GENIUS Act KYC: O Que os Emissores de Stablecoin Devem Fazer

Em 18 de junho de 2026, cinco agências federais dos Estados Unidos — FinCEN, OCC, Reserva Federal, FDIC e NCUA — publicaram conjuntamente um aviso de proposta de regulamentação que reescreve as regras de conformidade para todos os emissores de stablecoin que operam nos Estados Unidos. A proposta foi registada no Federal Register em 22 de junho sob o número de processo 2026-12460. O período de comentários encerra em 21 de agosto de 2026.

A norma não é uma clarificação técnica. É uma mudança estrutural: pela primeira vez, os Emissores de Stablecoin de Pagamento Permitidos (PPSIs, na sigla em inglês) seriam classificados como instituições financeiras ao abrigo do Bank Secrecy Act e obrigados a operar Programas de Identificação de Clientes (CIP) equivalentes em substância aos mantidos pelos bancos comerciais.

Se emite, resgata, converte ou custodia uma stablecoin de pagamento nos Estados Unidos, esta proposta diz respeito à sua infraestrutura de onboarding — não apenas à leitura da sua equipa jurídica.

O que o GENIUS Act Realmente Fez

O Guiding and Establishing National Innovation for US Stablecoins Act, promulgado em 2026, estabeleceu o primeiro quadro federal de licenciamento para stablecoins de pagamento. Entre as suas disposições, a lei instruiu os reguladores bancários federais e a FinCEN a tratarem os PPSIs como instituições financeiras ao abrigo do Bank Secrecy Act.

Essa designação tem peso. O estatuto de instituição financeira implica requisitos de programa AML, obrigações de reporte de atividade suspeita e — através da proposta CIP NPR — identificação obrigatória do cliente antes da abertura de conta. Uma regulamentação paralela publicada em abril de 2026 tratou os requisitos de programa AML/CFT e conformidade com sanções.

Juntas, as duas normas colocam os emissores de stablecoin no mesmo nível de conformidade base dos bancos ao lado dos quais operam.

Os Quatro Pilares da Norma CIP Proposta

Os requisitos do Programa de Identificação de Clientes proposto para PPSIs assentam em quatro obrigações operacionais que cada equipa de conformidade num emissor de stablecoin deve mapear face ao seu fluxo de onboarding atual.

1. Política CIP Escrita e Baseada em Risco

Os emissores devem manter um CIP escrito integrado no seu programa AML/CFT mais amplo. A política deve ser baseada em risco: clientes de maior risco requerem procedimentos de verificação mais intensivos; clientes de risco padrão podem ser processados com verificação mais ligeira — mas dentro de limites definidos. A política escrita deve ser revista e atualizada à medida que os perfis de risco evoluem.

Trata-se de um requisito operacional significativo para emissores que atualmente dependem de processos de onboarding informais ou fluxos geridos por terceiros sem documentação de política interna.

2. Recolha Obrigatória de Dados Antes da Abertura de Conta

Antes de abrir uma conta, os emissores devem recolher:

Elemento de dados	Obrigatório
Nome legal completo	Sim
Data de nascimento	Sim
Endereço (residencial ou empresarial)	Sim
Número de identificação emitido pelo governo	Sim

Para pessoas americanas, o número de identificação governamental é um número de identificação fiscal (SSN, ITIN ou EIN). Para pessoas não americanas, as agências propõem aceitar número de passaporte ou documento oficial estrangeiro equivalente, combinado com o país emissor.

Este requisito de recolha aplica-se no momento da abertura de conta. A norma proposta não permite diferir a recolha até que o cliente tenha iniciado transações.

3. Verificação de Identidade num Prazo Razoável

Recolher dados não é suficiente. Os emissores devem verificar que o cliente é quem afirma ser. A norma proposta adota o padrão de "prazo razoável" utilizado nas regras CIP bancárias: a verificação deve ocorrer antes ou pouco depois da abertura de conta.

Os métodos de verificação aceitáveis incluem a verificação documental (verificação de documentos de identidade), a verificação não documental (consultas a bases de dados, agências de crédito, registos públicos) ou uma combinação de ambas. Para emissores digitais que operam sem agências físicas, a verificação não documental — consulta a fontes governamentais autorizadas, verificação biométrica ou deteção de vivacidade — é o padrão prático esperado.

As agências reconheceram explicitamente que os emissores de stablecoin operam de forma diferente dos bancos de retalho e que os métodos de verificação remota e automatizada serão a norma.

4. Conservação de Registos, Verificação em Listas Governamentais e Aviso ao Cliente

Para além da recolha e verificação, a norma proposta exige:

• Conservação de registos: Os registos CIP devem ser mantidos durante cinco anos após o encerramento da conta.
• Verificação em listas governamentais: Os clientes devem ser verificados contra as listas designadas para fins CIP, o que na prática inclui pelo menos as listas de sanções da OFAC.
• Aviso ao cliente: Os emissores devem informar os clientes de que as suas informações de identidade serão recolhidas e verificadas para fins CIP.
• Delegação: Os emissores podem delegar noutras instituições financeiras reguladas a nível federal a realização de funções CIP, desde que exista um acordo formal de delegação.

