Lista Cinza GAFI Junho 2026: Iraque, Bósnia e KYC
O GAFI adicionou o Iraque e a Bósnia-Herzegovina à sua lista cinza em junho de 2026. Veja o que as equipes de compliance devem atualizar nos programas KYC e fluxos de DDC.

O Grupo de Ação Financeira Internacional (GAFI) realizou sua plenária de junho de 2026 em Paris, de 17 a 19 de junho. Quando os resultados foram publicados em 19 de junho, a mensagem foi direta: o Iraque e a Bósnia-Herzegovina foram adicionados à lista cinza do GAFI. A Argélia e a Namíbia foram removidas. O número total de jurisdições sob monitoramento intensificado passou a ser 22.
Para a maioria das equipes de compliance, uma atualização da lista cinza parece uma tarefa regulatória rotineira. Não deveria ser assim. Duas jurisdições de peso estratégico foram incluídas no mesmo ciclo. A nova Presidência do GAFI, sob o Reino Unido, elegeu o combate à fraude como prioridade principal. E uma consulta pública sobre transparência em pagamentos — com implicações diretas para o monitoramento de transações transfronteiriças — foi aberta na mesma semana.
Esta atualização merece ação antes do fim do verão.
O que a Lista Cinza do GAFI Realmente Significa
A lista cinza do GAFI — formalmente, "Jurisdições sob Monitoramento Intensificado" — não implica sanções legais. Não é uma lista de bloqueio nem proíbe negócios. Ela identifica países que assumiram o compromisso de corrigir deficiências em seus marcos de prevenção à lavagem de dinheiro, ao financiamento do terrorismo e à proliferação.
O efeito prático é que as entidades reguladas devem incorporar as jurisdições da lista cinza em suas avaliações de risco-país e, quando a avaliação justificar, aplicar diligência devida aprimorada (DDC reforçada) ou monitoramento contínuo intensificado.
Esta distinção é fundamental. A DDC reforçada não é automática pelo simples fato de uma jurisdição constar da lista cinza. A lista é um insumo para uma avaliação baseada em risco, não um gatilho automático. O desengajamento indiscriminado — recusar transações com qualquer cliente vinculado a um país da lista cinza sem fundamentação documentada — é, em si, um problema de conformidade.
O que as equipes de compliance devem fazer é atualizar seus frameworks:
- Modelos de pontuação de risco-país
- Avaliações institucionais de risco (EWRA)
- Gatilhos de diligência devida e DDC reforçada
- Parâmetros de risco geográfico no monitoramento de transações
- Cronogramas de revisão do monitoramento contínuo para clientes existentes com exposição
As diretrizes da AMLA sobre monitoramento contínuo estabelecem que mudanças no risco jurisdicional devem refletir nas avaliações de risco em nível de cliente — não como evento pontual, mas como parte de um ciclo de supervisão contínua.
Iraque: Por que Esta Inclusão É Significativa
O Iraque é uma das maiores jurisdições adicionadas à lista cinza do GAFI nos últimos anos, com população de aproximadamente 48 milhões de habitantes e presença econômica regional impulsionada por exportações de petróleo, remessas e um setor bancário formal em expansão.
A decisão do GAFI reflete deficiências estratégicas identificadas em várias áreas de risco. Instituições financeiras com exposição a clientes iraquianos, relações de correspondência com bancos iraquianos ou fluxos de transações por centros financeiros do Golfo que canalizam negócios iraquianos devem tratar essa inclusão como materialmente relevante.
| Setor | Principal Fator de Risco |
|---|---|
| Pagamentos de petróleo e gás | Estruturados por cadeias de correspondência; rastreamento do beneficiário é complexo |
| Remessas | Canais informais de alto volume; redes hawala seguem documentadas |
| Imóveis | Estruturas de participação offshore comuns; verificação de beneficiário final é complexa |
| Ativos virtuais | Adoção cripto em crescimento; Travel Rule da UE aplica-se a todas as transferências ligadas ao Iraque |
Para provedores de serviços de criptoativos, essa inclusão interage diretamente com as obrigações da Travel Rule. O framework Travel Rule MiCA exige dados verificados do ordenante e beneficiário em cada transferência, independentemente do valor. Uma jurisdição na lista cinza eleva o risco do cliente em nível de conta, o que deve refletir nos limites de monitoramento em nível de transação.
Bósnia-Herzegovina: A Complexidade Europeia
A Bósnia-Herzegovina apresenta um perfil de risco diferente. É um país candidato à adesão à UE e tem profunda integração econômica com a Europa — dois fatores que tornam sua inclusão na lista cinza politicamente sensível e operacionalmente complexa para instituições financeiras europeias.
