Por que construímos a Gu1: infraestrutura de compliance para a América Latina

Compliance na América Latina está quebrado. Não no sentido abstrato e institucional. Quebrado no sentido concreto: o fluxo de onboarding que você desenhou em São Paulo não funciona na Cidade do México, a regra que você cabeou para a CNBV não mapeia para a UIF em Buenos Aires, e o fornecedor de KYC que você escolheu ano passado já ficou para trás do padrão de fraude que você vai ver no próximo trimestre. Toda fintech na região reconstrói a mesma stack. Todo time contrata os mesmos analistas de compliance. Todo roadmap de produto perde trimestres para o mesmo ciclo regulatório.

A gente construiu a Gu1 porque cansou de ver esse desperdício acontecer na nossa frente. Este é o primeiro post do blog, e é o lugar certo para deixar claro o que a gente está fazendo e por quê.

A camada de compliance na América Latina é fragmentada por desenho#

A América Latina não é um mercado. São mais de 35 países, um punhado de reguladores dominantes, uma cauda longa de reguladores menores, pelo menos quatro tradições jurídicas e um conjunto de documentos de identidade que não compartilham formato. Um CPF brasileiro não é um DNI argentino, não é um CURP mexicano, não é uma Cédula colombiana. Os padrões biométricos diferem. As listas de sanções diferem. As definições de PEP diferem. As regras de residência de dados diferem.

As fintechs tratam isso como um problema para resolver uma vez por país e manter para sempre. Na prática, vira um problema para resolver uma vez por país, por produto, por atualização regulatória, por onda de fraude. O custo aparece no orçamento.

Fintechs na América Latina gastam entre 15 e 20 por cento do orçamento operacional em compliance, e a maior parte desse gasto vai para ferramentas legadas que não se conversam.

Existem mais de 2.800 fintechs ativas na região segundo a Finnovista, com Brasil, México e Colômbia liderando a contagem. Todas estão pagando um imposto para construir e manter a mesma camada de compliance. Os reguladores que as supervisionam não se coordenam. México, Brasil e Argentina são membros do GAFI e carregam o peso do arcabouço internacional, mas implementam de formas diferentes, em ritmos diferentes, com tolerâncias diferentes para automação.

A stack legada não foi feita para isso#

A maior parte do ferramental de compliance em produção hoje foi construída para outro ambiente. Os fornecedores de verificação de identidade foram desenhados em volta de documentos norte-americanos ou europeus, e depois portados para a LatAm com uma camada fina de localização. Os sistemas de monitoramento transacional foram desenhados para trilhos de cartão, e depois forçados a cobrir PIX, SPEI, Transferencias 3.0 e PSE. Os motores de alerta AML foram desenhados para processamento em batch, e agora precisam acompanhar pagamentos instantâneos em tempo real.

O resultado é uma stack cara de operar, lenta de atualizar, que produz filas de alerta que ninguém tem headcount para limpar. O compliance vira um centro de custo que entrega mais devagar que o regulador, e essa é uma posição perdedora.

A fraude anda mais rápido que as ferramentas#

A outra metade do quadro é a fraude. Os números são pesados:

• Fraude na LatAm +32 por cento no primeiro semestre de 2024 (Veriff).
• Account takeover no México +324 por cento em 15 meses (BioCatch).
• Fraude com deepfake no Brasil +700 por cento, fraude de identidade sintética +140 por cento (Sumsub).
• Tentativas de golpe na LatAm +155 por cento em 2025 em 36 instituições e 300 milhões de clientes (BioCatch).
• Ataques de malware +225 por cento, dispositivos roubados +344 por cento, uso de ferramentas de acesso remoto 5x (BioCatch).
• 59 por cento dos mexicanos sofreram pelo menos uma tentativa de golpe por mês em 2024 (GASA).
• Roubo de identidade na Colômbia +400 por cento desde 2020.

Globalmente, a fraude de identidade sintética cresceu 8x em 2025 segundo a LexisNexis, e mais ou menos metade desse volume caiu na América Latina. Mais da metade da fraude hoje envolve IA de alguma forma (Feedzai). Os atacantes já atualizaram a stack deles. A defesa, na maioria das instituições, não.

Os reguladores perceberam. O Brasil publicou a Resolução 519/2025 do BCB tornando obrigatórias a validação de CPF e a prova de vida para contas tier 1. O México colocou em vigor, em junho de 2024, uma regra da CNBV obrigando toda fintech regulada a manter um plano de prevenção à fraude documentado. A fraude em PIX chegou a R$ 2,7 bilhões no Brasil, 43 por cento a mais em relação ao ano anterior segundo a Febraban. As funções de compliance e fraude estão se fundindo em uma realidade operacional só, e a velha separação entre KYC, AML e prevenção à fraude não se sustenta mais.