A disposição de delegação é operacionalmente importante para emissores que distribuem através de intermediários regulados ou fornecedores de custódia. Quando o intermediário realiza o CIP, o emissor pode delegar nesse trabalho — mas o acordo deve ser documentado e o emissor mantém a responsabilidade última se o intermediário falhar.

A Exclusão do Mercado Secundário

Uma das decisões de âmbito mais significativas da norma proposta é o que não cobre: a atividade no mercado secundário.

A proposta limita explicitamente as obrigações CIP às relações de mercado primário — casos em que o PPSI tem uma relação direta com um cliente através da emissão, resgate, conversão, recompra, queima, reemissão ou prestação de serviços de custódia. A mera detenção ou controlo de uma stablecoin numa transação de mercado secundário não cria, por si só, uma relação de conta que ative os requisitos CIP.

De forma crucial, as agências também propuseram que as interações com contratos inteligentes em mercados secundários — mesmo quando a stablecoin do emissor é o ativo subjacente — não ativam obrigações CIP.

Este é um alívio significativo para a atividade em exchanges descentralizadas. Um emissor não precisa de aplicar KYC a cada carteira que detenha ou negocie a sua stablecoin numa plataforma secundária. A obrigação aplica-se apenas onde existe uma relação direta e intencional com o cliente.

No entanto, as equipas de conformidade devem ler isto com atenção. Onde um emissor opera serviços de custódia, portais de mint/resgate ou distribuição direta ao consumidor — mesmo através de terceiros — essas relações constituem atividade de mercado primário e estão dentro do âmbito.

Por que o Calendário É Importante

A proposta foi publicada a 22 de junho de 2026. Os comentários encerram a 21 de agosto de 2026. As agências propuseram que qualquer norma definitiva entre em vigor doze meses após a publicação — o que coloca o prazo de conformidade realista no início ou meados de 2027.

Essa margem de doze meses é menos generosa do que parece. Construir um CIP conforme de raiz — política documentada, sistemas de verificação integrados, verificação OFAC, infraestrutura de conservação de registos — requer entre seis e nove meses no mínimo para um emissor de dimensão média. As organizações que só comecem após a publicação da norma definitiva estarão em contrarrelógio.

O período de comentários também não é um atraso. A norma proposta reflete meses de coordenação interagências na sequência da aprovação do GENIUS Act. O período de comentários existe para refinar parâmetros técnicos, não para reconsiderar o requisito fundamental.

O que Isto Significa para o Panorama KYC Cripto

A norma CIP do GENIUS Act chega num momento em que o panorama de conformidade cripto em geral já se endureceu significativamente. A Travel Rule MiCA entrou plenamente em vigor para os CASPs registados na UE no início deste ano, exigindo dados de identidade verificados em cada transferência cripto sem limiar mínimo. As alterações às MLR do Reino Unido alargaram as regras de relações correspondentes para empresas cripto com efeito a 30 de junho. Para uma visão mais ampla de como estas obrigações se articulam, o nosso relatório Estado do KYC em Cripto 2026 cobre o panorama completo.

A norma americana acrescenta uma nova dimensão: pela primeira vez, o maior mercado de stablecoin do mundo tem um mandato KYC doméstico ao nível do emissor. Anteriormente, os emissores de stablecoin nos EUA operavam sob um mosaico de licenças estatais de transmissão de dinheiro com requisitos de verificação de identidade inconsistentes. O GENIUS Act e a norma CIP proposta criam um patamar federal que substitui esse mosaico por um padrão uniforme.

Os emissores que construíram onboardings leves em anos anteriores — recolha mínima de dados, sem política de verificação formal — têm agora uma lacuna de conformidade retroativa. Um requisito CIP exige geralmente a reverificação dos titulares de conta existentes que não satisfaçam o novo padrão. O custo operacional de remediar uma base de clientes que nunca foi adequadamente sujeita a KYC é muito superior ao de o construir corretamente desde o início.

O Risco de Fraude que Motiva a Regulação

A lógica regulatória por detrás da norma CIP não é puramente burocrática. O Centro de Serviços Financeiros da Deloitte projeta que as perdas por fraude impulsionada por IA nos Estados Unidos atingirão 40 mil milhões de dólares anuais até 2027, face a 12,3 mil milhões em 2023. Os bancos sinalizam agora aproximadamente 1 em cada 20 tentativas de verificação como potencialmente fraudulentas. A proporção de tentativas de fraude que envolvem identidades sintéticas geradas por IA — documentos gerados por IA, clones de voz, vídeos deepfake — ultrapassou os 50%.