As deficiências identificadas pelo GAFI referem-se a fraquezas no marco institucional de PLD/FT do país, não a volumes documentados de fluxos ilícitos. Ainda assim, a inclusão requer ação das entidades reguladas com exposição à região, especialmente em:
- Fluxos de financiamento comercial nos Bálcãs Ocidentais
- Transações imobiliárias com beneficiários finais bosnios
- Relações de correspondência com instituições financeiras bósnias
- Estruturas de investimento ligadas aos corredores econômicos UE-Bósnia
Entidades reguladas na UE enfrentam uma obrigação de compliance em múltiplas camadas. As diretrizes de fatores de risco da AMLA — parte do pacote de 23 medidas de Nível 2/3 previstas para 10 de julho de 2026 — abordam especificamente os fatores de risco geográfico e exigem que as avaliações de risco-país sejam atualizadas quando o panorama de risco mudar.
Argélia e Namíbia: O que a Remoção Significa para os Programas KYC
A remoção da Argélia e da Namíbia da lista cinza é o outro lado do mesmo evento de compliance. Ambos os países concluíram visitas in loco satisfatórias, demonstrando progresso significativo em seus planos de ação. Para entidades que aplicaram medidas aprimoradas a essas jurisdições especificamente em resposta à inclusão na lista cinza, a remoção aciona um processo de revisão.
O procedimento correto não é simplesmente desescalonar automaticamente:
- Documentar a remoção e atualizar o modelo de risco-país
- Revisar clientes para os quais a DDC reforçada foi aplicada especificamente por causa da lista cinza
- Determinar se as medidas aprimoradas permanecem justificadas por outros fatores de risco
- Atualizar o EWRA e as declarações de apetite a risco
- Registrar cada etapa para fins de auditoria
Remover uma jurisdição do monitoramento aprimorado sem revisão documentada dos perfis de risco individuais é tão problemático quanto não ter aplicado a DDC reforçada.
A Nova Presidência Britânica do GAFI: O que Ela Sinaliza
A plenária de junho de 2026 foi a última sob a presidência mexicana. Giles Thomson, do Reino Unido, assume o cargo a partir de 1º de julho de 2026, com mandato de dois anos até junho de 2028. As prioridades declaradas da Presidência Britânica têm implicações diretas para as entidades reguladas.
Fraude, incluindo compostos de golpe
A fraude é a prioridade principal. A Presidência Britânica se concentrará em fortalecer a resposta internacional ao crime financeiro ligado a compostos de golpe — operações organizadas em larga escala que combinam engenharia social, identidade sintética e lavagem por canais informais. Para programas KYC, isso sinaliza maior escrutínio regulatório dos controles de onboarding que detectam fluxos financeiros ligados à fraude.
A conexão entre fraude de identidade sintética e lavagem de dinheiro não para de crescer. A fraude de identidade sintética já custa US$ 3,1 bilhões por ano apenas nos EUA, e agora ocupa o centro da agenda da próxima Presidência do GAFI.
Fortalecer a abordagem baseada em risco
A abordagem baseada em risco é o princípio fundamental do GAFI e também o mais desigualmente aplicado. O foco da Presidência Britânica aqui sinaliza rejeição continuada a duas falhas: o excesso de compliance (desengajamento indiscriminado sem avaliação documentada) e o não-compliance nominal (frameworks de risco não calibrados com o comportamento real dos clientes).
Compartilhamento de informações e parcerias público-privadas
O compartilhamento mais aprofundado de inteligência entre instituições financeiras e forças de segurança é prioridade declarada. Isso aumenta o valor dos dados KYC estruturados e mantidos continuamente. Entidades com registros de identidade bem organizados e atualizados estarão melhor posicionadas à medida que as obrigações de compartilhamento se expandam.
A Consulta sobre a Recomendação 16
A plenária aprovou uma consulta pública sobre as orientações atualizadas da Recomendação 16 do GAFI — o padrão de transparência em transferências de fundos e pagamentos eletrônicos. A consulta foi aberta na semana de 22 de junho de 2026.
A Recomendação 16 exige que certas informações de identificação acompanhem as transferências internacionais. As orientações atualizadas tratam da infraestrutura de pagamentos moderna, com a fraude como principal preocupação.
