Por que o compliance na LATAM e o mercado mais dificil e mais defensavel para a vertical AI

O artigo recente da a16z sobre vertical AI apontou algo que a industria de compliance conhece ha anos, mas raramente diz em voz alta: as melhores oportunidades de vertical AI nao estao em mercados limpos, bem documentados e estaveis. Estao nos fragmentados. Os workflows que ninguem quer padronizar. Os mercados onde o conhecimento operacional necessario para funcionar e, em si mesmo, a barreira de entrada.

O compliance na America Latina e esse mercado.

O que "fragmentado" realmente significa em compliance#

Um mercado fragmentado nao e apenas aquele com documentacao ruim ou sistemas legados. No contexto de compliance, fragmentado significa:

• Regulacoes que mudam mais rapido do que qualquer roadmap de produto
• Infraestrutura de identidade nao padronizada entre fronteiras
• Tipologias de fraude locais, nao globais
• Orgaos reguladores que interpretam os padroes FATF de maneira diferente
• Workflows de onboarding que precisam atender a cinco regimes legais distintos simultaneamente

A LATAM tem os cinco. E ao contrario da Europa, que avanca para a harmonizacao sob a AMLA, ou dos EUA, que tem um unico framework federal de AML com variacao estadual, a America Latina nao tem um roadmap de convergencia. Cada pais esta construindo sua propria infraestrutura de compliance, no seu proprio cronograma, em resposta ao seu proprio ambiente de fraude.

Essa fragmentacao nao vai desaparecer. Ela esta se aprofundando.

O patchwork regulatorio: pais a pais#

Para entender por que as ferramentas horizontais de compliance falham aqui, e preciso partir do que significa operar em conformidade nos cinco principais mercados da LATAM.

Brasil#

O Banco Central do Brasil (BCB) regula o licenciamento de fintechs e o AML. A rede de pagamentos em tempo real Pix, lancada em 2020, criou uma superficie de fraude que nao existia antes, e o BCB continua se adaptando a ela. A partir de novembro de 2024, o BCB impos limites para transacoes Pix realizadas por dispositivos nao reconhecidos: R$200 por transacao, R$1.000 por dia. A Federacao Brasileira de Bancos (Febraban) relatou que as fraudes vinculadas ao Pix saltaram 43%, chegando a R$2,7 bilhoes. A resposta regulatoria esta viva e em curso.

Depois ha a LGPD, a lei brasileira de protecao de dados, que adiciona mais uma camada de compliance a cada workflow de identidade. E o Open Finance Brasil, um dos deployments de open banking mais ambiciosos do mundo, que muda a forma como os dados financeiros podem ser compartilhados e verificados. A validacao de CPF e CNPJ, a verificacao biometrica para onboarding de alto risco e o framework de licencas SCD/SEP para fintechs completam o quadro.

Cada um desses e um requisito operacional separado. Nenhum mapeia de forma limpa para seu equivalente em qualquer outra jurisdicao.

Mexico#

A CNBV emitiu novas regulacoes de prevencao de fraude com vigencia a partir de 15 de junho de 2024, exigindo que as instituicoes implementem planos de gestao de fraude, estabelecam limites transacionais por cliente e fortalecem os controles internos. Segundo a Global Anti-Scam Alliance (GASA), 59% dos mexicanos sofreram pelo menos uma tentativa de golpe por mes, e a fraude custou aos consumidores mexicanos 293 bilhoes de MXN no ultimo ano reportado.

O framework mexicano de AML sob a LFPIORPI e circulares da CNBV exige a apresentacao de ROS com esquemas XML especificos, regras de identificacao de beneficiarios e monitoramento continuo de transacoes que nao se reproduz em nenhuma outra jurisdicao. A verificacao de identidade baseada em CURP e INE tem sua propria logica de validacao. O sistema de pagamentos SPEI tem suas proprias tipologias de fraude, distintas das do Pix.