Os emissores de stablecoin, que historicamente operam com controlos de identidade mais fracos do que os bancos, têm sido um alvo previsível. Sem CIP obrigatório, um fraudador pode adquirir stablecoins de um emissor primário usando uma identidade sintética, convertê-las noutros ativos e sair do perímetro regulado antes de ser detetado. A norma proposta fecha essa brecha.

O ambiente de fraude significa também que a conformidade com o CIP não é apenas uma questão de forma regulatória — é uma questão de eficácia de deteção. Um processo formalmente conforme que recolhe um nome e identificação governamental mas não verifica a autenticidade do documento, não verifica a vivacidade biométrica nem filtra por meios adversos proporciona cobertura legal mas proteção mínima contra fraude. Para uma análise detalhada do que acontece quando os sistemas de verificação falham, o nosso artigo sobre fraude de identidade sintética e a resposta KYC cobre os mecanismos em profundidade.

Os Requisitos Técnicos para a Conformidade

Cumprir a norma CIP proposta requer uma infraestrutura de identidade com capacidades específicas que muitos emissores de stablecoin atualmente não possuem.

Verificação de documentos: O emissor deve ser capaz de autenticar documentos de identidade emitidos pelo governo. Isto requer acesso a bases de dados de documentos, análise forense de imagens e a capacidade de detetar documentos gerados ou manipulados por IA.

Deteção de vivacidade biométrica: Para verificação remota, a correspondência biométrica com uma selfie ou vídeo, combinada com deteção de vivacidade que exclua ataques de replay ou deepfake, é o método prático para ligar um documento ao cliente que o apresenta.

Verificação OFAC: A verificação em tempo real ou quase real contra a lista de Nacionais Especialmente Designados da OFAC, além de outras listas governamentais designadas, é exigida no onboarding e de forma contínua.

Gestão automatizada de casos: O volume de onboarding para um emissor de stablecoin com adoção em massa torna a revisão humana de cada caso operacionalmente inviável. O KYC agêntico — sistemas de IA que automatizam a verificação, a pontuação de risco e o encaminhamento de casos — é cada vez mais a forma como os emissores conformes gerem a escala sem aumentar proporcionalmente os recursos humanos.

O Período de Comentários e o que Observar

O período de comentários encerra em 21 de agosto de 2026. Várias questões abertas na norma proposta deverão atrair comentários significativos:

• Prazo de verificação: O padrão de "prazo razoável" para a verificação pós-abertura tem sido fonte de ambiguidade nas regras CIP bancárias durante décadas.
• Pessoas não americanas: A norma proposta exige número de passaporte ou equivalente para pessoas singulares não americanas. Para clientes institucionais de jurisdições com normas de documentação diferentes, a aplicação prática não é clara.
• Beneficiários efetivos: A norma proposta não impõe requisitos de titularidade efetiva para clientes pessoas coletivas além do que as regulamentações existentes exigem.
• Interoperabilidade com regimes estaduais: Os emissores já sujeitos a requisitos CIP de transmissão de dinheiro estaduais solicitaram clareza sobre quando a conformidade CIP federal satisfaz os requisitos estaduais.

Perguntas Frequentes

A norma CIP do GENIUS Act aplica-se a todos os emissores de stablecoin?

Não. Aplica-se aos Emissores de Stablecoin de Pagamento Permitidos — entidades que detêm uma licença ou aprovação federal ao abrigo do quadro GENIUS Act para emitir stablecoins de pagamento. Os emissores que operam sob regimes estaduais não estão diretamente cobertos por esta norma específica.

Quando entrará em vigor a norma definitiva?

Os comentários encerram em 21 de agosto de 2026. A proposta prevê um período de implementação de doze meses após a publicação da norma definitiva, pelo que a data de entrada em vigor provável situa-se em meados ou finais de 2027.

A norma cobre os protocolos de stablecoin descentralizados?

A norma tem âmbito sobre entidades que atuam como PPSIs ao abrigo do GENIUS Act. Os protocolos puramente descentralizados sem entidade emissora identificável não estão claramente cobertos. No entanto, qualquer entidade que desempenhe funções de emissão, resgate ou custódia pode ser tratada pelos reguladores como PPSI funcional.

O que acontece com a atividade no mercado secundário?

A negociação em mercado secundário está explicitamente excluída do âmbito CIP proposto. A norma aplica-se onde o emissor tem uma relação direta com o titular de conta, não onde o token do emissor muda de mãos numa transação secundária.

Um emissor pode delegar num fornecedor KYC externo para a conformidade CIP?

Sim. A norma proposta inclui uma disposição de delegação: os emissores podem delegar noutras instituições financeiras reguladas a nível federal a realização de funções CIP, desde que exista um acordo escrito. O emissor mantém a responsabilidade última pela conformidade CIP, mesmo quando delega num terceiro.

Que dados exige a norma que sejam recolhidos?

Para clientes pessoas singulares: nome legal completo, data de nascimento, endereço residencial e número de identificação emitido pelo governo. Para clientes pessoas coletivas: nome da entidade, endereço da sede principal e número de identificação fiscal ou equivalente.