O mercado está pegando o ritmo. O mercado de detecção de fraude na LatAm foi de USD 1,74 bilhão em 2025 e a projeção é chegar a USD 9,14 bilhões até 2034, um CAGR de 20,2 por cento. É muito capital atrás de um problema que as incumbentes não resolveram.

O que é a Gu1#

A Gu1 é infraestrutura de compliance AI-native para instituições financeiras da América Latina. Uma stack, uma API, três superfícies:

• KYC para onboarding e verificação de identidade, com suporte nativo para CPF, CURP, DNI, Cédula, RFC, RUC e os formatos biométricos e documentais que vêm junto.
• AML para monitoramento transacional, screening de sanções, screening de PEP e gestão de casos.
• KYT (know your transaction) para score de risco em tempo real nos trilhos de pagamento instantâneo, fluxos de wallet e movimentação cross-border.

AI-native é um termo muito usado e mal usado, então vale ser específico. Nosso motor de regras é escrito e mantido com agentes de IA no loop. A fila do analista é triada por agentes antes de chegar a um humano. O parse de documentos não depende de um fornecedor terceiro de OCR. O tuning de alertas acontece de forma contínua contra dados ao vivo, não trimestralmente contra um snapshot congelado. Os humanos do nosso time de compliance escrevem política, não ticket.

Se você quer ver a arquitetura em detalhe, a gente escreveu o post sobre a stack de compliance AI-native.

De 35 pessoas para 5 mais agentes de IA#

Um ano atrás nossa operação de compliance rodava com 35 pessoas. Hoje roda com 5 pessoas mais agentes de IA, e a entrega é a mesma ou maior. Essa frase é fácil de escrever e difícil de viver, então merece um pouco de honestidade.

A transição não foi sobre substituir pessoas. A maior parte das 35 foi para outras áreas do produto, algumas saíram, e as 5 que ficaram em compliance mudaram o que faziam durante o dia. Pararam de revisar alertas. Começaram a escrever as regras que geravam os alertas, a ajustar os modelos que suprimiam os falsos positivos, e a auditar as decisões dos agentes. O trabalho deixou de ser de operador e virou de autor de política.

Culturalmente, essa mudança é a parte interessante. Um oficial de compliance revisando 400 alertas por dia não consegue ser estratégico. Um oficial de compliance definindo a postura de risco da stack consegue. Um engenheiro escrevendo regras de compliance em código consegue soltar uma regra específica de PIX na terça e ter ela viva em produção na quarta. Esse ritmo não existe em uma casa legada.

O que isso significa para quem a gente contrata#

A gente contrata engenheiros que conseguem ler uma circular da CNBV e gente de compliance que consegue ler um pull request. A sobreposição é menor do que o mercado assume, e aprendemos a construir em cima dessa sobreposição em vez de brigar com ela. Os rulebooks que entregamos parecem mais com SDKs do que com documentos de política, e os documentos de política parecem mais com specs do que com memorandos.

Onde estamos hoje#

Em abril de 2026, a Gu1 está ao vivo com 54 clientes ativos em Brasil, México, Argentina e Colômbia. O mix de clientes pende para fintechs e neobancos, com uma fatia menor de cripto, remessas e marketplaces que carregam fluxo de pagamento. O Brasil é o nosso maior mercado por volume, o México por número de instituições, a Argentina por profundidade de produto, e a Colômbia por taxa de crescimento.

A gente não está em todo lugar, e isso é deliberado. Cada país que adicionamos é uma superfície completa de KYC + AML + KYT com cobertura de documentos locais, listas de sanções locais e integrações de reporte locais. Lançar um quinto país não é ligar uma flag. A gente espera adicionar um ou dois mercados a mais em 2026, e vai escrever sobre cada um aqui quando acontecer.

Se você quer o corte país por país de como o KYC funciona na região hoje, a gente colocou isso no guia completo de KYC LatAm, e os problemas reais de AML com os quais nossos clientes esbarram estão reunidos em desafios de AML para fintechs LatAm.