Para as equipes de compliance, este é um sinal antecipado de para onde caminham as regras de transparência em pagamentos:
- Banco correspondente: exigências mais detalhadas de verificação do beneficiário são prováveis
- Travel Rule cripto: pressão de alinhamento entre o padrão GAFI e jurisdições que mantêm limites mínimos
- Sistemas de pagamentos instantâneos: avaliação de se os controles existentes se aplicam adequadamente às novas trilhas de pagamento rápido
A direção é clara: mais dados de identidade verificados acompanhando os pagamentos, não menos. Os Agentes de IA da Joinble são projetados para essa arquitetura — mantendo registros de identidade verificados e estruturados, sempre atualizados e prontos para acompanhar as transações.
Lista de Verificação de Compliance
Nas próximas duas semanas:
- Atualizar a pontuação de risco-país para o Iraque e a Bósnia-Herzegovina
- Documentar a remoção da Argélia e da Namíbia no EWRA
- Identificar carteiras de clientes existentes com exposição às quatro jurisdições afetadas
Nos próximos 30 dias:
- Concluir reavaliações de risco em nível de cliente para relacionamentos com maior exposição
- Atualizar os parâmetros de risco geográfico no monitoramento de transações
- Informar os gerentes de relacionamento sobre as mudanças na lista cinza e suas implicações
Nos próximos 90 dias:
- Incorporar as prioridades de combate à fraude da Presidência Britânica na revisão anual da política PLD
- Registrar-se na consulta sobre a Recomendação 16, se relevante para as operações
- Atualizar a documentação dos procedimentos de DDC para refletir a lista cinza atual de 22 jurisdições
Perguntas Frequentes
A inclusão na lista cinza do GAFI exige DDC reforçada automática? Não. A lista cinza é um insumo para uma avaliação baseada em risco, não um gatilho automático de DDC reforçada. As entidades devem atualizar seus modelos de risco-país e aplicar medidas aprimoradas apenas quando sua avaliação documentada o justificar. O desengajamento indiscriminado baseado apenas no status da lista cinza é, em si, um problema de compliance.
Quais setores são mais afetados pela inclusão do Iraque? As áreas de maior risco são banco correspondente com bancos iraquianos, fluxos de remessas, imóveis com beneficiários finais iraquianos e transferências de ativos virtuais ligadas ao Iraque. Cadeias de pagamento de petróleo e gás com correspondentes do Golfo também merecem revisão aprimorada.
O que as entidades devem fazer em relação a clientes existentes da Argélia e da Namíbia? Documentar a remoção e revisar os perfis de risco individuais dos clientes. A DDC reforçada aplicada especificamente pelo status de lista cinza deve ser formalmente reavaliada. Se outros fatores de risco justificarem medidas mantidas, elas devem permanecer com a fundamentação documentada.
Como a lista cinza afeta especificamente os provedores de serviços de criptoativos? Para CASPs sujeitos à Travel Rule, as jurisdições da lista cinza elevam as pontuações de risco dos clientes, o que deve refletir nos limites de monitoramento de transações. No âmbito do TFR MiCA, transferências ligadas a contrapartes de maior risco podem exigir etapas adicionais de verificação.
Qual a importância da priorização da fraude pela Presidência Britânica? O mandato de dois anos do Reino Unido orienta os programas de pesquisa, avaliações mútuas e orientações do GAFI. Uma agenda centrada na fraude significa que os próximos relatórios de tipologias e documentos de orientação abordarão cada vez mais a interseção da fraude, lavagem de dinheiro e crime financeiro baseado em identidade.
O que a consulta sobre a Recomendação 16 implica para as equipes de compliance de pagamentos? Ela sinaliza que o GAFI pretende atualizar seu padrão de transferência de fundos para os sistemas de pagamento modernos, com a fraude como preocupação principal. As equipes devem monitorar os resultados e avaliar se seus controles atuais de identificação de pagamentos atenderão às expectativas atualizadas.
Artigos relacionados

KYC Perpétuo: A Verificação Única Está Morta
O KYC perpétuo substitui revisões anuais por monitoramento contínuo. As diretrizes da AMLA de julho de 2026 tornam isso obrigação legal — o caso operacional.

Multa AML do Ikano Bank: As Falhas de DDR Que Todo KYC Deve Corrigir
A Finansinspektionen multou o Ikano Bank em SEK 140M em junho de 2026. Estas quatro falhas de due diligence refletem o que os reguladores europeus já estão a verificar.

GENIUS Act KYC: O Que os Emissores de Stablecoin Devem Fazer
A norma proposta pela FinCEN em junho de 2026 obriga emissores de stablecoin a implementar programas KYC de nível bancário. Veja o que muda com o GENIUS Act.