Argentina#

A Unidad de Informacion Financiera (UIF) tem seu proprio formato de relatorio de operacoes suspeitas, suas proprias definicoes de beneficiario final e suas proprias listas de pessoas politicamente expostas. As regulacoes argentinas foram atualizadas varias vezes nos ultimos tres anos. Os controles cambiais do pais e o peso estrutural da economia informal criam cenarios de compliance sem precedentes globais. Uma instituicao operando na Argentina nao pode simplesmente reutilizar sua logica de compliance do Brasil ou do Mexico, mesmo dentro do mesmo modelo de scoring de risco.

Colombia#

A Superintendencia Financiera de Colombia (SFC) supervisiona um mercado onde, segundo o relatorio de investimento em fintech na LATAM 2025 da Phoenix Strategy Group, 90% das fintechs citam o excesso de burocracia como um grande obstaculo operacional ao trabalhar com bancos tradicionais. O sistema SARLAFT, o framework de gestao de riscos AML/CFT da Colombia, tem sua propria estrutura, sua propria logica de segmentacao de clientes e seu proprio ciclo de reporte. O que a SFC realmente busca em uma auditoria SARLAFT nao e informacao disponivel no texto regulatorio.

Chile#

A Comision para el Mercado Financiero (CMF) introduziu requisitos estritos de autenticacao de clientes para transacoes. Em 2024, foi aprovada legislacao criminalizando o uso fraudulento de meios de pagamento. A Lei Fintech do Chile, promulgada em 2023, ainda gera regulamentacao secundaria. Os requisitos de compliance para provedores de open finance, iniciadores de pagamentos e intermediarios de credito sob o novo framework tem diferentes cronogramas de implementacao e especificacoes tecnicas.

O Peru avanca na mesma direcao, com a regulacao SBS n.o 2286-2024 exigindo autenticacao de dois fatores para todas as transacoes com cartao.

Por que as ferramentas horizontais falham#

Uma ferramenta horizontal de compliance, do tipo que promete AML global em uma API, resolve as partes simples: verificacao de documentos contra uma biblioteca de modelos, screening contra listas globais de sancoes, limites padrao de monitoramento de transacoes segundo o FATF. O problema e que os casos extremos sao onde vive o risco operacional, e na LATAM os casos extremos estao em toda parte.

A empresa brasileira que verifica clientes via CPF e CNH precisa de uma logica de validacao de documentos diferente da empresa mexicana que usa CURP e INE. A fintech colombiana que executa segmentacao SARLAFT nao pode usar o mesmo modelo de scoring de risco que a instituicao chilena que reporta sob as diretrizes da CMF. A instituicao argentina que lida com alertas de controle cambial opera em uma categoria que nao tem equivalente na Europa ou nos EUA.

As ferramentas horizontais resolvem isso tornando o problema do cliente. Elas fornecem a API. O time de compliance descobre o resto. Isso funciona quando o time de compliance tem cinquenta pessoas. Nao funciona quando tres analistas tentam escalar para quatro mercados em dezoito meses.

O resultado: altas taxas de falsos positivos, gargalos de revisao manual, ROS inconsistentes e workflows de onboarding que funcionam para 70% dos usuarios e quebram para os 30% cujos documentos nao se encaixam no modelo global.

Profundidade operacional como moat#

A tese da a16z sobre mercados fragmentados aponta para algo real: o moat nao e o modelo. Qualquer equipe bem financiada pode fazer fine-tuning de um modelo com dados de KYC. O moat e o conhecimento operacional embutido no produto.

Em compliance na LATAM, isso significa:

• Saber que a validacao de CPF no Brasil requer uma verificacao de digito especifica que difere do que a API publica do orgao emissor retorna em certos casos extremos
• Entender que o reporte da UIF na Argentina mudou seu esquema XML de ROS em 2022 e novamente em 2023
• Ter visto auditorias SARLAFT suficientes para saber o que a SFC realmente prioriza versus o que a regulacao diz no papel
• Construir modelos de risco calibrados para as tipologias de fraude da LATAM: engenharia social no Pix, vetores de fraude no SPEI no Mexico, padroes de roubo de identidade na Argentina, nao tipologias globais adaptadas depois dos fatos

Esse conhecimento nao pode ser raspado. Nao pode ser sintetizado a partir de PDFs regulatorios. Ele se acumula operando no mercado, cometendo erros, corrigindo-os e incorporando as correcoes ao produto.