O que este blog vai cobrir#

Este blog é para os operadores, engenheiros e líderes de compliance que precisam tomar as decisões que a gente toma todos os dias. A gente vai escrever sobre:

• Mergulhos regulatórios, país por país. BCB, CVM e Febraban no Brasil. CNBV, Banxico e UIF no México. BCRA e UIF na Argentina. Superfinanciera e UIAF na Colômbia. Quando uma circular sair, a gente explica o que mudou, quem afeta e o que você tem que colocar em produção.
• Decisões de produto. Quando mudamos como a prova de vida funciona, ou trocamos um fornecedor de sanções, ou redesenhamos a UI de gestão de casos, a gente conta o que motivou a mudança. Incluindo as que não deram certo.
• Notas de campo de clientes. Anonimizadas quando precisar, nomeadas quando o cliente quiser estar. Os padrões que a gente vê em 54 clientes são mais úteis do que qualquer estudo de caso isolado.
• Inteligência de mercado sobre fraude e AML. Os números que abriram este post vão continuar se mexendo. A gente vai publicar o que enxerga nos dados, incluindo as partes desconfortáveis. Os padrões de fraude em mercados emergentes se comportam de forma diferente do que a maioria dos fornecedores globais modela, e a gente mantém uma visão contínua disso em prevenção à fraude em mercados emergentes.

A gente não vai escrever peças promocionais de fornecedor. Não vai publicar nada que não consiga defender com dado. Se errarmos em algo, corrigimos em um post posterior e linkamos para trás.

Como o dia a dia se parece para um cliente#

O caso abstrato a favor de uma infraestrutura de compliance América Latina é fácil de fazer. O caso concreto é mais útil. Quando uma fintech pluga na nossa API, a primeira coisa que muda é o funil de onboarding. A superfície de KYC absorve a captura do documento, a prova de vida, a validação contra a autoridade tributária ou o registro civil local, e a primeira passada de screening de sanções e PEP. O time de engenharia do lado do cliente deixa de ser dono dos prompts de OCR e dos limiares biométricos, e passa a ser dono da lógica de negócio. Esse corte importa. Prompts de OCR e limiares biométricos não são vantagem competitiva para uma fintech. Lógica de negócio é.

A segunda coisa que muda é a fila de alertas. Os alertas de AML não chegam mais como uma lista plana. Chegam com score, clusterizados e anotados por agentes que já rodaram os primeiros passos de investigação contra o histórico transacional, o sinal de dispositivo e o grafo de contrapartes. O lead de compliance do lado do cliente continua dono da decisão final e do reporte de SAR, mas não é dono dos primeiros 80 por cento do triage. Isso é o que leva o headcount de dois dígitos para um dígito.

A terceira coisa que muda é a superfície de reporting. Cada regulador da região tem um template diferente, uma cadência diferente e um conjunto de campos diferente. A gente gera os envios para UIF, UAF, COAF e UIAF a partir do mesmo modelo de dados, o que significa que um cliente que opera em quatro países não mantém quatro pipelines de reporting. Mantém uma configuração de política.

As partes difíceis em que a gente ainda está trabalhando#

A gente não terminou. A stack está viva e em produção em 54 instituições, mas tem partes do problema que a gente resolveu melhor do que outras. Fluxos cross-border entre Brasil e Argentina saem melhor para a gente do que fluxos entre México e Colômbia, porque a disponibilidade de dados é diferente. A cobertura PEP na Argentina é mais profunda do que a cobertura PEP na Colômbia porque as fontes públicas são mais estruturadas. A detecção de prova de vida contra deepfakes de alta qualidade é alvo móvel, e a gente retreina mais rápido do que a maioria, mas não tão rápido quanto os atacantes publicam modelos novos. A gente é explícito sobre esses buracos com os clientes. Fingir outra coisa seria um jeito ruim de tocar esta empresa.

A aposta que estamos fazendo#

A aposta embaixo da Gu1 é simples. A camada de compliance na LatAm não precisa de mais soluções pontuais. Precisa de uma stack única que cubra KYC, AML e KYT, que seja AI-native desde o desenho, que entregue no ritmo do regulador, e que deixe um time pequeno fazer o trabalho que antes pedia um grande. A abordagem fragmentada teve vinte anos para funcionar. Não funcionou.

Existe uma versão desse mercado em que os incumbentes se adaptam e a stack fica mais barata e mais rápida sozinha. A gente não acha que é essa a versão em que estamos. Os incumbentes estão presos nos seus modelos de dados, nos seus ciclos comerciais e nas suas promessas a clientes. O custo de reconstruir o core é maior do que o custo de defender o faturamento. Essa lacuna é a abertura em cima da qual estamos construindo.

Se você cuida de compliance ou engenharia em uma fintech da América Latina e está pensando no próximo ciclo da sua stack, a gente quer saber com o que você está esbarrando. O time está ativo no LinkedIn e a API está documentada. Você também pode assinar o blog e a gente manda os próximos posts quando saem. Até já.