Customer Due Diligence: O que é e como funciona?

Empresas financeiras que operam sem um processo estruturado de Customer Due Diligence estão expostas a multas do BACEN, bloqueio de licenças e responsabilidade administrativa e, em casos graves, criminal, conforme a Lei nº 9.613/1998.

O risco não é hipotético: o COAF registrou mais de 4 milhões de comunicações de operações suspeitas no Brasil em um único ano, e boa parte delas passa por falhas no processo de verificação de clientes.

Este artigo explica o que é CDD, como funciona na prática, quais os níveis exigidos pela regulação brasileira e como o onboarding digital muda o jogo para times de compliance e produto.

O que é Customer Due Diligence (CDD)

Customer Due Diligence (diligência devida do cliente) é o processo pelo qual uma instituição coleta, verifica e avalia informações sobre seus clientes para cumprir obrigações regulatórias de prevenção à lavagem de dinheiro (PLD) e ao financiamento do terrorismo (CFT), e para classificar o nível de risco que cada cliente representa.

O processo se apoia em três pilares:

• Verificação de identidade: confirmar que o cliente é quem diz ser.
• Avaliação de risco: classificar o perfil do cliente com base nos dados coletados.
• Monitoramento contínuo: acompanhar transações e comportamento ao longo do tempo.

CDD e KYC: qual é a diferença?

Os dois termos aparecem juntos com frequência, e a confusão é comum. A distinção é direta.

KYC (Know Your Customer) é o programa. É o conjunto de políticas, procedimentos e controles que uma instituição adota para conhecer seus clientes e gerenciar riscos de PLD/CFT.

CDD é a execução dentro desse programa. É o conjunto de ações práticas de coleta, verificação e avaliação que o KYC determina que sejam feitas.

Em termos simples: KYC define o que fazer; CDD é como fazer.

Essa distinção importa para times de produto e tecnologia porque o CDD é o processo que precisa ser operacionalizado em sistemas, APIs e fluxos de onboarding. Não é só política interna.

Os três níveis de Customer Due Diligence

A regulação brasileira, alinhada às Recomendações 10 e 22 do GAFI (Grupo de Ação Financeira Internacional), reconhece três níveis de diligência, aplicados conforme o risco do cliente e da operação.

CDD Simplificada (SDD)

Aplicada a clientes de baixo risco: pessoas físicas sem histórico de irregularidades, operações de valor reduzido, produtos de baixa exposição a PLD. A coleta de dados é mais enxuta, mas a verificação de identidade continua obrigatória.

CDD Padrão

É o nível base para a maioria dos clientes. Envolve coleta de dados cadastrais completos (nome, CPF/CNPJ, endereço, data de nascimento), verificação documental e checagem em listas restritivas como OFAC, listas da ONU e cadastros do COAF.

CDD Reforçada (EDD)

Exigida para clientes de alto risco. Os critérios incluem:

• Pessoas Expostas Politicamente (PEPs) e seus relacionamentos próximos.
• Operações internacionais com jurisdições de alto risco.
• Transações de alto volume sem justificativa econômica clara.
• Clientes com histórico de inconsistências cadastrais.

Na EDD, a investigação vai além do cadastro: inclui análise de fonte de renda, verificação aprofundada de vínculos e, em muitos casos, aprovação manual por um analista de compliance.

O que o CDD precisa verificar

Para o nível padrão, o processo de diligência precisa cobrir ao menos:

• Documento de identidade válido (RG, CNH, passaporte).
• CPF ou CNPJ com situação regular na Receita Federal.
• Comprovante de endereço atualizado.
• Checagem em listas restritivas nacionais e internacionais.
• Identificação de PEP (direto ou por relacionamento).
• Fonte de renda ou faturamento declarado (para perfis de risco médio/alto).

Para pessoas jurídicas, o CDD se estende ao quadro societário e aos beneficiários finais, conforme exige o Art. 4º da Resolução BCB nº 6/2021 e normas complementares do BACEN.

Como o onboarding digital muda o CDD

Por muito tempo, o CDD era feito presencialmente: o cliente ia à agência, apresentava documentos físicos e um funcionário conferia tudo. Esse modelo não escala para fintechs, bancos digitais e marketplaces que onboardam milhares de usuários por dia.

Um cenário concreto ilustra o problema. Uma fintech brasileira de crédito pessoal que opera 100% digital recebe dezenas de milhares de cadastros por mês. Fazer CDD manual para cada um é inviável.

E abrir mão do processo não é opção: a Resolução BCB nº 6/2021 e a Resolução CMN nº 4.753/2019 obrigam a verificação de identidade independente do canal de atendimento.

O onboarding remoto resolve o problema de escala, mas abre outro: como validar identidade sem presença física?