Essa e a barreira. Nao a IA. Nao a API. A profundidade.

O efeito cumulativo#

O que os mercados fragmentados tambem fazem e acelerar a diferenca entre incumbentes e especialistas. Cada mudanca regulatoria a que uma ferramenta horizontal precisa se adaptar e algo que um stack nativo da LATAM ja antecipou ou pode absorver em dias. Cada nova tipologia de fraude que requer uma atualizacao do modelo e algo que um especialista vem rastreando em producao por meses antes de o roadmap do fornecedor global alcancar.

Isso se acumula. Depois de um ano operando no Brasil, voce sabe coisas sobre fraude no Pix que um fornecedor global nao vai saber por mais um ano. Dois anos depois, voce tem dados de treinamento rotulados a partir de ROS reais em multiplas instituicoes que ninguem mais tem. Tres anos depois, a diferenca entre o que voce pode fazer operacionalmente e o que uma ferramenta horizontal pode fazer nao e uma diferenca de recursos. E uma diferenca de conhecimento. Essas sao muito mais dificeis de fechar.

Segundo a Phoenix Strategy Group, empresas que usam IA em tarefas operacionais de compliance na LATAM reportam 44% de economia de custos e 56% de aumento na velocidade de processamento em comparacao com abordagens tradicionais. O caso de eficiencia ja esta estabelecido. A questao e se a ferramenta que impulsiona essa eficiencia foi construida para o mercado ou adaptada a ele.

O que as empresas em expansao enfrentam#

Uma fintech dos EUA, um neobank global ou um processador de pagamentos europeu que expande para a LATAM enfrenta tres opcoes quando choca com compliance:

Construir internamente. Doze a dezoito meses para atingir maturidade operacional por mercado, mais contratacoes, relacoes regulatorias e conhecimento institucional que levam anos para desenvolver. Para a maioria das empresas expandindo para a LATAM, este nao e o caminho.

Usar uma ferramenta global horizontal e contratar consultores locais. Funciona no curto prazo e cria um problema estrutural: a ferramenta e o consultor nunca estao sincronizados. As atualizacoes regulatorias sao absorvidas pelo consultor e depois traduzidas manualmente para configuracoes da ferramenta. O risco operacional vive nesse gap.

Implantar um stack construido especificamente para a LATAM. Um que nao adapta um framework global a um contexto local, mas foi construido nesse contexto local desde o inicio.

A terceira opcao tem sido a opcao ausente durante a maior parte da ultima decada. O mercado era pequeno demais para que os grandes fornecedores globais de compliance construissem cobertura real da LATAM, e os fornecedores locais existentes tinham escopo muito estreito para cobrir o stack completo de KYC-AML-KYT em varios mercados.

O padrao de vertical AI aplicado#

Em vertical AI, os vencedores geralmente sao as equipes que passaram tempo na bagunca antes de construir o produto. Nao as que construiram o produto e depois tentaram aprender a bagunca.

O compliance na LATAM recompensa o mesmo padrao. Os frameworks regulatorios sao documentos vivos, nao APIs estaveis. As tipologias de fraude evoluem com a infraestrutura de pagamentos. Os reguladores sao acessiveis e os relacionamentos com eles importam de formas que nao ocorrem em mercados maduros.

O moat e construido operando aqui, nao apenas implantando aqui. Cada ano de profundidade operacional no Brasil, Mexico, Argentina, Colombia e Chile e um ano de conhecimento que nao pode ser replicado iniciando uma nova instancia de uma plataforma de compliance de proposito geral.

E por isso que a tese de vertical AI mapeia diretamente para esse mercado. A tecnologia e a commodity. A profundidade operacional e o produto. E a posicao mais defensavel em compliance na LATAM nao e a que tem o melhor modelo. E a que opera compliance em producao na regiao ha tempo suficiente para saber o que os reguladores realmente querem.

---

A Gu1 opera KYC, AML e monitoramento de transacoes no Brasil, Mexico, Argentina, Colombia e Chile. Se voce esta expandindo para a LATAM e o compliance e o gargalo, gu1.ai foi construido para isso.