Em 10 de novembro de 2025, o Banco Central publicou as Resoluções BCB nº 519, 520 e 521, inaugurando o marco regulatório dos serviços com criptoativos no Brasil, com vigência em 2 de fevereiro de 2026. A partir dessa data, cripto deixa de ser “zona cinzenta” e passa a integrar o sistema financeiro regulado, com regras semelhantes às de instituições financeiras tradicionais.
Para gateways de pagamento, fintechs, e-commerces e plataformas B2B, a questão deixa de ser “se” vão trabalhar com cripto e passa a ser “como” adequar governança, compliance e tecnologia aos novos padrões. O Brasil já figura entre os países líderes em adoção de cripto, e a regulação tende a destravar capital institucional e parcerias bancárias para operações reguladas.
O que dizem as resoluções 519, 520 e 521
Resolução BCB 519: Autorização e Governança
A Resolução 519 disciplina o processo de autorização para empresas que prestam serviços com ativos virtuais, exigindo autorização prévia do Banco Central para intermediar, custodiar ou negociar cripto em nome de clientes. Ela impõe padrões de segregação de patrimônio, controles internos robustos, políticas de PLD/FT e segurança da informação a um nível comparável ao de bancos.
Na prática, isso significa comprovar capacidade técnica, governança com múltiplos administradores responsáveis, políticas formais de risco, segurança cibernética e transparência na relação com clientes. Empresas que hoje operam “no ar” terão de formalizar processos, documentação e auditorias se quiserem continuar relevantes no mercado regulado.
Resolução BCB 520: SPSAVs e Quem Pode Operar
A Resolução 520 define a constituição e o funcionamento das Sociedades Prestadoras de Serviços de Ativos Virtuais (SPSAVs) e disciplina quem pode prestar esses serviços. SPSAVs devem ser sociedades estabelecidas no Brasil, com sede e administração local e objeto social voltado à prestação de serviços com ativos virtuais.
Além das SPSAVs, bancos, corretoras e distribuidoras já autorizadas pelo Banco Central também podem intermediar ou custodiar cripto, respeitando limites e regras específicas. Para quem atua como exchange, gateway cripto ou custodiante, isso eleva a régua de governança, gestão de risco e compliance, mas também abre a porta para parcerias com o sistema financeiro tradicional.
Resolução BCB 521: Cripto Como Operação de Câmbio
A Resolução 521 altera normas de câmbio para enquadrar pagamentos e transferências internacionais com cripto como operações cambiais quando envolvem conversão de moeda ou remessa ao exterior. Isso coloca transações com ativos virtuais sob o mesmo regime de reporte, monitoramento e controle aplicado às demais operações de câmbio.
Para empresas que usam stablecoins ou outras criptos em pagamentos internacionais, isso implica maior transparência regulatória, necessidade de reportes detalhados e alinhamento com regras de balanço de pagamentos. Em contrapartida, reduz o risco de questionamentos sobre legalidade e evasão de divisas em operações estruturadas com parceiros regulados.
CARF, DeCripto e o calendário de obrigações
A Receita Federal complementou o movimento ao publicar a IN RFB nº 2.291/2025, que adapta a regulação de cripto ao padrão internacional CARF da OCDE. A norma exige procedimentos reforçados de AML/KYC a partir de janeiro de 2026, incluindo diligência ampliada sobre clientes, origem de recursos e monitoramento de operações.
A partir de julho de 2026, entra em cena a DeCripto, declaração mensal de criptoativos enviada via e-CAC, que substitui o modelo atual de reporte. Prestadoras de serviços com cripto precisarão informar saldos, operações, valores de mercado e demais dados de forma padronizada, reforçando a necessidade de sistemas automatizados de registro e integração contábil.
Do risco à oportunidade para gateways e fintechs
Historicamente, a falta de regulação clara mantinha parte relevante do mercado cripto em um ambiente de insegurança jurídica, afastando bancos e investidores institucionais. Com o novo marco, serviços com ativos virtuais passam a operar sob um regime definido, com limites, responsabilidades e supervisão explícita do Banco Central.
Para empresas B2B, isso transforma cripto de “risco reputacional” em infraestrutura financeira legitimada, desde que a operação seja feita com prestadores autorizados e processos de compliance adequados. Plataformas que se adequarem cedo tendem a capturar clientes que buscam meios de pagamento inovadores, porém alinhados ao regulador.
Estrutura mínima de compliance até fevereiro de 2026
Mesmo quando a operação é feita via parceiro, algumas responsabilidades permanecem na empresa usuária. Em linhas gerais, a estrutura mínima envolve:
- Procedimentos de KYC e identificação consistentes com o padrão CARF e PLD/FT nacional.
- Monitoramento contínuo de transações, limites por perfil e documentação de diligência para clientes de maior risco.
- Políticas internas formais (governança, seleção de tokens, segurança da informação, proteção de dados) e registro de decisões.
Para quem decide operar diretamente como SPSAV, somam-se requisitos de constituição societária, administradores responsáveis, segregação de ativos e estrutura de segurança cibernética em “padrão banco”. Muitas empresas optarão por terceirizar a infraestrutura regulada para concentrar-se no core do negócio (gateway, marketplace, SaaS financeiro).
Onde entra um gateway regulado como a XGATE
Parceiros já alinhados às Resoluções 519, 520 e 521 conseguem encapsular grande parte da complexidade técnica e regulatória, expondo para o cliente B2B apenas APIs e fluxos de integração. Isso inclui conversão entre PIX e cripto, custódia regulada, controles de PLD/FT e geração dos dados necessários para reportes fiscais e cambiais.
Na prática, isso permite que e-commerces, fintechs de pagamento e plataformas B2B aceitem cripto e stablecoins, recebendo em real, enquanto o parceiro regulado cuida da parte mais sensível de compliance e relacionamento com o Banco Central e Receita Federal. Para empresas que enfrentam um horizonte curtíssimo até fevereiro de 2026, essa pode ser a rota mais rápida para estar em conformidade sem reescrever toda a arquitetura de risco e TI.
