretas do que a maioria das pessoas assume. É difícil porque as regras interagem com uma camada de identidade fragmentada, uma economia informal grande e uma superfície de fraude que evolui mais rápido do que os modelos europeus de ameaça contemplam. Toda fintech operando aqui está resolvendo alguma versão desse problema; a pergunta é se você constrói in-house ou compra infraestrutura desenhada para a região desde o começo.

Se você quer o contexto mais amplo sobre onde a Gu1 se encaixa, comece aqui. O lado AML do mesmo problema está coberto em o post de desafios AML, e os padrões de fraude específicos de mercados emergentes estão em o post de prevenção à fraude. Se você está construindo na LatAm e o que está acima ressoa, o stack de compliance está a uma chamada de API de distância.