A resposta técnica passa por três camadas que precisam funcionar juntas:

1. Verificação documental
OCR (reconhecimento óptico de caracteres) extrai os dados do documento apresentado. Mas extrair não é suficiente: é preciso validar a autenticidade do documento, detectar adulterações e confirmar que os dados batem com bases oficiais.

2. Facematch
A selfie capturada no onboarding é comparada com a foto do documento. Essa etapa confirma que a pessoa que está passando pelo processo é a mesma do documento apresentado.

3. Liveness detection (prova de vida)
É aqui que o processo ganha robustez contra fraude. A detecção de vivacidade confirma que a selfie foi capturada de uma pessoa real, presente no momento da validação, e não de uma foto, vídeo ou deepfake.

Esse ponto é especialmente relevante no contexto atual. Ferramentas de geração de imagem e vídeo por IA tornaram os ataques de apresentação e deepfake muito mais acessíveis.

Um processo de CDD digital que não tem liveness detection está vulnerável a fraudes de identidade sintética, onde alguém cria ou manipula documentos e imagens para abrir contas em nome de terceiros.

A CertiFace atua exatamente nessas três camadas do fluxo de onboarding digital. Os módulos de verificação documental, facematch e liveness detection se integram via API ao processo de cadastro, com validação que ocorre em 1 a 2 segundos.

A base de mais de 120 milhões de faces únicas processadas contribui para a calibração dos modelos de detecção, reduzindo falsos positivos sem comprometer a precisão na identificação de ataques.

Para times de produto, isso significa que o CDD digital pode ser escalado sem aumentar proporcionalmente o volume de análises manuais. Para times de compliance, significa rastreabilidade e evidência técnica de que cada verificação foi conduzida com rigor.

Mais detalhes de implementação estão disponíveis no DevCenter da CertiFace.

CDD no contexto regulatório brasileiro

No Brasil, as principais normas que regem o CDD são:

• Resolução CMN nº 4.753/2019 (atualizada pela Resolução BCB nº 6/2021): define as regras de PLD/CFT para instituições financeiras autorizadas pelo BACEN.
• Circular SUSEP nº 612/2020: estabelece requisitos de PLD/CFT para seguradoras e resseguradoras.
• Instrução CVM nº 617/2019: aplica obrigações de KYC/CDD ao mercado de capitais.
• Resolução COAF nº 36/2021: define critérios de comunicação de operações suspeitas.

Fintechs, bancos digitais, corretoras, seguradoras e marketplaces com operações financeiras estão todos no escopo dessas normas. O critério de enquadramento é o tipo de operação, não o tamanho ou tempo de existência da empresa.

Um ponto que equipes jurídicas e de compliance precisam ter claro: a responsabilidade pelo CDD adequado recai sobre a instituição, não sobre o fornecedor de tecnologia. Ferramentas automatizadas suportam o processo, mas a política e a supervisão são da empresa.

Consequências de um CDD inadequado

As penalidades por falhas no processo de diligência são concretas. Conforme a Lei nº 9.613/1998 (Lei de Lavagem de Dinheiro) e as normas do BACEN:

• Multas administrativas aplicadas pelo BACEN, CVM ou SUSEP, que variam conforme a gravidade e reincidência.
• Cancelamento ou suspensão de autorização de funcionamento.
• Responsabilidade administrativa dos diretores e gestores responsáveis pela área de compliance e, em casos de omissão dolosa ou participação em crimes de lavagem, responsabilidade criminal conforme os Arts. 11 e 12 da Lei nº 9.613/1998.
• Dano reputacional com reflexo direto em parcerias, captação e relacionamento com reguladores.

Além das penalidades diretas, um CDD fraco é uma porta aberta para fraudes de identidade que geram chargebacks, prejuízos operacionais e exposição a litígios.

Na prática: o que times de produto e compliance precisam fazer

O CDD deixou de ser um processo exclusivo de back-office. No onboarding digital, ele precisa estar integrado ao produto desde o primeiro passo do cadastro.

Para times de produto, isso significa escolher fornecedores de verificação de identidade com APIs robustas, cobertura de liveness detection e documentação técnica clara.

Para times de compliance, significa ter políticas de risco documentadas, revisão periódica dos critérios de classificação e trilha de auditoria para cada verificação realizada.

A combinação de regulação estruturada, tecnologia de validação e processo interno bem definido transforma o CDD de obrigação regulatória em vantagem operacional: menos fraudes, menos chargebacks e onboarding mais seguro para o cliente legítimo.

Para entender como integrar verificação documental, facematch e liveness detection ao seu fluxo de CDD, acesse o DevCenter da CertiFace.

FAQ